Guia de Leitura do Plano Diretor de Tecnologia da Informação

Transcrição

1

2

3 Guia de Leitura d Plan Diretr de Tecnlgia da Infrmaçã O Plan Diretr de Tecnlgia da Infrmaçã (PDTI) é um instrument de diagnóstic, planejament e gestã ds recurss e prcesss de Tecnlgia da Infrmaçã (TI). O PDTI visa apiar a Superintendência de Tecnlgia da Infrmaçã (ST.A) na sluçã de prblemas e na realizaçã de melhrias, mediante estabeleciment de iniciativas estratégicas e plans de açã assciads, vltads para evluçã da arquitetura tecnlógica e ds serviçs de TI, para períd de 2013 a 2016, cnsiderand as priridades e a estratégia de negóci da Eletrbras Furnas. É imprtante bservar que a lng ds trabalhs de levantament deste PDTI, estava crrend uma mudança rganizacinal em funçã d Prjet de Reestruturaçã Organizacinal (PRO-Furnas) cnduzid pela empresa Rland Berger. Em funçã diss, algumas citações pdem estar referenciand Diretrias, Superintendências, Departaments e Divisões, nã mais existentes na atual estrutura rganizacinal de Furnas. Estrutura d PDTI Esse trabalh está dividid em três vlumes: O Vlume I trata da cnstruçã d planejament estratégic de TI da ST.A; O Vlume II traz s anexs referenciads n Vlume I; O Vlume III faz detalhament das Iniciativas Estratégicas prpstas. Sinpse d Vlume I (Planejament) e seus capítuls O primeir vlume se desdbra em 9 capítuls. A Primeira Seçã deste dcument inclui s Capítuls de 1 a 2, que tratam da apresentaçã e da metdlgia de cnstruçã d PDTI, além de mstrar a estrutura atual da Superintendência de Tecnlgia da Infrmaçã (ST.A). Esta seçã é imprtante para s leitres que visam entender prcess de planejament, diagnóstic e cnstruçã d planejament estratégic da Superintendência de Tecnlgia da Infrmaçã (ST.A) da Eletrbras Furnas. A Segunda Seçã deste dcument inclui s Capítuls 3 e 4, que apresentam a base utilizada para assegurar alinhament estratégic da TI as requisits mandatóris u crítics para negóci, que incluem plans de negóci, plíticas, diretrizes e requisits de cnfrmidade. A Terceira Seçã deste dcument inclui s Capítuls 6 e 7 que descrevem a análise de desempenh d planejament anterir e diagnóstic da situaçã atual. Neste planejament fram aplicadas técnicas cm análise SWOT, mapa estratégic de TI (BSC), fatres crítics de sucess, resultads de pesquisas, diagnóstic de maturidade de prcesss, cadeia de valr de TI, avaliaçã de cmpetência ds recurss humans

4 da ST.A, arquitetura de infrmaçã, infraestrutura, rede, telecmunicações e segurança da infrmaçã, além d inventári das necessidades d negóci. A Quarta Seçã deste dcument inclui s capítuls 8 e 9 que apresentam cmpnentes suplementares à estrutura rganizacinal da ST.A, sugerem a cnstituiçã de cmpnentes funcinais, identificam s cnheciments requerids pr unidade rganizacinal, apresentam a gestã de demandas cm base para a tmada de decisões, estabelecem um prtfóli de iniciativas de TI envlvend 19 iniciativas estratégicas cnstruídas a lng d PDTI e 25 iniciativas riundas de plans anterires, demnstram cm prtfóli de iniciativas está alinhad as bjetivs estratégics da ST.A e da Eletrbras Furnas, tratam da pririzaçã d prtfóli, apresentam uma prpsta de implementaçã das iniciativas a lng de quatr ans e estabelecem uma base para a revisã, atualizaçã e desdbrament d planejament estratégic de TI. Sinpse d Vlume II (Anexs) Tds s anexs mencinads n primeir vlume fram agrupads n Vlume II. Sã diagramas e tabelas que irã ajudar leitr a cmpreender trabalh. A seguir é apresentada a relaçã de anexs e das páginas/seções d Vlume I nde eles sã mencinads: Anexs d Vlume II Anex 1 Indicadres de desempenh assciads as bjetivs estratégics da ST.A Anex 2 Questinári para Pesquisa de Percepçã d Negóci sbre Gvernança de TI Anex 3 - Racinal de Pririzaçã ds Prcesss da ST.A Menções n Vlume I Página 45 Página 48 Página 71 Seçã Crrespndente 7.2 Mapa Estratégic de TI 7.4. Percepçã d Negóci sbre Gvernança de TI 7.7. Pririzaçã e Mdelagem ds Prcesss de TI Anex 4 Diagramaçã de Prcesss da ST.A Página Pririzaçã e Mdelagem ds Prcesss de TI Anex 5 Mdels Cnceituais de Dads Página Mdels de Dads Anex 6 Análise das Sluções de TI Identificadas Página Levantament Cmplementar das Sluções de TI Anex 7 Atribuições, Papéis e Cnheciments Necessáris pr Unidade Organizacinal Anex 8 - Flux geral de atendiment de demandas estratégicas e regulares de negóci. Página 164 Página Cmpnentes Suplementares à Estrutura Organizacinal da ST.A 8.4. Gestã das Demandas de TI cm base para tmada de decisões Sinpse d Vlume III (Iniciativas Estratégicas) O terceir vlume apresenta um detalhament das 19 Iniciativas Estratégicas mencinadas n Vlume I, cntend recmendações, apresentand s benefícis esperads, avaliand s riscs envlvids e estabelecend plans de açã prpsts.

5

6 . Índice Vlume III IE001 Aprimrament ds prcesss de cnfiguraçã e de gestã de mudanças... 7 IE002 - Aprimrament das práticas vinculadas a Central de Atendiment IE003 - Aprimrament d prcess de levantament e gerenciament de requisits IE004 - Implantaçã de prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A IE005 - Definiçã e implantaçã de práticas e mecanisms de gvernança de TI IE006 - Aprimrament d prcess de rçament e custs IE007 - Elabraçã e implantaçã de Mecanisms de Invaçã na ST.A IE008 - Implantaçã de práticas e prcesss para gestã de serviçs de TI IE009 - Implementaçã de Prcess de Gerenciament de Qualidade em TI IE010 - Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI IE011 - Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A IE012 - Estabeleciment de mecanisms para garantir a prteçã de infrmações sigilsas IE013 - Estabeleciment de mecanisms de respsta as incidentes de segurança da infrmaçã IE014 - Otimizaçã d prcess de gestã de cntinuidade para s serviçs de TI IE015 Aprimrament de práticas de arquitetura Tecnlógica na ST.A IE016 - Aprimrament de sistemas de api a negóci IE017 Transiçã de Sistemas na Platafrma Mainframe IE018 Estabeleciment de Mdel de Nva Arquitetura de Sistemas e Infrmações IE019 - Aprimrament d Mdel de Gestã de Operações

7

8

9 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E INICIATIVAS ESTRATÉGICAS IE001 Aprimrament ds prcesss de cnfiguraçã e de gestã de mudanças 1. Objetiv da Iniciativa Recmendar aprimrament ds prcesss de gestã de cnfiguraçã e de gestã de mudanças para ST.A Objetivs Estratégics apiads Seguem abaix, as perspectivas segund mapa estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P3 - Elevar nível de maturidade ds prcesss de TI priritáris para negóci Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Primári Prcesss Interns P2 Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI; que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns e que assegurem a cnfrmidade, a timizaçã ds recurss e api as cmitês de TI. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza as bas práticas ds livrs da ITIL versã 3, lançada em junh de 2007 e revisada na ediçã em 2011, que sã rientações e melhres práticas de mercad para uma gestã de serviçs de TI adequada para a rganizaçã Iniciativas estratégicas relacinadas IE002 Aprimrament das práticas vinculadas a Central de Atendiment IE008 - Implantaçã das práticas e prcesss para gestã de serviçs de TI

10 8 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcesss COBIT 5 vinculads à Iniciativa BAI06 Gerenciar Mudanças BAI10 Gerenciar Cnfigurações

11 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Nã fi identificad um relacinament de serviçs de TI cm itens de cnfiguraçã. Há identificaçã de itens de cnfiguraçã para ativs de infraestrutura ligads as prcesss da SOX. Quand há uma mudança, sempre é designada uma tarefa de atualizaçã para que a pessa respnsável pel prcess de cnfiguraçã realize a atualizaçã da planilha de cntrle ds ICs crítics. O cntrle é realizad meramente para atender as exigências da SOX. Muitas vezes sã realizadas mudanças que nã seguem prcess. Também sã cnhecids itens de cnfiguraçã crítics n ambiente, que nã estã inserids e cntrlads na planilha de ativs crítics de TI. Pr exempl, sistema SIRO passu a ser cnsiderad crític, mas nã tem seus ICs cntrlads, nem segue s prcesss de mudança e cnfiguraçã. O SIRO era administrad pela DO. Nã há uma gestã de cnfiguraçã e nã há baseline para SAP. O Slutin Manager u SOMAN está em fase de implementaçã, para atender diverss bjetivs, cm a gestã de cnfiguraçã d ambiente. Tdas as estações de trabalh estã mapeadas n Service Manager. Nã há interaçã cm a equipe de peraçã. Para s sistemas nã SAP, s dads ds ICs sã armazenads n GDS Gerenciadr d Desenvlvedr de Sistemas. Também é utilizad Clear Quest e Clear Case da Ratinal. Nã há nenhuma demanda de SOX para s sistemas nã SAP. Nã há rastreabilidade de mudanças executadas pr item de cnfiguraçã. N Clear Quest é pssível identificar as requisições para cada sistema nã SAP. Ainda há estações de trabalh das quais s usuáris sã administradres lcais. As licenças sã cntrladas quand existe um cntrat assciad. Nã há uma gestã de cnfiguraçã centralizada. A cada quatr meses é realizada uma avaliaçã na planilha de ativs crítics da SOX. Nã há autmaçã n prcess. O SAP realiza a avaliaçã apenas pr exigência da SOX. A platafrma de desenvlviment ds sistemas de infrmaçã (nã SAP) está em fase de migraçã para a Ratinal / Jazz, que pde ser integrad cm Slutin Manager u SOMAN. Existem três prcesss de mudanças: Infraestrutura, SAP e demais Sistemas de Infrmaçã (nã SAP). Segue abaix detalhament de cada prcess de mudança: Infraestrutura N prcess de mudança da área de infraestrutura é utilizada a ferramenta Service Manager para registr e cntrle das alterações n ambiente. Entretant, crrem mudanças que nã seguem prcess. Nã há uma ferramenta de mnitraçã das mudanças em itens de cnfiguraçã de Infraestrutura. O prcess de Gerenciament de Mudança de Infraestrutura é administrad pel cmitê de mudanças (CAB - Change Advisry Bard), que avalia as slicitações e é cmpst pr dis membrs fixs, Gestr e Analista de Mudança. Outrs membrs sã cnvcads de acrd cm tip de mudança a ser avaliada. O prcess fi elabrad cm base n ITIL e está bem dcumentad, prém, nã atingiu amadureciment suficiente para que slicitante aprenda a preencher a RDM (Request fr Change). A rganizaçã cnta cm um plan de cmunicaçã para as áreas impactadas. A cmunicaçã crprativa sbre as mudanças e impacts de serviçs de TI sempre é decidida pel CAB. Participam deste cmitê, um representante da central de atendiment, gestr de

12 10 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E incidente e respnsável pela cmunicaçã da TI. A cmunicaçã pde ser realizada de três maneiras: quand impact envlve apenas a área de TI, a ntificaçã das equipes de TI é feita pela área de relacinament (DRCL.G); quand impact envlve utras áreas além da TI, a área de cmunicaçã crprativa ntifica tda a empresa u as áreas que sfrerã impact ds serviçs de TI. A decisã em acina-la é d CAB e alguma mudança envlvend a Diretria de Operaçã (D.O.) que é extremamente crítica e requer a abertura de uma LT (Licença de Trabalh), assim CAB trata diret cm a D.O. Para que uma mudança seja transprtada para ambiente de prduçã é necessária à aprvaçã d Gestr u d Analista de Mudança, de acrd cm sua cmplexidade. Algumas vezes a dcumentaçã da mudança é preterida, principalmente em cass emergenciais. Nã há um prcess para mudança emergencial. Mudanças n SAP u em utrs Sistemas de Infrmaçã que impliquem n api da Infraestrutura requerem a utilizaçã d prcess de mudança da área e, cnsequentemente, utilizam Service Manager para abertura de uma RDM. SAP As mudanças SAP, (e) as slicitações de mudança n ambiente SAP sã registradas n GASAP, aplicativ desenvlvid em Ltus Ntes, e pdem ser de dis tips: mudança n aplicativ u suprt package. Mudanças emergenciais também devem ser registradas n GASAP. A cndiçã para execuçã é a ausência d Gestr respnsável pela aprvaçã e autrizaçã das mudanças. Nã há um cmitê u gestr de mudança para prcess de mudança n ambiente SAP. Td prcess de mudança n ambiente SAP está dcumentad. O prcess de mudança n ambiente SAP apresenta s seguintes passs: qualquer funcinári da DDI.G pde fazer a slicitaçã, que é encaminhada a gerente; gerente aprva a slicitaçã e a encaminha para a equipe de execuçã pertinente; técnic u equipe analisa; gerente d técnic u equipe autriza a execuçã; as mudanças d tip suprt package requerem api da Infraestrutura, cnsequentemente, representantes d ambiente SAP sã cnvidads a participarem d CAB; cas uma mudança implique em impact peracinal, deve ser aberta uma LT (Licença de Trabalh) pela DO; após a execuçã da mudança, a mesma é liberada para testes de aprvaçã pr parte d slicitante; gerente autriza transprte da slicitaçã cncluída para ambiente de prduçã. Em cass emergenciais a aprvaçã d gerente pde acntecer após transprte para prduçã. A equipe de Basis é respnsável pel transprte para ambiente de prduçã d SAP. As mudanças sã transprtadas sempre às 7h da manhã, excet as fins de semana. O transprte de uma mudança para ambiente de prduçã d SAP só é permitid mediante seu registr n GASAP; Devid às dificuldades n desenvlviment e manutençã d GASAP e à necessidade de unificaçã da ferramenta de registr e acmpanhament de mudanças de tda a TI, a ferramenta Slutin Manager vem send avaliada cm este prpósit. Cas Slutin Manager nã atenda a este últim requisit, nvas discussões devem acntecer. A demanda de mudanças chega de diversas maneiras. Uma delas é via registr n Service Manager. Outra maneira de receber a demanda de mudança é através ds gerentes, que captam as necessidades em reuniões. Nã há uma regra u prcess para registrs das demandas de negóci e nã há prcess definid para gestã de demandas d ambiente SAP. Diret n SAP e para Supprt Patch, que seguem sã crreções n standard n sap. Este utiliza mesm prcess de mudança para infraestrutura.

13 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Sistemas de Infrmaçã (nã SAP) O prcess de mudança para Sistemas de Infrmaçã (nã SAP) é slicitad via CI (Crrespndência Interna), entã é registrad um incidente n Service Manager, assim cm n Clear Quest. Após registr e aprvaçã n Clear Quest, para ter cntrle d desenvlviment e execuçã da slicitaçã, é feit também registr na ferramenta SSD Slicitaçã de Serviç a Departament, desenvlvida em Ltus Ntes e cnhecida cm ferramenta d Lbã. Esta ferramenta fi implantada devid à dificuldade d us causada pel cnheciment limitad d Clear Quest. Após a hmlgaçã, Gerente autriza a entrada em prduçã, fechand chamad ( fechament deve ser reaplicad em tdas as ferramentas). Nã há um critéri de registr, avaliaçã e analise de mudança. Os prfissinais acham prcess muit burcrátic e s clientes acham difícil seguil, pis apesar da utilizaçã de várias ferramentas, ainda é realizad manualmente. Nã há um cntrle intern de indicadres de mudança, smente quand é slicitad pela SOX. Há um desej de utilizaçã d Ratinal junt a Slutin Manager. Nã há uma estrutura de plan de treinament para prcess. Os aplicativs desenvlvids em Ltus Ntes nã entram n prcess de mudanças ds sistemas nã SAP. Fi avaliada a pssibilidade de agilizar a criaçã de relatóris gerenciais através da utilizaçã de uma sluçã de BI. Slicitações de mudança em utrs sistemas sã feitas pr variads meis, tais cm CI (Cmunicaçã Interna), Service Manager u Clear Quest e necessitam de aprvaçã d Gerente. As slicitações sã registradas n DPD, aplicaçã desenvlvida em Ntes Riscs assciads Seguem abaix, s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Os clientes, a TI e s frnecedres nã cmpreendem as suas respnsabilidades; Falta de priridade u priridade imprópria para s diferentes serviçs de TI prestada; Serviç peracinal ineficiente e cm cust elevad; Ausência de um prcess únic de gerenciament de mudanças; Ausência de gestã de cnfiguraçã ds serviçs de TI; Insatisfaçã ds usuáris devid à falta de infrmações; 2.2. Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual:

14 12 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Um padrã para prcess de gerenciament de mudanças únic e integrad nas áreas de TI. 2 Um padrã para gerenciament de mudanças que especifique as plíticas e s prcediments. 3 Um cntrle de versã sbre tdas as mudanças Práticas de gerenciament de registrs e trilhas de auditria para s passs "chave" n prcess de Gerenciament de Mudanças e de Gerenciament de Cnfiguraçã. Análise de impact de prvedres de serviç cntratads (ex.: infraestrutura, desenvlviment de aplicações e serviçs cmpartilhads) n prcess de gerenciament de Mudanças e de Gerenciament de Cnfiguraçã. Nã sã definidas métricas para mnitrament cntínu das mudanças realizadas e as alterações ds itens de cnfiguraçã. Ausência de um prcess que permita que s prprietáris ds prcesss de negóci e de TI requisitem mudanças para infraestrutura, sistemas e aplicações. Cntrles para garantir que tdas as requisições de mudanças sejam recebidas smente através d prcess de gerenciament de mudanças. 9 Ausência da avaliaçã de interdependências entre as mudanças. 10 Ausência ds elements emergenciais d prcess frmal de gerenciament de mudanças Ausência de uma revisã pós-implementaçã de tdas as mudanças emergenciais, envlvend tdas as partes interessadas. Nã há um mapeament ds itens de cnfiguraçã relacinads cm as platafrmas que crrem mais mudanças. 13 Manutençã da base de gerenciament de cnfiguraçã e itens de cnfiguraçã.

15 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a melhria ds prcesss de cnfiguraçã e gestã de mudanças, cumprind s seguintes passs: Identificar s ativs e itens de cnfiguraçã ds serviçs de TI; Identificar s tips de slicitações de mudanças; Definir uma janela de manutençã e mudança; Definir um prgrama únic e integrad de mudanças; Implantar um prcess de gestã de ativs e cnfiguraçã; Integrar s prcesss de gestã de mudanças; Estabelecer Cmitê de Planejament e Mudanças (CPM) Unificad; Implantar uma ferramenta de api única e integrada 3.1. Identificar s ativs e itens de cnfiguraçã ds serviçs de TI Identificar s ativs e itens de cnfiguraçã, nas diversas platafrmas existentes na ST.A, relacinads a tds s serviçs de TI que sfrerã mudanças, alterações e remções nestes itens. Ist permitirá uma base inicial para cntrlar as alterações em cada serviç de TI, garantind rastreabilidade e históric das mudanças. Pde ser utilizada uma ferramenta de Discvery, que apie na identificaçã d inventári ds ativs de TI, ds itens de cnfiguraçã ds serviçs de TI existentes e, principalmente, que realize relacinament destes ativs e itens de cnfiguraçã cm s serviçs existentes. Vale bservar que a iniciativa IE002 Aprimrament das práticas vinculadas a Central de Atendiment tem cm um ds seus bjetivs, elabrar um inventári da platafrma de TI da rganizaçã. A iniciativa pde ser utilizada nesta atividade para elabraçã deste item. A iniciativa IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs implementar um sistema de gestã de serviçs de TI que pderá cntemplar recurs u módul de discvery ds ativs e itens de cnfiguraçã para cntrlar inventári atual e elabrar relacinaments destes itens cm s serviçs de TI existentes Identificar s tips de slicitações de mudança Identificar e definir tip de cada slicitaçã de mudanças na ST.A. Determinar s tips de mudanças que serã representadas de fat, cm mudanças ns serviçs de TI da rganizaçã. Basicamente, existem três tips de mudanças n prcess: Mudança Padrã; Mudança Nrmal; Mudança Emergencial;

16 14 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tdas as slicitações de serviç devem ser delegadas a Departament de Sluções Crprativas u aplicadas diretamente pela ferramenta de gestã de serviçs de TI, de md a desafgar prcess de mudanças e prver um serviç rápid e cntrlad. A ST.A deve estabelecer um nível a partir de qual slicitaçã de serviç será cnsiderada uma mudança e seu tip, e a partir daí aplicar prcess de gestã de mudanças Definir uma janela de manutençã e mudança Definir e estabelecer uma janela de manutençã única e integrada, para cada tip, em que as mudanças serã implantadas cm mínim de impact ns serviçs de TI. O temp de mudança deve ser planejad e acrdad cm tdas as partes impactadas e envlvidas. Esta janela de manutençã e mudança deve ser de ciência de tds da ST.A e cmunicad, quand necessári, para as áreas de negóci Definir um prgrama únic e integrad de mudanças Definir uma prgramaçã única e integrada cm tdas as mudanças futuras, que liste tdas as slicitações aprvadas e suas datas planejadas para implantaçã. Esta lista deve ser publicada para que tds da rganizaçã pssam estar cientes. Ressaltams que a Central de atendiment deve ser pnt fcal de cmunicaçã das mudanças planejadas e acmpanhada pela ferramenta de gestã de serviçs de TI Implantar um prcess de gestã de ativs e cnfiguraçã Implantar um prcess de gestã de ativs e cnfiguraçã, que cntrle as alterações e registrs ds itens de cnfiguraçã ds serviçs de TI riunds das mudanças autrizadas e realizadas de maneira rdenada, sem que se perca históric e rastreabilidade das mdificações. Este prcess deve cnsiderar s seguintes aspects: Classificaçã ds Itens de Cnfiguraçã; Cnvençã de Nmenclatura; Identificaçã Física; Definiçã ds atributs de cada item; Definiçã das fntes de infrmaçã; Definiçã ds sistemas de cleta; Cntrles ds ativs, inventáris e itens de cnfiguraçã de TI; Realizaçã de auditrias internas. Deve ser criada uma equipe que riente s esfrçs dentr ds recurss destinads, atuand de frma independente. Esta equipe pde estar cntida na funçã de Operaçã u Prduçã.

17 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Devem ser definids s papéis e respnsabilidades d prcess de gestã de ativs e cnfigurações, respnsável pel prcess, cm cnheciment e experiência n tema. Cm a gradual maturidade, esta estrutura pde iniciar cm uma equipe mínima e dedicada para garantir a execuçã das tarefas necessárias. A iniciativa IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs, implementar um sistema de gestã de serviçs de TI que pde cntemplar recurs u módul de discvery ds ativs e itens de cnfiguraçã para cntrlar inventári atual, elabrar relacinaments destes itens cm s serviçs de TI existentes e também auxiliar n cntrle de auditria de itens de cnfiguraçã que sfreram mudanças Integrar s prcesss de gestã de mudança Implantar um prcess únic e integrad de gestã de mudanças para a ST.A, que crdene as mudanças de itens de cnfiguraçã ds serviçs de TI de maneira rdenada, sem que as manutenções causem impacts negativs, indispnibilidades u afetem a satisfaçã ds clientes, cm também tds as áreas envlvidas estejam cientes das atividades planejadas. Este prcess deve cnsiderar s seguintes aspects: Levantament e registr da mudança; Avaliaçã d impact, cust, benefícis e riscs das mudanças; Desenvlviment da justificativa para negóci; Obtençã da aprvaçã; Crdenaçã da implantaçã da mudança; Revisã pós-implementaçã; Encerrament das slicitações. Deve ser criada uma equipe que riente s esfrçs dentr ds recurss destinads, atuand de frma independente e tratand de slicitações de infraestrutura, sistemas clabrativas, SAP e nã SAP. Esta equipe pde estar cntida n Departament de Sluções Crprativas. Deve ser nmead um gerente de mudanças, respnsável pel prcess, cm cnheciment e experiência n tema, rientand aquelas mudanças que realmente se mstrem adequadas à implantaçã ns ambientes de TI da rganizaçã. Cm a gradual maturidade, esta estrutura pde iniciar cm uma equipe mínima dedicada para garantir a execuçã das tarefas, e principalmente, a realizaçã da revisã pósimplementaçã Estabelecer Cmitê de Planejament e Mudanças (COM) Unificad Estabelecer um cmitê de planejament e mudanças (CPM) unificad, vltad para avaliar, planejar e aprvar as prpstas de mudanças de serviçs de TI adequadas à implementaçã ns ambientes tecnlógics da rganizaçã. Este cmitê deve pssuir

18 16 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E representantes das áreas de TI envlvidas nas mudanças, das áreas de negóci e de frnecedres relacinads à mudança, cm prpósit de: Representar s usuáris; Representar s demais prcesss e funções definidas na ST.A; Representar as equipes ds serviçs de TI; Manter alinhament das prpsições e slicitações cm bjetivs d negóci; Obter a interlcuçã cm utras áreas e unidades envlvidas na empresa. É necessári que haja cmitê de Mudança na ST.A cm prpósit de: Tratar tdas as mudanças d tip nrmal (cm mair grau de cmplexidade); Tratar tdas as mudanças d tip emergencial (cm mair grau de urgência e criticidade); Este cmitê deve pssuir autridade para permitir que mudanças identificadas cm críticas u urgentes para negóci sejam implantadas, de frma mais rápida e segura. Vale bservar que este cmitê de planejament e mudanças tem cm um ds seus bjetivs a preparaçã e desenvlviment de testes e hmlgaçã ds sistemas. Este cmitê deverá estar alinhad cm tds s serviçs de TI em peraçã, independente d tip de mudança (hardware, sftware, entre utrs) Implantar uma ferramenta de api única e integrada A ST.A deve adquirir e implantar uma ferramenta única e integrada para tdas as finalidades de mudanças (infraestrutura, sistemas, SAP e nã SAP) que apie gerenciament d prcess de gestã de ativs e cnfigurações e gestã de mudanças de TI, integrada à utrs prcesss de TI. Esta ferramenta terá pr finalidade facilitar gerenciament ds prcesss de TI na ST.A, cm também será pnt inicial de uma mudança da cultura rganizacinal. A ST.A deixará de realizar slicitações infrmais e sem cntrle e passará a registrar td e qualquer tip de demanda e slicitaçã de mudanças de serviçs de TI. Recmenda-se que sistema seja aderente às bas práticas recmendadas pel ITIL versã 3. Atualmente a avaliaçã de ferramentas de gestã de serviçs de TI é publicada pela própria entidade ficial d ITIL cm também pela Pinkelephant (empresa credenciadra exclusiva de ferramentas de gestã de serviçs de ITIL). Abaix, seguem s links das ferramentas aderentes às bas práticas d ITIL pr entidade:

19 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A iniciativa IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs implementar um sistema de gestã de serviçs de TI que pde cntemplar recurs u módul de gestã ds ativs e itens de cnfiguraçã para cntrlar inventári atual e gerenciar as mudanças ds itens de cnfiguraçã ds serviçs de TI existentes.

20 18 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Identificar s ativs e itens de cnfiguraçã ds serviçs de TI Definir s requisits ds ativs e itens de cnfiguraçã ds serviçs de TI em peraçã. Classificar e relacinar s ativs e itens de cnfiguraçã cm s serviçs de TI em peraçã. Criar um Sistema Únic de Ativs e Cnfiguraçã de TI. Detalhar s requisits essenciais ds ativs e itens de cnfiguraçã ds serviçs de TI em peraçã. Detalhar, classificar e relacinar s ativs e itens de cnfiguraçã ds serviçs de TI em peraçã. Criar um sistema únic de ativs e cnfiguraçã de TI que utilize utras bases de itens de cnfigurações existentes. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Identificar s tips de slicitações de mudanças Definir s requisits para cada tip de slicitaçã de mudanças. Elabraçã ds frmuláris de slicitaçã de mudança. Elabrar as plíticas internas para aplicabilidade de cada tip de slicitaçã de mudanças. Detalhar s requisits essenciais para cada tip de slicitaçã de mudança ds serviçs de TI. Elabrar e detalhar s itens ds frmuláris de slicitaçã de mudanças ds serviçs de TI. Criar e dcumentar as plíticas internas para aplicaçã de cada tip de slicitaçã de mudanças. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Definir uma janela de manutençã e mudança Definir uma janela de manutençã e mudança. Definir e detalhar s dias da semana que será permitida a realizaçã de atividades de mudanças autrizadas (para cada tip) e períd de execuçã apntad pelas hras de inici e fim. Selecinar s serviçs de TI da rganizaçã. Definir e detalhar s dias da semana que serã permitidas as realizações de atividades de mudanças autrizadas (para cada tip de mudança) e períd de execuçã apntada pelas hras de inici e fim.

21 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Definir uma janela de manutençã e mudança Identificar s clientes, usuáris envlvids pr serviçs de TI que terã impact. Especificar s serviçs de TI pr tips de slicitaçã de mudanças. Detalhar e selecinar s clientes e usuáris que sfreram impact ns serviçs de TI existentes. Detalhar e especificar s serviçs de TI pr tips de slicitaçã de mudanças na rganizaçã. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Definir um prgrama únic e integrad de mudanças Estabelecer um prgrama únic e integrad de mudanças ds serviçs de TI. Definir s requisits para encaminhar uma slicitaçã de mudanças. Estabelecer e aplicar s períds na semana para encaminhar, avaliar, aprvar, divulgar tdas as mudanças planejadas d tip nrmal e emergencial. Detalhar s requisits essenciais e s critéris para encaminhar uma slicitaçã de mudanças, cnsiderand papéis e respnsabilidades d slicitante, especialistas, partes interessadas e gerentes. Identificar grups slucinadres e áreas de api envlvidas para mudança ds serviçs de TI. Definir um plan de cmunicaçã de mudanças. Detalhar e selecinar s grups slucinadres e áreas de api envlvidas para mudança ds serviçs de TI. Definir um plan de cmunicaçã de mudanças. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Implantar um prcess de gestã de ativs e cnfiguraçã Mdelar s prcesss de gestã de ativs e cnfiguraçã. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d gerenciament de ativs e cnfiguraçã. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Transiçã de Serviçs) e s bjetivs de cntrle d COBIT BAI10. Descrever prcediments de gestã de ativs e cnfiguraçã. Detalhar s prcediments de execuçã das atividades de gestã de ativs e cnfiguraçã integrand cm prcess de mudanças ds serviçs de TI.

22 20 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar um prcess de gestã de ativs e cnfiguraçã Definir templates de gestã de ativs e cnfiguraçã. Relacinar prcess cm s demais de gestã de serviçs de TI. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de gestã de ativs e cnfiguraçã para este fim, tend cm base as recmendações ds livrs da ITIL (Service Design e Service Transitin). Detalhar e relacinar prcess cm s demais de gestã de serviçs de TI. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Integrar s prcesss de gestã de mudanças Mdelar um prcess únic de gestã de mudanças. Desenhar e descrever a cadeia de valr, macrprcesss, prcess e atividades d gerenciament de mudança de maneira integrada na ST.A. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Transiçã de Serviçs) e s bjetivs de cntrle d COBIT BAI02. Descrever prcediments de gestã de mudanças. Detalhar s prcediments de execuçã das atividades de gestã de mudanças integrand cm prcess de ativs e cnfiguraçã ds serviçs de TI. Definir templates de gestã de mudanças. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades d prcess, tend cm base as recmendações ds livrs da ITIL V3 (Service Design e Service Transitin). Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Estabelecer Cmitê de Planejament e Mudanças (CPM) Unificad Definir s requisits ds membrs e participantes d Cmitê de Planejament e Mudanças (CPM) Unificad. Detalhar perfil das pessas que serã membrs d Cmitê de Planejament e Mudanças (CPM) Unificad e de seus participantes na rganizaçã. Implementar Estrutura Organizacinal d Cmitê de Planejament e Mudanças ds Serviçs de TI. Organizar uma área na estrutura da ST.A, que fique respnsável pel Gerenciament de Mudanças ds Serviçs de TI.

23 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer Cmitê de Planejament e Mudanças (CPM) Unificad Prmver atividades preliminares necessárias à realizaçã das reuniões de trabalh d Cmitê. Estruturar as infrmações necessárias à realizaçã das reuniões de trabalh d Cmitê. Prcediments que viabilizem e assegurem êxit das reuniões ds Cmitês de Planejament e Mudança na ST.A. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Implantar uma ferramenta de api única e integrada Detalhar s requisits ds prcesss de TI elegíveis. Definir Escp. Buscar Sluções. Validar as alternativas de sluçã. Avaliar s levantaments essenciais e necessáris, ds requisits e prcesss de TI na empresa que frem factíveis de serem aplicadas na mesma, além da pesquisa de nvas ferramentas aderentes à ITIL. Estabelecer s requisits necessáris para aplicar ns prcesss de TI, indicand uma u várias sluções. Pesquisar e levantar, junt as frnecedres, s prcesss mais ideais para aplicaçã nas sluções existentes, além da pesquisa de nvas ferramentas. Prpsiçã e validaçã das alternativas de sluçã ds prcesss de TI na empresa junt cm a TI. Definir s detalhes técnics para cntrataçã da sluçã. Adquirir sluçã. Elabrar um term de referência para aquisiçã da sluçã. Implantar uma ferramenta de api única e integrada Adquirir a sluçã. Definir escp e s perfis de treinament. Capacitar equipe. Gerenciar a recmendaçã. Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid. Planejar gerenciament da recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã.

24 22 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Pririzar e respnder as prpstas de mudança ds clientes. Atendiment de aspects de gvernança, de requisits legais, de cntratuais e regulamentares. Reduçã das mudanças que falham e interrupçã ds serviçs, defeits e retrabalh. Melhr imagem da TI para a rganizaçã. Melhra a percepçã d cliente sbre s serviçs de TI. Aument da prdutividade e agilidade d cicl de entrega ds serviçs de TI. Melhria da qualidade de serviçs de TI. Aument da satisfaçã e cnfiança ds clientes e usuáris cm a rganizaçã de TI. Materializar as mudanças n cumpriment ds bjetivs de negóci. Acmpanhament das alterações através d cicl de vida de serviç. Melhria d entendiment ds serviçs entregues para a empresa. Melhria na cmunicaçã entre TI e áreas de negóci. Mair valr agregad para s serviçs de TI. Melhria na estimativa da qualidade, temp e cust de mudança. Declaraçã ds riscs assciads cm a transiçã ds serviçs. Aument da dispnibilidade ds serviçs de TI. Reduçã de cust de sluções paliativas.

25 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Alcaçã de recurss humans Restrições quant à mbilizaçã ds recurss humans necessáris a avanç da iniciativa, mtivadas pr limitaçã n cntingente de pessal, sbrepsta à cncrrência e sbrecarga de atividades nas Áreas envlvidas. ST.A n mment da definiçã. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Alcaçã de recurss humans. Transferência Cntrataçã de recurss especializads n tema, para tratar cm prcess e cnduzir cmitê quant às slicitações de mudanças direcinadas as serviçs de TI.

26 24 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE002 - Aprimrament das práticas vinculadas a Central de Atendiment 1. Objetiv da Iniciativa Recmendar aprimrament das práticas vinculadas à Central de Atendiment ds Serviçs de TI para ST.A. 1.1 Objetivs Estratégics apiads Seguem abaix, as perspectivas segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I2 Frnecer serviçs segund acrds de nível de serviç estabelecids cm s clientes. Assegurar a dispnibilidade ds recurss e sluções de TI pela adçã de recmendações, medidas e prcediments que garantam a resiliência da infraestrutura de TI e a recuperaçã ds serviçs dentr ds parâmetrs e patamares definids ns requisits de dispnibilidade d negóci, pactuads junt a ST.A. Primári Prcesss Interns P2 Aprimrar s padrões de gvernança da TI. Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundári Prcesss Interns P4 - Aprimrar a cmunicaçã. Qualificar, intensificar e administrar flux de infrmaçã interna e externa à ST.A sbre s assunts de interesse relacinads à TI, atribuind caráter estratégic a prcess de cmunicaçã. Através da estruturaçã e execuçã de plans de cmunicaçã, prmver u ampliar: a visibilidade e transparência sbre as deliberações, ações e resultads de TI; nível de alinhament, mbilizaçã e cnvergência em trn ds assunts e bjetivs pertinentes à TI e, pr fim, a integraçã interna e externa à ST.A, favrecend parcerias e melhrand relacinament rganizacinal sb seus variads aspects. Secundári

27 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P7 - Estabelecer estrutura de relacinament cm negóci. Realizar ações que desenvlvam um padrã adequad de gerenciament das demandas, de relacinament e de cmunicaçã da ST.A cm as demais áreas de negóci de Furnas, visand assim, um melhr alinhament das iniciativas da ST.A cm as necessidades d negóci, além d desenvlviment e frtaleciment de parcerias. Secundári 1.2 Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza as bas práticas ds livrs da ITIL versã 3,lançada em junh de 2007 e revisada na ediçã em 2011, que sã rientações e melhres práticas de mercad para uma gestã de serviçs de TI adequada para a rganizaçã. 1.3 Iniciativas estratégicas relacinadas IE001 - Aprimrament ds prcesss de cnfiguraçã e gestã de mudanças IE004 - Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A IE005 - Definiçã e Implantaçã de Práticas e Mecanisms de Gvernança de TI IE008 - Implantaçã de práticas e prcesss para gestã de serviçs de TI IE010 - Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI IE013 - Estabeleciment de mecanisms de respsta as incidentes de segurança da infrmaçã 1.4 Prcesss COBIT 5 vinculads à iniciativa APO08 Gerenciar relacinaments APO09 - Gerenciar acrds de serviç APO11 Gerenciar qualidade DSS02 Gerenciar as requisições e incidentes de serviç DSS03 Gerenciar prblemas MEA01 Mnitrar e avaliar desempenh

28 26 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual O serviç de helpdesk funcina de segunda à sexta, das 07h às 19h. A equipe de peraçã assume a funçã de registrar s chamads ds usuáris n períd das 19h até 7h, ns finais de semana e feriads. A equipe de helpdesk é frmada pr 15 prfissinais e a de prestaçã de suprte lcal a usuári é frmada pr 9. A empresa de prestaçã de suprte lcal a usuári, nã é a mesma que realiza serviç de helpdesk. Dentr de alguns meses, será cntratada uma nva empresa para prestar este serviç lcal a usuári. A atual ferramenta de gestã de chamads de TI, uma sluçã da HP, nã pssui flexibilidade para pririzaçã de chamads e nã suprta acess, via web, para s usuáris. Há uma cultura de seguir s prcesss definids pel ITIL, especialmente prcess de incidentes. Este, nã cbre s nvs serviçs de TI e sistemas. Existe uma equipe de gestã de incidentes, frmada pr três integrantes, para pesquisa de incidentes e necessidades de nvs prcediments de TI. Esta equipe apia na elabraçã de resluçã de chamads n 1º nível. Os usuáris pssuem recurs de abertura de chamad via TInet. O prtal da intranet manda um para helpdesk, que faz registr d pedid na ferramenta de gestã de chamads. Os prcediments de TI sfrem alterações quand a infraestrutura lcal tem uma mudança na cnfiguraçã d ambiente. Nã há a precupaçã d cumpriment d acrd de nível de serviç estabelecid (SLA) nem um treinament para prcess de incidentes de TI. A atual estrutura rganizacinal da TI ajudu n escalnament ds chamads de TI n prcess de incidentes. Há métricas e bjetivs smente para helpdesk, pis é terceirizad e estes indicadres sã ligads a cntrat. Para s grups slucinadres interns, nã há métricas definidas. A TI está avaliand utras sluções de mercad para substituir a atual ferramenta de gestã de chamads de TI. Estã send cnsideradas as seguintes sluções: Service Desk (CA), Slutin Manager (SAP) e Remedy (BMC). Há uma rtatividade grande na equipe d helpdesk, devid as baixs saláris pags. Cm prjet PRO-Furnas, pde ser cnsiderada a migraçã ds serviçs de helpdesk para Centr de Serviçs Cmpartilhads (CSC), cm bjetiv de timizar custs Riscs assciads Seguem abaix, s riscs assciads decrrentes de peraçã nas cndições descritas na situaçã atual: Os usuáris e a TI nã cmpreendem as suas respnsabilidades; Falta de priridade u priridade imprópria para s diferentes serviçs de TI;

29 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Serviç peracinal ineficiente e cm cust elevad; Ausência de um pnt únic de cntat para atendiment ds serviçs de TI; Vulnerabilidade para s usuáris devid à falta de prcess de atendiment; 2.2. Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de peraçã nas cndições descritas na situaçã atual: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item 1 Descriçã Ausência de um retrn regular quant à satisfaçã ds usuáris cm atendiment feit pel helpdesk. 2 Ausência de prcediments para escalnament de demanda baseads em acrds de nível de serviç. 3 Ausência de atualizaçã ds chamads cm infrmações relevantes, tais cm: classificaçã, diagnóstic, causas e sluções pels grups slucinadres. 4 Nã existe FAQ (Frequently Asked Questins) dispnível para slicitante. 5 Nã é dada a cnfirmaçã d slicitante para encerrament ds chamads. 6 Nã é mantida uma base de cnheciment cm as sluções e causas prváveis para prblemas semelhantes que pssam crrer n futur. 7 O Helpdesk nã está integrad, seja pr prcediments u sistemas, as demais prcesss de TI. 8 Nã há divulgaçã para s usuáris sbre a existência d helpdesk, suas atribuições e s SLAs em vigr.

30 28 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a melhria da prteçã da infrmaçã sigilsa na empresa, cumprind s seguintes passs: Elabrar inventári da platafrma de TI; Revisar s serviçs de TI; Estabelecer critéris para identificaçã de incidentes crítics e de segurança da infrmaçã; Estabelecer prcediments para incrpraçã de nvas demandas; Estabelecer s acrds de níveis de serviç (SLAs); Implantar prcess de gerenciament de prblema; Integrar s prcesss executads pela Central de atendiment cm s prcesss de gestã de mudança e de cnfiguraçã; Prmver campanha de cnscientizaçã e divulgaçã; Estabelecer um treinament e capacitaçã; Avaliar desempenh da central de atendiment de TI e da satisfaçã d usuári Elabrar inventári da platafrma de TI Identificar a infraestrutura suprtada na empresa, as tecnlgias existentes, s grups slucinadres dispníveis, s serviçs que devem ser atendids e s custs de peraçã d suprte e atendiment. É necessári que seja feit um inventári detalhad da platafrma de TI. Os dads btids deverã alimentar sistema de gerenciament de serviçs de TI. A partir daí, a Central de Atendiment, assumirá a sua manutençã e atualizaçã deste sistema. Para elabraçã deste inventári deverã ser cletadas, dentre utras, as seguintes infrmações: Quantidade de equipaments e usuáris distribuíds nas diversas lcalidades da ST.A; Platafrma de sftware (sistemas peracinais; cliente web; clientes de SGBD s; serviçs de mensageria e clabraçã; ferramentas de autmaçã de escritóri; ferramentas de backup; sluçã de antivírus e utrs sftwares u serviçs); Platafrma de hardware (desktps, ntebks; servidres; switches; dispsitivs de armazenament e backup; estrutura de rede para cmunicaçã de dads, etc.); Sistemas de infrmaçã. Vale bservar que a iniciativa IE001 Aprimrament ds prcesss de cnfiguraçã e gestã de mudanças tem cm um ds seus bjetivs, estabelecer estas metas apiand-se nesta recmendaçã.

31 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Revisar s serviçs de TI Analisar e revisar s atuais serviçs de TI, ferecids e prestads para a rganizaçã. Vale bservar que a iniciativa IE008 Implantaçã das práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs prduzir nv Catálg de Serviçs da ST.A, etapa que estará send antecipada para viabilizar esta iniciativa Estabelecer critéris para identificaçã de incidentes crítics e de segurança da infrmaçã A ST.A deve estabelecer s critéris e características ds incidentes crítics e de incidentes de segurança da infrmaçã. Os incidentes identificads cm send de segurança da infrmaçã, cas nã sejam slucinads n 1º nível de atendiment, devem ser direcinads para Centr de Operaçã de Segurança da Infrmaçã (SOC). A equipe d SOC será respnsável pel acmpanhament de incidentes de segurança da infrmaçã até a sua resluçã final, devend retrnar incidente slucinad para que 1º nível pssa apurar a satisfaçã d usuári e encerrar incidente. Os incidentes crítics devem ser tratads de frma diferenciada pela equipe de suprte de 2º nível. Os critéris para definiçã de um incidente de segurança cnstam na iniciativa IE013 Estabeleciment de mecanisms de respsta as incidentes de segurança da Infrmaçã. A definiçã d que cnstitui um incidente crític deve ser estabelecida pela ST.A, de frma a assegurar que esses critéris sejam tratads pr um prcess específic Estabelecer prcediments para incrpraçã de nvas demandas É necessári que uma atençã especial seja dada as cass de cntrataçã de nvs serviçs. Para cada nv serviç a ser incrprad à Central de Atendiment, a ST.A deve estabelecer um prcediment peracinal definind a frma de atuaçã da Central e seu relacinament cm s usuáris, além de realizar uma revisã de escp, cas necessári. A mesma precupaçã deve ser dada para utrs cass de aument de escp cm pr exempl: aument d númer de usuáris e/u de estações de trabalh; mudança de platafrma tecnlógica, entre utrs. N cas de serviçs que nã fazem parte d catálg de serviçs de TI, a Central de Atendiment deverá ser utilizada cm pnt únic de cntat, ainda que precise repassar a resluçã d atendiment para a área cm fc em relacinament cm cliente na empresa. N cas de serviçs de TI que hje sã executads pr utras áreas, será necessári estabelecer um prcess de migraçã ds respectivs prcediments para a central de atendiment de TI. Vale bservar que a iniciativa IE005 Definiçã e Implantaçã de Práticas e Mecanisms de Gvernança de TI tem cm um ds seus bjetivs estabelecer estes acrds.

32 30 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Estabelecer acrd de nível de serviçs (SLA) A ST.A deve estabelecer tds s principais temps de atendiment para s serviçs suprtads, bem cm atualizar e dispnibilizar catálg de serviçs de TI para s grups slucinadres, frnecedres e a Central de Atendiment. Peridicamente, s temps de atendiment e s acrds de nível de serviçs devem ser revisads após estipulad um períd mínim da peraçã da Central de Atendiment. Vale bservar que a iniciativa IE008 - Implantaçã das práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs estabelecer estes acrds Implantar prcess de gerenciament de prblemas O prcess de gerenciament de prblema trata cntrle de prblemas e de errs de frma reativa e prativa na estrutura de TI, abrangend tds s serviçs prvisinads pela ST.A. Ele também trata ptenciais prblemas identificads pel prcess de gerenciament de incidentes, aqueles relacinads a um serviç de TI, decrrentes de análises de tendência, bem cm de ptenciais prblemas detectads pels grups slucinadres. O prcess de gerenciament de prblema deve também frnecer prcediments de resluçã definitiva e/u de cntrn para s registrs de incidentes, s quais permeiam ns grups slucinadres e na Central da Atendiment. A ST.A deve implantar um prcess de gerenciament de prblema padrnizad para que tds s grups slucinadres, frnecedres e a central de atendiment sigam adequadamente flux, garantind a identificaçã da causa raiz de muits incidentes, dand uma mair garantia as serviçs de TI. Recmenda-se que prcess de gerenciament de prblema tenha uma interface cm utrs prcesss de serviçs de TI Integrar s prcesss executads pela central de atendiment cm s prcesss de gestã de mudança e de cnfiguraçã Integrar s prcesss executads da Central de atendiment ds serviçs de TI cm s prcesss de gestã de mudança e de cnfiguraçã para que a ST.A crdene as mudanças requisitadas ns itens de cnfiguraçã ds serviçs de TI (servidres, sistemas u dcuments) de maneira rdenada, sem que as manutenções causem impacts negativs, indispnibilidades, afetem a satisfaçã ds clientes, cm também, permitir que tdas as áreas envlvidas estejam cientes das atividades planejadas. Esta integraçã será imprtante para manter a rastreabilidade de chamads e requisições destinadas as itens de cnfiguraçã, permitind a elabraçã de indicadres específics pr cmpnentes da TI. Vale bservar que a iniciativa IE001 Aprimrament ds prcesss de cnfiguraçã e gestã de mudanças tem cm um ds seus bjetivs estabelecer estas ações.

33 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prmver uma campanha de cnscientizaçã e divulgaçã A ST.A deve realizar uma campanha de cnscientizaçã interna na empresa para rientar tds s prfissinais a encaminharem demandas smente através da Central de Atendiment de serviçs de TI. A mesm temp, a ST.A deve rientar seus funcináris a acatarem smente demandas que tenham sid encaminhadas pela Central de Atendiment. Esta campanha deve ter aprvaçã direta de tds s gerentes, gestres e diretres da rganizaçã, dad grande impact cultural da medida, principalmente nas unidades de negóci e usinas distantes da sede. Vale bservar que a iniciativa IE004 - Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A tem cm um ds seus bjetivs estabelecer estas ações Estabelecer um treinament e capacitaçã A ST.A deve realizar um treinament inicial, cm bjetiv de capacitar a atual Central de Atendiment ns prcediments peracinais, referentes as serviçs de TI dispníveis atualmente, visand atualizar s prfissinais cm infrmações de nvs sistemas, serviçs e prcesss crítics d negóci. Vale bservar que a iniciativa IE010 Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI tem cm um ds seus bjetivs estabelecer estas ações Avaliar desempenh da central de atendiment de TI e da satisfaçã d usuári Para acmpanhament d desempenh da Central de Atendiment, a ST.A deve estabelecer reuniões periódicas, cm a presença ds gestres e líderes da central de serviçs, equipe de segund nível e grups slucinadres, mtivand melhrias internas para a empresa. Outr indicadr imprtante para determinar se a área de TI está prvend de frma efetiva s serviçs demandads pels usuáris é índice de satisfaçã d usuári. Este índice deve ser btid através da aplicaçã de pesquisas que permitam cletar, a encerrar cada atendiment, as seguintes infrmações: Cnheciment e habilidade d analista; Qualidade e Praz da resluçã; Avaliaçã geral d atendiment; Cmentáris adicinais.

34 32 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Elabrar inventári da platafrma de TI Definir s requisits ds ativs e itens de cnfiguraçã ds serviçs de TI. Detalhar s requisits essenciais ds ativs e itens de cnfiguraçã ds serviçs de TI. Identificar as sluções e platafrmas de TI. Levantar, identificar e detalhar as sluções e platafrmas tecnlógicas, tant de hardware quant de sftware, existentes na empresa. Realizar carga inicial das infrmações n sistema de gerenciament de serviçs de TI. Realizar carga inicial das infrmações n sistema de gerenciament de serviçs de TI. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Revisar s serviçs de TI Identificar s serviçs de TI. Levantar e identificar tds s serviçs de TI existentes em peraçã suprtads pela Central de Atendiment. Validar s serviçs de TI. Revisar s serviçs de TI identificads que serã suprtads pela ST.A e atendids pela Central de Atendiment. Estabelecer serviç de TI nv u retirad. Estabelecer s critéris de atendiment para s serviçs de TI nvs u retirads da peraçã. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Estabelecer critéris para identificaçã de incidentes crítics. Estabelecer critéris para identificaçã de segurança da infrmaçã. Avaliar e detalhar tds s critéris de identificaçã e atuaçã de incidentes crítics na Central de Atendiment. Estes critéris devem ser estabelecids, cnfrme descrit na Iniciativa Estratégica IE013. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã.

35 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer prcediments para incrpraçã de nvas demandas Estabelecer prcediments para incrpraçã de nvas demandas. A ST.A deve estabelecer prcediments, incluind revisã de escp ds serviçs, para que a central de atendiment pssa absrver nvas demandas. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Estabelecer s Acrds de Níveis de Serviç SLAs Estabelecer s SLAs. A definiçã ds principais temps de atendiment para s serviçs suprtads serã estabelecids na Iniciativa Estratégica IE008. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Implantar um prcess de gerenciament de prblema Mdelar s prcesss de gestã de prblema. Desenhar e descrever prcesss e atividades d gerenciament de prblema. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Operaçã de Serviçs) e s bjetivs de cntrle d COBIT 5. Descrever prcediments de gestã de prblemas. Detalhar s prcediments de execuçã das atividades de gestã de prblema integrand cm prcess de mudança ds serviçs de TI. Definir templates de gestã de prblema. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de gestã de prblema para este fim, tend cm base as recmendações ds livrs da ITIL (Service Design, Service Transitin e Service Operatin). Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã.

36 34 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Integrar s prcesss executads da Central de atendiment cm s prcesss de gestã de mudança e de cnfiguraçã Mdelar s prcesss. Desenhar e descrever a integraçãds prcessse atividades da Central de Atendiment integrada cm s prcesss de mudança e de cnfiguraçã. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Transiçã de Serviçs e Operaçã de Serviçs) e s bjetivs de cntrle d COBIT 5. Descrever prcediments. Detalhar s prcediments de execuçã das atividades relacinadas as prcesss integrads. Definir templates. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades ds prcesss integrads, tend cm base as recmendações ds livrs da ITIL V3, ediçã 2011 (Service Design, Service Transitin e Service Operatin). Capacitar equipe. Capacitar a equipe na execuçã ds prcediments e ferramentas estabelecidas cm s prcesss integrads. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Prmver campanha de cnscientizaçã e divulgaçã Prmver campanha de cnscientizaçã e divulgaçã. Prmver campanha para divulgaçã e cnscientizaçã da atuaçã da Central de Atendiment cm pnt únic de cntat para atendiment as serviçs de TI. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã.

37 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer um treinament e capacitaçã Realizar treinament ns prcediments peracinais da Central de atendiment. Capacitar s prfissinais ns prcediments peracinais, nas tecnlgias e platafrmas já existentes. Desenvlver Instruções Nrmativas. A ST.A deve desenvlver Instruções Nrmativas para dar sustentaçã à atuaçã da Central de Atendiment. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã. Avaliar desempenh da Central de atendiment de TI e da satisfaçã d usuári Elabrar questinári de avaliaçã da satisfaçã d usuári. Elabrar questinári de avaliaçã da satisfaçã d usuári a ser aplicad imediatamente após fechament d chamad. Definir peridicidade das avaliações de satisfaçã d usuári. Avaliar desempenh da Central de atendiment de TI. Definir a frequência das avaliações de satisfaçã d usuári, realizadas cm base ns questináris. Avaliar desempenh da Central de Atendiment de TI. Agendar reuniões periódicas de acmpanhament da Central de Atendiment. A ST.A deve definir e agendar reuniões periódicas de acmpanhament d desempenh da Central de Atendiment de TI. Planejar gerenciament da recmendaçã. Gerenciar a recmendaçã. Mnitrar a execuçã da recmendaçã. Encerrar a gestã da recmendaçã.

38 36 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Geraçã de uma base de cnheciment e errs cnhecids. Us timizad ds recurss de TI. Reduçã de interrupçã ds serviçs vitais de TI. Reduçã d cust peracinal. Agilidade n atendiment n 1º, 2º e 3º nível. Integraçã entre s grups slucinadres e gerencias. Melhria da qualidade de serviçs de TI. Aument da satisfaçã e cnfiança ds clientes e usuáris cm a rganizaçã de TI. Aument da dispnibilidade ds serviçs de TI. Aument da prdutividade ds usuáris.

39 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Perda de prfissinais-chave d atual suprte de 1º e 2º nível Cm a implantaçã de uma Central de Atendiment de TI cm práticas vinculadas, pde-se perder alguns prfissinais de interesse da atual estrutura que tenham experiência e cnheciment d ambiente da empresa. Alguns prfissinais d atual helpdesk. Matriz de Expsiçã (E) a Risc Prbabilidade Expsiçã = Prbabilidade x Impact Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Prmver iniciativas de retençã de cnheciment; Selecinar s prfissinais-chave d 1º e 2º nível; Perda de prfissinais-chave d atual suprte de 1º e 2º nível. Transferência Registrar tdas as atividades-chave realizadas pr estes prfissinais; Elabrar s requisits técnics para que as empresas pssam cntratar estes prfissinais; Cmunicar as empresas prestadras de serviçs de TI d interesse destes prfissinais.

40 38 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE003 - Aprimrament d prcess de levantament e gerenciament de requisits 1. Objetiv da Iniciativa Recmendar aprimrament das práticas e prcediments vinculadas a prcess de levantament e gerenciament de requisits na ST.A levand-se em cnta a nva estrutura da área de TI que enfatiza: a participaçã d analista de negóci junt a cliente traduzind suas demandas em requisits de negóci e funcinais; e a atuaçã integrada das áreas de análise de sluções, arquitetura e desenvlviment de sistemas. 1.1 Objetivs Estratégics apiads Seguem abaix, as perspectivas, segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I1 Atender à demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes. Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Primári Prcesss Interns P2 Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundári Prcesss Interns P3 - Elevar nível de maturidade ds prcesss de TI priritáris para Negóci Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Primári

41 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P7 - Estabelecer estrutura de relacinament cm negóci Realizar ações que desenvlvam um padrã adequad de gerenciament das demandas, de relacinament e de cmunicaçã da ST.A cm as demais áreas de negóci de FURNAS, visand assim, um melhr alinhament das iniciativas da ST.A cm as necessidades d negóci, além d desenvlviment e frtaleciment de parcerias. Secundári Aprendizad A1 - Internalizar cnheciment sbre negóci de Furnas Ampliar e aprfundar dmíni da ST.A quant as principais aspects e prcesss de negóci de FURNAS, pela sistematizaçã d us de mecanisms de transferência de cnheciment, visand ptencializar a integraçã e a capacidade de cntribuiçã da Tecnlgia de frma prativa. Secundári 1.2 Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n COBIT 5 - Cntrl Objectives fr Infrmatin and Related Technlgy mdel de mercad que rienta um cnjunt de bas práticas vltadas à adequada gestã de recurss e serviçs de TI; n Prcess Unificad da Ratinal (RUP); e ns prcesss e práticas da Engenharia de Requisits. 1.3 Iniciativas estratégicas relacinadas Nã se aplica. 1.4 Prcesss COBIT 5 vinculads à iniciativa BAI02 Gerenciar Definições de Requisits

42 40 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Atualmente, na ST.A, desenvlviment de sistemas de infrmaçã segue as práticas da disciplina de Requisits d Prcess Unificad da Ratinal (RUP), que tem cm bjetiv: Estabelecer e manter um acrd cm s clientes e utrs stakehlders sbre que sistema deve fazer; Frnecer as analistas desenvlvedres um melhr entendiment ds requisits d sistema; Definir s limites d sistema: que faz parte d sistema (escp d prdut) e que nã faz (nã escp); Frnecer uma base para planejament d cnteúd técnic das iterações d prcess de desenvlviment; Frnecer uma base para a estimativa de cust e de temp para desenvlviment d sistema; Definir uma interface cm usuári d sistema, cm fc nas necessidades e bjetivs ds usuáris. Desta frma, a área de sistemas de infrmaçã dcumenta s requisits de negóci, funcinais e de sistemas através ds seguintes artefats: dcument de visã, regras de negóci, glssári, especificaçã de requisits d sistema, mdel de cass de us, mdel de dmíni, cass de us e especificaçã suplementar. Esta dcumentaçã básica atende a praticamente tds s sistemas, cas seja necessári, particularidades sã inseridas. A aferiçã da qualidade ds artefats gerads é feita pela Fabrica de Testes. N cas d sistema crprativ (SAP), s requisits para execuçã de manutenções (crretivas e evlutivas) u cnfigurações de sistema sã dcumentads em especificações funcinais. Embra pssa ser cnsiderad cm definid e dcumentad, prcess de levantament e gerenciament de requisits ainda nã fi cmpletamente institucinalizad na ST.A. Entre s aspects que pdem ser melhrads destacam-se: a falta de aprvaçã frmal ds artefats pel cliente e a falta de rastreabilidade ds requisits Riscs assciads Seguem s riscs assciads decrrentes de peraçã nas cndições descritas na situaçã atual: Falta de um entendiment cmum entre usuáris e desenvlvedres; Nã atendiment às expectativas ds usuáris; Reduçã da qualidade ds sistemas desenvlvids; Atrass nas entregas; Insatisfaçã ds clientes.

43 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de peraçã nas cndições descritas na situaçã atual: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Nã há ferramenta padrã para slicitações n ambiente SAP; 2 O ambiente de Sistemas de Infrmaçã utiliza a CI (Cmunicaçã Interna); 3 O MDM, cnjunt de ferramentas desenvlvidas em Ntes, apresenta um prcess para cada fase de desenvlviment SAP; 4 O prcess nã fi cmpletamente internalizad pela equipe, embra esteja definid e dcumentad; 5 O ambiente de Sistemas de infrmaçã utiliza s sistemas Clear Quest e Clear Case para armazenament da dcumentaçã. 6 O ambiente de Sistemas de Infrmaçã cnta cm papéis e respnsabilidades bem definids; 7 8 O ambiente SAP cnta cm equipe mista, Furnas e Accenture, dificultand a definiçã de papéis e respnsabilidades; A área de Sistemas de Infrmaçã utiliza métd iterativ de desenvlviment e a metrificaçã é feita em pnts de funçã; 9 O ambiente SAP cnta cm métricas para prgramaçã ABAP, prém, nã há métricas para requisits; 10 A pririzaçã de demandas nã está alinhada as necessidades d negóci. 11 Requisits já acrdads cm cliente sfrem mudanças a lng d cicl de desenvlviment. 12 Nã há rastreabilidade de requisits.

44 42 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams que aprimrament d prcess de levantament e gerenciament de requisits bedeça as seguintes passs: Revisã d Mdel da Situaçã Futura (TO-BE) d Prcess BAI02 - Gerenciar Definições de Requisits ; Dcumentaçã da Metdlgia Treinament n prcess e ficinas utilizand a ferramenta de api; Realizaçã d Prjet Pilt Implantaçã e mnitrament d prcess 3.1. Revisã d Mdel da Situaçã Futura (TO-BE) d Prcess BAI02 - Gerenciar Definições de Requisits ; A revisã d mdel prpst deve cnsiderar s seguintes aspects: a) Participaçã de tdas as áreas envlvidas na execuçã d prcess, a saber: Divisã de Análise de Sluções; Divisã de Arquitetura e Invaçã; Divisã de Sistema Crprativ; Divisã de Sistemas de Negóci. b) É imprtante lembrar que prcess de gerenciament de requisits tem uma cnsiderável interseçã cm prcess de gestã de demandas. Prtant, a revisã de um prcess deve sempre ser analisada tend em vista impact causad n utr, garantind assim a integridade entre s dis prcesss; c) Os participantes desta revisã devem realizar uma análise crítica d flux de atividades d prcess BAI02 - Gerenciar Definições de Requisits, apresentad abaix, em cnjunt cm suas respectivas descrições, papéis e respnsabilidades, verificand, entre utrs aspects, se: As descrições ds subprcesss/atividades estã claras e sã suficientes para a sua execuçã? Há necessidade de detalhament de subprcesss em nvs fluxs de atividades, a invés das descrições textuais existentes? Pr exempl, quand fr necessári representar algum tip de lógica de prcess. Existem atividades em sequência, mas que pderiam ser executadas em paralel? Existem exceções que nã aparecem n flux, mas deveriam ser representadas? Tds s atres participantes d prcess estã representads explicitamente n flux? Existem papéis indefinids trazend dúvida sbre a respnsabilidade pela execuçã de atividades? O dn d prcess está claramente identificad?

45 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E d) Para cada atividade d prcess deve ser verificada a necessidade de criaçã/alteraçã de mdels (templates) e instruções de preenchiment para s seus artefats de entrada e saída; e) Finalizada a revisã de td prcess, a ferramenta de api (Ratinal Requirements Cmpser1) deve ser cnfigurada e integrada a prcess. Os mdels (templates) devem ser definids na ferramenta Dcumentaçã da Metdlgia Dcumentar tda a metdlgia aplicada a prcess de gerenciament de requisits, incluind: prcess, artefats, técnicas e ferramentas. 1 O Ratinal Requirements Cmpser já fi adquirid pela ST.A em substituiçã a Ratinal RequisitePr.

46 44 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Identificaçã de um prjet pilt, treinament n prcess e realizaçã de ficinas utilizand a ferramenta de api a prcess. O treinament n prcess de gerenciament de requisits prevê as seguintes atividades: a) Identificar um prjet a ser desenvlvid pela ST.A cm características que aprpriadas à aplicaçã d mdel de prcess prpst para gerenciament de requisits. O prjet esclhid será utilizad cm pilt para psterir implantaçã e institucinalizaçã na ST.A; b) Definir públic alv d treinament n prcess e das ficinas utilizand a ferramenta de api a prcess (esclher dentre s participantes e stakehlders d prjet pilt); c) Preparar material e realizar treinament n prcess; d) Preparar material e realizar ficinas de capacitaçã n prcess utilizand a ferramenta de api (Ratinal Requirements Cmpser); 3.4. Realizaçã d Prjet Pilt A realizaçã d Prjet Pilt prevê as seguintes atividades: a) Executar prjet pilt utilizand a nva metdlgia de gerenciament de requisits; b) Prver mentring para as equipes da ST.A, durante períd de execuçã d prjet pilt, de tal frma que pssibilite a cntinuidade d trabalh de institucinalizaçã após términ d pilt; c) Atualizar dcumentaçã referente à metdlgia em funçã de ajustes n prcess; d) Encerrar pilt registrand as lições aprendidas Implantaçã e Mnitrament d Prcess A implantaçã d prcess de gerenciament de requisits prevê as seguintes atividades: a) Realizar treinament para tds s clabradres da ST.A envlvids cm levantament e gerenciament de requisits; b) Estabelecer indicadres de desempenh para prcess, tais cm: Percentual de requisits alterads devid à falta de alinhament cm a necessidade d negóci e/u expectativa d cliente; Nível de satisfaçã d cliente cm s requisits implementads. c) Cmunicar a implantaçã da nva metdlgia de gerenciament de requisits para tda a ST.A; d) Mnitrar se s prjets estã seguind a nva metdlgia; e) Mnitrar a execuçã d prcess em relaçã as indicadres estabelecids.

47 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Revisã d Mdel da Situaçã Futura (TO-BE) d prcess BAI02 Revisã d Mdel da Situaçã Futura (TO-BE) d Prcess BAI02 - Gerenciar Definições de Requisits ; A revisã d mdel prpst inclui as seguintes atividades: Revisã d flux de atividades, descriçã das atividades, papéis e respnsabilidades; Revisã / elabraçã de templates e instruções de preenchiment para s artefats de entrada e saída das principais atividades. Cnfiguraçã e integraçã da ferramenta de api a prcess. Dcumentaçã da Metdlgia Dcumentaçã da Metdlgia Dcumentar tda a metdlgia aplicada a prcess de gerenciament de requisits, incluind: prcess, artefats, técnicas e ferramentas. Treinament n prcess e ficinas utilizand a ferramenta de api Treinament n prcess e ficinas utilizand a ferramenta de api A capacitaçã n prcess e na ferramenta de api inclui as seguintes atividades: Identificar prjet pilt; Definir públic alv d treinament e das ficinas dentre s participantes e stakehlders d pilt; Preparar material e realizar treinament n prcess; Preparar material e realizar ficinas. Realizaçã d Prjet Pilt Realizaçã d Prjet Pilt O prjet pilt inclui as seguintes atividades: Mentring para equipe d prjet; Ajustes na dcumentaçã da metdlgia e registr de lições aprendidas. Implantaçã e Mnitrament d Prcess Implantaçã e Mnitrament d Prcess A implantaçã e mnitrament d prcess incluem as seguintes atividades: Treinament e capacitaçã n prcess e na ferramenta de api para tds s envlvids cm gerenciament de requisits; Estabeleciment de indicadres; Cmunicaçã da implantaçã d nv prcess; Mnitrament d prcess cm base ns indicadres estabelecids.

48 46 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis esperads Tabela 4.2: Benefícis Benefícis Melhria da nas estimativas e cumpriment de prazs e custs Diminuiçã d retrabalh Melhria na dcumentaçã ds prjets Melhria da qualidade ds sistemas desenvlvids pela ST.A Aument da prdutividade Atendiment às expectativas ds usuáris Aument da satisfaçã ds usuáris

49 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Falta de um prjet pilt aprpriad Falta de um prjet pilt aprpriad, n mment adequad, para testar a aplicaçã das melhrias prpstas para prcess de levantament e gerenciament de requisits. ST.A na etapa de definiçã d prjet pilt. Matriz de Expsiçã (E) a Risc Prbabilidade Expsiçã = Prbabilidade x Impact Alta Média Baixa Alt Alta (E) Alta (E) X Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Falta de um prjet pilt aprpriad Mitigar Atuaçã da ST.A junt as Clientes e/u Cmitê de Infrmática cm bjetiv de bter um prjet aprpriad n mment adequad (pririzaçã d prjet pilt).

50 48 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE004 - Implantaçã de prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A 1. Objetiv da Iniciativa Recmendar a implantaçã de um prcess, plan de cmunicaçã e prgrama de integraçã, que pssibilitem um melhr relacinament e cmunicaçã dentr da ST.A e, também, cm as demais áreas de negóci de Furnas, frtalecend a parceria e favrecend alinhament estratégic Objetivs Estratégics apiads Seguem abaix, s bjetivs estratégics de TI apiads pr esta iniciativa estratégica. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P2 Aprimrar s padrões de gvernança da TI. Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. - Aprimrar s padrões de gvernança da TI. Secundári Prcesss Interns P4 - Aprimrar a cmunicaçã. Qualificar, intensificar e administrar flux de infrmaçã intern e extern à ST.A sbre s assunts de interesse relacinads à Tecnlgia da infrmaçã, atribuind caráter estratégic a prcess de cmunicaçã. Através da estruturaçã e execuçã de plans de cmunicaçã, prmver u ampliar: a visibilidade e transparência sbre as deliberações, ações e resultads de TI; nível de alinhament, mbilizaçã e cnvergência em trn ds assunts e bjetivs pertinentes à TI e, pr fim, a integraçã interna e externa à ST.A, favrecend parcerias, melhrand relacinament rganizacinal sb seus variads aspects. Primári

51 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Aprendizad A3 - Frtalecer a sinergia entre as áreas da ST.A. Desenvlver mecanisms e prmver ações que viabilizem um mair nível de integraçã intern entre as áreas da ST.A, de frma a se bter a devida cnvergência e racinalizaçã de esfrçs em trn das questões de interesse de Furnas, dinamizand prcess de btençã de resultads e a efetividade das sluções prpstas. Primári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base ns diagnóstics de maturidade realizad para s prcesss EDM05 Assegurar transparência as partes interessadas, além d resultad da pririzaçã resultante d Mapa Estratégic de TI elabrad para a ST.A Iniciativas estratégicas relacinadas Nã se aplica Prcesss COBIT 5 vinculads à Iniciativa APO01 - Gerenciar framewrk de gestã de TI APO02 - Gerenciar a Estratégia APO04 - Gerenciar a Invaçã APO05 - Gerenciar Prtfóli APO07 - Gerenciar Recurss Humans APO08 - Gerenciar Relacinaments APO09 - Gerenciar Acrds de Serviç APO11 - Gerenciar Qualidade BAI01 - Gerenciar Prgramas e Prjets BAI05 - Gerenciar Habilitaçã da Mudança Organizacinal BAI06 - Gerenciar Mudanças BAI02 - Gerenciar Definições de Requisits BAI08 - Gerenciar Cnheciment DSS02 - Gerenciar Requisições de Serviç e Incidentes DSS03 - Gerenciar Prblemas EDM05 Assegurar Transparência às Partes Interessadas.

52 50 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual De acrd cm diagnóstic realizad na ST.A, fi pssível identificar que a rganizaçã cmeça a recnhecer a necessidade de assegurar a transparência às partes envlvidas, mas tal necessidade é cmunicada de frma incnsistente. A alcaçã das respnsabilidades e execuçã das atividades é feita de frma ttalmente ad hc, sem um plan de cmunicaçã, crrend pr diversas vezes cmunicações reativas e sem planejament, casinand uma mair prbabilidade de falhas na cmunicaçã. Falta uma mair atençã relacinada na frmaçã de um prcess de cmunicaçã sólid, definind as respnsabilidades de cada área nde s itens abaix sejam cntemplads: Apiar atingiment ds bjetivs de TI; Assegurar a cnsciência e entendiment ds negócis, ds riscs de TI, ds bjetivs e das diretrizes estratégicas; Divulgar as plíticas da ST.A a tds s envlvids; Favrecer a cnfrmidade divulgand e cnscientizand sbre as leis e regulaments relevantes para tal bjetiv; Frtalecer a parceria cm as áreas de negóci; Estabelecer e manter a integraçã entre as áreas internas da ST.A Riscs assciads Seguem abaix, s riscs assciads decrrentes das cndições descritas na situaçã atual: Uma baixa qualidade da cmunicaçã pde causar desinteresse na busca de infrmações cmprmetend a implantaçã d prcess. Nã manter um flux cnstante de divulgaçã de cnteúds pde reduzir interesse ds públics-alv nas cmunicações efetuadas. Falta de mnitrament da integraçã entre as áreas, casinand a falta da percepçã da necessidade de acinar pans de cntingenciament.

53 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Nã existe um dn u respnsável frmal pel prcess de cmunicaçã dentr da ST.A. 2 As ações relacinadas à cmunicaçã de TI sã executadas de maneira infrmal cnfrme a necessidade. 3 Falta de dcumentaçã d prcess de cmunicaçã. 4 Nã existe plan para us e padrnizaçã de ferramentas para a autmaçã d prcess. 5 Nã existe um mapeament de tdas as cmpetências requeridas para prcess. 6 Nã existe um plan de cmunicaçã. 7 Nã existe na ST.A um prcess sistemátic de cmunicaçã. 8 Nã sã frmalmente definids s públics-alv da cmunicaçã da ST.A. 9 Nã sã frmalmente definids s bjetivs das cmunicações da ST.A. 10 Falta de métd para realizar a integraçã das equipes das diversas áreas da ST.A.

54 52 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendações Visand a efetiva implantaçã de prcess de cmunicaçã, abaix apresentams resumidamente bjetiv de cada recmendaçã: Implantaçã ds Prcesss de Cmunicaçã de TI Este prcess cncentra atividades para a realizaçã da cmunicaçã de frma rdenada dentr da ST.A. Os seguintes passs devem ser seguids: Estabelecer a estrutura rganizacinal respnsável pela cmunicaçã da ST.A. (Cmpetências, Cnheciment e Cmunicaçã); Mbilizar e treinar pessas em gestã de cmunicaçã; Mdelar, implantar e mnitrar s prcesss de Gestã da Cmunicaçã; Prmver a divulgaçã de cass de sucess da ST.A; Dispnibilizar infraestrutura para a gestã da cmunicaçã; Implantar ferramentas de api à gestã da cmunicaçã; Frmalizar uma plítica de gestã de cmunicaçã; Desenvlver e manter plíticas da ST.A. Implantaçã de Plan de Cmunicaçã Este plan tem pr bjetiv estabelecer diretrizes e respnsabilidades sbre s events de cmunicaçã. Nele devem cnstar s seguintes itens: Definiçã ds bjetivs de cmunicaçã; Identificaçã d públic-alv intern e extern; Definiçã ds cnteúds para cmunicaçã; Definiçã ds meis de cmunicaçã a serem utilizads; Definiçã ds events de cmunicaçã; Definiçã ds papéis e respnsabilidades ns events de cmunicaçã; Estabeleciment ds indicadres relacinads a prcess de cmunicaçã. Implantaçã de Prgrama de Integraçã Esta recmendaçã tem cm prpósit sugerir a utilizaçã de práticas, que prprcinem melhr integraçã entre as equipes das áreas da ST.A, visand mair prdutividade e favrecend um melhr ambiente de trabalh. Abaix citams algumas práticas sugeridas: Reuniã de bas vindas as nvs funcináris; Apresentaçã da missã, visã, valres e bjetivs estratégics da ST.A.; Apresentaçã da estrutura rganizacinal, suas plíticas e nrmas cm aprendizad vivencial em área específica; Pesquisa de clima rganizacinal; Utilizaçã de dinâmicas de grup; Estimular ações clabrativas dentr d ambiente de trabalh; Estimular ações de cperaçã de fund scial n âmbit da empresa;

55 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Estimular reuniã de gerentes e crdenadres cm intuit de trca de experiências e resluçã de prblemas recrrentes; Estimular a trca de experiências entre empresas; Prmçã de events de integraçã externs à empresa; Detectar prblemas crítics recrrente de alguma área da ST.A, estabelecend equipe independente para ser respnsável pr slucinar u trazer sugestões de melhria Implantaçã ds Prcesss de Cmunicaçã de TI Para implantaçã de um nv prcess de gestã de recurss humans de TI (RH de TI), é imprtante frisar a necessidade de atendiment de algumas premissas: Definiçã da equipe: Cnfrme descrit n dcument Estrutura Organizacinal Revisada, existe a recmendaçã da equipe de Cmpetências e Cnheciment, dentr d núcle de Gvernança de TI. Treinament da equipe: Algumas atividades d prcess exigem cnheciment de técnicas para que estas sejam executadas da maneira ideal. Ferramentas: Algumas atividades exigem um ferramental de api para mair prdutividade, aumentand a prbabilidade de mair efetividade n alcance d bjetiv d prcess. Acmpanhament ds Riscs: Acmpanhament próxim ds riscs relacinads à implantaçã d prcess, principalmente as relacinads às mudanças culturais, exigids em atividades d prcess, tais cm na gestã pr cmpetências e avaliaçã de desempenh. Além das premissas acima, alguns cuidads devem ser levads em cnta, para que a implantaçã de um prcess que tem cm fc principal centrad nas pessas seja mais assertiv e atinja suas metas junt à ST.A. Implantand Prcess de Cmunicaçã de TI Para implantar prcess de cmunicaçã na ST.A, estabelecems s passs abaix, delineand as atividades necessárias: Estabelecer estrutura respnsável pela cmunicaçã da ST.A.: De acrd cm dcument Estrutura Organizacinal Revisada da ST.A, fica estabelecid que a respnsabilidade d prcess de cmunicaçã é da equipe Cmpetências, Cnheciment e Cmunicaçã sediada n núcle de Gvernança de TI da ST.A. Neste mesm dcument estã descrits papel e atribuições necessárias para desempenhar prcess de gestã da cmunicaçã. Mbilizar e treinar pessas em gestã de cmunicaçã: Tdas as pessas que venham a participar de algum prcess de cmunicaçã devem ser treinadas ns nvs prcediments e ferramentas. Deve haver um esfrç inicial de treinament, vltad para preparar as pessas que acmpanharã a implantaçã d prcess, e a partir daí, um plan permanente de treinament sbre as técnicas de gestã da cmunicaçã. Mdelar s prcesss de gestã da cmunicaçã: Tds s prcesss devem ser mdelads visand mapear tdas as necessidades de infrmaçã, papéis e

56 54 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E respnsabilidades de cada prcess, além de identificar s artefats necessáris em cada prcess. Alguns prcesss de cmunicaçã sã sugerids abaix: Gerenciar desenvlviment e manutençã de plíticas da ST.A.: Este prcess tem a respnsabilidade de gerenciar desenvlviment, manutençã, gerenciament e divulgaçã das plíticas da ST.A. Na tabela abaix, seguem exempls de algumas das plíticas a serem mantidas. Tabela 3.1: Exempls de Plíticas Plítica Descriçã A plítica deve tratar, n mínim, ds seguintes elements: Gerenciament d desempenh ds frnecedres; Plítica de Cntrataçã e Gerenciament de Serviçs de Terceirs. Estabeleciment de plan de transiçã; Infrmaçã quant às cláusulas cntratuais brigatórias; Mecanisms de relacinament e escalaçã; Adçã de métricas bjetivas para mensuraçã; Elabraçã de Acrds de Nível de serviç. A plítica da qualidade é dcument mais estratégic de um Sistema de Gestã da Qualidade. Ela representa as intenções e bjetivs de uma rganizaçã n que diz respeit à qualidade e deve ser usada cm referência para estabeleciment de um SGQ basead na ISO 9001:2008. A Superintendência da ST.A deve assegurar que a plítica da qualidade: Plítica de Gestã da Qualidade. Seja aprpriada a prpósit da rganizaçã; Inclua um cmprmetiment cm atendiment as requisits e cm a melhria cntínua da eficácia d SGQ; Prveja uma estrutura para estabeleciment e análise crítica ds bjetivs da qualidade; Seja cmunicada e entendida pr tda a rganizaçã; Seja analisada cntinuamente para a cntinuidade de sua adequaçã. Esta plítica frmaliza entendiment de cm s prcesss de cmunicaçã deverã ser tratads dentr da ST.A. Esta plítica deverá mencinar: Plítica de Gestã da Cmunicaçã. O plan de cmunicaçã a ser seguid dentr da ST.A; Os prcesss de cmunicaçã e a respnsabilidade de execuçã ds mesms; Os meis de cmunicaçã hmlgads para utilizaçã dentr da ST.A. Divulgar cass de sucess da ST.A.: O bjetiv deste prcess é incentivar as departaments e funcináris da ST.A a cntribuírem cm ptenciais cass de sucess. As seguintes ações abaix devem ser cnsideradas:

57 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Estabelecer prgramas de premiaçã para apresentaçã de ptenciais cass de sucess. Prmver campanhas internas para fmentar a criaçã de cass de sucess. Articular patrcíni d Cmitê Diretiv de TI para campanhas e prgramas de premiaçã. Prmver apresentações de cass de sucess junt a COTISE. Fmentar a participaçã em events de referência n setr, particularmente, aqueles sujeits à premiaçã. Realizar divulgaçã interna: Prcess respnsável pr realizar a divulgaçã de infrmações para públic intern da ST.A. Realizar divulgaçã externa: Prcess respnsável pr realizar a divulgaçã de infrmações para públic extern da ST.A. Dispnibilizar infraestrutura para a gestã da cmunicaçã: Deve ser dispnibilizad espaç físic, mbiliári, rede de dads, cmunicaçã, equipaments e sftwares de editraçã para a área de cmunicaçã. Implantar ferramentas de api à gestã da cmunicaçã: Implantar ferramentas que apiem a execuçã ds prcediments de gestã da cmunicaçã, nde pdem ser cnsideradas as seguintes pssibilidades abaix: Prtal WEB de cmunicaçã; Blgs, fóruns e listas de discussã; Redes de relacinaments; ; Ferramentas baseadas em WIKI; Gerenciament Eletrônic de Dcuments (GED). Frmalizar uma plítica de gestã da cmunicaçã: Devem ser cumprids s prcediments de frmalizaçã da instituiçã ds prcesss de gestã de cmunicaçã perante a rganizaçã. Sugerims que a implantaçã ds prcesss de cmunicaçã seja fasead cnfrme abaix:

58 56 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.1: Fases 3.2. Implantaçã de Plan de Cmunicaçã O plan de cmunicaçã tem pr bjetiv servir cm um guia para que s esfrçs de cmunicaçã sejam realizads cm mínim de esfrç dentr da rganizaçã. É um dcument ativ e atualizad peridicamente à medida que públic se altera. Esse plan explica cm se transmitir a mensagem crreta, d transmissr a públicalv, através d canal e n temp crrets. O plan de cmunicaçã deve endereçar s seis elements básics das cmunicações: transmissr, mensagem, cmunicaçã, canal de cmunicaçã, etc. Para elabrar um plan de cmunicaçã, devems estar atents as seguintes pnts: Definir Objetivs de Cmunicaçã: Os bjetivs a serem atingids devem ser frmalmente identificads e definids. Os seguintes bjetivs abaix devem ser cnsiderads: Trnar influentes, infrmads e integrads tds s funcináris da ST.A.; Pssibilitar cnheciment das transfrmações crridas na ST.A.; Divulgar as infrmações dand visibilidade e transparência à gestã da ST.A.; Cntribuir para refrç da imagem institucinal da ST.A.; Dar titularidade às iniciativas das diversas equipes da ST.A.; Garantir a identidade e a padrnizaçã visual ds veículs de cmunicaçã da ST.A; Estabelecer uma imagem institucinal da ST.A.; Auxiliar na elabraçã de estratégias para ações de Endmarketing da ST.A.;

59 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prmver nivelament d cnheciment na empresa, n que diz respeit as assunts de respnsabilidade da ST.A.; Dar suprte às diversas cmpetências da ST.A.; Divulgar fats psitivs da ST.A.; Assegurar tratament das sugestões e críticas recebidas. Subsidiar as atividades de cmunicaçã de Prjets da ST.A.; Disseminar iniciativas da gestã de cnheciment da ST.A.; Valrizar prcess de cntribuiçã individual. Prmver ações que favreçam a geraçã de cass de sucess pela ST.A.; Refrçar diretrizes, nrmativs, infrmações administrativas e técnicas. Garantir a execuçã ds prcesss de gestã da cmunicaçã. Identificar públic-alv: Este prcess tem cm bjetiv identificar s públics-alv, interns e externs, da cmunicaçã da ST.A Os seguintes públics-alv abaix devem ser cnsiderads: INTERNOS: Empregads e funcináris das empresas cntratadas, alcads na ST.A. EXTERNOS: Áreas de negóci de Furnas, Frnecedres e Parceirs de negóci. Definir cnteúds de cmunicaçã: Neste pnt sã definids s cnteúds a serem cmunicads junt as públics-alv identificads. Os seguintes cnteúds devem ser cnsiderads: Plíticas, prcediments e diretrizes de api à estratégia de TI; Riscs e cntrles de TI; Objetivs e direcinaments de negócis e TI; Alterações na estrutura e mvimentações rganizacinais da ST.A.; Dads ds prjets da ST.A.; Divulgaçã de events; Diretrizes da ST.A.; Instruções de Trabalh; Ntas Técnicas; Divulgaçã ds Acrds de Serviçs; Divulgaçã de nvs cntrats e terms aditivs; Apresentações de palestras/ treinaments; Divulgaçã de Manuais e Apstilas;

60 58 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Ações de integraçã entre as Gerências da ST.A.; Divulgaçã d desempenh da ST.A.; Divulgaçã de nvas funcinalidades/nvs sistemas/nvs prjets; Api n acmpanhament d andament ds sistemas crítics; Api n acmpanhament ds prjets pós-implantaçã; Divulgaçã de resultads btids e cass de sucess; Divulgaçã de lições aprendidas; Divulgaçã d nível de satisfaçã d usuári cm s sistemas; Divulgaçã de premiações e destaques. Observaçã: É recmendad estabelecer junt as ptenciais agentes de cmunicaçã, frnecedres interns de cnteúd, um acrd de frneciment de infrmações, visand ter uma cleta de cnteúds sistematizada para subsidiar tds s veículs planejads para cmunicaçã interna. Os principais bjetivs deste instrument sã: Viabilizar a plena captaçã de infrmações junt às diversas áreas; Garantir a geraçã regular e cnstante de cnteúd; Subsidiar e manter ativs s veículs de cmunicaçã existentes e/u a serem criads; Regulamentar a parceria das unidades cm a área respnsável pela Cmunicaçã; Garantir que a área respnsável pela Cmunicaçã atenda às slicitações de divulgaçã. Definir meis de cmunicaçã: Definir canal (frma) de cmunicaçã a ser adtad para cada cnteúd e públic-alv identificad. Os seguintes meis de cmunicaçã abaix devem ser cnsiderads: Prtal WEB de cmunicaçã; Fóruns e listas de discussã; Redes de relacinaments; Mensagens eletrônicas (SMS); Gerenciament Eletrônic de Dcuments (GED); Flders; Palestras; Events; Relatóris infrmativs; Jrnal intern;

61 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Jrnal de parede; Cartazes. Definir papéis e respnsabilidades ns events de cmunicaçã: Definir a matriz de respnsabilidades em relaçã as events de cmunicaçã cntids n plan Implantaçã de Prgrama de Integraçã Este prgrama tem pr bjetiv bter uma mair integraçã entre s funcináris da ST.A na execuçã ds diverss prcesss de TI, que além de pssibilitar uma mair eficiência na execuçã das atividades, diminui risc de falhas de cmunicaçã dentr e principalmente entre equipes. As práticas d prgrama de integraçã devem endereçar três níveis de atendiment as funcináris da ST.A: Individual: Atender metas de integraçã para cada nv funcinári u para um funcinári mvimentad entre áreas da ST.A. Dentr das equipes: Buscar a melhria da integraçã ds funcináris de uma mesma equipe. Uma equipe sem integraçã interna mínima pdem casinar rupturas e má qualidade em suas atividades. Entre equipes distintas: Buscar a melhria da integraçã ds funcináris de equipes de áreas distintas. Nrmalmente prcesss que exigem a respnsabilidade de equipes distintas na sua execuçã, pdem sfrer cm baix desempenh cas nã haja integraçã entre as equipes participantes. A integraçã a uma nva rganizaçã é um prcess que pde se trnar cmplex, e que envlve inúmers ânguls: Cultura da empresa É a maneira de sentir, pensar e agir de uma cmunidade qualquer. Em qualquer rganizaçã existem sentiments reinantes sbre s usuáris, frnecedres, a trabalh etc. Certamente existem diverss mds de pensar e agir própris também. A cultura pderá admitir cert nível de divergência individual, mas cas crram diferenças acentuadas entre cnduta, sentiments, pensaments e ações d indivídu e s definids na cultura rganizacinal, seguramente pde ser fnte de rejeiçã e de tensões para uma ba integraçã. Mapa human da área Quem é quem na rganizaçã. Cada gerente tem um estil, um jeit de ser, preza determinadas cisas u nã gsta de utras. O nv funcinári pderá defrntar-se cm surpresas em seu caminh. Se antecipadamente btiver uma visã adequada das principais características d mapa human, certamente será de grande valia para sua integraçã a ambiente de trabalh.

62 60 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Desempenh na funçã É muit difícil alguém desempenhar cem pr cent das atividades inerentes à sua funçã imediatamente, pis as atividades nã existem n vácu, mas cnectadas a prcess rganizacinal frmand sistema da empresa. Nã basta cnhecer trabalh, ser bem frmad é precis esfrç para adaptar-se a sistema lcal. Cnexã cm utras funções Cnfrme item anterir desempenh islad nã é tud. Cm tda funçã tem relacinament cm utras, é necessári fazer a devida sintnia. Um prfissinal depende de utrs e utrs dependem dele; cas essa relaçã funcinal nã se estabeleça, pderã crrer prblemas para nv funcinári. Clegas-prblema Eventualmente pde-se registrar a presença de pessas prblemáticas n cntext da rganizaçã. De um jeit u de utr a rganizaçã precisa lidar cm tais pessas e, sbretud quem chega, também precisa aprender meis prdutivs de fazê-l. Surpresas para nv funcinári nessa área pdem ser muit cmprmetedras para sua integraçã. Uss e cstumes As pessas de uma rganizaçã u área de trabalh eventualmente pdem criar a falsa supsiçã, de que um nv funcinári tem a brigaçã de cnhecer uss e cstumes lcais. Existe a pssibilidade de uma reaçã negativa e cm hstilidade a quem s cntraria. Um prévi cmpartilhament de infrmaçã elimina prblemas nessa área. Para minimizar tais prblemas de integraçã acima, sugerims algumas práticas abaix descritas: Estabelecer prcess de integraçã frmal para um nv funcinári na ST.A. Entrega de kit de bas vindas, cntend uma apresentaçã da ST.A, sua rganizaçã, plíticas, nrmativs gerais e cmunicad de bas vindas; Apresentaçã da missã, visã, valres e bjetivs estratégics da ST.A; Explanaçã da estrutura rganizacinal da área específica, suas plíticas e nrmas: O rgangrama e a lcalizaçã d departament d nv funcinári. Plíticas, prcesss e nrmais gerais da empresa. Nrmas de segurança. Prcesss e plan relacinads à cmunicaçã. Serviçs existentes as funcináris. Prcess de avaliaçã de desempenh. Prgrama de recnheciment. Prcesss de RH. Realizaçã de Visitas; Às instalações gerais; Às áreas que se relacinam cm à área de trabalh;

63 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Exercícis eventuais de segurança, demnstrações, etc; Distribuiçã de flhets, regulaments e manuais explicativs; Apresentaçã a pessas u áreas relevantes. É imprtante frisar que a realizar esse cnjunt de práticas de frma institucinal, gestr já receberá nv funcinári cm um mair grau de preparaçã para iníci d trabalh. Quand a empresa nã pssui integraçã frmal, nv funcinári terá que se esfrçar para suprir essas lacunas, aumentand s riscs de falhas na integraçã. Estabelecer prcess de integraçã frmal para um nv funcinári na gerência nde será alcad. A integraçã n âmbit da área nde funcinári ficará alcad é a mais imprtante. Pressupõe, n mínim, as seguintes atividades: Orientaçã geral sbre trabalh da área: prcesss, bjetivs, dificuldades e prblemas enfrentads atualmente; Orientaçã geral sbre a funçã: intercnexões, bjetivs, prcesss, etc. Apresentações a tds d departament e a elements chave de utras áreas; Orientaçã sbre lcalizaçã: nde se encntram materiais, infrmações, recurss que serã úteis a trabalh; Orientaçã sbre as persnalidades e cmprtaments mais diferenciads da área mapa human lcal. Tais rientações devem dadas de md cuidads, pel gestr, para nã criar predispsições negativas. O tm psitiv, cm fc na excelência ds relacinaments sempre deve prevalecer. Nrmas e cstumes lcais. Em síntese, nv funcinári deve sentir-se bem-vind, bem infrmad e bem rientad para as funções. Nesse trabalh gestr deve envlver utras pessas, pedir api. Mas, nã pde jamais delegar cmpletamente a funçã de integrar. Estabelecer prcess de integraçã para integrantes de uma mesma equipe. Identificar equipes que necessitem alt desempenh u que pssuam atividades de natureza crítica em relaçã as bjetivs estratégics da ST.A. Acmpanhar e mnitrar a integraçã dentr das equipes através de pesquisas de clima rganizacinal. Estabelecer dinâmica adequada para favrecer aument efetiv da integraçã dentr da equipe. Estimular tarefas clabrativas dentr da equipe. Estimular trca de experiências dentr da equipe.

64 62 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Em síntese, as práticas de integraçã acima favrecem a melhria de desempenh dentr da equipe, nde bjetiv é alcançar um alt desempenh pr equipe. Estabelecer prcess de integraçã entre equipes. Identificar equipes que pssuam atividades cmpartilhadas u exerçam papéis imprtantes dentr de prcess de TI de natureza crítica em relaçã as bjetivs estratégics da ST.A. Acmpanhar e mnitrar a integraçã entre as equipes através de pesquisas de clima rganizacinal. Estabelecer dinâmica adequada para favrecer aument efetiv da integraçã entre equipes distintas. Estimular tarefas clabrativas envlvend equipes diferentes. Estimular trca de experiências entre as equipes através de encntrs u palestras. Estimular ações de cunh scial envlvend pessas de equipes distintas. Estimular encntrs para trca de experiências cm equipes de utras empresas. Estimular encntr cm gerentes e crdenadres das diversas áreas da ST.A para debater e encntrar sluções para prblemas recrrentes. Em síntese, essas práticas de integraçã favrecem a melhria de desempenh entre equipes, favrecend bm clima rganizacinal, além de pssibilitar aument d desempenh das equipes que clabram dentr de um mesm prcess da ST.A. Sugerims que prgrama de integraçã da ST.A seja fasead cnfrme abaix: Figura 3.2: Fases

65 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4: Plan de implementaçã das recmendações Açã Descriçã Recmendaçã 1 Implantaçã ds Prcesss de Cmunicaçã de TI Planejar prjet de implantaçã. Elabrar plan detalhad d prjet, btend api e aceite pela alta direçã. Realizar Fase 1 Estabelecer estrutura respnsável pela gestã da cmunicaçã; Realizar atividades de estruturaçã da área. Estruturar pessal para realizar as atribuições de gestã da cmunicaçã. Planejar ferramentas em api À autmaçã ds prcesss. Mbilizar e treinar pessal; Treinament cm fc na cmunicaçã. Elabrar plítica de gestã da cmunicaçã. Realizar Fase 2 Elabrar plítica vltada para gestã de cmunicaçã da ST.A. Implantar Prcesss, Manter Plíticas e Realizar divulgaçã Interna e Externa. Mdelar prcesss; Mdelagem ds prcesss. Definir artefats ; Definiçã ds artefats necessáris. Implantar prcesss. Implantar prcesss junt as envlvids. Realizar Fase 3 Implantar Prcess e Realizar Divulgaçã de Cases de Sucess. Mdelar prcess; Mdelagem d prcess. Definir artefats ; Definiçã ds artefats necessáris. Implantar prcesss; Implantar prcess junt as envlvids. Mnitrar prcesss. Mnitrament ds prcesss implantads. Mnitrar Prjet. Mnitrar riscs, desvis e cust d prjet. Encerrar Prjet. Encerrament d prjet cm verificaçã de atendiment ds benefícis e registr de lições aprendidas.

66 64 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4: Plan de implementaçã das recmendações Açã Descriçã Recmendaçã 2 Implantaçã de Plan de Cmunicaçã de TI Planejar prjet de implantaçã. Implantar Plan de Cmunicaçã: Definir Objetivs de Cmunicaçã; Identificar públic-alv; Definir cnteúds de cmunicaçã; Definir meis de cmunicaçã; Definir papéis e respnsabilidades n plan de cmunicaçã; Elabrar plan detalhad d prjet, btend api e aceite pela alta direçã. Realizar atividades para definiçã e implantaçã d plan de cmunicaçã. Definir frmalmente quais bjetivs serã perseguids pel plan de cmunicaçã. Identificar e descrever frmalmente públicalv n plan de cmunicaçã. Identificar quais cnteúds serã tratads n plan de cmunicaçã. Definir quais canais serã utilizads ns prcesss de cmunicaçã da ST.A. Estabelecer a matriz de respnsabilidades em relaçã as events de cmunicaçã d plan. Implantar Plan de Cmunicaçã. Implantar plan junt à rganizaçã. Mnitrar Prjet. Encerrar Prjet. Mnitrar riscs, desvis e cust d prjet. Encerrament d prjet cm verificaçã de atendiment ds benefícis e registr de lições aprendidas. Recmendaçã 3 Implantaçã de Prgrama de Integraçã na ST.A Planejar prjet de implantaçã. Realizar Fase 1 Estabelecer estrutura respnsável pel prgrama de integraçã; Mbilizar e treinar pessal; Elabrar prgrama de integraçã. Realizar Fase 2 Implantar prgrama de integraçã para nvs funcináris. Elabrar plan detalhad d prjet, btend api e aceite pela alta direçã. Estruturar pessal para realizar as atribuições vltadas para prgrama de integraçã. Planejar ferramentas em api à autmaçã das atividades. Treinament cm fc nas técnicas de integraçã. Elabrar prgrama vltad para integraçã ds funcináris da ST.A. Implantar prgrama cm atividades de integraçã para s nvs funcináris. Recmendaçã 3 Implantaçã de Prgrama de Integraçã na ST.A Realizar Fase 3 Implantar prgrama de integraçã para equipes; Mnitrar prgramas de integraçã implantads. Mnitrar Prjet. Encerrar Prjet. Implantar prgrama cm atividades de integraçã para as equipes da ST.A. Mnitrar e realizar cicl de melhria cntínua ns prgramas de integraçã implantads. Mnitrar riscs, desvis e cust d prjet. Encerrament d prjet cm verificaçã de atendiment ds benefícis e registr de lições aprendidas.

67 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.1: Benefícis Recmendaçã 1 Benefícis Respnsável pels prcesss de cmunicaçã é estabelecid dentr da ST.A. Dcumentaçã dispnibilizada de tds s prcesss de cmunicaçã. Planejament de ferramentas para a autmaçã ds prcesss de cmunicaçã e prgrama de integraçã. Prcess de cmunicaçã estabelecid e vltad para as nrmativas da ST.A. Prcess de cmunicaçã estabelecid e vltad para a divulgaçã interna e externa à ST.A. Prcess de cmunicaçã estabelecid e vltad para a divulgaçã ds cases de sucess da ST.A. Recmendaçã 2 Benefícis As ações relacinadas à cmunicaçã de TI sã executadas de maneira frmalizada e abalizada pel plan de cmunicaçã. Públics-alv estabelecids e frmalizads n plan de cmunicaçã da ST.A. Objetivs das cmunicações frmalizads e definids n plan de cmunicaçã da ST.A. Estabelecid um plan de cmunicaçã frmalizad cntend tds s papéis e respnsabilidades ds events de cmunicaçã. Recmendaçã 3 Benefícis Metdlgia para realizar a integraçã ds nvs funcináris e das equipes das diversas áreas da ST.A. Prgrama de integraçã estabelecid e vltad para nvs funcináris. Prgrama de integraçã estabelecid e vltad para equipes da ST.A.

68 66 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Risc Baixa qualidade da cmunicaçã Descriçã Fnte Uma baixa qualidade da cmunicaçã pde causar desinteresse na busca de infrmações cmprmetend a implantaçã d prcess. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) X Baixa (E) Tabela 5.2: Riscs Risc Falta de flux cnstante na divulgaçã de cnteúds Descriçã Fnte Nã manter um flux cnstante de divulgaçã de cnteúds pde reduzir interesse ds públics-alv nas cmunicações efetuadas. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

69 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.3: Riscs Risc Falta de mnitrament da integraçã entre as áreas Descriçã Fnte A falta de mnitrament da integraçã entre as áreas pde casinar a falta da percepçã da necessidade de acinar pans de cntingenciament. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.4: Respstas as Riscs Riscs Tratament Respsta Falta de flux cnstante na divulgaçã de cnteúds. Falta de mnitrament da integraçã entre as áreas. Mitigaçã Mitigaçã Mnitrar e auditar se s papéis e respnsabilidades sbre s events de cmunicaçã d plan de cmunicaçã estã send cumprids. Realizar pesquisa de clima rganizacinal de frma planejada.

70 68 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE005 - Definiçã e implantaçã de práticas e mecanisms de gvernança de TI 1. Objetiv da Iniciativa Na prpsta de revisã da estrutura Organizacinal detalhada para a ST.A, rientad pela necessidade de aprimrament das funções de TI, é sugerida a criaçã d denminada Núcle de Gvernança de TI, a ser cnfrmad de acrd cm as especificações definidas n dcument d PDTI Vlume I, em seu item 8, subitem intitulad Cmpnentes Suplementares à estrutura Organizacinal da ST.A. Vinculad diretamente à Superintendência de Tecnlgia da Infrmaçã de Furnas, núcle prpst deverá ser cnstituíd pel seguinte cnjunt de cinc equipes especializadas, respnsáveis pr: Gvernança, Risc e Cnfrmidade (GRC); Qualidade; Gestã d Prtfóli e prjets de TI; Cmpetências, Cnheciment e Cmunicaçã; Gestã administrativa de terceirs. Esta Iniciativa Estratégica visa prpr s mecanisms e práticas vltadas a exercíci da Gvernança de TI, instruind, em seu escp, as ações vltadas a funcinament das equipes respnsáveis pela Gvernança, Risc e Cnfrmidade (GRC) e Gestã d Prtfóli e prjets de TI, situadas sb Núcle de Gvernança da ST.A, cnfrme dit anterirmente, prpst na estrutura rganizacinal revisada. As demais equipes cmpnentes da estrutura definida têm seus prcesss suprtads pr Iniciativas Estratégicas específicas, referenciadas n subitem 1.3 deste dcument, a saber: Equipe Qualidade: IE009 Implementaçã de prcess de gerenciament de qualidade em TI na ST.A ; Equipe Cmpetências, Cnheciment e Cmunicaçã: IE010 Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI ; IE004 Implantaçã de prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A ; Equipe Gestã administrativa de terceirs: IE011 Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A. Cnsiderand grau de maturidade ds prcesss afins avaliads, nesta recmendaçã sã destacads s seguintes aspects, cnsiderads essenciais a bm desempenh da ST.A. Sã eles: Planejament; Avaliaçã de Desempenh; Cntrles Interns; Cnfrmidade; Balanceament ds Riscs; Otimizaçã ds Recurss; Entrega de Benefíci, gerenciament de rçament e custs, gerenciament de prjets e prgramas e, pr fim, prcediments de sustentaçã a funcinament d Cmitê de Infrmática.

71 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Objetivs Estratégics apiads Segue abaix, a relaçã ds bjetivs d Mapa Estratégic da ST.A, suprtads de frma primária u secundária pelas recmendações prescritas nesta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Resultads R1 - Agregar valr a resultad da crpraçã. Adtar mecanisms que pssibilitem explicitar para a alta administraçã a cntribuiçã da Tecnlgia junt as segments de negóci, através d mapeament e metrificaçã d cmprtament da ST.A ns bjetivs estratégics de Furnas e n desempenh de suas principais linhas de negóci. Secundári Resultads R2 - Reduzir custs unitáris de TI. Sistematizar prcediments de apuraçã, análise e cntrle de custs ds serviçs de tecnlgia da infrmaçã prestads pela ST.A, visand a adçã de pssíveis medidas para sua reduçã. Faz parte deste bjetiv estud para identificaçã, definiçã e pririzaçã das unidades de serviçs de TI a serem cnsideradas. Secundári Resultads R3 - Balancear riscs de TI. Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Secundári Partes Interessadas I1 - Atender a demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes. Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Primári Partes Interessadas I2 - Frnecer serviçs segund acrds de nível de serviç estabelecids cm s clientes. Assegurar a dispnibilidade ds recurss e sluções de TI pela adçã de recmendações, medidas e prcediments que garantam a resiliência da infraestrutura de TI e a recuperaçã ds serviçs dentr ds parâmetrs e patamares definids ns requisits de dispnibilidade d negóci pactuads junt à ST.A. Secundári Partes Interessadas I3 - Atender s requisits impsts pr órgãs e prcesss regulatóris. Garantir que as demandas ds agentes regulatóris interns e externs a Furnas, referentes a TI, sejam encaminhadas e prvidenciadas dentr ds prazs cmprmissads, pr mei da estruturaçã e aprimrament de prcesss de planejament, acmpanhament e gestã ds níveis de cnfrmidade. Primári

72 70 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I4 - Prspectar prtunidades de TI junt as clientes. Ampliar a presença da ST.A n fereciment de alternativas de caráter tecnlógic em api às perações de Furnas, através da adçã de pstura prativa pr parte das equipes. Objetiva-se prmver a identificaçã de pssíveis cntribuições de TI em relaçã às questões ainda nã identificadas/percebidas pels segments de negóci cm prtunidades de aprimrament u mesm ampliaçã de sua capacidade de peraçã. Significa ser diligente na pesquisa e na busca de antecipaçã quant a ptenciais necessidades de negóci. Secundári Partes Interessadas I5 - Impulsinar sucess das áreas clientes cm sluções invadras de TI. Prpr e dispnibilizar sluções quant a us invadr de TI rientadas às necessidades das áreas de negóci, cm base na utilizaçã plena e diferenciada das tecnlgias já dispníveis na ST.A e também de tecnlgias emergentes de maneira a ferecer efetivs ganhs quant à eficiência e eficácia ds prcesss de negóci. Secundári Prcesss Interns P1 - Racinalizar custs gerais de TI. Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment. Secundári Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI. Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Primári Prcesss Interns P3 - Elevar nível de maturidade ds prcesss de TI priritáris para Negóci. Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Secundári

73 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P4 - Aprimrar a cmunicaçã. Qualificar, intensificar e administrar flux de infrmaçã intern e extern àst.a sbre s assunts de interesse relacinads à Tecnlgia da infrmaçã, atribuind caráter estratégic a prcess de cmunicaçã. Através da estruturaçã e execuçã de plans de cmunicaçã, prmver u ampliar: a visibilidade e transparência sbre as deliberações, ações e resultads de TI; nível de alinhament, mbilizaçã e cnvergência em trn ds assunts e bjetivs pertinentes à TI e, pr fim, a integraçã interna e externa à ST.A, favrecend parcerias, melhrand relacinament rganizacinal sb seus variads aspects. Secundári Buscar através da adçã de uma nva abrdagem n prcess de Terceirizaçã de Serviçs de TI, um melhr atendiment das necessidades de Furnas e da ST.A., permitind cntratações mais adequadas, ágeis e ecnômicas em serviçs terceirizads de TI. Este bjetiv cntempla: Prcesss Interns P5 - Aprimrar planejament e cntrle d prcess de terceirizaçã. A necessidade de medidas para a criaçã de cndições que permitam previsibilidade sbre s serviçs a serem demandads para a Tecnlgia, pssibilitand mair sincrnism entre as ações de TI que requerem api de terceirs e as necessidades de negóci; Secundári A avaliaçã de nvas alternativas e pssibilidades de cntrataçã de serviçs terceirizads de TI que sejam viáveis e exequíveis dentr da realidade de Furnas; A adçã de mdel de gestã que garanta mair efetividade ns resultads da prestaçã de serviçs de TI junt as frnecedres cntratads. Prcesss Interns P6 - Estabelecer prcess de arquitetura tecnlógica. Definir e implantar prcess visand a mdelagem e a descriçã de cm s recurss de Tecnlgia da Infrmaçã devem ser lgicamente rganizads de frma a atender as requisits de integraçã e padrnizaçã ds prcesss de negóci para entregar serviçs adequads, em respsta as mdels peracinais estabelecids crprativamente. Secundári Prcesss Interns P7 - Estabelecer estrutura de relacinament cm negóci. Realizar ações que desenvlvam um padrã adequad de gerenciament das demandas, de relacinament e de cmunicaçã da ST.A cm as demais áreas de negóci de Furnas, visand assim um melhr alinhament das iniciativas da ST.A cm as necessidades d negóci, além d desenvlviment e frtaleciment de parcerias. Secundári

74 72 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Aprendizad A1 - Internalizar cnheciment sbre negóci de Furnas. Ampliar e aprfundar dmíni da ST.A quant as principais aspects e prcesss de negóci de Furnas, pela sistematizaçã d us de mecanisms de transferência de cnheciment, visand ptencializar a integraçã e a capacidade de cntribuiçã da Tecnlgia de frma prativa. Secundári Aprendizad A2 - Atrair, desenvlver e reter pessal cm cmpetências essenciais. Desenvlver e cnslidar fatres e cndições ambientais diferenciads que trnem a Tecnlgia da infrmaçã área de interesse, além de prmver aprimrament de td quadr de empregads da ST.A a partir da identificaçã ds déficits de frmaçã rientads pels vetres estratégics da rganizaçã, desenvlvend as aptidões técnicas e gerenciais necessárias a desempenh de suas funções, bem cm mbilizand cnheciments, habilidades e atitudes para a ampliaçã da capacidade de respsta às exigências de negóci. Secundári Aprendizad A3 - Frtalecer a sinergia entre as áreas da ST.A. Desenvlver mecanisms e prmver ações que viabilizem um mair nível de integraçã intern entre as áreas da ST.A, de frma a se bter a devida cnvergência e racinalizaçã de esfrçs em trn das questões de interesse de Furnas, dinamizand prcess de btençã de resultads e a efetividade das sluções prpstas. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n COBIT 5 - Cntrl Objectives fr Infrmatin and Related Technlgy mdel de mercad que rienta um cnjunt de bas práticas vltadas à adequada gestã de recurss e serviçs de TI. Pr afinidade de escp, neste cas, sã referenciads s dmínis EDM - Avaliar, Direcinar e Mnitrar e MEA - Mnitrar, Diagnsticar e Analisar - cmplementads pr cnsiderações cntidas ns livrs da ITIL versã 3, lançada em junh de 2007 e revisada na ediçã em Iniciativas estratégicas relacinadas IE004 - Implantaçã de prcesss/plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A; IE006 - Aprimrament d prcess de rçament e custs; IE009 - Implementaçã de prcess de gerenciament de qualidade em TI na ST.A;

75 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE010 - Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI; IE011 - Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A Prcesss COBIT 5 vinculads à Iniciativa Fram tmads cm referência s seguintes prcesss: EDM02 - Assegurar a Entrega ds Benefícis EDM03 - Assegurar Balanceament ds Riscs EDM04 - Assegurar a Otimizaçã ds Recurss MEA01 Mnitrar e Avaliar Desempenh MEA02 Mnitrar e Avaliar Sistema de Cntrles Interns MEA03 Mnitrar e Avaliar Cnfrmidade cm Requeriments externs BAI01 Gerenciar prgramas e prjets APO05 Gerenciar Prtfóli APO06 - Gerenciar Orçament e Custs É prtun bservar que nesta iniciativa referid prcess será smente referenciad, send cmtemplad, especificamente, em iniciativa própria cnfrme descrit adiante neste dcument, em seu item 2, intitulad Síntese da Situaçã Atual.

76 74 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual N cenári avaliad nã fi encntrad nenhum prcess e nenhuma área dirigida especificamente à Gvernança de TI na ST.A, que envlvesse as atividades especializadas e essenciais descritas abaix: Planejament e Alinhament Estratégic de TI; Avaliaçã de Desempenh de TI; Mnitrament ds Cntrles Interns de TI; Garantia de Cnfrmidade de TI; Balanceament ds Riscs de TI; Otimizaçã ds Recurss de TI; Entrega ds Benefícis de TI; Api as Cmitês de TI; Gerenciament financeir custs e rçament de TI; Gerenciament d prtfóli, de prjets/prgramas. A ST.A precisa estar alinhada à Plítica Integrada de Tecnlgia da Infrmaçã, Autmaçã e Telecmunicaçã para as empresas que cmpõem Sistema Eletrbras, bem cm, a Mdel de Gvernança de TIC, ambs de respnsabilidade d COTISE (Cmitê de Tecnlgia da Infrmaçã, Autmaçã e Telecmunicaçã d Sistema Eletrbras). O COTISE é um órgã clegiad de caráter permanente, encarregad pela manutençã da Plítica Integrada de Tecnlgia da Infrmaçã, Autmaçã e Telecmunicaçã, pela rientaçã e acmpanhament da bservância d desenvlviment ds prcesss, cntrles, mdels, padrões e ferramentas necessárias à sua peracinalizaçã. O COTISE prpõe um Mdel de Gvernança de TIC para as empresas Eletrbras, em cnsnância cm a Plítica Integrada de TIC, de acrd cm as melhres práticas de mercad, visand a sua implantaçã em tdas as empresas. N mdel rganizacinal anterir a prpst pel prjet PRO-Furnas, fi identificada a existência de uma superintendência ligada à Diretria Financeira (DF), vltada para a gestã de riscs, cnfrmidade de Cntrles em Furnas, denminada: CR.F Superintendência de Gestã de Riscs e Cntrles Interns. Entretant, nã fi encntrada nenhuma iniciativa vltada, especificamente, para tratament de GRC (Gvernança, Risc e Cnfrmidade), cm enfque específic em TI. Tdas as ações vltadas à Gvernança de TI sã executadas pr iniciativas individuais, nã dirigidas pr prcesss frmais de peraçã e gestã. O ambiente da ST.A, de frma peculiar, apresenta as seguintes sistemáticas e características referentes as prcesss chave de gvernança e gestã de TI:

77 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcess EDM02 Assegurar Entrega ds Benefícis Cm base na Cadeia de Valr da Superintendência de Organizaçã e Tecnlgia da Infrmaçã (ST.A), mapeada em uma etapa anterir d prjet PDTI, prcess de Gvernança d COBIT 5 denminad EDM02 Assegurar Entrega ds Benefícis nã fi recnhecid, na prática, n cntext de Furnas. Em cmplementaçã, apresentams abaix, bservações que caracterizam ambiente da ST.A em relaçã a prcess em análise e que, em cnjunt cm utras infrmações devem ser cnsideradas cm pssíveis referências para prmçã de ajustes nas práticas de gvernança de TI. Mesm que apenas prtclarmente, nã fi identificad respnsável frmal pel prcess; A clcaçã das demandas de negóci nã é realizada de frma estruturada cmprmetend uma das premissas básicas para avaliaçã e garantia da entrega de valr cm benefíci esperad. Nã sã regularmente apresentadas avaliações quantitativas (ROI), quand viável, e nem qualitativas, ns demais cass, inviabilizand a pnderaçã de custs versus benefícis pr casiã da efetivaçã d serviç desenvlvid pr TI; Há dificuldades de extraçã, n SAP, de infrmações de cust/investiments pr prjet, nã pr limitações da ferramenta, mas sim em decrrência de deficiências quant a lançament de valres n sistema; Ocrrem deficiências de padrnizaçã e capacitaçã ns prcediments d sistema integrad de gestã (SAP). Pr exempl, nã existe um padrã de preenchiment das infrmações referentes à prestaçã de cntas/reembls de despesas de viagem; em relaçã a prcess de rçament n SAP, alguns órgãs utilizam PEP, utrs nã; Cm já explicitad, as infrmações de cust pr prjet nã sã cmpletas. Pr exempl, própri prjet PDTI só cntempla cust da cntrataçã. Nã sã cnsiderads utrs custs, cm estrutura de salas de reuniã, hras trabalhadas de clabradres de Furnas, etc. As deficiências referentes a tratament ds custs de TI cmprmetem a segunda premissa necessária à adequada avaliaçã ds benefícis entregues pr TI. Elas impssibilitam a cntabilizaçã glbal ds custs de habilitaçã e peraçã ds serviçs, inviabilizand, pr cnsequência ctejament necessári para as análises sbre s retrns esperads. Prcess EDM03 Assegurar Balanceament d Risc Cm base na Cadeia de Valr da Superintendência de Organizaçã e Tecnlgia da Infrmaçã (ST.A), mapeada em uma etapa anterir d prjet PDTI, prcess de Gvernança d COBIT 5 denminad EDM03 Assegurar Balanceament d Risc nã fi recnhecid, na prática, n cntext da ST.A. Em cmplementaçã, apresentams abaix, bservações que caracterizam ambiente da ST.A em relaçã a prcess em análise e que, em cnjunt cm utras

78 76 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E infrmações devem ser cnsideradas cm pssíveis referências para prmçã de ajustes nas práticas de gvernança de TI. Mesm que apenas prtclarmente, nã fi identificad respnsável frmal pel prcess; Nã existe um prcess de gestã de riscs que cnsidere s riscs assciads à gestã de TI cm um td e nem, especificamente, a us d sistema integrad de gestã cm suprte as principais perações de negóci; Atualmente, a área de TI nã se precupa em identificar preliminarmente s riscs existentes ns prjets u em utras iniciativas. Fica, prtant, inviabilizada qualquer medida estruturada em respsta a uma pssível crrência; Nã há um mecanism de direcinament n gerenciament de risc; Há um cmitê de Gestã de Riscs Crprativs, mas a TI (ST.A), nã participa deste fórum; Há uma superintendência de gestã de riscs e cntrles interns na estrutura crprativa de Furnas, mas nã fram apresentadas ações u iniciativas para tratament de riscs que sejam relacinadas a TI; Existem dificuldades ns segments de TI quant a entendiment de padrões de gestã de risc; Cm relatad acima, existe uma área respnsável pela gestã de risc da empresa, garantind a definiçã de critéris de aceite e métricas vinculadas a negóci, mas nã é cnhecida uma avaliaçã específica ds riscs assciads à área de TI; Atividades de alinhament de risc nã sã executadas; Nã há mecanism de registr de falhas relativas a descumpriment de plíticas e/u regras dentr desse prcess. Prcess EDM04 Assegurar Otimizaçã ds Recurss Cm base na Cadeia de Valr da Superintendência de Organizaçã e Tecnlgia da Infrmaçã (ST.A), mapeada em uma etapa anterir d prjet PDTI, prcess de Gvernança d COBIT 5 denminad EDM04 Assegurar Otimizaçã ds Recurss nã fi identificad n cntext de Furnas. Mesm que apenas prtclarmente, nã fi identificad respnsável frmal pel prcess, ficand cmprmetidas as práticas de gerenciament sbre a avaliaçã; direcinament e mnitraçã ds recurss;

79 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcess MEA01 Mnitrar, Diagnsticar e Analisar Desempenh e Cnfrmidade O prcess de gestã MEA01 Mnitrar, Diagnsticar e Analisar Desempenh e Cnfrmidade, pertencente a dmíni MEA (Mnitrar, Diagnsticar e Analisar) d COBIT 5, n cntext da Cadeia de Valr da Superintendência de Tecnlgia da Infrmaçã (ST.A) de Furnas crrespnde a prcess Estabelecer Indicadres de TI, Mnitrar e Garantir Cnfrmidade e Mnitrar Desempenh de TI. Em cmplementaçã, apresentams abaix, bservações que caracterizam ambiente da ST.A em relaçã a prcess em análise e que, em cnjunt cm utras infrmações devem ser cnsideradas cm pssíveis referências para prmçã de ajustes nas práticas de gvernança de TI. Embra s prcesss sejam identificads, nã há cnheciment ampl na área sbre as metas e métricas da área de negóci e de TI; Os indicadres de TI mnitrads sã derivads smente de cntrats cm frnecedres, a exempl d que crre cm a Central de Atendiment e suprte lcal as usuáris; Tds s indicadres apresentads fram elabrads pr slicitaçã da área de negóci. Os indicadres nã fram definids sb critéris específics. Estas métricas sã encaminhadas para atual Diretria de Administraçã (DA), antiga Diretria de Gestã Crprativa (DG) denminaçã anterir à estrutura implantada pel PRO-Furnas; A despeit da prduçã e encaminhament de alguns indicadres, nã sã utilizads cm base para cbrança e plans de ações crretivas quand d nã cumpriment das metas definidas. Nã se identifica uma visã sbre s indicadres de negóci relevantes; Há um prtal da atual Diretria de Administraçã (DA) - antiga Diretria de Gestã Crprativa (DG) - n ambiente crprativ, para acmpanhament ds indicadres. Atualmente, a GDS.A (Gerência de Desenvlviment de Sistemas) - na estrutura anterir a PRO-Furnas, crrespndente a DSI (Departament de Desenvlviment de Sistemas de Infrmaçã - está desenvlvend uma sluçã de cleta autmatizada; Está em elabraçã BSC (Balanced Screcard), da antiga Diretria de Gestã Crprativa (DG), crrespndente a atual Diretria de Administraçã (DA) n prjet PRO-Furnas; A cleta ds indicadres crre mensalmente, cm reuniões semestrais para apresentaçã; Nã há qualquer prcess de cntrle de desempenh na área de TI, embra a necessidade de implantaçã de um prcess seja cnhecida.

80 78 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcess MEA02 Mnitrar, Diagnsticar e Avaliar Sistema de cntrle intern O prcess de gestã MEA02 Mnitrar, Diagnsticar e Avaliar Sistema de cntrle intern pertencente a dmíni MEA (Mnitrar, Avaliar e Garantir) d COBIT 5, n cntext da Cadeia de Valr da ST.A, mapeada em uma etapa anterir d prjet PDTI, crrespnde a prcess Mnitrar e Garantir Cnfrmidade. Em cmplementaçã, apresentams abaix, bservações que caracterizam ambiente da ST.A em relaçã a prcess em análise e que, em cnjunt cm utras infrmações devem ser cnsideradas cm pssíveis referências para prmçã de ajustes nas práticas de gvernança de TI. Embra prcess seja identificad, nã há um respnsável frmal pel seu gerenciament; Nã há entendiment clar sbre tds s requeriments afins à perspectiva de cmunicaçã além de nã se recnhecer a existência de ferramentas de cmunicaçã padrã. Nã fi mencinada alguma plitica e/u Instruçã Nrmativa que trate sbre tema de sistema de cntrles interns. Nã existe plan para us e padrnizaçã de ferramentas para a autmaçã d prcess. Nã há rientaçã para utilizar uma ferramenta específica. Nã existe um plan frmal de treinament para tdas as áreas que executam prcess. Os treinaments referentes a tema sã realizads cnfrme a necessidade. Nã há, prtant, um plan de treinament frmal para área; As habilidades requeridas para tdas as áreas, referentes a este prcess, nã estã ttalmente definidas e dcumentadas; Embra haja a definiçã de respnsabilidades, estas nã sã aceitas cnfrme estabelecidas n prcess; Nã é perceptível uma cultura de recmpensa mtivand ações psitivas. Nã há uma definiçã clara ds bjetivs efetivs e métricas d prcess. Nã existe vinculaçã ds bjetivs e métricas d prcess as bjetivs de negócis; Nã há um mnitrament regular na área.

81 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcess MEA03 Mnitrar, Diagnsticar e Avaliar cumpriment cm requisits externs O prcess MEA03 Mnitrar, Diagnsticar e Avaliar cumpriment cm requisits externs, pertencente a dmíni MEA (Mnitrar, Avaliar e Garantir) d COBIT 5, n cntext da Cadeia de Valr da Superintendência de Tecnlgia da Infrmaçã (ST.A) de Furnas crrespnde a prcess Atender às Demandas de Órgãs Externs de Fiscalizaçã e Cntrle. Em cmplementaçã, apresentams abaix, bservações que caracterizam ambiente da ST.A em relaçã a prcess em análise e que, em cnjunt cm utras infrmações devem ser cnsideradas cm pssíveis referências para prmçã de ajustes nas práticas de gvernança de TI. Mesm que apenas prtclarmente, nã fi identificad respnsável frmal pel prcess; Nã há entendiment clar sbre tds s requeriments afins à perspectiva de cmunicaçã além de nã se recnhecer a existência de ferramentas de cmunicaçã padrã. Nã há uma definiçã e dcumentaçã sbre prcess, a plítica e prcediments sbre tema; Nã existe plan para us e padrnizaçã de ferramentas para a autmaçã d prcess; Nã existe um plan frmal de capacitaçã cntempland tdas as áreas que executam prcess; As demandas de capacitaçã crrem e sã realizadas cnfrme a necessidade; As habilidades requeridas para prcess nã estã ttalmente definidas e dcumentadas; Embra haja a definiçã de respnsabilidades, estas nã sã aceitas cnfrme estabelecidas n prcess; Nã é perceptível uma cultura de recmpensa mtivand ações psitivas. Nã há uma definiçã clara ds bjetivs efetivs e métricas d prcess; Nã existe uma crrelaçã explícita entre s bjetivs e métricas d prcess cm s bjetivs de negócis; Nã há um mnitrament cnstante na área. BAI01 Gerenciar Prgramas e prjets O prcess de gestã BAI01 Gerenciar Prgramas e Prjets, pertencente a dmíni Cnstruir, Adquirir e Implementar d COBIT 5, n cntext da Cadeia de

82 80 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Valr da Superintendência de Organizaçã e Tecnlgia da Infrmaçã (ST.A) de Furnas crrespnde a prcess Gerenciar Prjets de TI. A Assessria de Planejament e Prjets (APP.G estrutura anterir a PRO-Furnas), tinha cm uma de suas atribuições, acmpanhament e avaliaçã d desempenh ds prjets da antiga TI.G (atual ST.A PRO-Furnas). A APP.G se estruturu para atuar ns mldes de um escritóri de prjets, mas nã huve pssibilidade de exercer esta funçã da frma adequada. Outras diversas atribuições acabaram pr desviar fc d api à gerência de prjets na TI.G (atual ST.A PRO-Furnas). Durante as avaliações realizadas pde-se identificar ainda que: Apesar de seguir as rientações d PMBOK, havend diverss templates dispníveis na APP.G, nã há cbrança de uma dcumentaçã básica para s prjets (term de abertura d prjet, plan de prjet, etc.). Nã há frmalizaçã das partes interessadas ns prjets (stakehlders). Nã há planejament de recurss humans. Havend rçament, nã existem restrições relacinadas à superalcaçã de recurss. Um recurs é designad para um prjet, mesm que fique cm 150% de alcaçã. Também nã há um critéri clar que defina s perfis necessáris para alcaçã as prjets. Os resultads ds prjets nã sã acmpanhads. Os benefícis esperads, de cada prjet, nã sã plenamente cnhecids. Nã há cnheciment cmum ds gerentes em relaçã as bjetivs ds prjets em andament na ST.A. Dentre s diverss custs que cmpõem um prjet, apenas s custs da cntrataçã sã cnhecids. Nã há gerenciament de riscs ns prjets. A única análise de risc realizada é n prcess de cntrataçã. APO06 - Gerenciar Orçament e Custs A elabraçã d PDTI de Furnas, cm instrument de aprimrament da funçã de TI n cntext rganizacinal, estabelece, naturalmente, um nv patamar de exigências n que diz respeit à execuçã ds prcesss inerentes à gvernança e gestã de TI. Dentre eles, se destaca gerenciament de rçament e custs cm imprtante instrument para a adequada administraçã ds recurss financeirs cnsiderad, sb diversas perspectivas, um ds principais elements de alavancagem e cmpatibilizaçã ds serviçs de TI para cm s níveis planejads. Outr element que trna particular atendiment deste prcess, diz respeit a fat dele ser cnsiderad imprtante instrument de cntrle e inspeçã na ótica ds agentes reguladres e de cnfrmidade interns e externs, face a expressiv vlume de recurss mbilizads nas perações de TI.

83 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cnsiderand estes fatres e utras especificidades d ambiente da ST.A, ptu-se, neste PDTI, cnfrme apresentad n item 1.4, pel tratament d prcess de gerenciament d rçament e custs em Iniciativa Estratégica própria, a saber: IE006 Aprimrament d prcess de rçament e custs ; nã send mais, a partir de entã, abrdad ns demais subitens deste dcument. Pr fim, é imprtante bservar que as recmendações cntidas na referida IE006, sã aplicáveis n cntext d Núcle de Gvernança, especificamente n segment de GRC Gvernança, Risc e Cnfrmidade, em cnsnância cm estabelecid n PDTI Vlume I, em seu item 8, subitem intitulad Cmpnentes Suplementares à estrutura Organizacinal da ST.A. APO05 - Gerenciar Prtfóli Apresentams abaix alguns pnts de atençã que devem ser cnsiderads cm lacunas u prtunidades de melhria d prcess: Em janeir/2012 fi realizada uma pririzaçã ds prjets da ST.A cm base ns bjetivs estratégics de Furnas, nde fram selecinads 12 prjets para execuçã. Estes prjets fram inserids n PPS (Prject Prtfli Server) e passaram a cmpr prtfóli da ST.A. Inicialmente, estes prjets fram acmpanhads de pert, em reuniões quinzenais da diretria (DG). A lng d an de 2012, estes prjets fram deixand de ser acmpanhads desta frma. Os gerentes de departament definem s prjets relevantes para suas áreas entre s meses de julh e agst. Para 2013, fram selecinads em trn de 30 prjets e cnsiderads na primeira revisã rçamentária realizada em fevereir/2013. A pririzaçã destes 30 prjets existe apenas dentr ds departaments, mas nã há uma definiçã de priridades n nível da Superintendência (ST.A), em alinhament cm s bjetivs estratégics de negóci. De maneira geral, existe algum tip de pririzaçã de prjets. N entant, gerenciament da carteira de prjets nã crre u é realizad de frma insatisfatória. Nã há um prcess de revisã da pririzaçã em funçã da entrada de nvs prjets, alteraçã de escp ds prjets em andament, u mesm da mudança da estratégia da rganizaçã Riscs assciads Seguem abaix, s principais riscs assciads, decrrentes das cndições descritas na situaçã atual. Quant a cntext relacinad a Planejament Estratégic de TI as restrições apresentadas pdem acarretar: Diretrizes e decisões de TI nã alinhadas cm as exigências de negóci;

84 82 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cmprmetiment n prcess de tmada de decisã, cm baixa eficácia levand a direcinament inadequad ds investiments em TI. Dificuldades de cmunicaçã clara de bjetivs da TI cm cnsequente baixa mbilizaçã, api e cmprmiss ds níveis gerenciais na cadeia de cmand da ST.A Falta de entendiment e dmíni quant às priridades de TI; N que diz respeit a limitações quant à gestã d Prtfóli de TI, pdem levar a: Ausência de uma carteira de investiment de TI cm cmpsiçã aprpriada para apiar s bjetivs e estratégias da rganizaçã; Inexistência de estuds de viabilidade e Business Case cm direcinadres para alcaçã e pririzaçã ds investiments levand a nã realizaçã ds benefícis habilitads pels investiments de TI. Em relaçã à gestã de riscs de TI prpriamente dita, as limitações quant às práticas recmendadas pdem induzir a: Abrdagem de Riscs de TI e riscs de negóci nã integrads, send gerids de frma independente; Distrções na cnsideraçã ds graus de impact e prbabilidade cm cmprmetiment de eventuais análises e plans de respsta. Em suma, riscs mens imprtantes cnsiderads cm relevantes e vice-versa, cm riscs significativs nã recebend a devida atençã. Visões particularizadas e nã cmpartilhadas sbre s fatres de risc, nã traduzind uma visã glbal ds patamares da peraçã de TI. N que diz respeit à gestã de recurss (investiments) em TI, as restrições apresentadas pdem cnduzir a: Elabraçã de Orçaments de TI que nã refletem as necessidades d negóci; Cnflits na utilizaçã e administraçã de recurss financeirs de TI; Dificuldades na aferiçã da efetiva cntribuiçã de TI para negóci; Dificuldades para timizaçã de metas e bjetivs; Embra nã haja gerenciament de custs cm prática estruturada e regular, há registr de históric de aquisições de itens cmpnentes d rçament. As restrições, n que diz respeit às práticas referentes a cntrles interns de TI, pssibilitam: Dificuldade na identificaçã de cntrles ineficientes, em temp hábil; Ocrrência e manutençã de falhas em sistemas de missã crítica durante sua peraçã; Baix desempenh ns prcesss de frma geral, em funçã da demra para tratament ds prblemas identificads;

85 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E N que diz respeit a mnitrament de TI, as restrições identificadas pdem ter pr cnsequência: Cmprmetiment d prcess decisóri, inclusive cm deliberações equivcadas, já que suprtad pr uma base de infrmações de desempenh nã íntegra; A prduçã de infrmações sbre desempenh, baseadas em dads impreciss u desatualizads; Dificuldade na identificaçã e recnheciment de desempenh desejad, gerand desmtivaçã d quadr de pessal; Expectativas e necessidades d negóci nã atendidas adequadamente. Em relaçã a aspects de cnfrmidade de TI, pdem crrer: Aument da prbabilidade de cnflits entre a rganizaçã, seus clientes e agentes reguladres; Cntexts de nã cnfrmidade, nã mapeads e, pr cnseguinte, nã tratads; Apntaments pela ausência de prcediments e práticas n cumpriment de requisits legais e regulamentares; Aument d risc para a cntinuidade ds negócis cm crrespndente aument da prbabilidade de aplicaçã de sanções impstas pels reguladres. Em relaçã a Prtfóli de TI Ausência de um mix de investiment de TI aprpriad para apiar s bjetivs e estratégias da empresa; Ausência de Business Case para suprtar alcaçã e pririzaçã ds investiments; Impssibilidade de garantia quant à entrega ds benefícis pretendids. Pr fim, quant a cntext relacinad a aspects diverss de Gvernança de TI, pdems bservar a pssibilidade de: Prblemas advinds d nã estabeleciment de matrizes de respnsabilidades e alçadas adequadas; Interesses estratégics rganizacinais nã atendids; Ampliaçã ds custs ds investiments em TI de frma nã planejada; Distrções na alcaçã de recurss em funçã de priridades inadequadas;

86 84 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Decrrentes das cndições de peraçã e práticas identificadas na avaliaçã da situaçã atual será apresentad a seguir, uma lista ds principais fatres mtivadres para as prpsições descritas nesta iniciativa, cnsiderand-s cm pnts de atençã e prtunidades de aprimrament: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã Necessidade de que as áreas de negóci encaminhem suas demandas de frma clara pssibilitand que a ST.A pssa realizar a avaliaçã quant a seu devid alinhament à estratégia rganizacinal e planejament para atendiment. Necessidade de elabraçã de planejament estratégic de TI em bases frmais vist que plans anterires fram desenvlvids internamente e sem devid aprfundament. 03 Necessidade de prcediment padrã cm critéris estruturads para tmada de decisões de alt nível. 04 Necessidade de assegurar ctejament entre custs de TI rçads e realizads de frma cntinuada e nã smente pr ações pntuais. 05 Necessidade de criaçã e especializaçã de área respnsável pel gerenciament de riscs de TI Necessidade de revisar a estrutura de cntrles interns, através da gerência u de auditrias pr terceirs independentes; Necessidade de amadureciment em relaçã às bas práticas de mercad gerand uma pstura prativa em relaçã a diagnóstic e encaminhament de nã cnfrmidades identificadas. Necessidade da ST.A realizar auditrias internas, realizadas pela própria TI, em caráter preventiv fmentand uma cultura de autavaliaçã em suas gerências. Necessidade de estruturaçã de prcesss vltads para alinhament da TI a negóci cntribuind para a qualificaçã: da tmada de decisã; ds investiments em tecnlgia e da cmunicaçã ds bjetivs e metas estratégicas cm precisã, nas devidas instâncias. Necessidade de melhr estabeleciment de regras e respnsabilidades para cada um ds prcesss vinculads às práticas de Gvernança de TI. Necessidade de implementaçã de gerenciament de riscs integrad: negóci e TI. Sistematizaçã da aplicaçã ds mecanisms de análise e tratament, além da avaliaçã sbre s recurss investids para assegurament ds patamares de risc desejads Necessidade de implantaçã d cicl de melhria cntínua para s prcesss em pauta, apiads pelas avaliações d desempenh ds prcesss e mecanisms de gvernança, risc e cnfrmidade nas suas mais amplas perspectivas; Necessidade d regrament de prcesss vltads à pnderaçã da efetiva cntribuiçã de TI para negóci, pssibilitand também a timizaçã de metas e bjetivs neste mesm sentid; 14 Necessidade de racinalizaçã ds custs e recurss de TI em geral. 15 Necessidade da definiçã de Papéis e Respnsabilidades em td cicl ds prcesss de gvernança.

87 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã Deve ser cnsiderada a necessidade de se estabelecer estratégias, diretrizes e rientações de terceirizaçã da TI, dentre utras plíticas setriais de TI de frma centralizada e gerenciada. Nã existem prcesss frmais de gerenciament de prjets de TI estabelecids e praticads na ST.A em níveis que garantam a efetividade ds resultads. Nã é adtada, na prática pela ST.A, uma metdlgia de gerenciament para s prjets de TI cmpatível cm a necessidade e prte da instalaçã. 19 Nã sã crdenadas de frma adequada as interdependências entre s prjets de TI. 20 Necessidade da estruturaçã de de práticas de alinhament das ações de TI.

88 86 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a implantaçã de uma estrutura e prcediments vltads para Gvernança, Risc e Cnfrmidade além de rtinas para gestã d prtfóli de prjets na ST.A, bedecend a seguinte sistemática: Implantar prcess de api a funcinament d Cmitê de TI; Implantar prcess de Planejament e Alinhament Estratégic de TI; Implantar prcess de Avaliaçã de Desempenh de TI; Implantar prcess de Cnfrmidade de TI cm Requisits externs; Implantar prcess de Mnitrament ds Cntrles Interns de TI; Implantar prcess de Balanceament ds Riscs de TI; Implantar prcess de Otimizaçã ds Recurss de TI; Implantar prcess para Assegurar a Entrega ds Benefícis de TI; Implantar prcess para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A; Implantar prcess para a gestã d Prtfóli, de prgramas e de prjets de TI Implantar prcess de api a funcinament d Cmitê de Infrmática Buscand dinamizar e cnslidar a aplicaçã d Cmitê de Infrmática, recmenda-se implementar na equipe de GRC, prcediments e rtinas e realizar tdas atividades de api a Cmitê, tend cm cmprmiss, em linhas gerais: Prmver um cnjunt de atividades preliminares, preparatórias, necessárias à realizaçã das reuniões de trabalh d Cmitê de Infrmática, cnsiderand a cleta, tratament e a análise de tdas as infrmações relevantes para prcess deliberativ; Interagir cm as diversas áreas de Furnas e demais equipes d Núcle de Gvernança da ST.A, visand bter e estruturar as infrmações que se façam necessárias a bm funcinament d Cmitê de Infrmática. De maneira mais específica, as atividades desempenhadas n prcess devem: Apiar a frmalizaçã necessária à cnstituiçã e revisões d Cmitê de Infrmática, prduzind, inclusive, cntribuições e s subsídis exigids para cnfecçã e aprimrament de instruments prtclares, tais cm: Terms de Abertura e Regiment Intern; Apiar a própria implantaçã/revisã d Cmitê de Infrmática quand requerid; Instrumentalizar Cmitê de Infrmática, criand a infraestrutura de prcess necessária a seu efetiv funcinament, estabelecend

89 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E templates e rtina de trabalh, identificand infrmaçã estruturada para api a prcess de avaliaçã de desempenh e tmada de decisã; Prpr padrões - Elements administrativs de suprte às reuniões; Prpr aprimrament d mdel de atuaçã - Dinâmica das reuniões, cnsiderand, pr exempl, a necessidade de: Verificar a presença e representatividade ds membrs; Aprvar a rdem d dia (pauta pré-definida); Aprvar ata anterir; Apresentar, discutir e vtar matérias, referentes à: Princípis, plíticas, diretrizes, rçament, investiments, arquitetura, infraestrutura, alinhament e pririzaçã; Avaliar atingiment ds resultads das ações prpstas em reuniões anterires; Leitura de expedientes; Cmunicações gerais. Viabilizar a captura de dads e cntribuir cm a prpsiçã de ações de melhrias sbre as diversas perspectivas de Gvernança cnsideradas: O alinhament estratégic; O rçament relacinad a TI; Os cntrats de TI; Nvas exigências de investiment; A timizaçã de recurss de TI; A qualidade de serviçs de TI; O desempenh de TI; Habilitaçã de cmpetências estratégicas; Os riscs de TI; A entrega de benefícis de TI para negóci; O prtfli de prjets e prgramas de TI; Os Cntrles Interns e a cnfrmidade na ST.A.;

90 88 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cm dit acima, mais especificamente n que diz respeit as subsídis necessáris à atuaçã d cmitê de TI, prcess de api deverá ser capaz de estruturar a infrmaçã, criand base para a análise, rientada inicialmente pr cinc principais perspectivas: Base para avaliaçã d nível de alinhament; Base para seleçã e pririzaçã de prjets; Base para revisã e aprimrament de plíticas e diretrizes; Base para avaliaçã de recurss e investiments; Base para análise d desempenh peracinal de TI. A sugestã apresentada trata de uma prpsta preliminar, nã exaustiva, para frmulaçã das principais bases de avaliaçã, a serem elabradas em api a Cmitê. É imprtante bservar que utras bases de avaliaçã deverã ser criadas a lng d temp, evluind cm amadureciment d prcess cm um td Implantar prcess de Planejament e Alinhament Estratégic de TI De acrd cm framewrk COBIT, planejament estratégic de TI é necessári para gerenciar tds s recurss de TI em alinhament cm as priridades e estratégias de negóci. A funçã de TI e as partes interessadas pel negóci sã respnsáveis pr garantir a timizaçã d valr a ser btid d prtfóli de prjets e serviçs. O plan estratégic deve melhrar entendiment das partes interessadas n que diz respeit a prtunidades e limitações da TI, avaliar desempenh atual e esclarecer nível de investiment requerid. A estratégia e as priridades de negóci devem ser refletidas ns prtfólis e executadas pr mei de plans tátics de TI que estabeleçam bjetivs cnciss, tarefas e plans bem definids e aceits pr ambs: negóci e TI. O COTISE estabelece que prcess de Planejament Estratégic de TI deverá cnsiderar, pel mens, a entrega de dis dcuments: Um dcument que apresente psicinament estratégic de TI em relaçã a Plan Estratégic Institucinal. Um dcument que apresente as iniciativas de TI, de curts e médis prazs, necessárias a alcance ds bjetivs estratégics traçads para a TI. A Cntrladria Geral da Uniã CGU e TCU, em seus trabalhs de auditria e fiscalizaçã, passaram a slicitar s seguintes dcuments das áreas de TI: Planejament Estratégic Institucinal; Planejament Estratégic de Tecnlgia da Infrmaçã PETI; Plan Diretr de Tecnlgia da Infrmaçã PDTI; Dcumentaçã através da qual seja definida a respnsabilidade pela elabraçã e aprvaçã d referid plan (Regiment Intern, Prtarias etc.);

91 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Dcumentaçã cmprbatória ds ats inerentes a prcess de elabraçã d Plan Estratégic de TI (exempl: atas de reuniã, dcuments de hmlgaçã etc.); O Guia de Elabraçã de PDTI d SISP, versã 1.0 de 2012, apresenta um mdel únic para PDTI, cntempland td cnteúd tátic característic desse tip de dcument, além ds elements estratégics, característics de um PETI. N cas de Furnas ptu-se pela entrega de um únic dcument, cntend s aspects estratégics e tátics. Em relaçã à implantaçã d prcess de planejament e alinhament estratégic, devem ser cnsideradas as seguintes atividades a serem desempenhadas pela equipe de GRC. Realizar/revisar Planejament Estratégic de TI peridicamente; Aprvar Planejament Estratégic de TI junt a Cmitê de Infrmática; Acmpanhar a execuçã das recmendações cnstantes d Planejament Estratégic de TI; Identificar as situações que pdem estar impedind u dificultand a execuçã das ações recmendadas e buscar api adequad para remediar a questã; Estabelecer estratégias, diretrizes e plíticas gerais de TI, cnsiderand inclusive as linhas de abrdagem adtadas e rientações quant à terceirizaçã de serviçs; Divulgar as estratégias e direcinament de TI para tdas as instâncias da ST.A; Prmver e garantir desdbrament d Planejament Estratégic em Plans tátics, junt às Gerências da ST.A; 3.3. Implantar prcess de Avaliaçã de Desempenh de TI De acrd cm framewrk COBIT, a gestã eficaz de desempenh de TI exige um prcess de mnitrament. Esse prcess inclui a definiçã de indicadres de desempenh relevantes, infrmes de desempenh sistemátics e prtuns e uma prnta açã em relaçã as desvis encntrads. O mnitrament é necessári para assegurar que as atividades crretas estejam send feitas e que estejam em alinhament cm as plíticas e diretrizes estabelecidas. O prcess de Avaliaçã de Desempenh deve cnsiderar as seguintes atividades, a serem desempenhadas pela equipe de GRC, tmand cm base Mapa Estratégic da ST.A: Estabelecer uma abrdagem transitória de mnitrament, até que uma abrdagem rbusta e definitiva pssa ser estabelecida, apiada integralmente n gerenciament ds indicadres d BSC (Balanced Screcard). A abrdagem temprária deve cnsiderar s recurss

92 90 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E dispníveis, s dads existentes para suprtar s indicadres e s bjetivs priritáris da ST.A. A abrdagem utilizada quer seja temprária u definitiva, deve cnsiderar as atividades descritas abaix: Divulgar bjetivs, métricas e metas (acrdadas) a serem atingidas para tdas as partes interessadas; Cletar e prcessar dads de desempenh, autmatizand prcess de cleta, sempre que pssível; Cmparar s resultads cm metas internas e benchmarking; Distribuir s relatóris para as partes interessadas, cnsiderand que frmat ds relatóris deve estar em acrd cm públic alv; Analisar as causas de desvis, iniciar ações crretivas, atribuir respnsabilidades pelas crreções e acmpanhar sua evluçã; Reprtar s resultads das crreções para as partes interessadas; Estabelecer um cicl de revisã da abrdagem de mnitrament de desempenh, cnsiderand: Recmendações para mudanças ns bjetivs, indicadres, metas, benchmarking, listas de distribuiçã e recurss de api a mnitrament; Revisã ds bjetivs de negóci e cnsequente revisã d mapa estratégic de TI. Desdbrar Mapa Estratégic de TI junt as Gerências da ST.A; Alinhar e integrar a abrdagem de mnitrament da ST.A cm a abrdagem de Mnitrament Crprativ; Prmver revisões periódicas quant a Pesquisa de Percepçã de Gvernança de TI, realizada inicialmente n cntext d PDTI Furnas ( ), e publicar s resultads Implantar prcess de Cnfrmidade de TI cm requisits externs; De acrd cm framewrk COBIT, a supervisã eficaz da cnfrmidade requer estabeleciment de um prcess de revisã para assegurar a cnfrmidade cm as leis e regulamentações, bem cm, s diverss requisits cntratuais. Esse prcess inclui identificar s requisits de cnfrmidade, timizar e avaliar a respsta, assegurar que s requisits sejam atendids e integrar s relatóris de cnfrmidade de TI cm s das áreas de negócis. O prcess de cnfrmidade de TI deve prever as seguintes atividades a serem realizadas pela equipe de GRC: Identificar e detalhar nvs requeriments de cnfrmidade para a ST.A u mudanças ns requeriments já existentes, cnsiderand, dentre utrs: SOX Cntrats externs COTISE Plíticas e Nrmativs igvti (indicadr de Gvernança de TI criad pel TCU)

93 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Respnder as mudanças ns requeriments de cnfrmidade, cnsiderand: Ajustar plíticas, prcediments, metdlgias, prcesss, atividades e sluções as nvs requeriments de cnfrmidade; Reprtar nvs requeriments e gaps de nã cnfrmidade as respectivs respnsáveis (TI, negóci, terceirs e parceirs de negócis) e acmpanhar a investigaçã da causa raiz. Obter garantia de cnfrmidade, cnsiderand: Validar de frma regular plíticas, prcediments e metdlgias, prcesss, atividades e sluções para assegurar a cnfrmidade cm s requeriments de cnfrmidade; Prvidenciar revisões externas de cnfrmidade, quand aprpriad; Integrar reprte de cnfrmidade a nível crprativ 3.5. Implantar prcess de mnitrament ds Cntrles Interns de TI De acrd cm framewrk COBIT, um prgrama eficaz de cntrles interns de TI requer um prcess de mnitrament bem definid. Esse prcess inclui mnitrament e reprte das exceções de cntrle, ds resultads de autavaliaçã e avaliaçã de terceirs. Cntrles sã plíticas, prcediments, práticas e estruturas rganizacinais, cncebids para prver uma garantia razável de que s bjetivs d negóci serã atingids e s events indesejáveis serã evitads u detectads e crrigids. O prcess de mnitrament ds cntrles interns deve cnsiderar s requeriments identificads n item 3.4, bem cm, as seguintes atividades a serem desempenhadas pela equipe de GRC: Mnitrar e revisar a efetividade ds cntrles interns de TI (cntrles da ST.A e cntrles ds prcesss de negóci autmatizads pela ST.A); Realizar autavaliações ds cntrles interns de TI, tais cm a evluçã anual de maturidade ds prcesss de TI; Auditar cntrles interns de TI perads pr terceirs; Mnitrar desempenh de revisões, auditrias e avaliações independentes ds cntrles interns de TI, assegurand que prvedres externs sejam independentes e qualificads; Identificar e reprtar deficiências ns cntrles interns de TI; Analisar causas-raiz e planejar iniciativas de crrigir e melhrar s cntrles interns de TI; Executar iniciativas de crreçã e melhra ds cntrles interns de TI.

94 92 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar prcess de Balanceament ds Riscs de TI De acrd cm framewrk COBIT, a gestã de risc dcumenta um nível cmum e acrdad de riscs de TI e estratégias de mitigaçã. Qualquer impact em ptencial ns bjetivs da empresa, causad pr um event nã planejad, deve ser identificad, capturad, analisad e avaliad. Estratégias de mitigaçã de risc devem ser adtadas para minimizar risc a níveis aceitáveis. O resultad da avaliaçã deve ser entendid pelas partes interessadas e express em terms financeirs para permitir que, de maneira cmpartilhada, negóci e TI definam s níveis de tlerância aceitáveis. Cnceit sbre apetite de risc Apetite para risc pde ser definid cm a cmbinaçã de frequência e magnitude de um risc. Cnceit de tlerância a risc Tlerância a risc é desvi tlerável de um nível estabelecid de apetite de risc. A tlerância a risc pde ser expressa usand um mapa de risc, cnfrme demnstrad na figura abaix, nde a rganizaçã pde indicar znas de tlerância, suprtadas pr plíticas estabelecidas. inaceitável Magnitude Aceitável Aceitável cm Restrições Oprtunidade Frequência Figura 3.1: Mapa de risc Exempls de cenáris de risc: Tabela 3.1: Cenáris de Risc Event Atras de prjet cm impact baix (perda financeira individual até R$ 50 mil) crrend até 2 vezes n an. Atras de prjet cm impact médi (perda financeira individual até R$ 100 mil) crrend até 5 vezes n an. Atras de prjet cm impact alt (perda financeira individual acima de R$ 100 mil) crrend mais de 5 vezes n an. Faixa de Risc Aceitável Aceitável cm restrições Inaceitável

95 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O prcess de balanceament de riscs de TI deve cnsiderar as seguintes atividades n âmbit da equipe de GRC: Avaliar balanceament ds riscs de TI Estabelecer cenáris e revisar peridicamente s elements relacinads a risc de TI, cnsiderand: Apetite de Furnas para riscs relacinads à TI; Nível de tlerância as riscs de TI, Peridicidade e prfundidade das avaliações de risc de TI; Grau de alinhament entre a estratégia de risc de TI cm a estratégia de risc crprativ; Direcinar balanceament ds riscs de TI Prmver cultura de cnheciment ds riscs de TI; Desenvlver e difundir s plans de cmunicaçã de risc, bem cm, s plans de açã de risc, em cnsnância cm s padrões e rientações cntidas na IE004 Implantaçã de prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A. Estabelecer mecanisms aprpriads para respnder rapidamente as mudanças de risc (ex: cnstruçã de gatilhs para execuçã de prcediments de mitigaçã de riscs); Definir plíticas e prcediments para identificaçã reprte e escalaçã de riscs de TI; Definir e cmunicar métricas para favrecer efetiv mnitrament ds riscs de TI; Atribuir respnsabilidades pela execuçã d gerenciament de riscs. Mnitrar balanceament ds riscs de TI Mnitrar quant perfil de risc está send gerenciad dentr ds limites de apetite de risc; Mnitrar bjetivs, métricas e metas de gestã de risc; Analisar as causas de desvis para endereçar a causa raiz; Atribuir respnsabilidades pela execuçã das ações de cntrn; Acmpanhar a execuçã das ações de cntrn Implantar prcess de Otimizaçã ds Recurss de TI De acrd cm framewrk COBIT, um prcess de timizaçã ds recurss de TI deve assegurar que estejam dispníveis capacidades, adequadas e suficientes, relacinadas a TI (pessas, prcesss e tecnlgia) para suprtar s bjetivs rganizacinais, de frma efetiva e a um cust ótim. O prcess de timizaçã de recurss de TI deve cnsiderar as seguintes atividades a serem desempenhadas pela equipe de GRC cm cmpartilhament de infrmações riundas da equipe de Gestã d Prtfóli e prjets de TI: Avaliar a timizaçã ds recurss de TI Examinar pções de prviment de recurss de TI, incluind terceirizaçã, para atender estratégias presentes e futuras;

96 94 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prpr princípis para guiar a alcaçã e gerenciament ds recurss, cnsiderand as priridades acrdadas e as restrições rçamentárias; Revisar plan de recurss e estratégias de arquitetura para assegurar a timizaçã ds recurss de TI. Direcinar a timizaçã ds recurss de TI Cmunicar a adçã de estratégias de gerenciament de recurss, princípis e plans de utilizaçã de recurss; Cmunicar a adçã de estratégias de arquitetura; Estabelecer princípis relacinads à salvaguarda de recurss; Alinhar gerenciament de recurss cm planejament financeir e de RH; Atribuir respnsabilidades pela execuçã d gerenciament de recurss; Mnitrar a timizaçã ds recurss de TI Mnitrar a alcaçã e timizaçã ds recurss de acrd cm s bjetivs e priridades crprativas; Mnitrar as estratégias de frneciment, estratégias de arquitetura, recurss de TI e capacidades para assegurar que as necessidades presentes e futuras pssam ser atendidas; Mnitrar desempenh ds recurss em relaçã às metas; Analisar a causa de desvis e iniciar ações de cntrn para endereçar a causa raiz Implantar prcess para Assegurar a Entrega de Benefícis de TI De acrd cm framewrk COBIT, um prcess para assegurar a entrega de benefícis deve extrair valr das iniciativas habilitadas pr TI, serviçs e ativs; entregar serviçs e sluções cm ba relaçã de cust/eficiência; apresentar uma visã cnfiável e precisa ds custs versus benefícis, de tal frma que as necessidades d negóci sejam suprtadas de frma efetiva e eficaz. O prcess a ser desempenhad pela equipe de GRC, para assegurar a entrega de benefícis TI, deve cnsiderar as seguintes atividades a serem desempenhadas pela equipe de Gestã d Prtfóli e prjets de TI, n Núcle de Gvernança: Avaliar a entrega ds benefícis d prtfóli de TI Elabrar/atualizar prtfóli de iniciativas para cada nv cicl, cnsiderand as necessidades de investiment; Avaliar critéris de pririzaçã de prtfóli de iniciativas; Avaliar se prtfli de TI está alinhad as bjetivs e prcesss d negóci, mantend s relacinaments entre bjetivs de negóci x bjetivs da ST.A x Iniciativas da ST.A; Avaliar as características d prtfóli de TI e prpr ações de melhria, cnsiderand: alinhament, usabilidade, dispnibilidade, eficiência, capacidade de respsta, redundância, atualizaçã tecnlógica, bslescência, dentre utrs elements;

97 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Avaliar as prbabilidades de entrega ds benefícis d prtfóli de serviçs e sluções e prpr ações de melhria. Direcinar a entrega ds benefícis d prtfóli de TI Divulgar prtfóli de TI; Divulgar critéris de pririzaçã de prjets/iniciativas d prtfóli; Definir e cmunicar bjetivs de entrega de valr e medidas de resultad para favrecer efetiv mnitrament; Direcinar qualquer mudança requerida n prtfóli; Atribuir respnsabilidades pela execuçã d gerenciament da entrega de benefícis. Mnitrar a entrega ds benefícis d prtfóli de TI Mnitrar e reprtar prgress da entrega de valr d prtfóli de TI; Tmar ações gerenciais para assegurar que s resultads esperads sejam atingids; Analisar a causa de desvis e iniciar ações de cntrn para endereçar a causa raiz; Acmpanhar a execuçã das ações crretivas Implantar prcess para elabraçã, manutençã e aprimrament d Mdel de Gvernança de TI na ST.A O prcess de elabraçã, manutençã e aprimrament d mdel de Gvernança de TI deve cnsiderar as seguintes atividades: Avaliar peridicamente se mdel e s mecanisms de gvernança estabelecids estã ajudand prtfóli de TI a criar valr para negóci, cnsiderand: Estruturas da ST.A; Princípis e Diretrizes de Gvernança de TI; Plíticas e instruções internas sbre Gvernança de TI; Plíticas vltadas para recmpensa cm base n desempenh; Prcesss da ST.A, papéis/respnsabilidades estabelecidas; Mdel de tmada de decisã, basead em regras de dispar de execuçã de prcediments quand certs limites sã ultrapassads. Adtar ações gerenciais para assegurar que s resultads esperads sejam atingids; Prpr melhrias n mdel e mecanisms de Gvernança de TI; Acmpanhar a aprvaçã e execuçã das ações de melhria.

98 96 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar prcess frmal para gerenciament d prtfóli, de prgramas e prjets de TI O prcess a ser efetivad, cntribuind em alt nível para a entrega ds benefícis esperads, tem sb sua respnsabilidade principal cnjunt de incumbências: Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d Escritóri de Prjets, de frma a atender as recmendações de padrões cnsagrads de mercad; Definir tdas as parametrizações necessárias a acmpanhament e análise de situaçã ds prjets, além da estrutura de alçadas decisórias a serem seguidas. Estas infrmações estã assciadas à visã de risc da Organizaçã e deverã ser parte das plíticas estabelecidas e amplamente divulgadas n âmbit da ST.A Ratificar a adçã de metdlgia para gerenciament de prgramas e prjets. A ratificaçã quant à metdlgia a ser adtada é de suma imprtância nã só pr sua aplicaçã cm efetiva ferramenta de suprte a gerenciament de prjets, mas também cm element direcinadr das ações de capacitaçã, fundamentais neste cntext, e que devem estar plenamente alinhadas à esclha d padrã de mercad a ser praticad. Detalhar s prcediments de execuçã das atividades de gestã ds prjets. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de gestã ds prjets, tend cm base as recmendações de mdels de mercad; Mbilizar e treinar pessas capacitand a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas para gerenciament de prjets; Frmalizar a plítica de atuaçã e prduzir as rientações para execuçã das atividades de gestã ds prjets; Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das deficiências e melhria cntínua de prcediments. Mdelar, descrever dcumentar, implementar e cmunicar s prcesss e prcediments de gestã precnizads pr mdels de mercad assumids cm referência; Mnitrar, timizar e reprtar desempenh d prtfóli: Revisar prtfóli de frma regular para identificar e explrar sinergia, eliminar duplicaçã entre prgramas, identificar e eliminar riscs; Desenvlver em cnjunt cm a equipe GRC, métricas de mnitrament d prtfóli; Elabrar e reprtar para a Gvernança, infrmações quant a desempenh d prtfóli. Articulad cm prcess de Entrega de Benefícis, gerenciar alcance ds benefícis prevists em prjets: Zelar pela entrega ds benefícis d prtfóli de TI e estabelecer base de cnheciment sbre cm eles sã atingids; Mnitrar a entrega ds benefícis d prtfóli de TI; Implementar ações crretivas quand necessári;

99 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Estabelecer e manter prcess frmal para assegurar a entrega ds benefícis. Estabelecer e manter critéris de pririzaçã para prtfóli de iniciativas estratégicas de TI. Elabrar/atualizar prtfóli de iniciativas estratégicas de TI para cada nv cicl, cnsiderand as necessidades de investiment. Avaliar se prtfli de TI está alinhad as bjetivs e prcesss d negóci, mantend s relacinaments entre bjetivs de negóci, bjetivs da ST.A e Iniciativas de TI. Tmar as ações gerenciais necessárias de realinhament d prtfóli sempre que necessári. Mnitrar prtfóli de prjets e serviçs de TI. Apiar as ações de timizaçã de recurss de TI a partir da visã de prtfóli. Estabelecer e manter prcess frmal para gerenciar prtfóli de TI. Estabelecer prcediments prvisóris para suprir insums que deveriam ser frnecids pr prcesss COBIT ainda nã implantads na ST.A u prcediments definitivs de integraçã cm prcesss COBIT já implantads.

100 98 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer estrutura de Gvernança de TI na ST.A Implementar Estrutura Organizacinal de Gerenciament da Gvernança de TI. Organizar uma área na estrutura da ST.A, que fique respnsável pela Gvernança de TI. Implantar prcess de api a funcinament d Cmitê de TI Prmver atividades preliminares necessárias à realizaçã das reuniões de trabalh d Cmitê. Estruturar as infrmações necessárias à realizaçã das reuniões de trabalh d Cmitê. Prcediments que viabilizem e assegurem êxit das reuniões d Cmitê de TI. Ver item 3.1. Implantar prcess de Planejament e Alinhament Estratégic de TI Mdelar prcess de Planejament Estratégic de TI da ST.A. Descrever prcediments de Planejament Estratégic de TI. Definir mdels dcumentais para Planejament Estratégic de TI. Elabrar manuais de Planejament Estratégic de TI. Implementar ferramentas de api a Planejament Estratégic de TI. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de Planejament Estratégic de TI da ST.A. Ver item3.2. Detalhar s prcediments de execuçã das atividades de Planejament Estratégic de TI. Ver item 3.2. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Planejament Estratégic de TI. Ver item 3.2. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Planejament Estratégic de TI. Ver item 3.2. Desenvlver u adquirir ferramentas específicas de api, que permitam acmpanhament da execuçã a lng d cicl de vida d Planejament Estratégic de TI. Ver item 3.2. Implementar prcediments que garantam que Prcess de Planejament Estratégic trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e melhres práticas cm COBIT e ITIL. Ver item 3.2. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess.

101 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de Planejament e Alinhament Estratégic de TI Cmunicar implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess de Avaliaçã de Desempenh de TI Revisar/ratificar a mdelagem d prcess de Avaliaçã de Desempenh de TI da ST.A elabrad a lng d PDTI, cm pnt de partida para as demais etapas da recmendaçã. Descrever prcediments de Avaliaçã de Desempenh de TI. Definir mdels de referência para Avaliaçã de Desempenh de TI. Elabrar manuais de Avaliaçã de Desempenh de TI. Implementar ferramentas de api a Avaliaçã de Desempenh de TI. Revisar/ratificar desenh e descriçã da cadeia de valr, macrprcesss, prcesss e atividades de Avaliaçã de Desempenh de TI da ST.A. e prmver ajustes decrrentes de eventuais adequações implementadas pela ST.A, psterirmente a mapeament realizad. Ver item 3.3. Detalhar s prcediments de execuçã das atividades de Avaliaçã de Desempenh de TI. Ver item 3.3. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Avaliaçã de Desempenh de TI. Ver item 3.3. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Avaliaçã de Desempenh de TI. Ver item 3.3. Desenvlver ferramentas temprárias de api até que Sistema de Gestã Estratégica da ST.A basead n BSC tenha sid implantad, cnsiderand que mesm cnstitui ferramental de avaliaçã de desempenh. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Implementar prcediments que garantam que Prcess de Avaliaçã de Desempenh trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.3. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads.

102 100 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de Avaliaçã de Desempenh de TI Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess de Cnfrmidade de TI cm Requisits externs Mdelar prcess de Avaliaçã de Cnfrmidade de TI cm Requisits externs. Descrever prcediments de Cnfrmidade de TI cm Requisits externs. Definir templates de Cnfrmidade de TI cm Requisits externs. Elabrar manuais de Cnfrmidade de TI cm Requisits externs. Implementar ferramentas de api a Cnfrmidade de TI cm Requisits externs. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d prcess. Cmunicar implantaçã d prcess. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de Cnfrmidade de TI cm Requisits externs. Ver item 3.4. Detalhar s prcediments de execuçã das atividades de Cnfrmidade de TI cm Requisits externs. Ver item 3.4. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Cnfrmidade de TI cm Requisits externs. Ver item 3.4. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Cnfrmidade de TI cm Requisits externs. Ver item 3.4. Desenvlver, timizar u adquirir ferramentas específicas de api a atividades de Cnfrmidade de TI cm Requisits externs, que atendam as prcediments implementads. Implementar prcediments que garantam que Prcess de Cnfrmidade de TI cm Requisits externs trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.4. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments.

103 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de mnitrament ds Cntrles Interns de TI Mdelar prcess de mnitrament ds Cntrles Interns de TI. Descrever prcediments de mnitrament ds Cntrles Interns de TI. Definir templates de mnitrament ds Cntrles Interns de TI. Elabrar manuais de mnitrament ds Cntrles Interns de TI. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de mnitrament ds Cntrles Interns de TI. Ver item 3.5. Detalhar s prcediments de execuçã das atividades de mnitrament ds Cntrles Interns de TI. Ver item 3.5. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de mnitrament ds Cntrles Interns de TI. Ver item 3.5. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de mnitrament ds Cntrles Interns de TI. Ver item 3.5. Implementar ferramentas de api mnitrament ds Cntrles Interns de TI. a Desenvlver u adquirir ferramentas específicas de api a atividades de mnitrament ds Cntrles Interns de TI, que atendam as prcediments implementads e que permitam acmpanhament da evluçã ds cntrles a lng d temp. Ver item 3.5. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Implementar prcediments que garantam que Prcess de mnitrament ds Cntrles Interns de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.5. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Implantar Prcess de Balanceament de Riscs de TI Mdelar prcess de Balanceament ds Riscs de TI. Descrever prcediments de Balanceament ds Riscs de TI. Definir templates de Balanceament ds Riscs de TI. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de Balanceament ds Riscs de TI. Ver item 3.6. Detalhar s prcediments de execuçã das atividades de Balanceament ds Riscs de TI. Ver item 3.6. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Balanceament ds Riscs de TI. Ver item 3.6.

104 102 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar Prcess de Balanceament de Riscs de TI Elabrar manuais de Balanceament ds Riscs de TI. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Balanceament ds Riscs de TI. Ver item 3.6. Implementar ferramentas de api Balanceament ds Riscs de TI. a Desenvlver u adquirir ferramentas específicas de api a Balanceament ds Riscs de TI, que atendam as prcediments implementads, que apiem s diagnóstics de risc e favreçam dispar de execuçã autmática de prcediments em funçã de limites atingids. Ver item 3.6. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Implementar prcediments que garantam que Prcess de Balanceament ds Riscs de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.6. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Implementar prcediments que garantam que Prcess de Balanceament ds Riscs de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.AG e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.6. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess de Otimizaçã ds Recurss de TI Mdelar prcess de Otimizaçã ds Recurss de TI. Descrever prcediments de Otimizaçã ds Recurss de TI. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de Otimizaçã ds Recurss de TI. Ver item 3.7. Detalhar s prcediments de execuçã das atividades de Otimizaçã ds Recurss de TI. Ver item 3.7.

105 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de Otimizaçã ds Recurss de TI Definir templates de Otimizaçã ds Recurss de TI. Elabrar manuais de Otimizaçã ds Recurss de TI. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Otimizaçã ds Recurss de TI. Ver item 3.7. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Otimizaçã ds Recurss de TI. Ver item 3.7. Implementar ferramentas de api Otimizaçã ds Recurss de TI. a Desenvlver u adquirir ferramentas específicas de api a Otimizaçã ds Recurss de TI, que atendam as prcediments implementads e que permitam, n mínim, a visualizaçã rápida quant a utilizaçã de recurss crítics de TI. Ver item 3.7. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d prcess. Cmunicar implantaçã d prcess. Implementar prcediments que garantam que Prcess de Otimizaçã ds Recurss de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.7. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess para Assegurar a Entrega de Benefícis de TI Revisar/ratificar prcess de Entrega de Benefícis de TI mapead n PDTI. Descrever prcediments de Entrega de Benefícis de TI. Definir templates de Entrega de Benefícis de TI. Revisar/ratificar desenh e descriçã da cadeia de valr, macrprcesss, prcesss e atividades da Entrega de Benefícis de TI. e prmver ajustes decrrentes de eventuais adequações implementadas pela ST.A, psterirmente a mapeament realizad. Ver item 3.8. Detalhar s prcediments de execuçã das atividades de Entrega de Benefícis de TI. Ver item 3.8. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de Entrega de Benefícis de TI. Ver item 3.8.

106 104 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess para Assegurar a Entrega de Benefícis de TI Elabrar manuais de Entrega de Benefícis de TI. Implementar ferramentas de api a Entrega de Benefícis de TI. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de Entrega de Benefícis de TI. Ver item 3.8. Desenvlver u adquirir ferramentas específicas de api a Entrega de Benefícis de TI, que atendam as prcediments implementads e que permitam acmpanhar, de frma prativa, a entrega de benefícis d prtfóli. Ver item 3.8. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Implementar prcediments que garantam que Prcess de Entrega de Benefícis de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.8. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A Mdelar prcess para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Descrever prcediments para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Definir templates para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Elabrar manuais para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Ver item 3.9. Detalhar s prcediments de execuçã das atividades para para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Ver item 3.9. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades para elabraçã e manutençã d Mdel de Gvernança de TI na ST. A. Ver item 3.9. Prduzir manuais detalhads cm pass a pass de execuçã das atividades de elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Ver item 3.9.

107 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A Implementar ferramentas de api para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A. Implementar prcediments de integraçã cm s demais prcesss de TI. Dispnibilizar infraestrutura. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Desenvlver u adquirir ferramentas específicas de api que permitam acmpanhament ds cicls de revisã d Mdel de Gvernança de TI na ST.A. Ver item 3.9. Implementar prcediments que garantam que Prcess para elabraçã e manutençã d Mdel de Gvernança de TI na ST.A trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e as recmendações de melhres práticas cm COBIT e ITIL. Ver item 3.9. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Apiar a execuçã d prcess. Apiar na peracinalizaçã ds prcediments cm detecçã e crreçã das imperfeições e melhria cntínua de prcediments. Implantar prcess frmal para gerenciament d prtfóli, prgramas e prjets de TI Ratificar a adçã de metdlgia para gerenciament d prtfóli, de prgramas e prjets na ST.A. Frmalizar a plítica de atuaçã. Cnfirmar a metdlgia a ser assumida cm referência para gestã e suprte à gerência de prtfóli, prgramas e prjets da ST.A em funçã de ser direcinadra de diversas ações em utras instâncias e prcesss na ST.A cm, pr exempl, capacitaçã. Organizar n Núcle de Gvernança prpst na estrutura da ST.A, equipe que seja respnsável pela gestã cntínua d prtfóli, de prgramas e prjets de TI, frmalizand junt as órgãs de cntrle interns da rganizaçã sua implantaçã e plíticas adtadas para seu funcinament.

108 106 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess frmal para gerenciament d prtfóli, de prgramas e prjets de TI Mdelar s prcesss de gestã d prtfóli, de prgramas e prjets; Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades de frma a atender s bjetivs de cntrle e integraçã d COBIT; Implantar prcess/subprcesss: Definir mdels de gestã de gestã d prtfóli, de prgramas e prjets; Detalhar s prcediments de execuçã das atividades de gestã d prtfóli, de prgramas e prjets. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades, tend cm base as recmendações da metdlgia adtada; Elabrar manuais de gestã d prtfóli, de prgramas e prjets; Prduzir manuais detalhads cm pass a pass de execuçã das atividades pertinentes. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas para a equipe de gerenciament d prtfóli, de prgramas e de prjets. Mbilizar, treinar pessas e fmentar a utilizaçã das ferramentas de api à gestã de prjets. Detalhar s requisits, avaliar ferramentas n mercad e decidir pela manutençã, aquisiçã u desenvlviment de sistema de api para s prcediments de gestã d prtfóli, de prgramas e prjets. Avaliar Mbilizar e treinar s prfissinais que ficarã respnsáveis pr acmpanhar a implantaçã ds prcesss sb respnsabilidade da equipe de gerenciament. Cmunicar a peraçã. Cmunicar à rganizaçã a implantaçã d funcinament da equipe, suas respnsabilidades, prcediments e indicadres adtads. Desenvlver ferramentas de us cmum Implementar ferramentas cmuns de api as atividades de Gvernança. Desenvlver u adquirir ferramentas específicas para cntrle e acmpanhament de ações de melhria diversas n âmbit da ST.A.

109 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Alinhament da TI cm as necessidades d Negóci e crret estabeleciment de priridades. Investiments de TI mais eficazes, realizaçã de benefícis e mair transparência. Visã integrada ds riscs de TI permitind mair atençã as riscs de mair relevância. Relatóris de desempenh de TI atualizads pssibilitand ajustes mais eficazes e mair agregaçã de valr a negóci. Deficiências ns cntrles de TI detectadas mais rapidamente, assegurand a cnfrmidade cm s regulaments externs. Alcaçã de recurss e estabeleciment de respnsabilidades crrend de frma adequada.

110 108 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Alcaçã de recurss humans subdimensinament da equipe Restrições quant à mbilizaçã ds recurss humans necessáris a avanç da iniciativa, mtivadas pr limitaçã n cntingente de pessal, sbrepsta à cncrrência e sbrecarga de atividades ns segments da ST.A envlvids. ST.A n mment da definiçã d quantitativ de empregads alcads à equipe de implementaçã da iniciativa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt X Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Nme Descriçã Fnte Dmíni e experiência prática sbre s prcesss de Gvernança de TI definids na Iniciativa em pauta Restrições quant a cnheciment e experiência prática na implementaçã de prcesss e prcediments de Gvernança de TI na ST.A. ST.A n mment da definiçã d perfil da equipe de implementaçã. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

111 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.3: Respstas as Riscs Riscs Tratament Respsta Alcaçã de recurss humans. Mitigar Realcaçã de recurss em cmplementaçã à equipe mínima necessária para tratar prcess e cnduzir as atividades prgramadas. Fc ns prcesss e atividades mais relevantes, bem cm, ns recurss de mair criticidade. Dmíni e experiência prática sbre a íntegra d prcess de gestã de frnecedres. Transferir Cntrataçã de recurss especializads n assunt visand agregaçã de cnheciment cmplementar.

112 110 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE006 - Aprimrament d prcess de rçament e custs 1. Objetiv da Iniciativa Esta iniciativa deriva da IE005 Definiçã e implantaçã de Estrutura e Mecanisms de Gvernança de TI na ST.A, tratand, especificamente, da funçã especializada da gestã rçamentária e de custs, desempenhada n âmbit da equipe de GRC. Recmendar a implantaçã de uma estrutura de Cntrle Financeir de TI, a partir d aprimrament ds mecanisms existentes de cntrle rçamentári e alcaçã de custs na ST.A, de frma a assegurar nível aprpriad de recurss financeirs para desenhar, desenvlver, entregar e suprtar serviçs de TI que atendam as necessidades das diversas Diretrias de Furnas Objetivs Estratégics apiads Segue abaix, a relaçã ds bjetivs d Mapa Estratégic da ST.A, suprtads de frma primária u secundária pelas recmendações prescritas nesta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P1 - Racinalizar custs gerais de TI. Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment. Primári Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI. Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api a(s) Cmitê(s) de TI. Secundári

113 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Resultads R2 - Reduzir custs unitáris de TI. Sistematizar prcediments de apuraçã, análise e cntrle de custs ds serviçs de tecnlgia da infrmaçã prestads pela ST.A, visand a adçã de pssíveis medidas para sua reduçã. Faz parte deste bjetiv estud para identificaçã, definiçã e pririzaçã das unidades de serviçs de TI a serem cnsideradas. Primári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precnizam as bas práticas ds livrs da ITIL versã 3, lançada em junh de 2007 e revisada na ediçã em 2011, que sã recmendações e rientações de mercad para uma gestã de serviçs de TI adequada para a rganizaçã. Também sã cnsiderads s direcinaments d framewrk de gestã Cntrl Objectives fr Infrmatin and Related Technlgy - COBIT Iniciativas estratégicas relacinadas IE005 - Definiçã e implantaçã de Estrutura e Mecanisms de Gvernança de TI na ST.A Prcesss COBIT 5 vinculads à Iniciativa APO05 Gerenciar Prtfóli APO06 Gerenciar Orçament e Custs APO09 Gerenciar acrds de serviç EDM02 Assegurar Entrega ds Benefícis BAI01 Gerenciar Prgramas e Prjets

114 112 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual N cenári avaliad fi detectada a necessidade de timizaçã ds prcediments e estabeleciment de prcess frmal de Cntrle Financeir de TI, envlvend as atividades abaix: Estabeleciment de Mdel de Cntrle Financeir de TI; Orçament de TI; Alcaçã de Custs de TI; Análise da Execuçã Orçamentária de TI cm base em rçament previamente aprvad; Cbrança pels serviçs de TI. De frma geral, a ST.A ainda nã pssui um direcinament junt as áreas de negóci para tratar sbre tema de alcaçã de custs de TI. O prcess de rçament e custs utiliza frmalmente sistema integrad de gestã da rganizaçã (SAP). O mdel de cust da ST.A referencia da Eletrnuclear, cntend itens cm manutençã de prgramas, serviçs de TI, entre utrs; Nã existe um prcess de cntrle de custs para tds s elements d custei de TI. Smente elements estruturais (renvaçã de cntrats, prjets, despesas cm viagens e reembls) e de investiment (prjets de desenvlviment e nvs equipaments u sftware) sã alv de rçamentaçã. Elements tais cm depreciaçã e custs indirets nã fazem parte d prcess de rçament e custs de TI. A pririzaçã das iniciativas de investiment é realizada pela sensibilidade ds gestres de frma desestruturada, nã existind critéris frmais para a tmada de decisã em cas de crtes pr falta de recurss. Nã existe uma classificaçã ds prjets de investiment baseada em cass de negóci, trazend cm cnsequência a falta de visã d retrn d investiment (ROI). Nã há garantia de que rçament atualmente reflita as priridades referentes as bjetivs estratégics da rganizaçã. O custei de TI nã é basead n prtfóli de serviçs de TI da rganizaçã. Nã existe maturidade sbre cnceit de prtfóli de prgramas e serviçs de TI dentr da rganizaçã. O rçament referente a treinament de pessal é definid externamente, send de respnsabilidade d Departament de Educaçã Crprativa (DUC.G), pertencente à Superintendência de Gestã de Pessas (RH.G).

115 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O rçament previst para custei referente à renvaçã de cntrats é basead n cust ds cntrats n an anterir independente se cntrat será renvad u nã. Atualmente smente existe acmpanhament mensal ds custs ds prjets de investiment (Realizad X Orçad), nã crrend mesm para s custs estruturais. Após rçament entregue pels departaments sã realizadas duas u três reuniões de revisã d rçament cm superintendente e gerentes ds departaments. N final de an, cas crra sbra de verba para custei estrutural, s departaments fazem transferências internas entre si Riscs assciads Seguem abaix, s principais riscs assciads, decrrentes das cndições descritas na situaçã atual. A ausência de prcediments timizads de gestã Financeira de TI pde causar: Elabraçã de Orçament de TI nã refletind as necessidades d negóci; Dificuldades de aprvaçã e falta de suprte da Diretria Executiva para rçament de TI; Deficiências cntrle sbre a execuçã rçamentária de TI; Alcaçã inaprpriada de recurss financeirs para as perações de TI; Percepçã incrreta sbre a cntribuiçã de TI; Métd de alcaçã de custs inaprpriad para as necessidades d negóci; Distrções e imprecisões na cntabilizaçã de custs; Decisões de investiment baseadas em infrmações incrretas sbre custs de TI; Impssibilidade de adtar mdel de cbrança pela execuçã ds serviçs de TI; Registrs e apntaments de nã cnfrmidades ns prcesss de auditria interna e externa. Cmprmetiment da perspectiva de avaliaçã de custs unitáris de TI em decrrência da fragilidade da infraestrutura de custs necessária para tal.

116 114 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Decrrentes das cndições de peraçã e práticas identificadas na avaliaçã da situaçã atual apresentams, a seguir, uma lista ds principais fatres mtivadres para as prpsições descritas nesta iniciativa, cnsiderand-s cm pnts de atençã e prtunidades de aprimrament: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã Necessidade de sistematizaçã d prcess de acmpanhament de custs cm ctejament regular entre s valres rçads e realizads. Garantir a cntinuidade da prática. Necessidade de integraçã cm as áreas de negóci para direcinament da alcaçã de custs de TI de frma a garantir atendiment de suas necessidades. Necessidade de se criar cndições que favreçam as abrdagens de cust pr cbrança diferenciada e pr cnsum de utilizaçã ds serviçs de TI, cm repasse ds encargs para as respectivas áreas de negóci; 04 Necessidade de adequações d atual mdel de custs cm element viabilizadr de apurações mais precisas e flexíveis ds recurss. 05 Necessidade de integraçã d cntext de rçament e gerenciament de custs. 06 Necessidade de centralizaçã das plíticas e das ações relacinadas a gerenciament de custs, de frma a evitar que crram abrdagens diferenciadas e clidentes em relaçã a situações similares referentes à engenharia de custs. Obter cnvergência unifrmizaçã/padrnizaçã e regrament em relaçã a prcess. 05 Necessidade de habilitar, cm adequad gerenciament financeir, premissas relacinadas à btençã e apuraçã ds valres unitáris ds serviçs de TI, apiand futuras avaliações de cust versus benefícis.

117 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a implantaçã de uma estrutura vltada para Cntrle Financeir de TI na ST.A, cntempland as seguintes ações. Estabelecer estrutura de Cntrle Financeir de TI na ST.A; Implantar prcess de Cntrle Financeir de TI na ST.A; Estabelecer mdel de Cntrle Financeir de TI; Implantar prcediments para Criar e manter rçament de TI ; Implantar prcediments para Alcaçã de Custs de TI ; Implantar prcediments para Análise da Execuçã Orçamentária de TI ; Implantar prcediments para Cbrança pels serviçs de TI ; Iniciar nv prcess de Cntrle Financeir de TI na ST.A. É imprtante bservar, cnfrme referenciad na IE005 Definiçã e implantaçã de Estrutura e Mecanisms de Gvernança de TI na ST.A, que as recmendações cntidas nesta Iniciativa Estratégica, sã aplicáveis n cntext d Núcle de Gvernança, especificamente n segment de GRC (Gvernança, Risc e Cnfrmidade ), em cnsnância cm estabelecid n PDTI Vlume I, em seu item 8, subitem intitulad Cmpnentes Suplementares à estrutura Organizacinal da ST.A Implantar prcess de Cntrle Financeir de TI. Estabelecer e implantar prcess frmal de Cntrle Financeir de TI que deve cnsiderar as seguintes atividades: Estabelecer Mdel de Cntrle Financeir de TI A cnstituiçã d mdel a ser cnsiderad prevê a execuçã de três prcediments básics: Criar plíticas e práticas de cntrle financeir de TI; revisar peridicamente mdel de cntrle financeir de TI e cmunicar eventuais mudanças n mdel. Criar plíticas e práticas de cntrle financeir de TI deve cmtemplar, n mínim, s seguintes itens: Regras e padrões para alcaçã e cálcul ds custs; Regras e padrões para registr e acmpanhament ds itens de custs de TI Regras e padrões para classificaçã ds itens de cust de TI em terms cntábeis; padrões de infrmativs sbre rçament e custs de TI; Regras de elabraçã e manutençã d rçament; Regras de cbrança e ratei ds custs de TI;

118 116 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Matriz de cmunicaçã definind cm s custs serã reprtads e para que instâncias; Prcediments e mecanisms de dispars para questões parametrizadas que exijam alçada e escalnament; Papéis e respnsabilidades de md geral garantind a segregaçã de funções; Parametrizaçã d prcess. Definiçã de escalas de temp, prazs limites, dentre utrs. Sistematizar cicl de revisões periódicas d mdel de cntrle financeir de TI visand manter a atualizaçã e assim a relevância d mesm cm instrument de gestã; Cmunicar eventuais mudanças n mdel. Cnceitualmente, mdel sugerid pde ser representad pel diagrama ilustrativ expst a seguir: Figura 3.1: Mdel de Cntrle Financeir de TI

119 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Em sua cnstituiçã, mdel apresentad na figura acima cnsidera s seguintes cmpnentes: Tabela 3.1: Cmpnentes e suas descrições Cmpnente Entradas Descriçã Plíticas de Gerenciament Financeir de Furnas visand assegurar alinhament as plans e prcediments cntábeis adtads; O prtfóli de iniciativas e serviçs da ST.A, para s quais precisarã ser estabelecids preçs a serem cbrads; Os prcesss de gerenciament de serviçs da ST.A, a partir ds quais será pssível identificar s elements de cust a serem cnsiderads. Centr de cust Tip de cust Lugar nde um cust pde ser alcad, pdend ser um serviç, lcalizaçã, departament, unidade de negóci, etc. Categrias que permitem descriminar cust em níveis mais específics, tais cm: hardware, sftware, pessal, serviçs de cnsultria, dentre utras, que pr sua vez pdem ser desdbradas em níveis ainda mais baixs e assim sucessivamente. Unidade de cust Determina a frma pela qual s custs pderã ser alcads, medids e cmunicads. A unidade de cust permite a fácil cmpreensã pels clientes a que se relacina. Pr exempl: um sistema de Inventári (SI) que utiliza segunds de CPU, memória e tráfeg de rede, pderia estar assciad a uma unidade de cust chamada Transaçã SI cuj cust seria uma cmpsiçã derivada ds custs de CPU, memória e rede. Classificaçã d cust Estabelece cm s custs serã gerenciads, analisads e reprtads, cnsiderand as três classificações abaix: 1. Despesas de Capital (CAPEX sujeita a depreciaçã), u Despesa Operacinal (OPEX); 2. Cust Diret u Indiret; 3. Cust Fix u Cust Variável. O mdel pssibilita: Saídas Realizar a avaliaçã d valr d serviç de TI a partir da crreta precificaçã d serviç e a cmparaçã cm a qualidade d mesm; Realizar análises de investiment que requeiram dads sbre s custs de serviçs de TI; Buscar a timizaçã ds custs de TI cnsiderada a pssibilidade de eliminaçã de elements de cust ds serviçs, cas crra a reduçã n nível de serviç fertad. O Mdel de Cntrle Financeir de TI, para que seja efetiv, deve cntemplar a realizaçã e sistematizaçã de dis cicls distints cm as características descritas abaix, a cnsiderar:

120 118 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 3.2: Cicls Cicl Orçament Alcaçã de custs Execuçã Orçamentária Cbrança Planejament Anual Acrd sbre tds s gasts a serem realizads. Criaçã das unidades de cust para cada nv recurs/serviç de TI. Cmparativ entre rçad e real. Definiçã de plítica de preç/cbrança e publicaçã da lista de preçs. Operacinal Mensal Revisões rçamentárias. Mnitrament das despesas pr centr de cust. Estabeleciment de ações crretivas em funçã de desvis n rçament. Cmpilaçã de dads e emissã de cbrança. Em relaçã a métd de ratei, a ST.A deve cnsiderar a evluçã gradual para cntext apresentad na figura a seguir:

121 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.2: Evluçã Gradual A utilizaçã d métd acima permite calibrar s níveis de serviç em relaçã a seu cust de frma mais transparente para negóci. Desta frma a ST.A, em funçã de mair precisã na alcaçã ds custs, passa a ser capaz de cntrlar nível de rçament adequad para sustentar s níveis de serviç exigids pela Organizaçã.

122 120 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Vale ressaltar, que a adçã d mdel de cntrle financeir de TI é uma atividade cmplexa em funçã d nível de especializaçã e us de mecanisms sfisticads, necessáris para sua implementaçã. Entretant, para s níveis de gvernança desejads para Furnas, trna-se fundamental que, pnderand sbre s cndicinantes relacinads a utrs prcesss de api dentr d mdel de maturidade, s prcediments para gerenciament d rçament e ds custs sejam trabalhads de frma gradual e cntinuamente. Implantar prcediments para Criar e manter rçament de TI O exercíci de rçamentaçã é prcess de previsã das despesas de TI e cnsiste de um cicl de negciaçã periódica para estabelecer rçament anual da área. Vale bservar que rçament nã existe para autrizar limite de gast, mas para assegurar que nível de gast de TI seja aprpriad as patamares de atividade d negóci, respndend as níveis de serviç pactuads. A implantaçã de prcediments para criar e manter rçament de TI deve cnsiderar as seguintes atividades: Elabrar rçament de TI cnsiderand as plíticas de Furnas e as rientações d Guia prátic de cntratações de Sluções de Tecnlgia da Infrmaçã d SISP; Realizar a análise d rçament anterir para detectar tendências de gasts e receitas, reduzind as incertezas e errs n rçament atual; Avaliar se huve mudanças em financiaments e gasts; Trabalhar referenciad a prtfóli de TI derivad ds prjets estratégics de caráter institucinal. Avaliar plan de negóci das diversas Diretrias de Furnas, identificand as estratégias que pderã requerer envlviment da ST.A, tais cm nvs serviçs, nvs prjets, mudanças rganizacinais, repsicinaments. Preparar rçament de TI, cnsiderand s preparativs, distribuiçã de frmuláris, cleta de dads; cnslidaçã e validaçã d resultad; Mnitrar a efetividade ds prcediments de td cicl rçamentári e usar s resultads para implementar melhrias que assegurem rçaments mais acurads para cicls futurs. O prcess de avaliaçã e negciaçã deve cmeçar pel mens um trimestre antes d final de cada an, permitind que tds btenham as infrmações necessárias para um crret rçament, que deve ser basead nas rientações d Cmitê de TI sbre expectativas de cresciment e limitações de cust. Implantar prcediments para Alcaçã de Custs de TI É prcess que realiza a crreta alcaçã ds custs realizads, permitind a apuraçã da frma cm dinheir é gast, pr unidade de negóci, serviç u utra segmentaçã que se cnsidere prtuna.

123 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A implantaçã de prcediments para alcar custs de TI, deve cnsiderar as seguintes atividades: Definir a granularidade em que s custs de TI serã acmpanhads e mnitrads; Definir quais s itens de cnfiguraçã precisarã ser registrads cm ativs financeirs (ativs fixs de TI - CAPEX); Definir cm s ativs fixs de TI serã depreciads; Definir cm s custs serã reprtads; Definir sistemas ds quais s dads de custs pderã ser capturads autmaticamente; Cnstruir, adquirir u adaptar sistema para capturar, alcar e reprtar s custs de TI (cnsiderar a pssibilidade de us de sistema já dispnível, SAP, pr exempl), de frma a se bter um ambiente integrad para gestã ds custs; Capturar dads autmaticamente e cletar dads manuais, de acrd cm métd e peridicidade estabelecida n mdel de cntrle financeir de TI; Elabrar relatóris de custs cnslidads para s níveis aprpriads. Implantar prcediments para Análise da Execuçã Orçamentária de TI É prcess de avaliaçã periódica, n mínim mensal, ds valres efetivamente realizads em relaçã a previst n rçament e estabeleciment de ações de crretivas. A implantaçã de prcediments para realizar e analisar a execuçã rçamentária deve cnsiderar as seguintes atividades: Cnslidar s dads de rçament e custs realizads; Elabrar relatóris cmparativs de rçad x realizad; Realizar análises de desvi d rçament e prver explanaçã ds mais significantes, cnsiderand: Aument u reduçã de cust inesperad; Utilizaçã de serviçs muit acima u abaix d previst; Prjeções indevidas; Mudanças inesperadas n ambiente intern; Mudanças inesperadas n ambiente extern; Realizar sugestões de ações crretivas, cnsiderand dentre utras pssibilidades: Alcaçã adicinal de recurss financeirs; Mudança n preç ds serviçs; Assegurar que Cmitê de TI reveja s resultads das análises e aprve ações crretivas sugeridas; Atribuir respnsabilidade pelas ações crretivas aprvadas; Acmpanhar a execuçã das ações crretivas;

124 122 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Identificar meis de timizar s custs e intrduzir eficiências, especialmente quand huverem crtes de rçament; Implantar prcediments para Cbrança pels serviçs de TI É prcess de realizaçã periódica da apuraçã ds custs de TI e, se fr cas, cbrança pels serviçs prestads. A implantaçã de prcediments para realizar a apuraçã de custs e cbrança pels serviçs prestads de TI deve cnsiderar as seguintes atividades: Estabelecer quais s itens de TI sã passíveis de cbrança; Estabelecer preç para s itens cnsiderads cbráveis cnfrme mdel de cntrle financeir estabelecid; Distribuir relatóris de us e tarifas relativs as serviçs utilizads de TI; Definir se s custs de TI deverã u nã ser recuperads (cbrads) junt às áreas de negóci; Realizar a cbrança ds serviçs de TI de acrd cm mdel de cntrle financeir e prcediments de transferência de cust estabelecids pela área de cntabilidade de Furnas. Vale bservar que, independente de crrer u nã a cbrança, estabeleciment de preç para s serviçs prestads pr TI, permite que cliente pssa fazer um julgament de valr quant as serviçs recebids Iniciar nv prcess de Cntrle Financeir de TI na ST.A Dar iníci à execuçã d nv prcess de Cntrle Financeir de TI de frma gradual, testand e aplicand crreções e melhrias n mdel. A implantaçã d nv prcess de cntrle financeir de TI deve cnsiderar as seguintes atividades: Identificar e pririzar s serviçs e seus elements de custs mais relevantes; Aplicar as recmendações desta iniciativa de acrd cm as priridades estabelecidas, testand e aplicand crreções e melhrias.

125 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer estrutura de Cntrle Financeir de TI na ST.A Implementar Estrutura/equipe de Cntrle Financeir de TI. Frmatar e rganizar a equipe de Gvernança (GRC), que fique respnsável pel Cntrle Financeir de TI. Estabelecer Mdel de Cntrle Financeir de TI Estruturar Mdel de Cntrle Financeir de TI. Criar plíticas e práticas de cntrle financeir de TI; Revisar peridicamente mdel de cntrle financeir de TI; Cmunicar eventuais mudanças n mdel. Implantar prcess de Cntrle Financeir de TI prcediment para Criar e manter rçament de TI Mdelar prcess. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades para Criar e manter rçament de TI. Descrever prcediments. Detalhar s prcediments de execuçã das atividades para Criar e manter rçament de TI. Definir templates. Elabrar manuais. Implementar ferramentas de api. Implementar prcediments de integraçã cm s demais prcesss de TI. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades para Criar e manter rçament de TI. Prduzir manuais detalhads cm pass a pass de execuçã das atividades para Criar e manter rçament de TI. Desenvlver, adquirir u adaptar ferramentas de api para Criar e manter rçament de TI. Implementar prcediments que garantam que Prcess para Criar e manter rçament de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e melhres práticas cm COBIT e ITIL. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads.

126 124 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de Cntrle Financeir de TI - prcediments para Alcaçã de Custs de TI Mdelar prcess. Descrever prcediments. Definir templates. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades para Alcaçã de Custs de TI. Detalhar s prcediments de execuçã das atividades para Alcaçã de Custs de TI. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades para Alcaçã de Custs de TI. Elabrar manuais. Implementar ferramentas de api. Implementar prcediments de integraçã cm s demais prcesss de TI. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Prduzir manuais detalhads cm pass a pass de execuçã das atividades para Alcaçã de Custs de TI. Desenvlver, adquirir u adaptar ferramentas de api para Alcaçã de Custs de TI. Implementar prcediments que garantam que Prcess para Alcaçã de Custs de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e melhres práticas cm COBIT e ITIL. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads. Implantar prcess de Cntrle Financeir de TI - prcediments para Análise da Execuçã Orçamentária de TI Mdelar prcess. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades para Análise da Execuçã Orçamentária de TI. Descrever prcediments. Detalhar s prcediments de execuçã das atividades para Análise da Execuçã Orçamentária de TI. Definir templates. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades para Análise da Execuçã Orçamentária de TI. Elabrar manuais. Prduzir manuais detalhads cm pass a pass de execuçã das atividades para Análise da Execuçã Orçamentária de TI. Implementar ferramentas de api. Desenvlver, adquirir u adaptar ferramentas de api para Análise da Execuçã Orçamentária de TI.

127 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar prcess de Cntrle Financeir de TI - prcediments para Análise da Execuçã Orçamentária de TI Implementar prcediments de integraçã cm s demais prcesss de TI. Implementar prcediments que garantam que Prcess para Análise da Execuçã Orçamentária de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.AG e melhres práticas cm COBIT e ITIL. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess. Capacitar a equipe da ST.A na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Implantar prcess de Cntrle Financeir de TI - prcediments para Cbrança pels serviçs de TI Mdelar prcess. Descrever prcediments. Definir templates. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades para Cbrança pels serviçs de TI. Detalhar s prcediments de execuçã das atividades para Cbrança pels serviçs de TI. Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades para Cbrança pels serviçs de TI. Elabrar manuais. Implementar ferramentas de api. Implementar prcediments de integraçã cm s demais prcesss de TI. Capacitar equipe ns prcediments. Frmalizar implantaçã d Prcess. Cmunicar implantaçã d Prcess. Prduzir manuais detalhads cm pass a pass de execuçã das atividades para Cbrança pels serviçs de TI. Desenvlver, adquirir u adaptar ferramentas de api para Cbrança pels serviçs de TI. Implementar prcediments que garantam que Prcess para Cbrança pels serviçs de TI trque infrmações cm s demais prcesss de TI, cnsiderand as peculiaridades da ST.A e melhres práticas cm COBIT e ITIL. Capacitar a equipe da ST.A.na execuçã ds prcediments e ferramentas estabelecidas. Frmalizar junt as órgãs de cntrle interns da rganizaçã a implantaçã d Prcess. Cmunicar à rganizaçã a implantaçã d prcess, suas respnsabilidades, prcediments e indicadres adtads.

128 126 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Iniciar Cntrle Financeir de TI Selecinar e Pririzar s serviçs e seus elements de cust a serem precificads. Testar prcediments de Cntrle Financeir de TI. Selecinar e Pririzar s serviçs e seus elements de cust a serem precificads. Testar e aplicar crreções e melhrias ns prcediments de Cntrle Financeir de TI Benefícis Esperads Tabela 4.2: Benefícis Benefícis Prestaçã de serviçs precificada de frma cnsistente. Transparência na cntribuiçã de TI. Cnstruçã de premissas para avaliaçã sbre reduçã de custs gerais de TI. Identificaçã precisa de desvis de rçament de TI. Melhria da gestã, cmpreensã e aceitaçã de custs de TI, facilitand assim um rçament mais eficaz para serviçs de TI. Cntrle de custs mais eficiente favrecend a pririzaçã de recurss de TI. Unidades de negócis capazes de cmpreender plenamente s custs de TI envlvids para a entrega ds prcesss de negóci. Transparência ns custs de TI. Habilitaçã de cndiçã necessária para avaliaçã de entrega de benefíci pela TI. Agilidade para as prestações de cnta sb quaisquer perspectivas financeiras.

129 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Resistência a lançament ds custs cm baixa granularidade Resistência à mudança cultural n prcess de aprpriaçã ds custs de TI que precisarã ser lançads cm a granularidade definida para permitir a apuraçã ds custs pr prjet, unidade de negóci, etc. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt X Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Nme Descriçã Fnte Dmíni e experiência prática sbre gerenciament de custs e rçament Restrições quant a cnheciment e experiência prática na implementaçã de prcesss e prcediments de suprte à gestã rçamentária e de custs. ST.A n mment da definiçã d perfil da equipe de implementaçã. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

130 128 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.3: Respstas as Riscs Riscs Tratament Respsta Resistência a lançament ds custs cm baixa granularidade. Mitigar Implementar nv prcess de aprpriaçã de custs de frma incremental e lenta, dand temp para absrçã da mudança, permitind aferições d prcess e eliminaçã ds fcs de resistência. Dmíni e experiência prática sbre gerenciament de custs e rçament. Transferir Cntrataçã de recurss especializads n assunt visand agregaçã de cnheciment cmplementar.

131 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE007 - Elabraçã e implantaçã de Mecanisms de Invaçã na ST.A 1 Objetiv da Iniciativa Recmendar a Elabraçã e Implantaçã de Mecanisms de Invaçã na ST.A cm prpósit de atingir vantagem cmpetitiva, invaçã ns negócis e melhria na efetividade e eficiência peracinal pr mei da explraçã das invações de TI Objetivs Estratégics apiads Segue abaix as perspectivas, segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I5 - Impulsinar sucess das áreas clientes cm sluções invadras de TI Prpr e dispnibilizar sluções quant a us invadr de TI rientadas às necessidades das áreas de negóci, cm base na utilizaçã plena e diferenciada das tecnlgias já dispníveis na ST.A e também de tecnlgias emergentes de maneira a ferecer efetivs ganhs quant à eficiência e eficácia ds prcesss de negóci. Primári Prcesss Interns P2 Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI; que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns e que assegurem a cnfrmidade, a timizaçã ds recurss e api as cmitês de TI. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza as bas práticas d prcess APO04 Gerenciar Invaçã d COBIT 5, mdel de referência para a gestã da TI utilizad cm mei para timizar s investiments de TI Iniciativas estratégicas relacinadas IE004 - Implantaçã de prcesss/plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A.

132 130 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcesss COBIT 5 vinculads à Iniciativa APO04 Gerenciar a Invaçã.

133 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual A explraçã de nvas tecnlgias traz cnsig a capacidade de ferecer diverss benefícis e alinhá-ls tant na rtina pessal cm nas atividades ds prcesss de negóci das empresas, que é uma questã estratégica para a ST.A, cm superintendência que visa impulsinar sucess das áreas clientes cm sluções invadras de TI. Para iss, fi sugerida através d PRO-Furnas, a criaçã de uma área de Arquitetura e Invaçã, respnsável pr criar e manter mecanisms de invaçã e realizar a gestã da arquitetura tecnlógica. A descriçã detalhada ds principais papéis e atribuições desta área está definida n Anex 7 d PDTI Atribuições, Papéis e Cnheciments Necessáris pr Unidade Organizacinal. Entretant, a implantaçã da área de invaçã ainda é um desafi devid as seguintes fatres: Nã existe uma cultura de invaçã aprpriada dentr da rganizaçã; Nã há uma central u pnt de cleta para nvas ideias vindas ds funcináris; Nã há uma cultura de recmpensa u recnheciment de ideias u iniciativas invadras; Os acesss as sites, blgs e fóruns que tratam sbre s temas invadres n mercad, sã blqueads pr regras de segurança; A implementaçã e us de tecnlgias emergentes, decrrente de invaçã, sã feitas pr iniciativas pessais, nã send mnitradas e nã havend registr das lições aprendidas; Nã é feit um estud sbre retrn de investiment (ROI) de uma invaçã que tenha sid avaliada e aprvada; Ainda nã fram definids prcediments, técnicas e ferramentas adequadas à cultura de Furnas para que s trabalhs se iniciem. Tend em vista a imprtância da gestã da invaçã tecnlógica para qualquer rganizaçã, particularmente empresas vltadas para us de alta tecnlgia, é primrdial que a ST.A trate tema cm a devida imprtância para alcançar seus bjetivs estratégics.

134 132 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs assciads Seguem s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Baixa cmpetitividade; Descnheciment de prtunidades de negóci; Demra em respnder às mudanças; Baixa prdutividade peracinal Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual: Item Descriçã Tabela 2.2: Pnts de atençã e prtunidades de melhrias 1 Nã há prcediments, técnicas e ferramentas para iníci das atividades de invaçã; 2 3 A ausência de prcesss de invaçã dificulta recnheciment da ST.A cm uma unidade estratégica d negóci; A ausência de prcesss de invaçã dificulta a transfrmaçã ds prcesss de negóci e cnsequente melhria da prdutividade e/u reduçã de custs das unidades de negóci; 4 Ausência de uma cultura de invaçã disseminada; 5 Nã há permissã de acess a sites, blgs e fóruns que tratam sbre s temas invadres.

135 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a criaçã e manutençã de mecanisms de invaçã através d cumpriment ds seguintes passs: Definir e implantar um Prcess de Invaçã que cnsidere: Definir papel estratégic da invaçã; Identificar prtunidades de invaçã; Avaliar ptencial das ideias de invaçã; Estabelecer prjet de invaçã; Implantar ferramentas de api à invaçã; Cmunicar a implantaçã d prcess de invaçã. Mnitrar ambiente e us da invaçã. Prmver a interaçã frequente e de qualidade entre s agentes de invaçã e tds s participantes d prcess de invaçã, incluind clientes, frnecedres, parceirs e membrs da cmunidade; Eliminar quaisquer restrições de pesquisa na rede crprativa, desde que atendam as critéris de segurança da rganizaçã Definir e Implantar Prcess de Invaçã Ideias nã sã invações e a cleta de ideias nã é "gestã da invaçã". As ideias sã certamente parte essencial d prcess de invaçã, mas cmpartilhament de ideias nã garante sua qualidade. Para criar uma pssibilidade realista de avançs e invações é necessári estruturar um prcess. Estuds recentes mstram que sucess em invaçã esta relacinad à qualidade d prcess adtad 2. A seguir descreverems as principais etapas de um prcess de invaçã n qual bjetiv nã é bter mais ideias, mas sim melhres ideias e que estejam ttalmente alinhadas as bjetivs estratégics da rganizaçã. I. Definir papel estratégic da invaçã: a. Esclarecer s bjetivs de invaçã d negóci e s mtivs pels quais é necessári se cmprmeter cm a invaçã; b. Estabelecer e pririzar direcinadres de negóci e métricas, a fim de prmver a invaçã; c. Utilizar cnheciment dentr da rganizaçã e estender iss a cliente para se bter visã de mercad; 2

136 134 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E d. Definir prtfli ideal de invaçã, a fim de entender cnheciment atual e discernir sbre que deve ser pesquisad. II. Identificar prtunidades de invaçã: a. Pesquisar tecnlgias emergentes, mudanças sciais e valres ds clientes; b. Capturar ideias através de um prtal centralizad e clabrativ. Os funcináris pdem interagir cm especialistas na área tant interna cm externamente; c. Identificar prtunidades de invaçã para as sluções de TI através das ideias capturadas, pesquisas realizadas e tecnlgias emergentes; III. Avaliar ptencial das ideias de invaçã: a. Definir impact estratégic, ptencial de mercad, análise financeira e análise SWOT da ideia e publicar para revisã; b. Permitir avaliações e cmentáris de utrs membrs da cmunidade para ajudar a determinar a priridade e valr da ideia; c. Aprvar as ideias melhr avaliadas. IV. Estabelecer prjet de invaçã: Desenvlver e implantar prjet que irá institucinalizar prcess de invaçã. V. Implantar ferramentas que apiem a execuçã ds prcediments de invaçã cm: a. Ferramentas de rede scial, para ajudar as pessas a se cnectarem; b. Repsitóris de cnheciment, para garantir que nã haja perda de temp e dinheir cm retrabalh, pdend facilmente encntrar s resultads de trabalhs passads; c. Repsitóris de nvas ideias para ajudar a reunir nvas ideias e manter a visã geral d prcess à medida que desenvlvems cada uma delas; d. Sistemas de Inteligência d ecssistema (MERCADO) para ns ajudar a reunir e rganizar infrmações sbre as mudanças externas, cncrrentes, nvas tecnlgias, etc; e. Aplicativs de vt de ideias para bter um feedback rápid sbre ideias; f. Wikis para agregar e rganizar cnheciment; g. Blgs cm uma maneira ds prfissinais cmpartilharem seus interesses e descbertas cm s utrs; h. Arquivs e diretóris úteis para dar acess a tdas as frmas de cnteúd digital, cm listas de leitura, vídes, pdcasts etc; i. Tutriais de invaçã úteis para treinament;

137 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E j. Platafrmas de invaçã aberta para facilitar as ligações entre insiders e utsiders a fim de trazer nvas ideias e talents para reslver prblemas; k. Ferramentas de clabraçã nline, cm fóruns, listas de discussã u até mesm Skype, que permite que as pessas se cnectem facilmente de qualquer lugar e pssam cnversar via víde a invés da cmunicaçã pr vz; l. Ferramentas de gestã e de wrkflw, imprtantes n planeament e gestã de prjets cmplexs u prjets que crram simultaneamente; m. Ferramentas de mapas mentais para ajudar a rganizar pensament em trn de questões cmplexas; n. Painel de invaçã, que é uma ferramenta essencial para que tds estejam cientes de quã bem (u mal) prcess de invaçã está send implementad. O Painel de Invaçã pde ser acessível através da web e cnfigurad para mstrar que acnteceu em tds s estágis d prcess. VI. Cmunicar a implantaçã d prcess de invaçã: Deve ser preparad e executad um plan de cmunicaçã para a rganizaçã, sbre a implantaçã d prcess de invaçã e da área de Arquitetura e Invaçã, esclarecend seu papel, respnsabilidades e métricas, e dispnibilizand s manuais de prcediments para aqueles que vã interagir cm ela. O plan deve estar alinhad cm precnizad na iniciativa estratégica IE004 - Implantaçã de prcesss/plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A Mnitrar ambiente e us da invaçã O mnitrament d ambiente e us da invaçã prevê as seguintes atividades: Avaliar a implementaçã de nvas tecnlgias; Capturar lições aprendidas e prtunidades de melhria; Mnitrar a cntribuiçã das áreas de Furnas para a melhria d ambiente de invaçã; Mnitrar a implementaçã e s benefícis btids através das iniciativas ligadas à invaçã.

138 136 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prmver a interaçã entre s agentes de invaçã O ambiente físic tem uma enrme influência sbre cmprtament human, send de fundamental imprtância para prmver a clabraçã n ambiente de invaçã. As salas de reuniã tradicinais sã, em sua mairia, de layut rígid e cm psições de cadeiras explicitand uma hierarquia entre s participantes da reuniã, desfavrecend a criatividade. Deve-se entã garantir um lcal flexível que permita criar pssibilidades para a explraçã e descberta da invaçã. Este ambiente deve fmentar questinaments para que s prfissinais pssam discutir e desenvlver nvas ideias relacinadas as prduts, serviçs, prcesss e mdels de negóci existentes e futurs, além de envlver sistematicamente clientes e parceirs, e cnvidá-ls a cmpartilhar seus pensaments, necessidades e ideias Eliminar restrições de pesquisa na rede crprativa Atualmente, s acesss as sites, blgs e fóruns que tratam sbre s temas invadres n mercad, sã blqueads pelas regras de segurança. Alternativas de acess segur as mais diverss sites devem ser estudadas pelas equipes de segurança e invaçã, a fim de habilitar a pesquisa da invaçã, desde que nã cmprmeta a segurança da rganizaçã.

139 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Definir e Implantar Prcess de Invaçã Definir papel estratégic da invaçã Identificar prtunidades de invaçã Avaliar ptencial das ideias de invaçã Estabelecer prjet de invaçã Implantar ferramentas de api à invaçã Cmunicar a implantaçã d prcess de invaçã Definir s bjetivs de invaçã de acrd cm a s bjetivs estratégics da rganizaçã. Realizar pesquisas, capturar ideias e identificar prtunidades de invaçã. Analisar, revisar e aprvar as melhres ideias de invaçã. Desenvlver e implantar prjet que irá institucinalizar prcess de invaçã. Implantar ferramentas de clabraçã e gestã d cnheciment que apiem a execuçã ds prcediments de invaçã. Elabrar um plan de cmunicaçã abrdand a implantaçã d prcess de invaçã e da área de Arquitetura e Invaçã, esclarecend seu papel, respnsabilidades e métricas, e dispnibilizand s prcediments para aqueles que vã interagir cm ela. Mnitrar ambiente e us da invaçã Mnitrar ambiente e us da invaçã Mnitrar s resultads das invações, nvas tecnlgias utilizadas, cntribuições das diversas áreas de Furnas e capturar lições aprendidas e prtunidades de melhria. Prmver a interaçã entre s agentes de invaçã Prmver a interaçã entre s agentes de invaçã Garantir um lcal flexível que permita criar pssibilidades para a explraçã e descberta da invaçã. Eliminar restrições de pesquisa na rede crprativa Eliminar restrições de pesquisa na rede crprativa Habilitar a pesquisa da invaçã, desde que nã cmprmeta a segurança da rganizaçã Benefícis Tabela 4.2: Benefícis Benefícis Mair alinhament da ST.A cm negóci; Melhr reputaçã da ST.A perante as áreas de negóci; Melhria da satisfaçã da equipe da ST.A; Aument crescente d retrn sbre investiment em invaçã; Gerar vantagens cmpetitivas a médi e lng praz; Aumentar valr de suas marcas.

140 138 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Invações cm benefícis irrelevantes A área de Invaçã nã apresentar invações que gerem benefícis relevantes. ST.A. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) X Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Nme Descriçã Fnte Dificuldade em pesquisar assunts de invaçã O acess as sites, blgs e fóruns que tratam sbre invaçã nã serem liberads pelas regras de segurança em um nível aceitável para garantir resultads; ST.A. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) X Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã.

141 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Invações cm benefícis irrelevantes Mitigaçã Fc na identificaçã, avaliaçã e elabraçã de prvas de cnceit, cm priridade para as iniciativas invadras cm mair ptencial de realizaçã de benefícis. Riscs Tratament Respsta Dificuldade em pesquisar assunts de invaçã Mitigaçã Utilizar rede externa à rganizaçã para acess a cnteúd nã permitid cas necessári.

142 140 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE008 - Implantaçã de práticas e prcesss para gestã de serviçs de TI 1. Objetiv da Iniciativa Recmendar a implantaçã de práticas e prcess para gestã de serviçs de TI para elabrar um plan cm rientaçã Objetivs estratégics apiads Seguem abaix, as perspectivas segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I2 - Frnecer serviçs segund acrds de nível de serviçs estabelecids cm s clientes Assegurar a dispnibilidade ds recurss e sluções de TI pela adçã de recmendações, medidas e prcediments que garantam a resiliência da infraestrutura de TI e a recuperaçã ds serviçs dentr ds parâmetrs e patamares definids ns requisits de dispnibilidade d negóci pactuads junt à ST.A. Primári Prcesss Interns P2 Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI; que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns e que assegurem a cnfrmidade, a timizaçã ds recurss e api as cmitês de TI. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza as bas práticas ds livrs da ITIL versã 3, lançada em junh de 2007 e revisada na ediçã em 2011, que sã rientações e melhres práticas de mercad para uma gestã de serviçs de TI adequada para a rganizaçã Iniciativas estratégicas relacinadas IE005 Definiçã e Implantaçã de Práticas e Mecanisms de Gvernança de TI. IE011 - Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A.

143 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcesss COBIT 5 vinculads à Iniciativa EDM02 - Assegurar Entrega ds Benefícis APO01 Gerenciar Framewrk de Gestã de TI. APO08 - Gerenciar Relacinaments APO09 Gerenciar s Acrds de Serviç. APO10 Gerenciar Frnecedres. APO11 - Gerenciar Qualidade DSS01 Gerenciar Operações DSS05 - Gerenciar segurança ds serviçs MEA01 - Mnitrar e Avaliar Desempenh

144 142 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual A ST.A nã pssui uma classificaçã ds tips de frnecedres quant à imprtância, tip e criticidade. Pr rientaçã d TCU, a seleçã de frnecedres é realizada pel menr preç, nde a qualidade d atendiment ds serviçs u aquisiçã de prduts deve ser garantida através de cláusulas cntratuais. Esta seleçã é regida pela Lei de 21 de junh de Atualmente, um prcess de seleçã através de licitaçã tem um praz mínim aprximad de seis meses para ser cncluíd. Nã há um prcess frmal de avaliaçã da qualidade ds frnecedres. Desta frma, nã existe cnceit de lista negra, nde maus frnecedres pderiam ser blqueads na participaçã de nva seleçã de frneciment. Nã é realizad gerenciament de riscs quant à capacidade de frnecer cntinuamente uma prestaçã de serviçs segura, eficiente e eficaz. Entretant, a avaliaçã de desempenh e da cnfrmidade ds frnecedres cntratads é realizada de frma satisfatória. Nã sã realizadas avaliações cm base em métricas financeiras para mnitrar desempenh ds frnecedres. Os nvs cntrats de terceirs estã send adaptads para bter s acrds de nível de serviç. Cm base nestes níveis de serviçs, estã send implantadas penalizações. Os atuais níveis de serviçs sã de respnsabilidades de TI e nã das áreas de negóci. Na intranet TI.net, há um grup pequen de atividades de TI e listas de serviçs. Nã há acrds de serviçs interns entre s grups slucinadres, especialmente entre as equipes da rganizaçã. Só há um acrd de nível de serviç n 1º nível de suprte, a Central de Atendiment e n 2º nível de suprte, atendiment a usuári. O usuári nã cnhece e nã é infrmad sbre s temps de atendiment. Smente s cntrats da central de atendiment e suprte as usuáris pssuem indicadres definids. Internamente, nã há uma revisã de acrd de nível de serviçs e sim uma cultura de nã assumir prazs. Após as auditrias da SOX, fram feitas algumas matrizes de respnsabilidades para as relacinadas cm a ST.A, mas nã fram revisadas. Existem áreas da empresa que descnhecem papel e respnsabilidade da TI. Cm também, existe dificuldade de alinhament, cmunicaçã interna e ações em cnjunt entre s departaments. Apesar de terem sid identificadas algumas publicações ds serviçs prestads pela ST.A, nã fram encntradas evidências de um catálg de serviç unificad reunind tds s serviçs de TI dispníveis para s usuáris. As publicações mencinadas sã acessadas pr mei das seguintes ferramentas: HP Service Manager, GDS Gestã de Desenvlviment de Sistemas e a Intranet (TI.net). A seguir, serã apresentads s serviçs dispníveis para cada ferramenta. HP Service Manager Segue a lista de categria de serviçs cadastrads na ferramenta da HP Service Manager utilizada pel Helpdesk.

145 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Serviçs listads na ferramenta da HP Service Manager Categria d Serviç Classificaçã Tip d Prblema Priridade Temp de atendiment (hras) Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Dispnível cm Falhas 5 16 Ambiente Clabrativ Ntes Incidente- Usuári Indispnível 1 3 Segurança 1 3 Cnfiguraçã 5 16 Slicitaçã de Serviç Cnta de Usuári 5 16 Infrmaçã 5 16 Instalaçã 5 16 Dispnível cm Falhas 1 3 Incidente - TI Indispnível 3 8 Segurança 3 8 Dispnível cm Falhas 3 8 Crrei Eletrônic Incidente - Usuári Indispnível 1 3 Segurança 1 3 Backup 5 16 Cnfiguraçã 5 16 Slicitaçã de Serviç Cnta de Usuári 5 16 Infrmaçã 5 16 Restre 3 8

146 144 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Serviçs listads na ferramenta da HP Service Manager Categria d Serviç Classificaçã Tip d Prblema Priridade Temp de atendiment (hras) Dispnível cm Falhas 5 16 Incidente - Usuári Indispnível 1 3 Segurança 1 3 Backup 5 16 Estaçã de Trabalh Cnfiguraçã 5 16 Infrmaçã 5 16 Slicitaçã de Serviç Instalaçã 5 16 Remanejament de Hardware 5 16 Restre 3 8 Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Impressã Mainframe Dispnível cm Falhas 5 16 Incidente - Usuári Indispnível 1 3 Segurança 5 16 Slicitaçã de Serviç Cnfiguraçã 5 16 Infrmaçã 5 16 Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Internet Dispnível cm Falhas 5 16 Incidente - Usuári Indispnível 5 16 Segurança 5 16 Slicitaçã de Serviç Cnfiguraçã 5 16 Cnta de Usuári 5 16

147 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Serviçs listads na ferramenta da HP Service Manager Categria d Serviç Classificaçã Tip d Prblema Priridade Temp de atendiment (hras) Infrmaçã 5 16 Internet Slicitaçã de Serviç Senha de Superusuári 1 3 Acess Físic Slicitaçã de Serviç Cnfiguraçã 1 3 Infrmaçã 5 16 Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Dispnível cm Falhas 5 16 Serviç de Arquivs Incidente - Usuári Indispnível 1 3 Segurança 1 3 Backup 5 16 Cnfiguraçã 5 16 Slicitaçã de Serviç Cnta de Usuári 5 16 Infrmaçã 5 16 Restre 3 8 Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Dispnível cm Falhas 5 16 Sistemas da Platafrma Baixa Incidente - Usuári Indispnível 1 3 Segurança 1 3 Backup 5 16 Cnfiguraçã 5 16 Slicitaçã de Serviç Cnta de Usuári 5 16 Infrmaçã 5 16 Restre 3 8

148 146 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Serviçs listads na ferramenta da HP Service Manager Categria d Serviç Classificaçã Tip d Prblema Priridade Temp de atendiment (hras) Sistemas da Platafrma Baixa Slicitaçã de Serviç Senha de Superusuári 1 3 Dispnível cm Falhas 3 8 Incidente - TI Indispnível 1 3 Segurança 1 3 Dispnível cm Falhas 3 8 Indispnível 1 3 Segurança 1 3 Sistemas da Platafrma Mainframe Abrir u Fechar Banc u Vsam 5 16 Backup 5 16 Incidente - Usuári Cnfiguraçã 5 16 Cnta de Usuári 5 16 Infrmaçã 5 16 Liberar u Cancelar Jb 5 16 Restre 1 3 Senha de Superusuári 3 8 Atualmente, nã é mencinad alg para atendiment das slicitações para SAP. Será inserida na ferramenta a categria de serviç SAP. Serã cadastrads s seguintes móduls: HR Cadastr HR Cadastr - PAPD HR Saúde e Segurança HR Time HR Flha MM - Supriments PM - Manutençã

149 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E PS - Prjets SD - Vendas (Faturament) FI Cntas a Pagar FI Cntas a Receber FI Cntabilidade FI AA - Ativ Imbilizad FI Viagens LOANS - Empréstims e Financiaments Aplicações Financeiras - TRM LP - Flux de Caixa CO - Custs e Cntrladria FM - Orçament Prtal Sintnia BW - Relatóris Gerenciais Nta Fiscal Eletrônica Serã criadas as áreas slucinadras: SAP N2 e SAP N3, eliminand s grups de atendiment SAP HR, TI e utrs. Será feita a migraçã ds chamads em abert para infrmar quais sã s cnsultres de N2 e N3. O Help-Desk vai direcinar smente para SAP nível N2. Será incluíd na ferramenta da categria de serviç SAP, camp de detalhament: Incidente, Dúvida Prcess, Dúvida Sistema e Serviç. Intranet (TI.net) A ST.A divulga alguns serviçs de TI prestads para Furnas na intranet da rganizaçã. Através d endereç fram identificads s seguintes serviçs: Rede Crprativa da Eletrbras Furnas Serviçs da Platafrma Cmputacinal Distribuída (acess pel sistema peracinal Windws); Impressras Departamentais; FURNASNet básic; Internet; Crrei Eletrônic básic; Drivers da Rede Crprativa (drivers de leitura e armazenament de dads, lcalizads ns discs de servidres da Rede Crprativa da Eletrbrás Furnas);

150 148 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Serviçs da Platafrma Cmputacinal Central Mainframe (acess pel terminal IBM) Bancs básic; Lcalize básic; Saiba básic; Senha básic; Aplicações e Sistemas Crprativs Diverss; Os critéris para a utilizaçã ds serviçs de TI estã descrits em Instruções Nrmativas, Circulares e utrs dcuments que fazem parte desta TINet. Para que slicitante btenha mais infrmações sbre s serviçs da Rede Crprativa u Serviçs da Platafrma Cmputacinal Central, ele deve entrar em cntat cm a Central de Atendiment através d ramal GDS Gestã de Desenvlviment de Sistemas O GDS é utilizad para gerenciar desenvlviment de sistemas interns em Furnas. O mesm acmpanha as slicitações de desenvlviment pr área de negóci, macr prcess e prcess, cm também apresenta a situaçã atual daquele sistema intern. Seguem abaix as áreas de negóci identificadas n GDS: Patrimôni Respnsabilidade Scial Cmunicaçã Scial Dcumentaçã Engenharia Gestã Financeira Administraçã Geral Recurss Humans Relaçã Institucinal Jurídic Mei Ambiente Operaçã e Cmercializaçã Planejament Empresarial Pesquisa e Desenvlviment Representaçã Empresarial Supriments Administraçã Superir Gvernança Crprativa Organizaçã e Infrmática

151 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fi identificad que nã há uma atualizaçã desta ferramenta u ds sistemas existentes Riscs assciads Seguem s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Os clientes, a TI e s frnecedres nã cmpreendem as suas respnsabilidades; Falta de priridade u priridade imprópria para s diferentes serviçs de TI prestads; Serviç peracinal ineficiente e cm cust elevad; Ausência d catálg de serviçs; Us ineficiente e ineficaz ds recurss de prestaçã de serviçs de TI; Nã identificar e respnder as incidentes de serviçs crítics de TI; Insatisfaçã ds usuáris devid à falta de infrmações; 2.2. Fatres mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual: Tabela 2.2: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Ausência de um catálg de serviç de TI únic e centralizad. 2 Necessidade de aprimrament ds recurss de divulgaçã ds serviçs de TI ferecids. 3 Falhas na atualizaçã ds serviçs de TI vigentes. 4 Nã existe uma estrutura rganizacinal abrangend papeis, tarefas e respnsabilidades, vltadas para gerenciament de níveis de serviçs e catálg de serviçs de TI. 5 Nã sã definids requisits e critéris de níveis de serviçs de TI. 6 Nã sã definidas métricas para mnitrament cntínu ds níveis de serviçs de TI internamente.

152 150 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams à melhria da prteçã da infrmaçã sigilsa na empresa, cumprind s seguintes passs: Ampliar escp de atuaçã para serviçs de TI Implantar prcess de gerenciament de nível de serviçs de TI; Criar prcediments para estabelecer acrds de nível de serviçs de TI; Criar prcediments para estabelecer acrds de nível peracinal; Criar prcediments para estabelecer cntrats de api; Implantar prcess de gerenciament de frnecedres; Implantar prcess de gerenciament d catálg de serviçs de TI Definir e Implantar um catálg de serviçs de TI; Implantar um prgrama de melhria de serviçs de TI (PMS). Implantar uma ferramenta de api 3.1.Ampliar escp de atuaçã para serviçs de TI Estabelecer nvas atribuições para a ST.A, vltadas para gerenciament de níveis e catálg de serviçs de TI, abrangend papéis, tarefas e respnsabilidades. A ST.A deverá ser respnsável pel cntrle qualitativ e quantitativ ds serviçs que a TI executa para seus clientes. Para que iss crra, será necessária a existência de pessas cm as seguintes atribuições: Avaliaçã cntinua ds serviçs de TI; Alinhament das expectativas ds clientes cm as de TI; Alinhament das prpsições cm bjetivs d negóci; Interlcuçã cm utras áreas e unidades envlvidas na empresa; Acmpanhament ds níveis de serviçs ds frnecedres; Acmpanhament ds acrds de níveis interns, externs e cm utras áreas da rganizaçã. É imprtante ressaltar que s papéis e respnsabilidades ligads a esta iniciativa, de respnsabilidade da ST.A, estã descrits ns dcuments Mecanisms Decisóris de TI V2.1 e Estrutura Organizacinal Revisada V2.1. A iniciativa IE005 Definiçã e Implantaçã de Práticas e Mecanisms de Gvernança de TI tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar nesta recmendaçã.

153 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar prcess de gerenciament de nível de serviçs de TI Implantar prcediments que permitam criar e manter acervs de melhres práticas, critéris, padrões e métricas a serem utilizads n gerenciament de nível de serviçs de TI. As atividades d prcess de Gerenciament de Nível de Serviçs de TI prpstas seguem cicl abaix: Identificaçã: Sã identificads s requisits d negóci em relaçã as serviçs de TI; Definiçã: É elabrada uma prpsta demnstrand cm s serviçs serã entregues; Negciaçã: É realizad Acrd de Nível de Serviç (ANS) prpriamente dit, acrd de nível peracinal (ANO), que é acrd cm as equipes internas para suprtar ANS, e também s cntrats de api (CA) que sã cntrats cm s frnecedres; Mnitraçã: Os níveis de serviç sã mnitrads de frma a medir nível de qualidade de entrega ds serviçs de TI; Emissã de Relatóri: Sã emitids relatóris mstrand s níveis de serviç alcançads e s acrdads. Revisã: Cnduzir reuniões de análise ds serviçs cm s Clientes, Frnecedres e a área de TI. Através da análise ds dads serã verificads pnts que pdem ser melhrads na entrega ds serviçs. Crrigir s Acrds de Nível Operacinal junt as frnecedres interns e s Cntrats de Api cm frnecedres externs, sempre que necessári Criar prcediments para estabelecer acrds de nível de serviçs de TI Definir e estabelecer um dcument padrã de acrd de nível de serviçs de TI a ser utilizad n seu gerenciament, para bter um cnjunt de requisits que atenda as atuais serviçs e sluções entregues e sempre que surgirem nvas demandas de serviçs u s existentes frem alterads. Um ANS é um acrd entre uma rganizaçã de TI e seus clientes, nde s serviçs a serem executads sã determinads d inici até sua retirada. Ist inclui as especificações qualitativas e quantitativas, cm desempenh e a dispnibilidade destes serviçs. O ANS pde ser definid pr três tips, cnfrme citad abaix: Serviç abrange um nível de serviç únic para tds s clientes que utilizam mesm, pr exempl, atividades cmuns u cmpartilhadas, cnfrme apresentad abaix. Serviç A Nível de Serviç para Serviç A Cliente 1 Cliente 2 Figura3.1: ANS pr Serviç

154 152 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cliente abrange tds s serviçs entregues a um únic cliente u área de negóci. Utilizad pr prvedres interns u frnecedres que entregam serviçs especializads a um cliente cm um únic nível de serviç para tds s serviçs desse cliente, cnfrme figura abaix. Cliente 1 Nível de Serviç para Cliente 1 Serviç A Serviç B Figura 3.2: ANS pr Cliente Multinível abrange acrds realizads sb três estruturas (Crprativ, Cliente e Serviç) para uma única rganizaçã u empresa, e nã cm cada cliente, cnfrme figura abaix. Organizaçã 1 Nível de Serviç Multinivel Serviç A Cliente 1 Cliente 2 Serviç B Cliente 3 Figura 3.3: ANS pr Multinível A especificaçã de serviç deve ser descrita em um dcument que cnste s requisits de nível de serviçs (RNS) mencinads pel cliente. Este dcument cbre as definições detalhadas d cliente que serã usadas para desenvlver, mdificar e dar iníci as serviçs nvs u mdificads. O RNS deve servir cm estrutura básica para prjetar um serviç, bem cm, para estruturar s Acrds de Nível de Serviç (ANS), Acrds de Nível Operacinal (ANO) e Cntrats de Api(CA) assciads. O RNS será captad e gerad n prcess de gestã de demandas, pis terá uma interface direta cm as demandas futuras para nvs serviçs de TI. O ANS deve ser express de frma clara e estruturada, para que pssa ser medid. Um Acrd de Nível de Serviç deve cnter n mínim s seguintes requisits: Assinaturas das partes envlvidas (área cliente e rganizaçã de TI); Uma descriçã simples, escp, funcinalidade d serviç e as características de capacidade e desempenh; Os temps de serviç cncrdads; Pnts de cntat e escalnament; Declaraçã ds papeis e respnsáveis pel serviç; Os temps para as manutenções prgramadas; As demandas de desenvlviment e liberaçã de funcinalidades;

155 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Os temps de reaçã para suprte as usuáris, para manusei de incidentes, slicitações e requisições de mudança; Metas de dispnibilidade, capacidade, segurança e cntinuidade de serviç; As brigações d Cliente, usuáris, rganizaçã de TI e ds frnecedres de serviçs; Hráris crítics para negóci e exceções; Hráris de acinament ds grups slucinadres da TI Criar prcediments para estabelecer acrds de nível peracinal Definir e estabelecer um dcument padrã de acrd de nível peracinal (ANO) relacinad as acrds de nível de serviçs de TI gerad na rganizaçã. Os ANOs sã acrds interns que relacinam-se as grups de suprte ds serviçs frnecids pr equipes internas na rganizaçã de TI e utras áreas de negóci que apiam na entrega d serviç. O ANO descreve separadamente s cmpnentes individuais ds serviçs executads para cliente. Recmenda-se a existência de um ANO para cada grup slucinadr na ST.A. ANO e ANS pdem ser assinads cm frnecedres externs para cmplementar s cntrats de api. Um Acrd de Nível Operacinal deve dcumentar u cnter n mínim s seguintes requisits: Assinaturas das partes envlvidas (equipes de TI e áreas de api); Uma descriçã simples, escp, funcinalidade d serviç e as características de suprte; Os temps de suprte e atendiment acrdads; Pnts de cntat e escalnament; Declaraçã ds papéis e respnsáveis pel suprte e frneciment de serviçs; Os temps para as manutenções prgramadas; As demandas de desenvlviment e liberaçã de funcinalidades; Os temps de reaçã para suprte as grups slucinadres, para incidentes, slicitações e requisições de Mudança; As brigações ds grups slucinadres de TI, áreas de api da rganizaçã e ds frnecedres de serviçs; Hráris crítics para negóci e exceções; Hráris de atuaçã ds grups slucinadres da TI, áreas de api da rganizaçã e ds frnecedres de serviçs Criar prcediments para estabelecer cntrats de api Definir e estabelecer um dcument padrã de cntrat de api as serviçs de TI a ser utilizad n gerenciament de nível de serviçs de TI, para bter um cnjunt de requisits que atendam as atuais serviçs e sluções entregues pels frnecedres.

156 154 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Um cntrat de api é um cntrat cm um prvedr extern que usualmente será elabrad cm um cntrat frmal. Vale ressaltar que a iniciativa IE011 Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Implantar prcess de gerenciament de frnecedres Implantar prcediments, cnfrme rientações d guia para especificaçã e gestã de serviçs terceirizads, que permitam gerenciar frnecedres, s serviçs entregues pr eles, verificar a qualidade entregue, analisar cntrats, garantind devid retrn sbre investiment, cnsiderand ainda s seguintes aspects: Obter a melhr relaçã cust-benefíci ds frnecedres; Garantir que s cntrats de api e cntrats de nível de serviç cm frnecedres estejam alinhads cm s requeriments d negóci e cm as metas de serviçs prpstas; Gerenciar relacinament e desempenh ds frnecedres; Negciar e acrdar s cntrats cm s frnecedres; Manter plíticas de gerenciament de frnecedres cadastradas na Base de Dads de Frnecedres e Cntrats. O prcess deve garantir que tds s cntrats cm frnecedres suprtem a necessidade d negóci e que tds s frnecedres atendam suas brigações cntratuais. Os frnecedres devem ser classificads cnfrme uma avaliaçã de Risc x Impact e Valr x Imprtância, além das classificações mencinadas abaix: Frnecedres Estratégics - Envlve trca de infrmaçã cnfidencial u estratégica; Frnecedres Tátics - Envlve atividades cmerciais significativas; Frnecedres Operacinais - Envlve serviçs e prduts peracinais; Frnecedres de Cmmdity Envlve frneciment de papel, cartuchs de tinta, entre utrs. As atividades d prcess de Gerenciament de Frnecedres, prpstas, seguem cicl abaix: Manutençã de guias, diretrizes e cartilhas ligadas à terceirizaçã; Identificaçã das necessidades e requeriments d negóci; Estabeleciment, Avaliaçã e Aquisiçã ds nvs cntrats e frnecedres; Categrizaçã ds frnecedres e ds Cntrats; Gerenciament d desempenh d frnecedr e d cntrat; Renvaçã e términ d cntrat.

157 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Vale ressaltar que a iniciativa IE011 Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Implantar prcess de gerenciament d catálg de serviçs de TI Implantar prcediments que permitam gerenciar catálg de serviç que cntém uma visã geral de tds s serviçs de TI a serem executads incluind suas características, seus cmpnentes e pdend mencinar s custs ds serviçs, cnsiderand s seguintes aspects: A infrmaçã btida das perações de TI sbre s serviçs; Os requisits d cliente e ds usuáris; Pessas respnsáveis para manter e também desenvlver catálg; Assegurar que tdas as áreas d negóci pssam ter uma visã exata e cnsistente ds serviçs de TI em us, cm eles devem ser usads, s prcesss de negóci que eles habilitam e s níveis e qualidade que cliente pde esperar de cada serviç. As atividades d prcess de Gerenciament de catálg de serviçs de TI prpstas seguem cicl abaix: Definiçã ds Serviçs de TI; Divulgaçã, Prduçã e manutençã d Catálgde Serviçs de TI; Gerenciament das relações entre s itens d catálg de serviçs e Prtfóli de Serviçs; Gerenciament das relações entre s níveis de serviçs de TI e gestã de demandas de negóci. O Catálg de Serviçs de TI deve ferecer as usuáris uma visã de tds s serviçs frnecids da TI. Para sua cnstruçã, é necessári identificar quais serviçs de TI sã entregues e suprtads para rganizaçã Definir e implantar um Catálg de Serviçs de TI O Catálg de Serviçs de TI é um instrument de cmunicaçã cm s usuáris e clientes ds serviçs de TI que cnsiste em uma descriçã detalhada ds serviçs em uma linguagem rientada a cliente, juntamente cm s níveis de serviçs assciads frnecids as usuáris e clientes. Para que iss crra, será necessária a execuçã das seguintes etapas: Definir s serviçs de TI; Estabelecer a Estrutura d Catálg de serviçs de TI; Estabelecer s respnsáveis pela gestã d catálg de serviçs de TI Criar elements de publicaçã d catálg de serviçs de TI;

158 156 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar uma ferramenta de api. Segue uma prpsta de classificaçã ds serviçs de TI para a cnstruçã d catálg de serviçs de TI. É imprtante ressaltar que esta prpsta fi elabrada cm base nas infrmações dispnibilizadas sbre s atuais serviçs de TI, send necessária uma validaçã criterisa em cnjunt cm a ST.A. A figura abaix apresenta primeir nível da classificaçã prpsta para serviçs ferecids as usuáris de TI. Figura 3.4: Prpsta de Serviçs as usuáris Para facilitar a identificaçã d serviç pr parte d slicitante, cada grup de serviçs as usuáris será desdbrad em categria, prdut, pedid e tip de pedid (slicitaçã, incidente) Implantar um prgrama de melhria de serviçs de TI (PMS) Implantar um prgrama de melhria ds serviçs existentes que irá definir as atividades, fases e marcs assciads às melhrias de um serviç de TI, cm também as medidas para acmpanhament cntinuad d prcess de gerenciament d nível de serviç, d gerenciament de frnecedres e d gerenciament d catálg de serviçs de TI Implantar uma ferramenta de api A ST.A deve adquirir e implantar ferramentas que apie gerenciament d prcess de catálg de serviçs de TI, integrada à utrs prcesss de TI. Esta ferramenta terá pr finalidade facilitar gerenciament ds prcesss TI na ST.A cm também será pnt inicial de uma mudança da cultura rganizacinal.

159 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A ST.A deixará de realizar slicitações infrmais e sem cntrle e passará a registrar td e qualquer tip de demanda e slicitaçã de serviçs de TI. Recmenda-se que sistema seja aderente às bas práticas recmendadas pel ITIL versã 3. Atualmente a avaliaçã de ferramentas de gestã de serviçs de TI é publicada pela própria entidade ficial d ITIL cm também pela Pinkelephant (empresa credenciadra exclusiva de ferramentas de gestã de serviçs de ITIL). Abaix, seguem s links das ferramentas aderentes às bas práticas d ITIL pr entidade:

160 158 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Ampliar escp de atuaçã para serviçs de TI Implementar estrutura para efetiva gestã de serviçs de TI Organizar a estrutura da ST.A de maneira que fique respnsável pela gestã de nível de serviçs, de catálg de serviçs e frnecedres de TI. Esta estrutura deve cntemplar s seguintes itens: Papeis e respnsabilidade Flux de atividades Definiçã d cntext de Gestã Cumpriment legal às instruções nrmativas Plíticas, plans e prcediments. Cnsciência e Cmunicaçã Eleger a área respnsável pela gestã ds níveis e catálg de serviçs de TI. Capacitar equipe de implantaçã e peraçã em ITIL V3 ediçã Definir a área respnsável pela gestã ds níveis e catálg de serviçs de TI em Furnas, cnsiderand api de utras áreas da rganizaçã. Mbilizar e treinar s prfissinais que ficarã respnsáveis pr tda a gestã. Descrever prcediments de gestã de nível e catálg de serviçs de TI. Detalhar s prcediments de execuçã das atividades de gestã de nível e catálg de serviçs de TI integrand cm s prcesss de gerenciament de serviçs de TI. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar prcess de gerenciament de nível de serviçs de TI Mdelar s prcesss de gerenciament de nível de serviçs de TI. Descrever prcediments de gerenciament de nível de serviçs de TI. Elabrar s plans de cmunicaçã. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d gerenciament de nível de serviçs de TI de frma a atender s requisits e serviçs da rganizaçã. Seguir as recmendações da nrma ISO , ITIL V3 ediçã 2011 e s bjetivs de cntrle d COBIT. Detalhar s prcediments de execuçã das atividades de gerenciament de nível de serviçs de TI integrand cm s prcesss de gvernança e gestã de demandas. Criar e dcumentar s plans de cmunicaçã. Tabela 4.1: Plan de implementaçã das recmendações

161 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Açã Descriçã Implantar prcess de gerenciament de nível de serviçs de TI Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Criar prcediments para estabelecer acrds de nível de serviçs de TI Definir s requisits de acrds de nível de serviçs de TI. Selecinar s serviçs de TI da rganizaçã. Identificar s clientes, usuáris envlvids pr serviçs de TI ferecids. Especificar s serviçs de TI pr tips de acrds de nível de serviçs. Detalhar s requisits essenciais de acrd de nível de serviç para a rganizaçã. Detalhar e selecinar s serviçs de TI ferecids. Detalhar e selecinar s clientes e usuáris que slicitam serviçs de TI existentes. Detalhar e especificar s serviçs de TI pr tips de acrd de nível de serviç na rganizaçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Criar prcediments para estabelecer acrds de nível peracinal Definir s requisits de acrds de nível peracinal. Selecinar s serviçs de TI. Identificar grups slucinadres e áreas de api envlvid para entrega d serviç. Relacinar s serviçs de TI cm s acrds de nível peracinal. Detalhar s requisits essenciais de acrd de nível peracinal. Detalhar e selecinar s serviçs da TI Detalhar e selecinar s grups slucinadres e áreas de api envlvid para entrega d serviç. Detalhar e relacinar s serviçs de TI ferecids cm s acrds de nível peracinal. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Criar prcediments para estabelecer cntrats de api Definir s requisits d cntrat de api. Selecinar s serviçs de TI. Identificar s frnecedres envlvids na entrega d serviç. Detalhar s requisits essenciais de acrd de nível peracinal. Detalhar e selecinar s serviçs da TI. Detalhar e selecinar s frnecedres envlvids na entrega d serviç. Tabela 4.1: Plan de implementaçã das recmendações

162 160 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Açã Descriçã Criar prcediments para estabelecer cntrats de api Relacinar s serviçs de TI cm s cntrats de api. Detalhar e relacinar s serviçs de TI ferecids cm s cntrats de api. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar prcess de gerenciament de frnecedres Mdelar s prcesss de gerenciament de frnecedres. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d gerenciament de serviçs de terceirs de frma a atender s requisits da rganizaçã e seus serviçs ferecids. Seguir as recmendações da nrma ISO , ITIL V3 ediçã 2011 e s bjetivs de cntrle d COBIT. Descrever prcediments de gerenciament de frnecedres. Detalhar s prcediments de execuçã das atividades de gerenciament de frnecedres alinhad cm a gestã de serviçs terceirizads. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar prcess de gerenciament de catálg de serviçs de TI Mdelar s prcesss de gerenciament de catálg de serviçs de TI. Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d gerenciament de catálg de serviçs de TI de frma a atender s requisits da rganizaçã e seus serviçs ferecids. Seguir as recmendações da nrma ISO , ITIL V3 ediçã 2011 e s bjetivs de cntrle d COBIT. Descrever prcediments de gerenciament de catálg de serviçs de TI. Detalhar s prcediments de execuçã das atividades de gerenciament de catálg de serviçs de TI alinhad cm prcess de gestã de demandas. Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Tabela 4.1: Plan de implementaçã das recmendações

163 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Açã Descriçã Definir e Implantar um catálg de serviçs de TI Definir Escp Definiçã ds principais requisits de segurança digital, prteçã d site e cnteúd da rganizaçã para aplicar uma sluçã de prteçã cntra ataque u invasã. Validar as alternativas de prteçã. Prpsiçã de alternativas de sluçã de prteçã cntra ataque u invasã e validaçã cm a ST.A. Definir s detalhes técnics de cada requisit. Implantar s requisits de segurança. Elabrar um term de referência para aquisiçã da sluçã u carta de prjet intern para desenvlviment na rganizaçã. Definir d escp e perfis de treinament. Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar um prgrama de melhria de serviçs de TI (PMS) Mdelar prgrama de melhria de serviçs de TI (PMS) Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d prgrama de melhria de serviçs de TI (PMS). Seguir as recmendações da ITIL V3 ediçã 2011 e s bjetivs de cntrle d COBIT. Descrever prcediments d prgrama de melhria de serviçs de TI (PMS). Detalhar s prcediments de execuçã das atividades d prgrama de melhria de serviçs de TI (PMS) integrand cm prcess de qualidade. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Definir templates d prgrama de melhria de serviçs de TI (PMS). Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades d prgrama de melhria de serviçs de TI (PMS) para este fim, tend cm base as recmendações ds livrs da ITIL (Service Design e Cntinual Service Imprvement). Tabela 4.1: Plan de implementaçã das recmendações

164 162 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Açã Descriçã Implantar um prgrama de melhria de serviçs de TI (PMS) Definir d escp e perfis de treinament. Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar uma ferramenta de api Detalhar s requisits prcesss de TI elegíveis Avaliar s levantaments essenciais e necessáris, ds requisits e prcesss de TI na empresa que frem factíveis de serem aplicadas na empresa, além da pesquisa de nvas ferramentas aderentes à ITIL. Definir Escp Estabelecer s requisits necessáris para aplicar nsprcesss de TI, indicand uma u várias sluções. Buscar Sluções Pesquisar e levantar, junt as frnecedres, s prcesss mais ideaispara aplicaçã nas sluções existentes, além da pesquisa de nvas ferramentas. Validar as alternativas de sluçã Prpsiçã e validaçã das alternativas de sluçã ds prcesss de TI na empresa junt cm a TI. Definir s detalhes técnics para cntrataçã da sluçã. Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã. Adquirir a sluçã Definir d escp e perfis de treinament Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã

165 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Aprimrament da rientaçã a usuári (quem usa s serviçs) e cliente (quem cmpra serviç), na slicitaçã ds serviçs de TI necessáris para a rganizaçã. Melhr direcinament quant à expectativa d usuári sbre que ele vai bter. Infrmaçã mais precisa quant as limites nrmais de frneciment, representads pels níveis de serviçs. Melhr imagem da TI para a rganizaçã. Melhra a percepçã d cliente sbre s serviçs de TI. Aument da prdutividade e agilidade d cicl de entrega ds serviçs de TI. Melhria da qualidade de serviçs de TI. Aument da satisfaçã e cnfiança ds clientes e usuáris cm a rganizaçã de TI. Melhria n gerenciament de frnecedres (interns e externs) de serviçs de TI. Mair cmprmetiment de tds s envlvids na entrega ds serviçs de TI. Melhria d entendiment ds serviçs entregues para a empresa. Melhria na cmunicaçã entre TI e áreas de negóci. Mair valr agregad para s serviçs de TI. Melhria d relacinament entre Cliente e Frnecedr de serviçs de TI.

166 164 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Parâmetrs de Níveis de Serviçs Inadequads Definiçã inadequada de requisits e padrões ds níveis de serviçs de TI ST.A n mment da definiçã. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Parâmetrs de Níveis de Serviçs Inadequads Mitigaçã Levantament ds atuais níveis de serviçs aplicads e/u acmpanhament ds níveis existentes para definir s níveis de serviçs de TI a serem estabelecids, além de ações de Benchmarking.

167 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE009 - Implementaçã de Prcess de Gerenciament de Qualidade em TI 1. Objetiv da Iniciativa Recmendar a implementaçã pela Superintendência de Tecnlgia da Infrmaçã (ST.A) de Furnas, de um prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções, serviçs e prcesss prestads pr e sb a respnsabilidade da ST.A. A implementaçã pela ST.A de um prcess de GQTI irá maximizar a entrega cnsistente de sluções e serviçs de TI pela ST.A, atendend as requeriments de qualidade acrdads crprativamente, cm as áreas de negóci e cm demais partes interessadas ( stakehlders ). 1.1 Objetivs Estratégics apiads Relacinams abaix, as perspectivas segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics Vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I1 - Atender à demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Primária Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundária

168 166 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fundamentaçã para prpsiçã A elabraçã dessa Iniciativa Estratégica está baseada em metdlgias (framewrks) e melhres práticas mundialmente recnhecidas em Gvernança e Gerenciament de Serviçs de TI, cm p.e. Cbit e ITIL. Esta iniciativa também está fundamentada pelas seguintes referências bibligráficas: Certified in the Gvernance f Enterprise IT (CGEIT) Review Manual ISACA Gvernança de TI - Peter Weill, Jeanne W. Rss Bard Briefing n IT Gvernance ITGI Implantand a Gvernança de TI da Estratégia à Gestã ds Prcesss e Serviçs Planejament de Sistemas de Infrmaçã e Infrmática Denis Alcides Resende Reengenharia de Prcesss Thmas Davenprt Gestã pr Prcesss Jsé Osvald de Srdi Cbit 5 Framewrk, Implementatin, Enabling ISACA Aligning Cbit, ITIL and ISO 1779 fr Business Benefit ITGI ITIL: IT Cntinuus Service Imprvement, IT Service Management, IT Service Delivery, IT Service Supprt Cntrle da Qualidade Ttal Vicente Falcni Camps Administraçã da Prduçã Ediçã Cmpacta Nigel Slack, Stuart Chambers, Christine Harland, Alan Harrisn, Rbert Jhnstn NBR ISO 9001: Iniciativas estratégicas relacinadas Nã se Aplica. 1.4 Prcesss COBIT 5 vinculadas à Iniciativa Tds s prcesss d Cbit estã vinculads a essa iniciativa.

169 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual De acrd cm resultad da reuniã de Diagnóstic de Maturidade de Prcess d prcess APO11 Gerenciar Qualidade, gerenciament de qualidade em Tecnlgia da Infrmaçã, enquant um prcess frmal, estruturad e sistêmic, nã é realizad pela ST.A. 2.1 Riscs assciads A inexistência de um prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A., gera s seguintes riscs que pdem cmprmeter s resultads que devem ser entregues pela ST.A para atingiment ds bjetivs estratégics de Furnas e da própria ST.A: Indefiniçã clara e específica d prcess de GQTI: qual bjetiv e escp d prcess, s papéis e respnsabilidades, s indicadres de bjetiv e de perfrmance ( Key Gal Indicatrs e Key Perfrmance Indicatrs ), s fatres crítics de sucess, as entradas, as saídas, as atividades ( de implementaçã e de execuçã cntinuada ), s recurss necessáris, e s custs envlvids cm prcess; Incnsistência, ineficiência, custs nã timizads, atrass na execuçã ds trabalhs e muitas vezes ds retrabalhs; Perda de prdutividade, de eficiência e de eficácia; Nã atendiment de frma recrrente pr parte da ST.A ds Níveis de Serviç acrdads crprativamente e cm as áreas de negóci; Mair índice de falhas, atrass, custs adicinais e/u nã atendiment ds escps e expectativas iniciais, cm relaçã a implementaçã de mudanças envlvend td ambiente, peraçã, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A; Ineficiência, indispnibilidades, prblemas e custs adicinais relacinads cm a utilizaçã ds recurss de TI (infraestrutura, sistemas, aplicações, pessas, infrmações); Ineficiência na Gestã d Cnheciment em TI e/u perda de cnheciment pela ST.A relacinad cm td ambiente, peraçã, sluções e serviçs prestads pr e sb sua respnsabilidade; Insatisfaçã ds usuáris crprativs e das áreas de negóci, clientes interns das sluções e serviçs prestads pr e sb a respnsabilidade da ST.A; Nã envlviment das áreas de negóci nas avaliações e discussões sbre as prtunidades de melhria identificadas e definidas para serem implementadas pela ST.A;

170 168 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fc limitad das ações de melhria cntínua identificadas e definidas para serem implementadas pela ST.A, nã cbrind td ambiente sb a respnsabilidade da ST.A, p.e.: Serviçs e sluções de TI; Sistemas e aplicações de TI; Prcesss e prcediments da ST.A; Operações de TI; Desenvlviment e testes de sistemas crprativs e sluções de TI; Gestã ds prcesss de TI; Relacinament cm as áreas de negóci; Atendiment as usuáris da TI em Furnas; Central de serviçs de TI; Etc Falta de pririzaçã para as ações e/u prjets de melhria cntínua que frem definidas para implementaçã na ST.A.; Tecnlgia insuficiente para implementaçã as ações e/u prjets de melhria cntínua que frem definidas pela ST.A.; Alcaçã insuficiente de recurss humans dedicads a prcess de GQTI; Implementaçã d prcess de GQTI sem treinament e transferência de cnheciment; Nã realizaçã de tds s sete passs d Prcess de Melhria Cntínua de Serviçs de TI; As ações e/u prjets de melhria cntínua identificadas cm necessárias pela ST.A nã serem aprvadas para implementaçã pr Furnas; Descnheciment pr parte da ST.A ds nvs requeriments e necessidades das áreas de negóci em Furnas que deverã ser suprtads e/u atendids pela ST.A, n que diz respeit a TI Crprativa de Furnas; Falta de campanhas de cmunicaçã crprativa infrmand s clabradres de Furnas sbre as ações e/u prjets de melhria cntínua implementads pela ST.A. e seus benefícis para Furnas; Nã envlviment em tds s níveis rganizacinais, peracinal, tátic e estratégic, das pessas crretas n planejament, cnstruçã, testes e implementaçã das ações e/u prjets de melhria cntínua que frem definidas para implementaçã pela ST.A.; Nã realizar tds s testes necessáris u realizar apenas parcialmente, antes da implementaçã das ações e/u prjets de melhria cntínua na ST.A.

171 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa De acrd cm resultad da reuniã de Diagnóstic de Maturidade de Prcess d prcess APO11 Gerenciar Qualidade, s seguintes principais fatres fram cnsiderads mtivadres para a recmendaçã da implementaçã de um prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A. Tabela 2.1: Fatres Mtivadres para a criaçã da área de arquitetura tecnlógica Item Descriçã Um Sistema de Gestã da Qualidade nã fi estabelecid na rganizaçã. Falta um SGQ que frneça uma abrdagem padrã frmal e cntínua de gestã da qualidade alinhada cm s requisits d negóci da rganizaçã. Nã sã identificads requisits, nrmas, prcediments e práticas para prcesss-chave rientand a rganizaçã em cm atender SGQ. O fc da gestã da qualidade nã é rientad as clientes, nde nã é assegurad alinhament cm as práticas de gestã da qualidade. 4 Nã é realizad mnitrament da qualidade ds prcesss e serviçs de frma cntinuada. 5 6 Nã sã incrpradas práticas de gestã da qualidade nas sluções para desenvlviment e entrega de serviçs. Ptencializar us d SAP Nã é realizad um cicl de melhria cntínua (PDCA) relativamente as prcesss para que seja prmvida a melhria da eficácia. Nã existe uma cultura de qualidade e melhria cntínua dentr da rganizaçã.

172 170 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã A Iniciativa Estratégica Implementaçã de Gerenciament de Qualidade em TI descreve a implementaçã pela Superintendência de Tecnlgia da Infrmaçã (ST.A) de Furnas, de um prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A. As seguintes macratividades sã necessárias para a implementaçã um prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI) pela ST.A: Planejar td prcess, definind e acrdand crprativamente e cm as áreas de negóci Term de Referência (TOR) d prcess; Implementar prcess; Implementar a peraçã cntinuada (execuçã) d prcess; Implementar s padrões e práticas de gerenciament de qualidade e melhria cntinuada em TI. A figura a seguir ilustra de frma genérica funcinament de um prcess, cnsiderand seus principais cmpnentes: Figura 3.1: Funcinament de prcess

173 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A figura a seguir ilustra um sistema de gestã de qualidade baseada em prcess: Figura 3.2: Sistema de Gestã de Qualidade 3.1 Planejament d Prcess de Gerenciament de Qualidade em TI As seguintes ações deverã ser realizadas pel planejament d prcess de GQTI: Definir quem será Dn e Gerente d Prcess de GQTI, seus papéis e respnsabilidades, e a equipe de api d prcess; Definir a Missã, s Objetivs, Escp, as Atividades, s Prcediments e as Plíticas d Prcess, criand Term de Referência (TOR) d prcess, para ser acrdad crprativamente e entre as áreas de negóci pertinentes; Fazer um estud de viabilidade da adçã d prcess: quantificar as atividades, s recurss, s treinaments, as ferramentas e s investiments necessáris, e s critéris de qualidade, s riscs, s custs e benefícis assciads; Definir s Fatres Crítics de Sucess (FCS), s Indicadres de Perfrmance (KPIs), e as infrmações gerenciais e peracinais que serã frnecidas sbre prcess; Identificar s benefícis, s riscs, e as áreas de pssíveis prblemas e gargals; Definir s relacinaments e interdependências cm demais prcesss e funções da ST.A e das áreas de negóci pertinentes;

174 172 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Definir as ferramentas de api necessárias para a peraçã cntinuada d Prcess, e as necessidades de integraçã (custmizações das ferramentas) cm as demais ferramentas utilizadas pr utrs prcesss e pel prcess de GQTI, assim cm as necessidades de treinament para devida utilizaçã das ferramentas; Fazer uma campanha de divulgaçã sbre a implementaçã d prcess, s benefícis e impacts esperads, para cnheciment e api de tds s envlvids e impactads; Definir a estratégia, a plítica e s bjetivs d prcess; Analisar as infrmações que estã dispníveis para prcess; Fazer uma Análise de Necessidades ( Gap Analysis ) de ferramentas, recurss e funcinalidades existentes versus requeridas. Identificar as ferramentas, s recurss e as funcinalidades existentes que estã dispníveis para prcess, e que pssam ser aprveitads, assim cm as necessidades adicinais; Criar as interfaces e integrações cm s demais prcesss sb a respnsabilidade da ST.A; Obter patrcíni e cmprmetiment gerencial para implementaçã d prcess; Estabelecer Plan de Prjet para Implementaçã d Prcess de GQTI, descrevend escp, s temps, s recurss e s custs envlvids, as atividades, s bjetivs e s entregáveis. 3.2 Implementaçã d Prcess de Gerenciament de Qualidade em TI As seguintes ações deverã ser realizadas pela implementaçã d prcess de GQTI: Designar respnsável pel prcess (Prcess Owner); Dcumentar s prcediments peracinais relacinads a prcess de GQTI; Executar s treinaments necessáris; Realizar campanha de cnscientizaçã - divulgar, cmunicar, sbre a adçã d prcess: benefícis, impacts, mudanças; Executar uma implementaçã teste, limitada, pilt, d prcess; Fazer s ajustes necessáris, identificads na implementaçã pilt; Implementar definitivamente, amplamente, prcess; Mnitrar e reprtar regularmente sbre a execuçã d prcess.

175 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Operaçã Cntinuada d Prcess As seguintes ações deverã ser realizadas de frma cntinuada pela peraçã d prcess de GQTI: Mnitraçã e geraçã de relatóris infrmativs sbre a execuçã e desempenh d prcess, s resultads, a utilizaçã ds recurss; Realizaçã de reuniões de revisã da execuçã d prcess; Elabraçã e implementaçã ds Prgramas de Melhria Cntínua; Execuçã de auditrias periódicas para avaliar a devida, crreta, execuçã d prcess, e identificar desvis/deficiências na execuçã d prcess, e necessidades e/u prtunidades de melhrias, para garantir, manter, melhrar a eficiência e efetividade d prcess; Mnitraçã da execuçã d prcess para se cnfirmar que s prcediments e ferramentas estã send usads crretamente. 3.4 Padrões e Práticas de Gerenciament de Qualidade e Melhria Cntínua em TI As seguintes ações devem ser realizadas, mantidas e cntinuamente melhradas, pel prcess de GQTI: Definir e gerenciar s prcediments, as práticas e s padrões de qualidade; Identificar e manter s requeriments, padrões, prcediments e práticas ds prcesss-chave da TI, para rientar a ST.A em atender s padrões de qualidade em TI definids pr Furnas; Fcar gerenciament da qualidade relacinada cm tdas as áreas, perações, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A., n atendiment as padrões de qualidade para a TI determinads pr Furnas, a nível crprativ e das áreas de negóci (fc d gerenciament de qualidade n cliente ); Determinar s requeriments de qualidade em TI que serã adtads pr Furnas, para implementaçã pela ST.A; Mnitrament, cntrle e revisã da qualidade ds prcesss e serviçs prestads pr e sb a respnsabilidade da ST.A de frma cntinuada; Definir, planejar e implementar ações para mnitrar a satisfaçã ds clientes interns e usuáris da TI em Furnas; Integrar gerenciament de qualidade nas sluções para desenvlviment e entrega ds serviçs; Incrprar as práticas relevantes de gerenciament de qualidade na definiçã, mnitraçã, geraçã de infrmações e gerenciament cntinuad das sluções de desenvlviment e ferta de serviçs;

176 174 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Manter e cmunicar regularmente um Plan de Qualidade em TI que prmva as ações de melhria cntínua que frem definidas pela ST.A para implementaçã na TI de Furnas; Identificaçã, avaliaçã e definiçã de ferramentas e sluções de autmaçã de prcesss, prcediments e rtinas peracinais de TI; Estabelecer e manter um sistema integrad de gerenciament de qualidade em TI. Os seguintes padrões e/u práticas de avaliaçã de qualidade devem ser adtadas pela da ST.A: Pesquisa de satisfaçã cm atendiment da Central de Serviçs de TI; Pesquisa de satisfaçã cm atendiment presencial da equipe de Suprte Técnic de TI; Ouvidria de TI; Quantidade de ligações para a Central de Serviçs de TI reslvidas na primeira ligaçã (First Call Reslutin Rate); Quantidade de incidentes (slicitações para a Central de Serviçs de TI) reslvids de frma remta; Quantidade de recrrência ds incidentes e/u prblemas relacinads cm ambiente de TI sb a respnsabilidade da ST.A; Índice de dispnibilidade ds Serviçs de TI sb a respnsabilidade da ST.A; Índice de abandn de ligações na Central de Serviçs de TI; Índice de cngestinament de ligações na Central de Serviçs de TI (númer da Central de Serviçs de TI cupad); Temp de respsta para atendiment das ligações na Central de Serviçs de TI; Índice de encaminhament incrret de ligações na Central de Serviçs de TI; Cicl de Deming (PDCA) para s prcesss, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A; Análise de Paret; Análise de Causa Raiz; Diagrama de Cause e Efeit; Diagramas de Relaçã, Histgramas e Gráfics; Diagrama de Ishikawa (Espinha de Peixe); Matriz 5W2Hs what, why, where, wh, when, hw, hw much que, prque, nde, quem, quand, cm e quant.

177 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A ST.A deve adtar métds para sluçã ds prblemas de qualidade identificads nas perações, prcesss, sluções e serviçs de TI sb a respnsabilidade da ST.A., cm p.e., QC Stry da Uniã Japnesa de Cientistas e Engenheirs (JUSE Unin f Japanese Scientists and Engineers). 3.5 Fatres Crítics de Sucess Os seguintes fatres sã crítics para sucess da implementaçã d prcess de GQTI: Determinaçã frmal na estrutura rganizacinal da ST.A da funçã de Gerente d Prcess de Qualidade em TI (Prcess Owner); Cnheciment, expertise, técnica e de negóci pr parte d Gerente d Prcess. Definiçã e entendiment clar ds requeriments d negóci; Frmulaçã precisa da missã, d escp e ds bjetivs d prcess; Cmunicaçã, divulgaçã, d prcess, de seus benefícis e impacts, entre tds s envlvids cm e impactads pel prcess, dentr da ST.A e nas áreas de negci; Definiçã clara ds papéis, respnsabilidades e das atividades dentr d prcess; Utilizaçã de ferramentas adequadas, de sistemas de infrmaçã autmatizads, para execuçã, registrs e cntrles, mnitraçã e geraçã ds relatóris gerenciais infrmativs sbre a peraçã cntinuada d prcess e seus resultads. Custmizaçã e integraçã dessas ferramentas e sistemas de infrmaçã cm as demais ferramentas e sistemas usads pels demais prcesss realizads pela ST.A e cm a Central de Serviçs de TI; Gerenciar as expectativas ds clientes interns e usuáris da TI em Furnas; É imperativ que se tenha smente um Dn d Prcess; Cmprmetiment gerencial da Alta Direçã de Furnas, ds gestres das áreas de negóci em Furnas e da ST.A cm a implementaçã d prcess, para garantir a dispnibilidade ds recurss necessáris e nível de disciplina nas equipes de trabalh, para que prcess nã seja cntrnad, nã usad; para superar as resistências à mudança; Execuçã de auditrias, internas e externas, regulares, para garantir que prcess esteja send seguid crretamente, identificar deficiências e prtunidades de melhrias; Definiçã clara ds requeriments de qualidade, cntrles, mnitrament, utilizaçã de padrões e práticas cmprvadas na melhria cntínua e na eficiência ds esfrçs, para tds s prcesss, prcediments, serviçs e resultads relacinads cm a TI e sb a respnsabilidade da ST.A, cbrind tdas as áreas, perações, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A;

178 176 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Definiçã clara ds critéris de pririzaçã das ações e/u prjets de melhria cntínua que frem identificadas cm necessárias para serem implementadas na ST.A; Alcaçã de recurss dedicads para as ações e/u prjets de melhria cntínua que frem definidas para implementaçã na ST.A.

179 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações A implementaçã d prcess de GQTI pela ST.A deve seguir seguinte planejament: realizar campanha de cmunicaçã; definir crprativamente e cm as áreas de negóci s níveis e padrões de qualidade a serem adtads e perseguids pela ST.A; treinar s envlvids cm a implementaçã e peraçã cntinuada d prcess de GQTI em : gerenciament, planejament e cntrle de qualidade; gestã e cntrle de qualidade ttal (TQM Ttal Quality Management e TQC Ttal Quality Cntrl); gestã pr prcess (BPM Business Prcess Management), cntrle de prcess e indicadres de desempenh: Indicadres de Objetivs e de Perfrmance (Key Gal Indicatrs - KGIs - e Key Perfrmance Indicatrs - KPIs); gerenciament de serviçs; melhria cntínua de serviçs de TI; fundaments de ITIL, Cbit, ISO27001, PMBK, Tgaf, Six Sigma; planejament e cntrle de capacidades de TI, incluind gestã de demanda em TI e s cinc bjetivs de desempenh (Slack, N. Vantagem cmpetitiva em manufatura. Atlas, 1993); planejament e cntrle de prjets de TI; prevençã e recuperaçã de falhas em TI; planejar a implementaçã d prcess pilt de GQTI (escp reduzid); implementar prcess pilt de GQTI; avaliar implementaçã d prcess pilt de GQTI, definir e implementar ajustes / melhrias necessárias; planejar a implementaçã d prcess final de GQTI (escp cmplet); implementar prcess final de GQTI;

180 178 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Os seguintes benefícis sã esperads cm resultad da implementaçã d prcess de GQTI pela ST.A: Tabela 4.2: Benefícis Benefícis Ter definid clara e especificamente: bjetiv e escp d prcess, s papéis e respnsabilidades, s indicadres de desempenh, s fatres crítics de sucess, as entradas, as saídas, as atividades (de implementaçã e de peraçã cntinuada), s recurss necessáris e s custs envlvids d prcess Cnsistência na execuçã ds trabalhs Aument de prdutividade, eficiência e eficácia, cm a execuçã cnsistente e sistemática d prcess de GQTI e demais prcesss, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A Recnheciment e credibilidade da ST.A Reduçã n índice de falhas, atrass, custs adicinais e/u nã atendiment ds escps e expectativas iniciais, cm relaçã a implementaçã de mudanças envlvend td ambiente, peraçã, sluções e serviçs prestads pr e sb a respnsabilidade da ST.A Mair satisfaçã ds usuáris crprativs e das áreas de negóci, clientes interns das sluções e serviçs prestads pr e sb a respnsabilidade da ST.A Reduçã ds custs peracinais da TI em Furnas, cm a reduçã de retrabalhs, recrrência de prblemas e identificaçã de causas raízes. Alinhar e realinhar cntinuamente a execuçã ds prcesss da ST.A, s Serviçs e Sluções de TI prestads pela ST.A, cm s requeriments de qualidade das áreas de negóci de Furnas e cm Planejament Estratégic da ST.A Melhr gestã e cntrle de qualidade em TI realizad pela ST.A Melhr gestã pr prcess e cntrle ds prcesss realizad pela ST.A Melhr gestã e prestaçã ds serviçs de TI pela ST.A Adçã de frma estruturada e sistêmica das ações de melhria cntínua para s prcesss e serviçs de TI prestads pr e sb a respnsabilidade da ST.A Melhr planejament e cntrle de capacidades de TI e gestã de demanda em TI pela ST.A Melhr planejament e cntrle ds prjets de TI pela ST.A Melhr prevençã e recuperaçã de falhas em TI pela ST.A Mair agilidade da ST.A em identificar desvis e/u prblemas de desempenh ns prcesss sb sua respnsabilidade, na identificaçã das causas raízes e na adçã de ações preventivas para evitar as recrrências ds fensres (causas que impactaram negativamente) ds desempenhs esperads ds prcesss Capacitaçã e cnheciment pr parte da ST.A de melhres práticas e framewrks de gestã de qualidade e gestã de TI, p.e.: ITIL, Cbit, ISO27001, PMBK, Tgaf, Six Sigma

181 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1 Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Risc Financeir Nã btençã da aprvaçã pr Furnas para realizaçã ds investiments e cntratações necessárias para a implementaçã d prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções, serviçs e prcesss prestads pr e sb a respnsabilidade da ST.A. Fnte Alta Direçã de Furnas Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) X Baixa (E) Tabela 5.2: Riscs Nme Risc Recurss Humans e Cmpetências Internas Descriçã Quantidade insuficiente de clabradres e cmpetências nas equipes da ST.A necessárias para a implementaçã d prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções, serviçs e prcesss prestads pr e sb a respnsabilidade da ST.A. Fnte Superintendência de Tecnlgia da Infrmaçã ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt X Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

182 180 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Respstas as Riscs Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, apresentase um plan de respstas as riscs em cmplement a plan de implementaçã. Tabela 5.3: Plan de respstas as Riscs Id. Risc Respsta 1 Risc Financeir Pstergar integral u parcialmente a implementaçã d prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções, serviçs e prcesss prestads pr e sb a respnsabilidade da ST.A. 2 Risc Recurss Humans e Cmpetências Internas Cntrataçã de empresa frnecedra de serviçs especializads em implementaçã e peraçã cntinuada (execuçã) de prcess frmal, estruturad e sistêmic, de Gerenciament de Qualidade em Tecnlgia da Infrmaçã (GQTI), cbrind tdas as áreas, perações, sluções, serviçs e prcesss prestads pr e sb a respnsabilidade da ST.A.

183 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE010 - Implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI 1. Objetiv da Iniciativa Recmendar a implementaçã de práticas vltadas para a gestã especializada de recurss humans de TI para ST.A Objetivs Estratégics apiads Seguem abaix, s bjetivs estratégics de TI apiads pr esta iniciativa estratégica. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I4 - Prspectar prtunidades de TI junt as clientes. Ampliar a presença da ST.A n fereciment de alternativas de caráter tecnlógic em api às perações de Furnas, através da adçã de pstura prativa pr parte das equipes. Objetiva-se prmver a identificaçã de pssíveis cntribuições de TI em relaçã às questões ainda nã identificadas/percebidas pels segments de negóci cm prtunidades de aprimrament u mesm ampliaçã de sua capacidade de peraçã. Significa ser diligente na pesquisa e na busca de antecipaçã quant à ptenciais necessidades de negóci. Secundária Partes Interessadas I5 - Impulsinar sucess das áreas clientes cm sluções invadras de TI. Prpr e dispnibilizar sluções quant a us invadr de TI rientadas às necessidades das áreas de negóci, cm base na utilizaçã plena e diferenciada das tecnlgias já dispníveis na ST.A e também de tecnlgias emergentes de maneira a ferecer efetivs ganhs quant à eficiência e eficácia ds prcesss de negóci. Secundária Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI. Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundária

184 182 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P7 - Estabelecer estrutura de relacinament cm negóci. Realizar ações que desenvlvam um padrã adequad de gerenciament das demandas, de relacinament e de cmunicaçã da ST.A cm as demais áreas de negóci da Furnas, visand assim um melhr alinhament das iniciativas da ST.A cm as necessidades d negóci, além d desenvlviment e frtaleciment de parcerias. Secundária Aprendizad A1 - Internalizar cnheciment sbre negóci de Furnas. Ampliar e aprfundar dmíni da ST.A quant as principais aspects e prcesss de negóci de Furnas, pela sistematizaçã d us de mecanisms de transferência de cnheciment, visand ptencializar a integraçã e a capacidade de cntribuiçã da Tecnlgia de frma prativa. Primária Aprendizad A2 - Atrair, desenvlver e reter pessal cm cmpetências essenciais. Desenvlver e cnslidar fatres e cndições ambientais diferenciads que trnem a Tecnlgia da Infrmaçã área de interesse, além de prmver aprimrament de td quadr de empregads da ST.A a partir da identificaçã ds déficits de frmaçã rientads pels vetres estratégics da rganizaçã, desenvlvend as aptidões técnicas e gerenciais necessárias a desempenh de suas funções, bem cm mbilizand cnheciments, habilidades e atitudes para a ampliaçã da capacidade de respsta às exigências de negóci. Primária Aprendizad A3 - Frtalecer a sinergia entre as áreas da ST.A. Desenvlver mecanisms e prmver ações que viabilizem um mair nível de integraçã intern entre as áreas da ST.A, de frma a se bter a devida cnvergência e racinalizaçã de esfrçs em trn das questões de interesse de Furnas, dinamizand prcess de btençã de resultads e a efetividade das sluções prpstas. Secundária 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base ns diagnóstics de maturidade realizads para s prcesss APO07 Gerenciar Recurss Humans e BAI08 Gerenciar Cnheciment, além d resultad da pririzaçã resultante d Mapa Estratégic de TI elabrad para a ST.A.

185 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Iniciativas estratégicas relacinadas IE005 - Definiçã e Implantaçã de práticas e mecanisms de gvernança de TI 1.4. Prcesss COBIT 5 vinculads à Iniciativa APO07 - Gerenciar Recurss Humans BAI08 - Gerenciar Cnheciment DSS05 Gerenciar Segurança ds Serviçs

186 184 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Atualmente a gestã especializada de Recurss Humans na ST.A é realizada de maneira infrmal, nde diversas atividades imprtantes n tratament inerente a pessal de TI, nã é executad de maneira rganizada e cnsciente. É imprtante também frisar a falta de uma gestã pr cmpetências, element altamente alavancadr n desempenh rganizacinal. Os treinaments sã realizads sem a frça mtriz de uma avaliaçã de desempenh u planejament futur da utilizaçã de pessal de TI. Nã existe uma verificaçã de efetividade ds treinaments para ratificar a melhria d desempenh d funcinári na execuçã de suas atribuições. Finalizand esta síntese, falta uma mair atençã relacinada à gestã d cnheciment, principalmente em relaçã às pessas chave de TI e na frmaçã de uma cultura nde cnheciment seja efetivamente cnsiderad cm um ativ primrdial dentr da rganizaçã Riscs assciads Seguem abaix, s riscs assciads decrrentes das cndições descritas na situaçã atual: Falta de visibilidade da imprtância de frmar uma equipe especializada em RH de TI; Falta de cultura para cmpartilhament de cnheciment; Falta de rçament crprativ vltad para treinament; Dificuldades na geraçã de cnheciment cmpartilhad pr cnta da existência de sils departamentais; Falta de cmunicaçã relacinada as bjetivs estratégics de Furnas; Falta de cmunicaçã relacinada as bjetivs estratégics da ST.A.

187 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Nã existe um dn u respnsável frmal pel prcess de gestã de recurss humans de TI. 2 As ações relacinadas à gestã ds recurss humans de TI sã executadas de maneira infrmal cnfrme a necessidade. 3 Falta de dcumentaçã d prcess, plíticas e prcediments. 4 Nã existe plan para us e padrnizaçã de ferramentas para a autmaçã d prcess. Falta ferramenta que apie a cnsulta integrada de infrmações de desempenh e treinament (cust, quem, quand, etc.). Os prcesss de avaliaçã de desempenh e treinament nã sã autmatizads, nde apenas existe um wrkflw implementad na ferramenta Ntes para apiar a slicitaçã de treinament. 5 Nã existe um mapeament de tdas as cmpetências requeridas para prcess Nã existe um plan frmal de treinament, nde estes sã realizads cnfrme surgiment das necessidades. Fi identificada a cncepçã de um plan mais frmalizad apenas em relaçã a sistema de gestã integrad da rganizaçã (SAP). As frnteiras de respnsabilidades quant as treinaments de TI nã estã claras, nde falta uma definiçã das atribuições relacinadas as treinaments de TI, cnferind s devids papéis e respnsabilidades tant para a área crprativa de RH cm para as diversas gerências de TI. Nã existe um prcess de transferência de cnheciment ds participantes de um treinament para demais clabradres cm a mesma necessidade de capacitaçã. Após a realizaçã ds treinaments, nã existe um prcediment de avaliaçã para verificar-se a efetividade d treinament. Falta de critéris para a avaliaçã de desempenh. Nã existem critéris bjetivs n prcess de avaliaçã de desempenh para verificar-se a necessidade de treinament para grups e indivídus. Falta de definiçã de bjetivs efetivs e métricas d prcess, nde apenas algumas medidas de cust sã armazenadas para efeit de frmaçã de base histórica.

188 186 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendações Visand a efetiva implementaçã de práticas vltadas para a gestã especializada de Recurss Humans de TI, abaix apresentams resumidamente bjetiv de cada recmendaçã: Implantaçã d Prcess Gerenciar Recurss Humans de TI Este prcess cncentra atividades de gestã relacinada a Pessal de TI e tem pr bjetiv primrdial timizar a capacidade em relaçã a cnheciment, cmpetências e treinament ds recurss humans de TI para atender as bjetivs estratégics de Furnas. Através desse imprtante prcess, a ST.A bterá uma abrdagem estruturada para garantir a estrutura de pessal ideal, clcaçã, prcess decisóri, cmpartilhament de cnheciment das pessas chaves de TI, gestã efetiva ds treinaments alinhads cm as necessidades d negóci, além de gestã efetiva das cmpetências ds recurss humans de TI. Ist inclui a cmunicaçã ds papéis e respnsabilidades, plans de recnheciment e cresciment prfissinal, além de treinament. Td esse arcabuç é capaz de prmver e alavancar desempenh da ST.A, através de pessas cmpetentes e mtivadas. Esta recmendaçã está amparada n prdut Mdel TO BE APO07 Gerenciar Recurss Humans de TI que apresenta mdel d prcess sb a ntaçã BPMN. Implantaçã de Práticas de Gestã d Cnheciment Esta recmendaçã tem cm prpósit sugerir a implantaçã de práticas, que prprcinem melhr acess a cnheciment necessári para apiar a tds s funcináris de TI nas suas atividades de trabalh e para uma melhr tmada de decisã fundamentada, além de pssibilitar uma mair prdutividade. Estas práticas a serem implantadas deverã estar alinhadas cm prcess crprativ de gestã de cnheciment prmvid pela área de RH de Furnas Implantaçã d Prcess Gerenciar Recurss Humans de TI Para implantaçã de um nv prcess de gestã de recurss humans de TI (RH de TI), é imprtante frisar a necessidade de atendiment de algumas premissas: Definiçã da equipe: Cnfrme descrit n dcument Estrutura Organizacinal Revisada, existe a recmendaçã da criaçã da equipe Cmpetências e Cnheciment, dentr d núcle de Gvernança de TI. Treinament da equipe: Algumas atividades d prcess exigem cnheciment de técnicas para que estas sejam executadas da maneira ideal. Ferramentas: Algumas atividades exigem um ferramental de api para mair prdutividade, aumentand a prbabilidade de mair efetividade n alcance d bjetiv d prcess. Acmpanhament ds Riscs: Acmpanhament próxim ds riscs relacinads à implantaçã d prcess, principalmente as relacinads às mudanças culturais, exigids em atividades d prcess, tais cm na gestã pr cmpetências e avaliaçã de desempenh.

189 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Além das premissas acima, alguns cuidads devem ser levads em cnta, para que a implantaçã de um prcess, que tem cm fc principal centrad nas pessas, seja mais assertiv e atinja suas metas junt à ST.A. Cicl de adçã de um cnjunt de mudanças Durante qualquer cnjunt de ações que casine mudanças, a natureza humana tende a respnder de md sintmátic em um cmprtament cnfrme ilustrad na figura abaix que expõe uma adaptaçã d mdel de adçã cultural prpst pr Cnner (1982): Figura Uma adaptaçã d mdel de adçã cultural Cada estági da respsta à mudança pde ser definid pr uma questã: Cntat: é mment n qual as pessas tmam cntat cm a ideia e se fazem a seguinte pergunta O que está havend?. Cnheciment: após primeir cntat, as pessas buscam mais detalhes sbre que crre, u seja, elas estarã perguntand O que é ist?. Cmpreensã: busca-se significad d que está acntecend para si mesm e indivídu questina O que ist significa para mim? Implantaçã: é a aplicaçã da mudança em si mediante a execuçã de atividades nvas, quand as pessas se fazem a pergunta Será que ist dará cert?. Adçã: cm s resultads da aplicaçã, segue-se uma avaliaçã d que está crrend, fazend cm que as pessas se perguntem Estams usand ist?. Institucinalizaçã: respndida a pergunta, as necessidades criam mudanças, levand s membrs da rganizaçã a questinar Ist está bm bastante?. Cm a determinaçã d cicl natural de mudanças em uma rganizaçã, pde-se determinar cm mais exatidã quais ações crretivas e preventivas sã necessárias, a fim de melhrar desempenh da implantaçã d prcess.

190 188 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantand Prcess Gerenciar Recurss Humans de TI A implantaçã deste prcess deverá seguir mdel de flux prpst na mdelagem TO BE d prcess APO07 Gerenciar Recurss Humans. Este prcess tem grande imprtância n cntext de atendiment às demandas riundas da área de negóci, tant cm na manutençã d ambiente tecnlógic apt a atender as usuáris de TI. De acrd cm diagnóstic de maturidade basead n COBIT5 realizad neste prcess, fram identificadas várias lacunas que precisaram ser atendidas para que este prcess atinja seu bjetiv. O prcess pssui seis subprcesss bem delineads: Manter Pessal de TI Adequad: Tem pr bjetiv avaliar as necessidades de pessal de TI para garantir que existem recurss humans suficientes para apiar s bjetivs de negócis de Furnas. Manter Matriz de Cmpetências Pessais de TI: Seu bjetiv é definir e manter matriz de cmpetências e habilidades exigidas para s recurss humans de TI de Furnas. Fmentar as funcináris aprendizad cntínu e prtunidades para manter seus cnheciments, habilidades e cmpetências em um nível necessári para atingir s bjetivs de Furnas. Avaliar Desempenh Pessal de TI: Este subprcess tem pr bjetiv realizar avaliações de desempenh pntuais em relaçã as bjetivs individuais derivads ds bjetivs de negóci de Furnas. Cmpartilhar Cnheciment Pessal Chave TI: Tem pr bjetiv mair identificar s principais indivídus-chave de TI, buscand minimizar a dependência de uma única pessa executar uma funçã de trabalh crític, através da captura e cmpartilhament de cnheciment e de um plan de substituiçã. Planejar Utilizaçã Futura Pessal TI: Seu bjetiv é entender e acmpanhar a demanda atual e futura de negócis e de recurss humans de TI. Identificar deficiências e frnecer subsídis para prcesss de recrutament de recurss humans de TI seja internamente u através de cncurss. Acmpanhar Efetividade Treinaments: O bjetiv deste subprcess é avaliar nível de efetividade ds treinaments realizads pels funcináris de TI. Sugerims que a implantaçã d prcess se dê de frma gradual, dividind-a em três fases de acrd cm a figura abaix:

191 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fase 1 Fase 2 Fase 3 Subprcess: Manter Pessal de TI Adequad Subprcess: Manter Matriz Cmpetências Pessal TI Subprcess: Avaliar Desempenh Pessal de TI Subprcess: Cmpartilhar Cnheciment Pessal Chave TI Subprcess: Planejar Utilizaçã Futura Pessal TI Subprcess: Acmpanhar Efetividade Treinaments Figura 3.2 Fases Implantand a Fase 1: Manter Pessal de TI Adequad: Neste subprcess cuj mdel é apresentad na figura abaix, sã apresentadas atividades relacinadas à verificaçã ds requisits de Pessal de TI. Figura 3.3 Diagrama d Flux de Atividades Necessidades: Pessal: Equipe de Cmpetências e Cnheciment treinada n subprcess. Perfil de Analista de Treinament.

192 190 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Ferramentas: Este subprcess pde ser implantad sem autmaçã. Artefats: Definir s seguintes artefats: Quadr Quali-quantitativ cnfrme rientações d RH Crprativ. Plan de Substituiçã cnfrme rientações d RH Crprativ. Observações: É imprtante frisar que nas situações em que a avaliaçã ds requisits de Pessal de TI apntar para nã atendiment, s bjetivs e metas de Furnas u fr verificad nã atendiment relacinad a algum prcess de negóci de Furnas, é necessári rever quadr quali-quantitativ, verificand em seguida prcesss de recrutament intern u extern (cncurss). Manter Matriz Cmpetências Pessal TI: Neste subprcess cuj mdel é apresentad na figura abaix, sã apresentadas atividades relacinadas à manutençã de uma matriz de cmpetências e habilidades necessárias d pessal de TI para atendiment às demandas d negóci de Furnas. Definir e manter Habilidades e Cmpetências Necessárias Prpr Plan de Carreira para Pessal de TI Planejar Atendiment de Gaps de Habilidades e Cmpetências Plan de Treinament [Mdificad] Matriz de Cmpetências [Criada] Cmpetências e Habilidades Direcinadres Recrutament Intern [Mdificad] Plan de Desenvlviment de Cmpetências [Mdificad] Planejar Treinament basead Requisits Prcesss Organizacinais Revisar Evluçã Cmpetências e Habilidades d Pessal de TI Revisar Plan de Treinament Requisits de Mudança Organizacinal Figura 3.4 Diagrama d Flux de Atividades Necessidades: Pessal: Equipe de Cmpetências e de Cnheciment treinada n subprcess. Perfil de Analista de Treinament.

193 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Ferramentas: Este subprcess pde ser implantad sem autmaçã, mas seria interessante a verificaçã da viabilidade de implantaçã de ferramenta vltada para apiar a gestã das cmpetências necessárias e as cmpetências existentes n Pessal de TI. Artefats: Definir s seguintes artefats: Direcinadres de Recrutament Intern, cnfrme rientações d RH Crprativ. Plan de Desenvlviment de Cmpetências. Plan de Treinament. Matriz de Cmpetências Observações: É imprtante frisar que Plan de Treinament passa a ser fcad na necessidade da gestã pr cmpetências. Cada treinament slicitad deverá estar relacinad às cmpetências u habilidades necessárias para atender as necessidades ds prcesss rganizacinais. Implantand a Fase 2: Avaliar Desempenh Pessal de TI: Neste subprcess cuj mdel é apresentad na figura abaix, sã apresentadas atividades relacinadas à avaliaçã de desempenh d Pessal de TI. Figura 3.4 Diagrama d Flux de Atividades

194 192 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Necessidades: Pessal: Equipe de Cmpetências e Cnheciment treinada n subprcess. Perfil de Analista de Treinament. Ferramentas: Este subprcess pde ser implantad sem autmaçã, mas seria interessante a verificaçã da viabilidade de utilizaçã de ferramenta vltada para apiar às atividades de avaliaçã de desempenh d Pessal de TI. Artefats: Definir s seguintes artefats: Ficha Individual de Avaliaçã de Desempenh Avaliaçã individual de desempenh. Lista de Metas Individuais. Plan de Melhria de Desempenh. Slicitaçã de Treinament Emergencial. Observações: É necessári que se defina antecipadamente métd a ser utilizad para a realizaçã da avaliaçã de desempenh ds funcináris de TI. O COBIT5, de acrd cm prcess APO07 Gerenciar Recurss Humans sugere métd de avaliaçã de 360º para tds s funcináris da área de TI. Apesar de ser uma avaliaçã mais cmpleta, este métd nrmalmente encntra bstáculs na sua implantaçã devid a resistências culturais. Recmendams avaliar antecipadamente cm mair atençã a definiçã d métd de avaliaçã de desempenh. Abaix seguem alguns métds mais cnhecids: Avaliaçã 360 graus: neste métd avaliad recebe feedbacks (retrns) de tds s funcináris cm quem ele tem relaçã, também chamads de envlvids, cm pares de sua equipe, superir imediat, subrdinads, clientes, entre utrs. Avaliaçã de cmpetências: trata-se da identificaçã e mensuraçã de cmpetências cnceituais (cnheciment teóric), técnicas (habilidades) e interpessais (atitudes) necessárias para que determinad desempenh seja btid. Avaliaçã pr resultads: é um métd de avaliaçã basead na cmparaçã entre s resultads prevists e realizads. É um métd prátic, mas que depende smente d pnt de vista d supervisr a respeit d desempenh avaliad. Avaliaçã de cmpetências e resultads: é a utilizaçã da cnjugaçã das avaliações de cmpetências e resultads, u seja, é a verificaçã da existência u nã das cmpetências necessárias de acrd cm desempenh apresentad. Escalas gráficas de classificaçã: é métd mais utilizad nas empresas. Avalia desempenh pr mei de indicadres definids, graduads através da descriçã de desempenh numa variaçã de ruim a excepcinal. Para cada graduaçã pde haver exempls de cmprtaments esperads para facilitar a

195 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E bservaçã da existência u nã d indicadr. Permite a elabraçã de gráfics que facilitarã a avaliaçã e acmpanhament d desempenh históric d avaliad. Esclha e distribuiçã frçada: cnsiste na avaliaçã ds indivídus através de frases descritivas de determinad tip de desempenh em relaçã às tarefas que lhe fram atribuídas, entre as quais avaliadr é frçad a esclher a mais adequada para descrever s cmprtaments d avaliad. Este métd busca minimizar a subjetividade d prcess de avaliaçã de desempenh. Pesquisa de camp: basead na realizaçã de reuniões entre um especialista em avaliaçã de desempenh da área de Recurss Humans cm cada líder, para avaliaçã d desempenh de cada um ds subrdinads, levantand-se s mtivs de tal desempenh pr mei de análise de fats e situações. Este métd permite um diagnóstic padrnizad d desempenh, minimizand a subjetividade da avaliaçã. Ainda pssibilita planejament, cnjuntamente cm líder, d desenvlviment prfissinal de cada um. Incidentes crítics: enfca as atitudes que representam desempenhs altamente psitivs (sucess), que devem ser realçads e estimulads, u altamente negativs (fracasss), que devem ser crrigids através de rientaçã cnstante. O métd nã se precupa em avaliar as situações nrmais. N entant, para haver sucess na utilizaçã desse métd, é necessári registr cnstante ds fats para que estes nã passem despercebids. Cmparaçã de pares: também cnhecida cm cmparaçã binária, faz uma cmparaçã entre desempenh de dis clabradres u entre desempenh de um clabradr e sua equipe, pdend fazer us de fatres para iss. É um prcess muit simples e puc eficiente, mas que se trna muit difícil de ser realizad quant mair fr númer de pessas avaliadas. Aut-avaliaçã: é a avaliaçã feita pel própri avaliad cm relaçã a seu desempenh. O ideal é que esse sistema seja utilizad cnjuntamente a utrs sistemas para minimizar frte viés e falta de sinceridade que pdem crrer. Relatóri de Desempenh: também chamada de avaliaçã pr escrit u avaliaçã da experiência, trata-se de uma descriçã mais livre acerca das características d avaliad, seus pnts frtes, fracs, ptencialidades e dimensões de cmprtament, entre utrs aspects. Sua desvantagem está na dificuldade de se cmbinar u cmparar as classificações atribuídas e pr iss exige a suplementaçã de um utr métd, mais frmal. Avaliaçã pr bjetivs: baseia-se numa avaliaçã d alcance de bjetivs específics, mensuráveis, alinhads as bjetivs rganizacinais e negciads previamente entre cada clabradr e seu superir. É imprtante ressaltar que durante a avaliaçã nã devem ser levads em cnsideraçã aspects que nã estavam prevists ns bjetivs, u nã tivessem sid cmunicads a clabradr. E ainda, deve-se permitir a clabradr sua aut-avaliaçã para discussã cm seu gestr. Cmpartilhar Cnheciment Pessal Chave TI: Neste subprcess cuj mdel é apresentad na figura abaix, sã apresentadas atividades relacinadas a cmpartilhament de cnheciment e verificações necessárias relacinadas a pessal chave de TI.

196 194 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.5 Diagrama d Flux de Atividades Necessidades Pessal: Equipe de Cmpetências e Cnheciment treinada n subprcess. Perfil de Analista de Treinament. Ferramentas: Este subprcess pde ser implantad sem autmaçã, mas seria interessante a utilizaçã de ferramenta vltada para apiar às atividades relacinadas a repsitóri de cnheciment de TI. Artefats: Definir s seguintes artefats: Plan de Cmpartilhament e Captura de Cnheciment cnfrme rientações d RH Crprativ. Direcinaments para Plan de Férias de Pessal Chave de TI. Direcinaments para Plan de Apsentadria de Pessal Chave de TI. Plan de Substituiçã. Plan de Treinament.

197 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantand a Fase 3: Planejar Utilizaçã Futura Pessal TI Figura 3.6 Diagrama d Flux de Atividades Necessidades: Pessal: Equipe de Cmpetências e Cnheciment treinada n subprcess. Perfil de Analista de Treinament. Ferramentas: Este subprcess pde ser implantad sem autmaçã, mas seria interessante a verificaçã da viabilidade de utilizaçã de ferramenta vltada para apiar às atividades relacinadas a inventári de Negócis relacinad as recurss humans de TI. Artefats: Definir s seguintes artefats: Direcinaments para realizaçã de cncurss. Prpsta Quadr Quali-quantitativ. Acmpanhar Efetividade ds Treinaments: Neste subprcess cuj mdel é apresentad na figura abaix, sã apresentadas atividades relacinadas a acmpanhament da efetividade ds treinaments realizads pel Pessal de TI.

198 196 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.7 Diagrama d Flux de Atividades Necessidades: Pessal: Equipe de Cmpetências e Cnheciment treinada n subprcess. Perfil de Analista de Treinament. Ferramentas: Este subprcess pde ser implantad sem autmaçã, mas seria interessante a verificaçã da viabilidade de utilizaçã de ferramenta vltada para apiar às atividades relacinadas as treinaments realizads e a realizar, além de ferramenta apiand a atualizaçã de cmpetências e habilidades. Artefats: Definir seguinte artefat: Relatóri de Efetividade de Treinament. Cmunicad de Insatisfaçã de Treinament Implantaçã de Práticas de Gestã de Cnheciment Intrduçã De temps em temps, mudanças sensíveis nas rganizações empresariais acntecem e causam muits impacts direts ns negócis. Fi-se temp em que smente cm equipaments e atividades peracinais eram gerads lucrs para as empresas. Hje,

199 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E cada vez mais, lhar empresarial se vlta para capital intelectual, u seja, para cnheciment e criatividade frnecids pelas pessas. A imprtância dada às pessas - suas capacidades criativas, mtivações, cmpetências, habilidades e cnheciments - é um diferencial e uma grande prtunidade para as empresas crescerem mais. Fat este apntad pela recente pesquisa da Delitte, que indica que as rganizações pretendem investir cerca de 2,4% de seu lucr em benefícis as clabradres. Dar imprtância às pessas d que as bens tangíveis trna-se uma grande tendência prque sã as pessas que mantém s cnheciments mais valiss sbre cm atingir melhres resultads, cm identificar e sanar prblemas, além de experiência na busca pela melhria de prcesss interns, enquant s equipaments e sistemas usads nas perações sã mers cadjuvantes de api para atingir esse bjetiv. A melhr maneira de aprveitar cnheciment desses clabradres é implantar práticas da gestã d cnheciment, que nada mais é d que estimular e facilitar cmpartilhament, a trca, us e a criaçã de cnheciment em tda a empresa. Cm essas práticas de gestã d cnheciment, as pessas sã incentivadas a cmpartilhar aquil que é cnhecid, de frma a pssibilitar um ambiente de trabalh, n qual tda experiência válida u nã pde ser acessada pels utrs clabradres e aplicada em suas atividades, permitind até a elevaçã da prdutividade da rganizaçã. Tips de Cnheciment Existem dis tips básics de cnheciment que pdem ser aplicads pel Hmem: cnheciment explícit e cnheciment tácit. O cnheciment explícit é facilmente adquirid pr mei da leitura de manuais, livrs e artigs. Quand lems um manual u sistema de ajuda cntend as funcinalidades de um sistema estams tend cntat cm um cnheciment explícit. O cnheciment tácit é mais difícil de ser clcad em palavras e nrmalmente é adquirid apenas cm a experiência prprcinada pela prática. Cm exempl, pdems citar a mdificaçã nas funcinalidades de um sistema, nde analista nã dcumenta as mdificações efetuadas e passa a ser detentr exclusiv d cnheciment, u seja, detentr de cnheciment tácit. Muitas atividades também pdem gerar cnheciment tácit, cm pr exempl, um líder gerind sua equipe, um crretr negciand ações na blsa, um médic diagnsticand uma dença. Enfim, cnheciment tácit pssui mair dificuldade de explicaçã e nrmalmente está atrelad à experiência de quem detêm. Uma das bas práticas da gestã d cnheciment é a transfrmaçã de cnheciment tácit em cnheciment explícit.

200 198 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Macrprcesss da Gestã d Cnheciment: A Gestã d Cnheciment é viabilizada nas rganizações através de macrprcesss que pssibilitam que cnheciment circule e gere aprendizad rganizacinal. Junts, s macrprcesss prmvem desenvlviment da inteligência cletiva e da excelência da rganizaçã. Os principais prcesss da Gestã d Cnheciment sã: Criaçã: prcess intangível e abstrat em que cnheciment é cncebid a partir da cnexã e reflexã sbre infrmações, utrs cnheciments e ações; Identificaçã: cleta e identificaçã de cnheciments imprtantes para negóci e que devem ser prtegids pela rganizaçã; Prteçã e armazenament: registr e rganizaçã d cnheciment para facilitar buscas e cnsultas. O us de mdels e rteirs facilita armazenament d cnheciment e a estruturaçã d cnteúd a ser registrad; Disseminaçã: Meis e canais de divulgaçã d cnheciment para que ele chegue às pessas que efetivamente precisam dele; Us u Adçã: us u aplicaçã d cnheciment para reslver um prblema de negóci a partir da experiência de alguém que já reslveu esse prblema antes; Melhria: detecçã de prtunidades de melhria na utilizaçã d cnheciment aplicad. A melhria pde caracterizar-se pr adequaçã a um cntext u cmplementar cm ações u cnteúd nã prevists na versã riginal. Gestã de Cnheciment nas rganizações A gestã d cnheciment pde ser de grande valia nas rganizações, pis de frma eficiente permite através da disseminaçã d cnheciment, que uma mair prdutividade pssa ser alcançada. Uma vez disseminad, cnheciment pde ser retid pr utrs clabradres, a fim de gerar resultads sempre superires as d passad. Um engenheir que pera uma estaçã de energia elétrica tem uma experiência riquíssima que deve ser bem aprveitada. O cnheciment e experiência de um analista especializad em um módul d Sistema Integrad de Gestã da rganizaçã pderá, cas disseminad, prprcinar alts ganhs n alcance de bjetivs d negóci da rganizaçã. É precis um prcess cntínu de recnheciment para disseminar esse cnheciment para que a empresa esteja sempre evluind. Os dis maires desafis para as rganizações atualmente sã: 1) Vencer a resistência interna das ilhas de cnheciment, representadas pr funcináris que ainda creem que manter cnheciment tácit representa a manutençã de seu empreg u carg; e; 2) Aplicar a gestã d cnheciment de frma alinhada as negócis, rientada para s bjetivs estratégics da rganizaçã, u seja, é necessári explicitar quais resultads se deseja atingir cm a gestã d cnheciment.

201 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Práticas de Gestã d Cnheciment Abaix relacinams as principais práticas de Gestã de Cnheciment que pdem ser utilizadas para a implantaçã desta vertente na TI: Análise de Redes Sciais: Uma rede scial é uma estrutura cmpsta pr pessas u rganizações, cnectadas pr um u váris tips de relações, que partilham valres e bjetivs cmuns. A Análise de Redes Sciais pssibilita mapeament das cnexões e relacinaments existentes entre pessas, grups e cnheciments. Essa prática busca entender as parcerias existentes na rganizaçã, gaps e prtunidades de cmpartilhament, e fntes de cnheciment e experiência em determinads assunts. Além diss, a Análise de Redes Sciais pde facilitar na identificaçã de ptenciais Cmunidades de Prática e de Multiplicadres de Gestã d Cnheciment. Benchmarking: Busca sistemática das melhres referências para cmparaçã as prcesss, prduts e serviçs da rganizaçã. Basicamente pde ser realizad: internamente da rganizaçã entre suas unidades u departaments; Externamente de frma cmpetitiva, nde as cmparações sã realizadas cm utras empresas d mesm segment; e; funcinal/genéric: realizad através da identificaçã das melhres práticas em qualquer tip de rganizaçã que estabeleceu uma reputaçã de excelência. Bas Práticas: Mecanisms de valrizaçã e disseminaçã das práticas de sucess ressaltand s aspects criativs e invadres da gestã. As bas práticas sã uma cletânea rganizada de técnicas, métds u prcesss adtads cm resultads psitivs na rganizaçã e identificads cm a maneira mais eficiente (esfrç X resultad) para a realizaçã de uma atividade. Caching e Mentring: Trata-se de um prcess planejad de rientaçã, api, diálg e acmpanhament; que ferece feedback (retrn), alinhad às diretrizes e à visã de futur da rganizaçã. Dentre s benefícis desta prática, destaca-se estímul, a mtivaçã e cmprmetiment ds clabradres. Através d Mentring, mentr, cm ampl cnheciment e expertise n negóci, desenvlve um clabradr cm menr experiência a partir de rientações e transferência de cnheciments. Já n Caching, cnheciment é passad pel acmpanhament de atividades realizadas a lng d dia e de rientações e feedbacks (retrns) cnstantes. Cmunidade de prática: Agrupament de natureza infrmal e aut-rganizada de md a permitir a clabraçã de pessas, interna u externamente à rganizaçã, sbre aspects u interesses cmuns. (Cmunities f Practices CPs). As CPs têm se trnad a principal estratégia para prmver a Gestã d Cnheciment dentr das rganizações, uma vez que elas trazem uma nva abrdagem centrada nas pessas e nas estruturas sciais que permitem que as mesmas aprendam umas cm as utras. Esta prática pssui um métd atualmente implantad e dispnível para utilizaçã crprativa em Furnas. Gestã de cnteúd: Representaçã ds prcesss de seleçã, captura, classificaçã, indexaçã, registr e depuraçã d cnheciment explícit. Tipicamente envlve uma ativa e cntinuada pesquisa ds cnteúds dispsts em instruments, cm bases de dads, árvres de cnheciment, redes humanas, etc.

202 200 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Identificaçã de prcesss intensivs em Cnheciment: Sã prcesss nã estruturads caracterizads pr frte dependência d cnheciment tácit nas pessas e pr cnsequência seu flux de events se estabelece de frma evlutiva e dinâmica, nã pdend ser claramente definid cm num prcess estruturad. Apesar de cntribuir agregand valr as prcesss de negóci da rganizaçã, dificilmente apresentam métricas para avaliar seu sucess. Mapeament de cnheciments: Prcess de identificaçã das cmpetências e habilidades necessárias a capital intelectual; s mecanisms, sistemas e métds d capital estrutural; e, s relacinaments e fatres externs que cnfiguram ambiente rganizacinal. Registr de Lições Aprendidas: lições aprendidas sã registrs que explicitam cnheciments u um entendiment adquirid através de uma experiência prática de um empregad n seu dia-a-dia de trabalh. As lições devem sugerir uma melhria ns prcesss, evitand errs futurs, u, garantind que ações psitivas sejam repetidas. Esta é uma prática que deve ser realizada em cada prjet u demanda realizada na rganizaçã. Strytelling: é uma maneira eficaz de transferir cnheciments e cultura n ambiente de trabalh. Basicamente é a história da rganizaçã cntada infrmalmente pr pessas que participaram dela, cnferind credibilidade e cntext a crrid. O cmpartilhament das histórias é imprtante n cntext da rganizaçã, prque prprcinam uma estruturaçã de fats que ajuda a entender realidades cmplexas, cmunicam a necessidade pr mudanças e melhrias, e ajudam a aprender cm passad e entender cntext em que as situações acnteceram. Taxnmia: Basicamente se traduz na classificaçã hierárquica das infrmações, que pde auxiliar s usuáris a entender cm cnheciment explícit pde ser agrupad e categrizad. Ns ambientes rganizacinais atuais, a trca de infrmações de tds s tips (sejam s, dcuments, ntícias, infrmes, cmunicads etc.) geradas dentr u fra da empresa é imensa. Cm tanta infrmaçã sã necessáris mecanisms que s auxiliem a filtrar e rganizar essas infrmações. Assim, grande bjetiv da taxnmia é classificar e rdenar infrmações e cnheciment de um grup, a partir de uma representaçã hierárquica e lógica de cnceits e categrias. Ferramentas de Gestã d Cnheciment Base de Cnheciments: Uma das grandes prtunidades vislumbradas n curt praz é criar mecanisms para a retençã d cnheciment explícit pels empregads. A criaçã de uma Base de Cnheciment é uma excelente alternativa para se atingir esse bjetiv. A mesma está diretamente ligada à definiçã de prcesss para a captura de Bas Práticas, Lições Aprendidas, e, mais genericamente, a qualquer cnteúd u cnheciment que pssa ter valr para s funcináris da rganizaçã. Nrmalmente, esses prcesss sã implementads na ferramenta através de wrkflws. Nrmalmente é muit utilizad para registr de artigs técnics u sluções encntradas. Esta ferramenta está atualmente implantada e dispnível para utilizaçã crprativa em Furnas.

203 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Base de Especialistas: É um espaç destinad para s funcináris declararem suas experiências, cnheciments, interesses e prjets já realizads durante a vida prfissinal. O mair bjetiv da Base de Especialistas é estimular uma cnexã entre s funcináris que detêm um cnheciment e aqueles que estã à prcura dele. Pde ser utilizad cm ferramenta auxiliar para as mvimentações internas na rganizaçã. Esta ferramenta está atualmente implantada e dispnível para utilizaçã crprativa em Furnas. Web 2.0: Este term é utilizad para descrever a segunda geraçã da WWW (Wrld Wide Web) tendência que refrça cnceit de trca de infrmações e clabraçã ds internautas cm sites e serviçs virtuais. A ideia é que ambiente nline se trne cada vez mais dinâmic e que s usuáris clabrem para a rganizaçã d seu cnteúd. Frma ambiente prpíci para a frmaçã de redes sciais. Wiki: É uma ferramenta clabrativa que permite a criaçã, ediçã e aprimrament simultâne pels usuáris d ambiente. A ferramenta wiki é um grande facilitadr para a cnstruçã clabrativa de cnheciments dentr da rganizaçã, sejam esses cnheciments manuais, nrmas técnicas, dcuments de trabalh, ideias u até bas práticas explicitand dessa frma cnheciment. Implantand as Práticas de Gestã de Cnheciment Cnfrme citams acima, vale ressaltar que já existem métds e ferramentas dispníveis vltadas para a gestã de cnheciment em prjet crprativ direcinad pela área de RH de Furnas, nde sugerims que esta recmendaçã fique em cnfrmidade e aprveite s resultads desse prjet em andament. Sugerims que a implantaçã d prcess se dê de frma gradual, nã send necessári implantar tdas as práticas. A recmendaçã pde ser dividida em três grandes fases de acrd cm a figura abaix:

204 202 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fase 1 Definiçã, estruturaçã e treinament da equipe respnsável pela GC. Elabraçã de plítica para utilizaçã de práticas de gestã d cnheciment (GC). Definiçã de plan de incentiv e recnheciment vltada para a transferência de cnheciment. Definiçã das práticas de GC a serem implantadas na ST.A de acrd cm as definições da Gestã de Cnheciment crprativa definida pela área de RH de Furnas. Definiçã das ferramentas de api à GC. Cmunicaçã as funcináris. Fase 2 Treinament na utilizaçã das ferramentas de GC. Implantaçã das práticas definidas. Fase 3 Mnitrament. Figura 3.8: Fases

205 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Recmendaçã 1 Implantaçã d Prcess Gerenciar Recurss Humans de TI Planejar prjet de implantaçã Executar Prjet Implantaçã da Fase 1 Implantaçã da Fase 2 Implantaçã da Fase 3 Mnitrar Prjet Encerrar Prjet Elabrar plan detalhad d prjet, btend api e aceite pela alta direçã. Execuçã das fases de implantaçã cnfrme plan detalhad. Mnitrar riscs, desvis e cust d prjet. Encerrament d prjet cm verificaçã de atendiment ds benefícis e registr de lições aprendidas. Recmendaçã 2 Implantaçã das práticas de Gestã d Cnheciment Planejar prjet de implantaçã. Executar Prjet Implantaçã da Fase 1 Implantaçã da Fase 2 Implantaçã da Fase 3 Mnitrar Prjet Encerrar Prjet Elabrar plan detalhad d prjet, btend api e aceite pela alta direçã. Execuçã das fases de implantaçã cnfrme plan detalhad. Mnitrar riscs, desvis e cust d prjet. Encerrament d prjet cm verificaçã de atendiment ds benefícis e registr de lições aprendidas Benefícis Esperads Tabela 4.2: Benefícis Recmendaçã 1 Benefícis Aument d desempenh pela utilizaçã da Avaliaçã de Desempenh relacinad as bjetivs rganizacinais. Aument da eficácia, eficiência e efetividade ds treinaments pela rientaçã as bjetivs estratégics de TI. Planejament em lng praz das necessidades de Pessal de TI de acrd cm planejament estratégic. Identificaçã cm ações de gestã de cnheciment acerca d pessal chave de TI. Manutençã d Pessal de TI apt n atendiment das demandas atuais e futuras. Mair cnheciment das cmpetências e habilidades necessárias para atendiment da ST.A. Aument da prdutividade pela implantaçã de Gestã pr Cmpetências. Planejament mais eficaz ds treinaments.

206 204 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.2: Benefícis Recmendaçã 2 Benefícis Agilidade na tmada de decisões em funçã da dispnibilidade de tdas as infrmações e cnheciments pssíveis. Mair cnscientizaçã d pessal em relaçã a negóci de Furnas, criand e aplicand cnheciment. Estímul à criatividade e a vntade cnstante de aprendizad. Cnheciment ds pnts frtes e fracs da rganizaçã para buscar a crreçã de rums e a melhria cntínua. Cmpartilhament ds cnheciments ds funcináris chave de TI. Retençã e prteçã d cnheciment gerad na ST.A. Diminuiçã de prblemas devid a apagões de cnheciment em uma área/prcess. Visibilidade ds especialistas e cnheciments existentes na empresa. Aument na utilizaçã de especialistas de utras áreas e na criaçã de times multidisciplinares. Diminuiçã das ilhas de cnheciment entre as áreas. Identificaçã de ptenciais autres e validadres de itens de cnheciments, mderadres de Cmunidades de Prática e empregads-educadres.

207 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Risc Descriçã Fnte Falta de visibilidade da imprtância de frmar uma equipe especializada em RH de TI Falta de visibilidade da imprtância de frmar uma equipe na ST.A que seja respnsável exclusivamente pela gestã especializada de Recurss Humans de TI. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Risc Falta de cultura para cmpartilhament de cnheciment Descriçã Fnte Falta de cultura para cmpartilhament de cnheciment na ST.A, nde se utilize cnheciment cm fnte de pder, cm prteçã d carg u cm alavanca para bter prmções. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

208 206 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.3: Riscs Risc Falta de rçament crprativ vltad para treinament Descriçã Fnte Apareciment de entraves a plan de treinament de TI pr cnta de falta de rçament crprativ vltad para treinament. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) X Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.4: Riscs Risc Descriçã Fnte Resistência para implantar um prcess de avaliaçã de desempenh Apareciment de resistência cntrária à implantaçã de uma avaliaçã de desempenh. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) X Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

209 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.5: Riscs Risc Descriçã Fnte Dificuldades na geraçã de cnheciment cmpartilhad pr cnta da existências sils departamentais Linhas rígidas de demarcaçã entre departaments, funções em níveis de gestã, que acabam dificultand a geraçã de cnheciment cmpartilhad. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) X Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.6: Riscs Risc Descriçã Fnte Falta de cmunicaçã relacinada as bjetivs estratégics de Furnas Falta de cmunicaçã relacinada as bjetivs estratégics, casinand descnheciment geral sbre que se quer alcançar em Furnas. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) X Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

210 208 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.7: Riscs Risc Descriçã Fnte Falta de cmunicaçã relacinada as bjetivs estratégics de da ST.A Falta de cmunicaçã relacinada as bjetivs estratégics de TI, casinand descnheciment geral sbre que se quer alcançar na ST.A. ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) X Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.8: Respstas as Riscs Riscs Tratament Respsta Falta de visibilidade da imprtância de frmar uma equipe especializada em RH de TI. Mitigaçã Obter aprvaçã e cmprmetiment da alta direçã. Falta de cultura para cmpartilhament de cnheciment. Mitigaçã Elabrar Plítica de Gestã de Cnheciment da ST.A. Obter Aprvaçã e cmprmetiment da alta direçã. Falta de rçament crprativ vltad para treinament. Mitigaçã Obter cmprmetiment junt à Área de RH cmunicand antecipadamente através de um plan de treinament anual relacinad às reais necessidades de Furnas e d desempenh d Pessal de TI. Dificuldades na geraçã de cnheciment cmpartilhad pr cnta da existência de sils departamentais. Mitigaçã Cmunicar as gerentes ds departaments a Plítica de Gestã de Cnheciment e bter cmprmetiment.

211 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.8: Respstas as Riscs Riscs Tratament Respsta Falta de cmunicaçã relacinada as bjetivs estratégics de Furnas. Mitigaçã Obter junt à alta direçã de Furnas planejament estratégic atualizad. Falta de cmunicaçã relacinada as bjetivs estratégics da ST.A. Mitigaçã Cmunicar junt as funcináris sbre planejament estratégic de TI.

212 210 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE011 - Otimizaçã d Cicl de vida de Cntrataçã de sluções de TI na ST.A 1. Objetiv da Iniciativa Recmendar melhrias para s prcesss ligads a cicl de vida de cntrataçã e gerenciament ds prvedres de sluções de TI da ST.A, de frma a garantir que s serviçs prestads estejam dand suprte adequad as bjetivs e expectativas de negóci Objetivs Estratégics apiads Segue abaix, a relaçã ds bjetivs d Mapa Estratégic da ST.A, suprtads de frma primária u secundária pelas recmendações prescritas nesta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Aprendizad A1 - Internalizar cnheciment sbre negóci de Furnas Ampliar e aprfundar dmíni da ST.A quant as principais aspects e prcesss de negóci de Furnas, pela sistematizaçã d us de mecanisms de transferência de cnheciment, visand ptencializar a integraçã e a capacidade de cntribuiçã da Tecnlgia de frma prativa. Secundári Prcesss Interns P1 - Racinalizar custs gerais de TI Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment de serviçs. Primári Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte às iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api a(s) Cmitê(s) de TI. Primári

213 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P3 - Elevar nível de maturidade ds prcesss de TI priritáris para Negóci Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds prcesss já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Primári Buscar, pela adçã de uma nva abrdagem n prcess de Terceirizaçã de Serviçs de TI, um melhr atendiment das necessidades de Furnas e da ST.A, permitind cntratações mais adequadas, ágeis e ecnômicas em serviçs terceirizads de Tecnlgia. Este bjetiv cntempla: Prcesss Interns P5 - Aprimrar planejament e cntrle d prcess de terceirizaçã A necessidade de medidas para a criaçã de cndições que permitam previsibilidade sbre s serviçs a serem demandads para a Tecnlgia, pssibilitand mair sincrnism entre as ações de TI que requerem api de terceirs e as necessidades de negóci; Primári A avaliaçã de nvas alternativas e pssibilidades de cntrataçã de serviçs terceirizads de TI que sejam viáveis e exequíveis dentr da realidade de Furnas; A adçã de mdel de gestã que garanta mair efetividade ns resultads da prestaçã de serviçs de TI junt as frnecedres cntratads. Partes interessadas I1 - Atender a demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes. Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas de acrd cm as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Secundári

214 212 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Objetiv Estratégic Descriçã Vinculaçã Partes interessadas I2 - Frnecer serviçs segund acrds de nível de serviç estabelecids cm s clientes Assegurar a dispnibilidade ds recurss e sluções de TI pela adçã de recmendações, medidas e prcediments que garantam a resiliência da infraestrutura de TI e a recuperaçã ds serviçs dentr ds parâmetrs e patamares definids ns requisits de dispnibilidade d negóci pactuads junt à ST.A. Secundári Partes interessadas I3 - Atender s requisits impsts pr órgãs e prcesss regulatóris Garantir que as demandas ds agentes regulatóris interns e externs a Furnas, referentes a TI, sejam encaminhadas e prvidenciadas dentr ds prazs cmprmissads, pr mei da estruturaçã e aprimrament de prcesss de planejament, acmpanhament e gestã ds níveis de cnfrmidade. Primári Resultads R1 - Agregar valr a resultad da crpraçã Adtar mecanisms que pssibilitem explicitar, para a alta administraçã, a cntribuiçã da Tecnlgia junt as segments de negóci, através d mapeament e metrificaçã d cmprtament da ST.A ns bjetivs estratégics de Furnas e n desempenh de suas principais linhas de negóci. Secundári Resultads R2 - Reduzir custs unitáris de TI Sistematizar prcediments de apuraçã, análise e cntrle de custs ds serviçs de tecnlgia da infrmaçã prestads pela ST.A, visand a adçã de pssíveis medidas para sua reduçã. Faz parte deste bjetiv estud para identificaçã, definiçã e pririzaçã das unidades de serviçs de TI a serem cnsideradas. Secundári Resultads R3 - Balancear riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantends ns níveis aceitáveis pela rganizaçã. Primári

215 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precnizam as bas práticas ds livrs da ITIL versã 3, lançada em junh de 2007 e revisada na ediçã em 2011, que sã recmendações e rientações de mercad para uma gestã de serviçs de TI adequada para a rganizaçã. Também sã cnsiderads s direcinaments d framewrk de gestã Cntrl Objectives fr Infrmatin and Related Technlgy - COBIT 5, Instruçã Nrmativa Nº 04 de 2010 IN 04/ e Guia Prátic para Cntrataçã de Sluções de Tecnlgia da Infrmaçã da SLTI-MP (Secretaria de Lgística e Tecnlgia da Infrmaçã d Ministéri d Planejament, Orçament e Gestã) Iniciativas estratégicas relacinadas IE008 - Implantaçã das práticas ds prcesss de gestã de serviçs de TI Prcesss COBIT 5 vinculads à Iniciativa EDM02 Assegurar entrega ds benefícis APO08 Gerenciar Relacinaments APO010 Gerenciar Frnecedres BAI01 Gerenciar Prgramas e Prjets DSS01 Gerenciar Operações MEA01 Mnitrar e avaliar desempenh

216 214 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Em linhas gerais, prcess de terceirizaçã ds serviçs de TI é mtivad pela necessidade de ampliaçã da capacidade de atendiment em funçã d aument da demanda pr serviçs u ainda pela carência n dmíni de tecnlgias específicas, requisitand especializações de mercad ainda nã dminadas n cntext da rganizaçã. Especificamente, para cas da Superintendência de Tecnlgia (ST.A), em Furnas, ambas mtivações sã claramente identificadas requerend, prtant, investiments n sentid d aprimrament ds prcesss de cntrataçã e gestã de serviçs de terceirs de frma a garantir que tal abrdagem seja efetiva quant as resultads desejads. N cntext avaliad, levu-se em cnta a necessidade de suprtar adequadamente via terceirizaçã, tant a especializaçã de serviçs quant aument nas demandas pr sluções de TI, cnsiderand pntualmente s seguintes fatres: A dimensã d atual backlg que caracteriza significativa demanda reprimida pr serviçs de TI; A previsã de ampliaçã de demandas cm decrrência da implantaçã e evluçã d prjet PRO-Furnas; O esfrç e temp necessáris para a qualificaçã d quadr de empregads da ST.A de frma a habilitar as cmpetências necessárias à assimilaçã e expansã ds serviçs versus nvas demandas e tecnlgias. As adequações (reduções) d quadr de empregads da ST.A rientadas pel prjet PRO-Furnas que, naturalmente acabam pr gerar a necessidade de cntrataçã de serviçs cm element de cmplementaçã da capacidade da TI. A adçã da estratégia da terceirizaçã, em auxíli à cmplementaçã ds déficits de escala e de cmpetências, nã só repsicina, cm ptencializa a respsta da TI (ST.A), reduzind pssíveis restrições na ferta de sluções, que passam, entã, a evluir plenamente a encntr das necessidades, bjetivs estratégics e metas estabelecidas para as áreas de negóci de Furnas. N entant, a terceirizar um cnjunt de serviçs, a ST.A e s nvs frnecedres estã realizand acrds de lng praz que estã sujeits a rupturas n nível de serviç e cmprmisss assumids parte a parte, em funçã de pssíveis falhas na adaptaçã de prcesss, de ferramentas, ns arranjs de trabalh, dentre utras. Através d estabeleciment de uma série de prcediments frmais de gvernança é pssível cnstruir um efetiv relacinament entre as partes envlvidas, reduzind incertezas e maximizand as chances de se atingir nível de serviç desejad mediante a detecçã, em temp hábil, ds ptenciais prblemas, cm vistas a tratáls cm a mair antecedência pssível.

217 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E De frma mais específica, s esfrçs n sentid de aprimrament d prcess de gestã de frnecedres bjetivam a mitigaçã de riscs e a ampliaçã das cndições que pssibilitem atendiment adequad de fatres crítics a bm resultad da TI. Cnsidera-se, para tal, a necessidade de: Gerenciar plen alinhament ds perfis e prazs das cntratações às necessidades de negóci cntratações adequadas; Garantir bm us ds recurss investids e a qualidade ds serviçs prestads maximizaçã d valr das cntratações; Sistematizar a aplicaçã das práticas de gerenciament a lng de td cicl de vida ds serviçs; Gerenciar relacinament cm s frnecedres ns seus mais diverss aspects; Assegurar cumpriment de acrds níveis de serviçs e padrões de cnfrmidade; Gerenciar riscs assciads/inerentes à terceirizaçã de serviçs. O ambiente da ST.A, de frma peculiar, apresenta as seguintes características quant à gestã de frnecedres e sistemática de cntrataçã: Nã existe uma classificaçã ds tips de frnecedres quant à sua imprtância para a sustentaçã das linhas de negóci cnsiderand tip e criticidade. Pr rientaçã d TCU, a seleçã de frnecedres é realizada pel menr preç, nde a qualidade d atendiment ds serviçs u aquisiçã de prduts é garantida através de cláusulas cntratuais. As cntratações de frnecedres sã regidas pela Lei de 21 de junh de Nã existe um prcess frmal, sistemátic de avaliaçã da qualidade ds frnecedres. Desta frma, nã se aplica cnceit de lista negra, a partir de ações administrativas, nde maus frnecedres pderiam ser blqueads na participaçã de nv prcess de seleçã de frneciment. Atualmente, um prcess de seleçã através de licitaçã tem um praz mínim aprximad de seis meses para ser cncluíd. Nã é realizad gerenciament de riscs quant as frnecedres, cnsiderand sua capacidade de realizar cntinuamente uma prestaçã de serviçs segura, eficiente e eficaz. A prática chave de Gerenciar relacinaments e cntrats (COBIT APO10.3.) cm frnecedres é realizada na íntegra. Atualmente a avaliaçã de desempenh e da cnfrmidade (COBIT APO10.5.) ds frnecedres cntratads é realizada de frma satisfatória. Nã sã realizadas avaliações cm base em métricas financeiras para mnitrar desempenh ds frnecedres.

218 216 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs assciads Seguem abaix, s principais riscs assciads, decrrentes das cndições descritas na situaçã atual: A nã cntemplaçã integral, ns cntrats de TI, de recurss e serviçs necessáris a atendiment de futuras necessidades de negóci. Falta de entendiment e alinhament ds frnecedres cm s prcediments d prcess de gestã, pr deficiências u falta de clareza nas regras de relacinament e plíticas internas vigentes. Desalinhament de expectativas entre frnecedres e cntratante (ST.A), na prestaçã ds serviçs de tecnlgia. Estabeleciment de cntrats cm parâmetrs administrativs, SLA e métricas inviáveis u cmplexas sbre aspect de apuraçã pr parte d cntratante (ST.A), e pr vezes inatingíveis pr parte ds frnecedres. Ptencializaçã de cenáris de cnflits entre cntratante e cntratad pela deficiência de clareza nas especificações ds serviçs e cmprmisss pactuads. Pssibilidade de sbre-esfrç para gestã de relacinament, em detriment d esfrç a ser direcinad para demais práticas relacinadas à gestã de serviçs de terceirs. Nã racinalizaçã de recurss financeirs investids na prestaçã de serviçs. Cmprmetiment de algumas perspectivas de gerenciament ds cntrats cnsideradas necessárias à plena gestã de frnecedres. Aplicaçã de prcediments parciais e pntuais na gestã de frnecedres e serviçs, nã caracterizand uma linha cntínua de atuaçã durante td cicl de vida ds cntrats. Cmprmetiment d flux de infrmaçã entre cntratante (Furnas) e cntratads, pela indefiniçã de canais e alçadas eficientes de cmunicaçã. Descntinuidade de serviçs crítics pel cmprmetiment d cntrle de prazs necessáris para trâmite, em temp hábil, de prcesss de habilitaçã e renvaçã de cntrats referentes a serviçs cm limite de expiraçã n curt praz Fatres Mtivadres da Iniciativa Decrrentes das cndições de peraçã e práticas identificadas na avaliaçã da situaçã atual apresentams a seguir, uma lista ds principais fatres mtivadres para as prpsições descritas nesta iniciativa, cnsiderand-s cm pnts de atençã e prtunidades de aprimrament:

219 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item 01 Descriçã Necessidade de alinhament das plíticas e prcediments para aquisições de TI às plíticas e prcediments de aquisições da rganizaçã; Necessidade de referenciar s seguintes aspects nas plíticas e prcediments de aquisiçã: A respnsabilidade d frnecedr; As respnsabilidades d cliente; Os acrds de nível de serviç d frnecedr (ANS); O acmpanhament e relatóris cntra ANS; Os acrds de transiçã; Os prcediments de ntificaçã e escalaçã; 02 As nrmas de segurança, gerenciament de registrs e requisits de cntrle; As práticas de cntrle de qualidade exigidas junt a frnecedr; O direit de auditar; As penalidades u incentivs relativs as níveis de serviçs acrdads; Os direits de prpriedade intelectual; A prvisã para garantia independente; As cláusulas de atualizaçã de tecnlgia. Necessidade de plíticas e prcediments para gerenciament de cntrats ds frnecedres de acrd cm cndições e terms legais; 03 Necessidade de prcediment padrã de aquisiçã que abrde riscs assciads; Necessidade de assegurar registr d recebiment de td hardware e sftware btid num inventári de ativs, e a avaliaçã de sua qualidade cm element habilitadr para a realizaçã ds devids pagaments; Necessidade de plíticas e prcediments para gerenciament de cntrats ds frnecedres de acrd cm cndições e terms legais; Necessidade de revisar s cntrles interns ds frnecedres, através da gerência u de auditrias pr terceirs independentes; Necessidade de cnfirmaçã de que a aquisiçã de tecnlgia fi entregue cnfrme requisitad, através de fiscalizaçã, inspeçã e testes; 08 Necessidade de aprimrar, em linhas gerais, s prcediments para cntrlar s serviçs de terceirs; 09 Necessidade de aprimrar s critéris para identificar e categrizar tds s relacinaments cm frnecedres, de acrd cm tip, imprtância e criticidade d serviç; 10 Necessidade de melhr estabeleciment de regras e respnsabilidades para cada prestadr de serviçs; Necessidade de melhria n prcess para assegurar a revisã ds cntrats cm s principais frnecedres de serviçs, garantir a revisã regular ds relatóris de desempenh entre a rganizaçã e prestadr d serviç e prver a cmunicaçã adequada sbre a necessidade de melhrias; Ausência de cicl de melhria cntínua para prcess em pauta, apiad pelas avaliações de desempenh d prcess de gestã de frnecedres ns mldes ra praticads; Necessidade de instauraçã de prcediment frmal para cletar e tabular a piniã pr parte ds usuáris quant a desempenh e qualidade ds serviçs prestads pr cada frnecedr. (Pesquisa de qualidade/satisfaçã d cliente);

220 218 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã Ausência de Cmitê e prcediments de arbitragem para tmada de decisã em relaçã as cntrats de frneciment de serviç; Necessidade da definiçã de Papéis e Respnsabilidades n prcess de cntrataçã de sluções e serviçs de TI; Necessidade de sistematizaçã para elabraçã e acmpanhament da execuçã ds cntrats cm base ns Acrds de Nível de Serviçs (ANS). 17 Déficit d cntingente de recurss humans para atender a aument na demanda de sluções de TI; 18 Ausência de registr de incidentes prvcads pels frnecedres e respectiva cmunicaçã através d prcess intern de gerenciament de incidentes da rganizaçã;

221 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Elabrar Prgrama de Otimizaçã d gerenciament de frnecedres de TI na ST.A e d cicl de cntrataçã de sluções, cnsiderand as seguintes necessidades: 3.1. Cnstruçã de um Guia de Especificaçã e Gestã de Serviçs Terceirizads de TI Esta recmendaçã deve ser cnduzida tmand cm base as seguintes referências: MR-MPS.Br Guia de Aquisiçã; INSTRUÇÃO NORMATIVA Nº 04 de 2010 da SLTI; Guia Prátic para Cntrataçã de Sluções de Tecnlgia da Infrmaçã (SLTI); ABNT NBR ISO/IEC : Avaliaçã de prdut - Parte 4: Prcess para adquirentes; Sftware Assurance in Acquisitin: Mitigating Risks t the Enterprise DOD and DHS Sftware Assurance (SWA) Acquisitin Wrking Grup. Este dcument terá pr finalidade facilitar a cnsulta às diretrizes para cntrataçã de serviçs terceirizads de tecnlgia na ST.A, além de frnecer infrmações detalhadas sbre prcess de gestã a ser seguid pelas diversas Gerencias da ST.A. O guia deverá cnter, n mínim, rientações para: O estabeleciment de plíticas e diretrizes para seleçã e gestã de frnecedres; O estabeleciment de papéis e respnsabilidades (ST.A, Suprte a Aquisiçã, Gestr, Terceir, Usuári); Distribuiçã das respnsabilidades internas entre gestr e fiscal de cntrat, cnsiderand s aspects de treinament e fiscalizaçã; O estabeleciment de mdels de cntrats u peças de api à aquisiçã destacand, pr exempl, a inserçã de cláusulas cntratuais brigatórias cm direit de auditar; A criaçã de mecanisms de relacinament entre as cntratadas e gerências da ST.A; A adçã de métricas bjetivas para mensuraçã de resultads d cntrat; O estabeleciment de mecanisms de mnitrament e escalaçã ds serviçs cntratads; A elabraçã d Acrd de Nível de Serviç (ANS); A elabraçã de Ordem de Serviç; A cnstruçã de Plan de Atendiment pela cntratada; O estabeleciment de um Plan de Cmunicaçã cm a cntratada; A cnstruçã de Plan de Transiçã pela cntratada;

222 220 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A Identificaçã, avaliaçã crítica e mitigaçã ds riscs de frneciment; A transferência de cnheciment e tecnlgia; O estabeleciment de prpriedade ds prduts gerads e infrmações; A elabraçã de plan de trabalh (u equivalente) que explicite a necessidade da cntrataçã e s resultads a serem alcançads; A realizaçã de estuds técnics preliminares para avaliar a viabilidade da cntrataçã; A explicitaçã das necessidades de negóci que se pretende atender cm a cntrataçã; A explicitaçã ds indicadres ds benefícis de negóci que serã alcançads; O atendiment específic pr tip de serviç cntratad quant a: Qualidade e desempenh d serviç; Padrões de segurança; Qualificaçã necessária ds recurss humans; Testes d serviç; Registr d ativ (ns cass de hardware e sftware); Prazs de atendiment; Cálcul d preç d serviç; Aplicaçã de recmpensas e penalidades, baseadas n cumpriment d nível de serviç, vlume e temp de respsta; Métricas pertinentes a cada tip de serviç cntratad. A cnstruçã d Guia deve cnsiderar as frnteiras cm a área de suprte a prcess de aquisiçã. Uma vez que guia esteja cncluíd e institucinalizad, devem ser elabrads aditivs as cntrats já existentes, cnsiderand as nvas rientações. Além diss, deve ser assegurad que s nvs editais também sigam as mesmas rientações Estabeleciment de prcess frmal para adquirir recurss e Gerenciar Frnecedres (Serviçs Terceirizads) Estabeleciment de prcess frmal para a aquisiçã de recurss e gerenciament de frnecedres (APO10) e serviçs terceirizads de TI, cnsiderand apenas as atividades e respnsabilidades cncernentes à ST.A, que sejam aderente a nv Guia de Especificaçã e Gestã de Serviçs Terceirizads de TI. O prcess deverá n mínim prever atendiment das seguintes perspectivas: Gerenciar relacinament cm s frnecedres, pel estabeleciment ds respnsáveis n tratament de questões afetas à qualidade ds serviçs, cm a definiçã ds canais frmais de cmunicaçã e a sistematizaçã da avaliaçã de cmprmisss.

223 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Gerenciar s cntrats prpriamente dits cm enfque em sua manutençã e mnitraçã em relaçã a preceits legais e administrativs em geral; Gerenciar riscs de cmprmetiment ds níveis de serviç pactuads e da descntinuidade (ruptura) na própria prestaçã ds serviçs. Gerenciar desempenh tend cm base, principalmente, s SLA cmprmissads. Gerenciar a cnfrmidade e avaliaçã das práticas de cntrles interns ns frnecedres, inclusive, cm api de auditrias independentes Mntagem de Guia de Orientaçã para Recepçã e Integraçã de Nvs Cntratads Elabrar um dcument cntend rientações, para as nvas cntratadas, sbre prcediments a serem bservads na gestã, relacinament e transiçã de cntrats. O Guia de Orientaçã deverá cnsiderar, n mínim, rientações para: O entendiment ds mecanisms de gestã que serã adtads pr Furnas; O nível de respnsabilidade esperad na prestaçã de serviç; A adçã de um mdel de trabalh adequad às características de Furnas; O crret relacinament e cmunicaçã cm Furnas; As brigações quant a frneciment de infrmações para efeits de auditria, mnitrament e acmpanhament ds Acrds de Nível de Serviç; O crret atendiment das rdens de serviç de Furnas; A elabraçã de plan de atendiment para cada rdem de serviç slicitada; O crret atendiment de acrd cm tip de serviç cntratad, cnsiderand: Qualidade e desempenh d serviç; Padrões de segurança; Qualificaçã necessária ds recurss humans; Testes d serviç; Registr d ativ (ns cass de hardware e sftware); Prazs de atendiment; Cálcul d preç d serviç; Recmpensas e penalidades, baseadas n cumpriment d nível de serviç, vlume e temp de respsta. A crreta elabraçã d plan de transiçã, cnsiderand: O atendiment a plan de transiçã n papel de nva cntratada; O atendiment a plan de transiçã n papel de antiga cntratada,

224 222 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O atendiment a planejament de Furnas quant a cnheciment e cmpetências a serem transferidas; O atendiment a planejament de Furnas quant à cmunicaçã na transiçã; O atendiment a planejament de Furnas quant a mnitrament na transiçã; O atendiment a planejament de Furnas quant as testes de transiçã; O atendiment a planejament de Furnas quant à infraestrutura de api na transiçã; O estabeleciment da estrutura necessária de acmpanhament da transiçã; A assinatura de term de cmprmiss pelas transições realizadas; O perfil ds prfissinais a serem envlvids na transiçã; A transiçã adequada cnsiderand tip de serviç cntratad. O atendiment a planejament de Furnas quant à dcumentaçã de api na transiçã; O atendiment à Plítica de Segurança da Infrmaçã precnizada pr Furnas Elabraçã de Diretrizes para cnstruçã de Plan de Transiçã de Serviçs Terceirizads A transiçã ds serviçs se refere a prcess de absrçã, pela nva cntratada, d cnheciment e cmpetências necessárias para prver a cntinuidade ds serviçs que ficarã sb sua respnsabilidade, de acrd cm s itens adquirids na licitaçã. Uma ba prática de transiçã visa buscar mínim de impacts na cntinuidade de serviçs em andament, garantir a cntinuidade ds níveis de serviç e garantir a transferência segura ds serviçs quer seja para equipes internas de Furnas u para a nva cntratada. Esta recmendaçã visa rientar as Gerências da ST.A sbre s diverss aspects ligads à transiçã, tais cm: cndições e abrdagens para absrçã ds cnheciments e manutençã das cmpetências necessárias para prver a cntinuidade ds serviçs; tratament de demandas durante períd de transiçã; requisits d Plan de Transiçã a serem seguids pela atual e pela nva cntratada, bem cm critéris e descriçã de mecanisms estabelecids para acmpanhament da execuçã d Plan de Transiçã. O plan deverá cnter, n mínim, rientações vltadas para: O planejament d cnheciment e cmpetências a serem transferidas, cnsiderand a especificidade de cada tip de serviç cntratad;

225 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O planejament da cmunicaçã na transiçã; O planejament d mnitrament na transiçã; O planejament ds testes de transiçã; O planejament da infraestrutura de api na transiçã; A estrutura necessária de acmpanhament da transiçã; O tratament das demandas durante períd de transiçã cnsiderand a pçã entre a antiga e a nva cntratada; O estabeleciment de respnsabilidades para a antiga e nva cntratada durante períd de transiçã; A cnstruçã de um plan de risc da transiçã; A cnstruçã de um plan de cntingência da transiçã; O acmpanhament d plan de transiçã e seus indicadres; A elabraçã de term de cmprmiss, pelas transições realizadas, a ser assinad pela nva cntratada; As penalidades a serem aplicadas para cas de descumpriment de cmprmisss; O perfil ds prfissinais a serem envlvids na transiçã; O detalhament específic pr tip de serviç em fase de transiçã; O planejament de saída definitiva da antiga cntratada; O planejament de tda a dcumentaçã a ser transferida Capacitaçã da equipe da ST.A cm fc na Gestã de Terceirs. Visand dtar a ST.A de cmpetências essenciais para uma gestã de terceirs (frnecedres) aprimrada, sugerims a realizaçã de um prgrama de capacitaçã direcinada, cbrind s seguintes tópics: Tips de terceirizaçã; Gvernança de Terceirs; Estruturas e Tendências de Gestã de Terceirs; Aspects cntratuais na terceirizaçã; Gestã de Riscs na terceirizaçã; Níveis de serviç na terceirizaçã, cnsiderand s aspects da iniciativa estratégica IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI na ST.A ; Relacinament na terceirizaçã; Gestã de desempenh de terceirs; Cntrle de qualidade de terceirs;

226 224 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Gestã de cnheciment; Transferência d Serviç. Além ds tópics acima, é sugerid cnheciment ds seguintes framewrks: Mdel escm - esurcing Capability Mdel (escm) - um mdel de melhres práticas que serve de guia as prvedres de serviç, auxiliand-s na melhria da capacidade n decrrer d cicl de vida d frneciment d serviç, a mesm temp em que prvê as clientes critéris bjetivs de avaliaçã da capacidade ds prvedres de serviç. Mdel P-CMM Peple Capability Maturity Mdel - um mdel que auxilia a rganizaçã a mapear questões críticas relacinadas as recurss humans. O principal bjetiv d mdel é melhrar a capacidade ds recurss humans, send esta definida cm nível de cnheciment, cmpetências e habilidades dispníveis para realizaçã das atividades de negóci da rganizaçã. Embra pssa ser aplicad a qualquer tip de rganizaçã, nde pessas e equipes executem atividades, P-CMM btém grande aceitaçã e aplicabilidade em rganizações de TI Desenvlviment de ferramenta de api à gestã ds frnecedres e d nv cicl de cntrataçã de sluções de TI da ST.A. O sftware a ser desenvlvid u adquirid deverá cnter, n mínim, funcinalidades para: O gerenciament da vigência ds cntrats (u interface cm sistema jurídic); O gerenciament de aditivs d cntrat (u interface cm sistema jurídic); A gestã de brigações legais das empresas terceirizadas; O gerenciament d desempenh ds frnecedres, incluind s ANS e s indicadres da ST.A de mnitrament; O gerenciament de crrências e acmpanhament ds plans de melhria; O gerenciament das auditrias realizadas n terceir; O cntrle de acess d pessal as sistemas de infrmaçã; O gerenciament ds testes de transiçã a lng da vigência d cntrat; O gerenciament da transiçã de serviçs; O gerenciament ds cntrats executads pr rdens de serviç (OS);

227 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O gerenciament ds cntrats executads pr análise de pnt de funçã; O gerenciament rçamentári ds cntrats; O gerenciament da qualidade ds serviçs prestads pr terceirs.

228 226 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Cnstruçã de um Guia de Especificaçã e Gestã de Serviçs Terceirizads de TI Cnstruçã de um Guia para Especificaçã e Gestã de Serviçs Terceirizads de TI cnsiderand s diverss tips de serviç passíveis de cntrataçã, incluind detalhament ds requisits essenciais. A elabraçã deverá ser realizada cnsiderand s seguintes blcs: Crp principal d Guia (estrutura cmum d dcument). Parte específica para terceirizaçã de Prjet de Sistema Parte específica para terceirizaçã de Prjet de Infra Parte específica para terceirizaçã de Prjet de Rede Parte específica para Suprte de Atendiment

229 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabeleciment de prcess frmal para adquirir recurss e Gerenciar Frnecedres Mdelar nvs prcesss de gerenciament de serviçs terceirizads cnsiderand adequações de: Flux de Trabalh; Cnsciência e cmunicaçã; Plíticas, plans e prcediments; Ferramentas e autmaçã Infraestrutura; Habilidades e especializaçã (Recurss Humans); Respnsabilidade e respnsabilizaçã; Objetivs e métricas. A elabraçã d prcess deverá também cnsiderar cm referências s seguintes elements: Estabeleciment de um prcess frmal para aquisiçã e gerenciament de frnecedres. Instruments cm sua criaçã sugerida na própria Iniciativa Estratégica (recmendações): O Guia de Especificaçã e Gestã de Serviçs Terceirizads de TI; As Diretrizes para Cnstruçã de Plan de Transiçã de Serviçs Terceirizads; O Guia de Orientaçã para Recepçã e integraçã de Nvs Cntratads; Orientações cntidas nas práticas d COBIT 5, cnsiderand sempre as frnteiras de atuaçã da ST.A em relaçã às demais Áreas envlvidas em algum nível ns prcesss de aquisiçã e gestã de cntrats. Devem ser bservadas as seguintes práticas: Identificar e avaliar cntrats e relacinament cm frnecedres Selecinar Frnecedres Gerenciar cntrats e relacinament cm frnecedres prpriamente dit. Gerenciar riscs referentes à carteira de frnecedres Mnitrar desempenh e cnfrmidade ds frnecedres Requisits cmplementares relevantes: A identificaçã de prtunidades, riscs e restrições ds serviçs prestads, visand aperfeiçar negóci; A busca pela melhria cntínua ds serviçs; A definiçã, preparaçã e revisã ds acrds de serviç e cntrats; O registr de incidentes prvcads pels frnecedres e respectiva cmunicaçã através d prcess intern de gerenciament de incidentes da rganizaçã; Necessidade de assegurar registr d recebiment de td hardware e sftware btid num inventári de ativs, e a avaliaçã de sua qualidade antes de realizar qualquer pagament;

230 228 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Mntagem de Guia de Orientaçã para Recepçã e Integraçã de Nvs Cntratads Cnstruçã de uma Guia de Orientaçã para Recepçã e Integraçã de Nvs cntratads descrevend, em linhas gerais cnjunt de plíticas, princípis e regras que nrteiam a relaçã cm s frnecedres. O dcument, dentre utras questões, busca também psicinar s frnecedres quant à questões referentes a cntext e cultura rganizacinal de Furnas. A elabraçã deverá ser realizada cnsiderand s seguintes blcs: Crp principal d Guia (estrutura cmum d dcument). Parte específica para terceirizaçã de Prjet de Sistema Parte específica para terceirizaçã de Prjet de Infra Parte específica para terceirizaçã de Prjet de Rede Parte específica para Suprte de Atendiment. Elabraçã de Diretrizes para cnstruçã de Plan de Transiçã de Serviçs Terceirizads Elabrar dcumentaçã definind s preceits e parâmetrs a serem atendids pr frnecedres em carteira, visand repasse ds serviçs as nvs prvedres cntratads, de frma a garantir a cntinuidade e regularidade s serviçs de TI. A elabraçã deverá ser realizada cnsiderand s seguintes blcs: Crp principal d Guia (estrutura cmum d dcument). Parte específica para terceirizaçã de Prjet de Sistema Parte específica para terceirizaçã de Prjet de Infra Parte específica para terceirizaçã de Prjet de Rede Parte específica para Suprte de Atendiment. Capacitaçã da equipe da ST.A cm fc na Gestã de Terceirs Mdelar prcess de treinament cm enfque específic na gestã de terceirs/cntrats. Desenvlviment de ementa detalhada Realizaçã da capacitaçã, cnsiderand estud quant as recurss a serem treinads a lng de turmas prgramadas cm carga hrária estimada de 36 hras cada. Desenvlviment de ferramenta de api à gestã d nv cicl de cntrataçã de sluções de TI da ST.A. Sistema a ser desenvlvid u timizad, aderente a nv prcess, cnsiderand as seguintes fases: Anteprjet Autmaçã d nv cicl de cntrataçã e gestã de frnecedres de serviçs e sluções de TI da ST.A Planejament - inclui detalhament ds requisits funcinais Análise da Área de Negóci Prjet de Sistema de Negóci Prjet Técnic e Cnstruçã Análise Prjet Técnic e Cnstruçã Prgramaçã Teste e Hmlgaçã Implantaçã Atividades Administrativas

231 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Realizaçã ds benefícis prmetids pela terceirizaçã. Cmpartilhament e alinhament de visões cm ambiente de terceirizaçã facilmente cmpreendid pelas gerências da ST.A e terceirs. Mair prbabilidade de agregaçã de valr as serviçs terceirizads em funçã d mair regrament e padrnizaçã. Execuçã efetiva e eficiente das atividades terceirizadas. Cmunicaçã e sluçã de prblemas mais eficiente entre a ST.A e s frnecedres de serviçs. Evitaçã e/u reduçã de disputas e litígis cm terceirs, frnecedres de serviçs. Reduçã ns riscs de rupturas ns níveis de serviç, mediante a detecçã, em temp hábil, ds ptenciais prblemas, cm vistas a tratá-ls cm mair antecedência pssível. Reduçã de incertezas, buscand mínim de impacts na cntinuidade de serviçs em andament, garantind a cntinuidade ds níveis de serviç e garantind também a transferência segura ds serviçs, quer seja para Furnas u para nvs frnecedres. Cntrle adequad sbre as atividades terceirizadas e identificaçã imediata de prblemas de desempenh cm aument da prbabilidade de agregaçã de valr ds serviçs cntratads.

232 230 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Alcaçã de recurss humans Restrições quant à mbilizaçã ds recurss humans necessáris a avanç da iniciativa, mtivadas pr limitaçã n cntingente de pessal, sbrepsta à cncrrência e sbrecarga de atividades ns segments da ST.A envlvids. ST.A n mment da definiçã d quantitativ de empregads alcads à equipe de implementaçã da iniciativa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt X Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Nme Descriçã Fnte Dmíni e experiência prática sbre a íntegra d prcess de gestã de frnecedres Restrições quant a cnheciment e experiência prática na implementaçã de prcesss e prcediments de suprte à gestã de frnecedres, na íntegra. ST.A n mment da definiçã d perfil da equipe de implementaçã. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

233 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.3: Riscs Nme Descriçã Fnte Indefinições de frnteira de atuaçã cm a implantaçã d CSC Indefinições quant às frnteiras de atuaçã para gestã ds cntrats, cnsiderand implantaçã de estruturas rganizacinais riundas d prjet Pró-Furnas, n cas, relacinada a d Centr de Serviçs Cmpartilhads (CSC). Crdenaçã d prjet Pró-Furnas. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.4: Respstas as Riscs Riscs Tratament Respsta Alcaçã de recurss humans Mitigar Realcaçã de recurss em cmplementaçã à equipe mínima necessária para tratar prcess e cnduzir as atividades prgramadas. Dmíni e experiência prática sbre a íntegra d prcess de gestã de frnecedres Transferir Cntrataçã de recurss especializads n assunt visand agregaçã de cnheciment cmplementar. Indefiniçã de frnteiras de atuaçã para gestã de frnecedres cm a implantaçã d CSC (Centr de Serviçs Cmpartilhads) Transferir Buscar, junt à alta administraçã e Crdenaçã d Prjet PRO-Furnas, a especificaçã frmal e detalhament das respnsabilidades, atividades e alçadas referentes a prcess de gestã de cntrats/frnecedres, cnsiderand a revisã estrutural prpsta pel própri PRO-Furnas.

234 232 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE012 - Estabeleciment de mecanisms para garantir a prteçã de infrmações sigilsas 1. Objetiv da Iniciativa Recmendar medidas para melhrar a prteçã da infrmaçã sigilsa em respsta a aprimrament de atender s requisits impsts pr órgãs e prcesss regulatóris, n que diz respeit à infrmaçã cnfidencial da rganizaçã Objetivs estratégics apiads Seguem abaix, as perspectivas segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.2: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I3 - Atender s requisits impsts pr órgãs e prcesss regulatóris Garantir que as demandas ds agentes regulatóris interns e externs a Furnas, referentes a TI, sejam encaminhadas e prvidenciadas dentr ds prazs cmprmissads, pr mei da estruturaçã e aprimrament de prcesss de planejament integrad de serviçs, acmpanhament e gestã ds níveis de cnfrmidade. Primári Resultad R3 Balancear Riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Primári Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Primári

235 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.2: Objetivs Estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P3- Elevar nível de maturidade ds prcesss de TI priritáris para Negóci Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Primári Prcesss Interns P4- Aprimrar a cmunicaçã Qualificar, intensificar e administrar flux de infrmaçã intern e extern à ST.A sbre s assunts de interesse relacinads à Tecnlgia da infrmaçã, atribuind caráter estratégic a prcess de cmunicaçã. Através da estruturaçã e execuçã de plans de cmunicaçã, prmveru ampliar: a visibilidade e transparência sbre as deliberações, ações e resultads de TI; nível de alinhament, mbilizaçã e cnvergência em trn ds assunts e bjetivs pertinentes à TI e, pr fim, a integraçã interna e externa à ST.A, favrecend parcerias, melhrand relacinament rganizacinal sb seus variads aspects. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza a nrma ABNT NBR ISO/IEC 27001:2005 e ABNT NBR ISO/IEC 27002:2006, que sã rientações e práticas de mercad para uma gestã de segurança da infrmaçã adequada para a rganizaçã Iniciativas estratégicas relacinadas IE004 - Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A. IE019 - Aprimrament d Mdel de Gestã de Operações Prcesss COBIT 5 vinculadas à Iniciativa APO13 Gerenciar a Segurança da infrmaçã DSS01 Gerenciar Operações DSS05 Gerenciar Segurança ds serviçs

236 234 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Furnas clca tema gestã de segurança da infrmaçã cm essencial para garantir a prteçã da infrmaçã sigilsa. Ist fica evidente cm a existência de uma área exclusiva para este fim, diretamente subrdinada à presidência. Outras áreas da rganizaçã sã sensibilizadas a se precupar sbre este assunt, participand de diverss cmitês, de cmissões e grups de trabalh. A ST.A, que atua de frma ativa nas ações e iniciativas, pssui uma divisã respnsável pel gerenciament físic e lógic de segurança e lidera diverss encntrs interns e externs cm prpósit de buscar nvas sluções tecnlógicas e práticas de mercad. Há diversas sluções tecnlógicas de segurança aplicadas na empresa para aumentar a prteçã ds centrs de prcessament de dads. Apesar de existir uma rede nã gerenciada pela ST.A, mecanisms de prteçã sã adtads para mitigar risc e eliminar grandes vulnerabilidades de segurança da infrmaçã. A área de Auditria Interna, pr exigência de órgãs reguladres, realiza diversas averiguações de cntrles de segurança na TI. Tds estes elements atendem alguns requisits de um sistema de gestã de segurança da infrmaçã, recmendads pelas práticas de mercad. As áreas de negócis participam ds cmitês ligads a tema, cm bjetiv de cntribuir cm suas percepções. Relacinand as expectativas das áreas de negóci cm s aspects de segurança da infrmaçã abrdads, apresentams as necessidades essenciais de Furnas, cnfrme abaix: Tabela 2.1: Resultad d levantament das necessidades essenciais de segurança da infrmaçã Item Necessidades essenciais de segurança da infrmaçã 1 Prteger, rastrear e cntrlar as infrmações críticas acessadas na rganizaçã 2 Dispnibilizar a infrmaçã vital para a empresa 3 Criar uma campanha de cnscientizaçã sbre segurança da infrmaçã, plíticas existentes na empresa e as práticas de prteçã crprativa adtadas 4 Aumentar a gestã de ativs e dispsitivs de infrmaçã utilizads dentr e fra da empresa 5 Aprimrar plíticas de segurança da infrmaçã para tratar demandas pntuais 6 Classificar a infrmaçã gerada e impressa 7 Elabrar plítica de descarte e destruiçã de infrmaçã 8 Aplicar mecanisms de prteçã infrmatizada ns dispsitivs 9 Realizar uma análise de risc e de vulnerabilidade na rganizaçã 10 Implantar um canal de tratament de incidentes de segurança da infrmaçã 11 Elabrar um plan de cntinuidade para rganizaçã

237 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs assciads Seguem abaix, s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Falta d tratament da gestã de segurança da infrmaçã na gvernança em TI; Dads sigilss e ativs de infrmaçã desprtegids; Plan de segurança de TI nã alinhad cm s requisits de negócis; A empresa expsta às ameaças nã previstas na estratégia; Lacunas entre planejadas e implementadas medidas de segurança de TI; Os usuáris nã cnhecem plan de segurança da infrmaçã; Alterações realizadas nã autrizadas n hardware e sftware; Gerenciament de acess nã respeita s requisits de negóci, cmprmetend a segurança de sistemas crítics d negóci; Nã especificads s requisits de segurança para tds s sistemas crítics; Brechas de segurança; Os usuáris nã cumprem cm a plítica de segurança; A falta de encerrar cntas de usuári nã utilizadas em temp hábil, impactand a segurança crprativa; Us indevid de cntas de usuáris, cmprmetend a segurança da rganizaçã; Expsiçã de infrmações; Vilações ds requisits legais e regulamentares.

238 236 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Cm base n diagnóstic da gestã de segurança da infrmaçã, fram identificads s principais pnts de atençã d sistema de gestã de segurança da infrmaçã na empresa, cnfrme citad abaix: Tabela 2.2: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Ausência de revisã e atualizaçã das plíticas de segurança da infrmaçã 2 Ausência de revisã e atualizaçã das instruções nrmativas ligadas à segurança da infrmaçã 3 Necessidade de aperfeiçament ns recurss de prteçã e acess segur a site da rganizaçã 4 Ausência de uma campanha de cnscientizaçã sbre a imprtância da segurança da infrmaçã 5 Ausência de uma mair integridade das infrmações existentes para áreas da rganizaçã 6 Ausência de penalidades d nã cumpriment de plíticas de segurança da infrmaçã na empresa 7 Ausência de backup para as estações de trabalh 8 Dificuldade de atuaçã de frma estrutural para s requisits de segurança da infrmaçã 9 Ausência de um plan de cntinuidade de TI alinhad cm d negóci 10 Necessidade de Integraçã ds cmitês e áreas da rganizaçã ligadas à segurança da infrmaçã 11 Ausência de auditrias internas para segurança da infrmaçã 12 Ausência de uma avaliaçã de risc e vulnerabilidade de segurança 13 Necessidade de aperfeiçament ds requisits de segurança física e ambiental 14 Aperfeiçament de medidas de prteçã na rede independente nã cntrlada pela ST.A Furnas também fi avaliada de acrd cm seu percentual de aderência à nrma ABNT NBR ISO/IEC 27002:2006 (ABNT, 2006). O resultad d questinári de avaliaçã de cumpriment dessa nrma apnta que a empresa carece de alguns cntrles de segurança, que ptencializa a expsiçã das infrmações sigilsas a diversas ameaças e as deixa vulneráveis a ataques intencinais, pr pessas ligadas à rganizaçã.

239 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams à melhria da prteçã da infrmaçã sigilsa na empresa, cumprind s seguintes passs: Estabelecer uma Sistemática de Gestã de Segurança da Infrmaçã (SGSI) Prmver um prgrama de cnscientizaçã sbre a infrmaçã crprativa Otimizar um prgrama de auditria interna cm fc em segurança da infrmaçã Prduzir plíticas e instruções nrmativas específicas Implantar uma sluçã de lista de cntrle de acess (ACL- Access Cntrl Lists) Padrnizar uma sluçã de transferência de arquivs e digitalizaçã de dcuments na rganizaçã Aplicar uma sluçã de autenticaçã digital Implantar s requisits de segurança para prteçã d site da empresa Estabelecer uma sluçã de serviçs de criptgrafia e assinaturas digitais Aplicar s requisits e cntrles padrões de segurança na rede Operativa Estabelecer uma sluçã de cntrle de acess a Data center Implantar uma sluçã de Single Sing-n (SSO) 3.1. Estabelecer uma Sistemática de Gestã de Segurança da Infrmaçã (SGSI) Estabelecer um mdel u sistemática de gestã de segurança da infrmaçã, que execute e garanta a prteçã adequada para as vulnerabilidades identificadas na rganizaçã, cnfrme a nrma ISO/IEC 27001:2006. Este mdel requer: Cmprmetiment de tds s níveis gerenciais; Cntrle de dcumentaçã sbre tema; Classificaçã da infrmaçã de acrd cm as plíticas de acess à infrmaçã; Criaçã, revisã, educaçã e disseminaçã interna das plíticas de segurança da infrmaçã para tds s envlvids; Prvisã de recurss financeirs para as atividades de gestã da segurança da infrmaçã. Cnsiderand-se um ds pilares da administraçã, PDCA (Plan-D-Check-Act), pde-se analisar um SGSI sb a ótica da nrma da seguinte maneira: Estabeleciment d SGSI - definiçã da atuaçã e da plítica d SGSI. Esta etapa cntempla a identificaçã, a análise e a avaliaçã ds riscs, cm a previsã d impact destes na segurança rganizacinal, para psterir

240 238 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E levantament de ações para tratament ds riscs e seleçã de cntrles, capazes de detectar rapidamente incidentes de segurança; Implementaçã e peraçã d SGSI frmulaçã e implementaçã d plan de tratament de riscs. Nesta etapa, mede-se a efetividade da aplicaçã d cnjunt de cntrles prevists e aprvads na 1ª etapa, utiliza-se s prgramas de treinament e cnscientizaçã e gerencia-se as perações e recurss d SGSI; Mnitrament e análise crítica d SGSI - mnitrament das ações de segurança, cm respnsabilizaçã para revisões regulares d SGSI, e a atualizaçã ds plans de segurança, levand-se em cnsideraçã s resultads de auditrias internas a Sistema e prevend as mudanças julgadas necessárias; Manutençã e melhria d SGSI - Aqui, aplicam-se as melhrias identificadas n prcess, de frma que elas alcancem s bjetivs prpsts. Cada mudança deve ser cmunicada a tdas as partes interessadas. Deve crrer um prcess de acmpanhament de tds s cntrles implementads e, para iss, é necessária a prduçã de indicadres específics que pssibilitem visualizar as cndições de funcinament e desempenh d ambiente analisad. A implementaçã ds cntrles selecinads deve envlver a aquisiçã de tecnlgia de sftware e/u hardware (custs adicinais). Seguem abaix, s pnts de melhria ns cntrles de segurança, cm base n diagnóstic de gestã de segurança da infrmaçã: Tabela 3.1: Pnts de melhria ns cntrles de segurança Seçã Plítica de segurança da infrmaçã Pnts de melhria ns cntrles de segurança Revisã periódica das plíticas, nrmas e instruções nrmativas de segurança da infrmaçã Definiçã da atribuiçã das respnsabilidades de segurança da infrmaçã Existência de acrds de cnfidencialidade Organizand a segurança da infrmaçã Análise crítica independente de segurança da infrmaçã Identificaçã ds riscs relacinads cm partes externas Identificaçã cm s requisits de segurança da infrmaçã, tratand cm s clientes Identificaçã ds requisits de segurança da infrmaçã ns cntrats cm prestadres de serviç e terceirs Definiçã d inventári ds ativs de infrmaçã Gestã de ativs Definiçã ds prprietáris ds ativs de infrmaçã Definiçã ds rótuls e tratament da infrmaçã

241 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 3.1: Pnts de melhria ns cntrles de segurança Seçã Pnts de melhria ns cntrles de segurança Definiçã ds papéis e respnsabilidades Segurança em recurss humans Cnscientizaçã, educaçã e treinament em SI (Segurança da Infrmaçã) Definiçã de um prcess disciplinar Definiçã de um prcess de remanejament e desligament de funcináris e terceirs Aperfeiçament de requisits de segurança em escritóris, salas e instalações de prcessament de dads, sala cfre e data center Avaliaçã de risc físic para determinar a segurança das instalações de prcessament de dads Segurança física e d ambiente Restriçã d acess d públic em áreas de entrega e de carregament Aperfeiçament de requisits de segurança n cabeament de rede, elétrics e de telecmunicações prtegids cntra interceptaçã u dan Aperfeiçament da reutilizaçã e alienaçã segura de equipaments Remçã de prpriedade Definiçã da plítica de mesa limpa e tela limpa Aperfeiçament da dcumentaçã ds prcediments de peraçã Aperfeiçament d prcess da gestã de mudanças peracinais Definiçã da separaçã ds recurss de desenvlviment, teste e prduçã Definiçã da segregaçã de funções Gestã das perações e cmunicações Aperfeiçament d gerenciament de mudanças para serviçs terceirizads Definiçã d prcess de gestã de capacidade Aperfeiçament na aceitaçã de sistemas Aperfeiçament n gerenciament de mídias remvíveis Definiçã ds requisits de Segurança na trca de infrmações e sftwares internamente à rganizaçã e cm quaisquer entidades externas Definiçã ds requisits d negóci para cntrle de acess Cntrle de acesss Aperfeiçament d gerenciament de privilégis e direits Aperfeiçament das respnsabilidades d usuári Aperfeiçament n cntrle de acess às aplicações

242 240 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 3.1: Pnts de melhria ns cntrles de segurança Seçã Pnts de melhria ns cntrles de segurança Definiçã ds requisits de segurança de sistemas Aquisiçã, desenvlviment e manutençã de sistemas de infrmaçã Avaliaçã da segurança ns sistemas e nas aplicações Aperfeiçament ds requisits de segurança ns prcesss de desenvlviment e suprte Definiçã da gestã de vulnerabilidades técnicas ds sistemas Ntificaçã de fragilidades e events de segurança da infrmaçã Gestã de incidentes de segurança da infrmaçã Definiçã d prcess de gestã de incidentes de segurança da Infrmaçã e melhrias Definiçã das respnsabilidades e prcediments Identificaçã ds prcesss vitais da rganizaçã Gestã da cntinuidade d negóci Implantaçã d prcess de cntinuidade de TI alinhad cm negóci Desenvlviment e implementaçã de plans de cntinuidade relativs à segurança da infrmaçã Identificaçã da legislaçã vigente aplicada à segurança da infrmaçã Cnfrmidade Aplicaçã de prteçã de registrs imprtantes rganizacinais cntra perda, destruiçã u falsificaçã Definiçã da regulamentaçã de cntrles de criptgrafia Aperfeiçament na cnfrmidade cm a plítica de segurança Este SGSI deve ser transmitid para tda rganizaçã cm bjetiv de criar uma cultura de segurança da infrmaçã crprativa. Deve ser implantada uma ferramenta que apie a execuçã ds prcediments e mnitrament ds ativs estabelecids na gestã de segurança da infrmaçã. A ferramenta deve atender às funcinalidades mencinadas abaix: Gerenciament de events e infrmações de segurança (SIEM - Security Infrmatin and Event Management) DLP - Data Lss Preventin (Prevençã de perda de dads) Tratament para dispsitivs nã autrizads, nã atualizads u infectads É imprtante ressaltar que a implementaçã deste mdel u sistemática de gestã de segurança da infrmaçã (SGSI) influenciará psitivamente na arquitetura de TI, determinand s requisits fundamentais de segurança da infrmaçã para td serviç de TI a ser prjetad, cnsequentemente cntribuirá na arquitetura empresarial.

243 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prmver um prgrama de cnscientizaçã sbre a infrmaçã crprativa A ST.A, em cnjunt cm a área respnsável de segurança da infrmaçã, deve realizar uma campanha de cnscientizaçã interna em Furnas para rientar tds s prfissinais e clabradres a prtegerem a infrmaçã crprativa, através de ações simples diariamente. A mesm temp, a ST.A deve rientar seus funcináris a adtarem estas práticas para ser referência crprativa na aplicaçã destas medidas. Esta campanha deve ter aprvaçã direta de tds s gerentes, gestres e diretres da rganizaçã, dad grande impact cultural da medida, principalmente nas unidades de negóci e unidades distantes da sede. Vale ressaltar que a iniciativa IE004 Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Otimizar um prgrama de auditria interna cm fc em segurança da infrmaçã Otimizar uma prgramaçã futura de auditria cm fc em segurança da infrmaçã, que liste tds s bjetivs de cntrle para avaliaçã d SGSI nas áreas da rganizaçã. Esta lista deve ser publicada para que tds da empresa pssam estar cientes. A SI.P deve ser pnt fcal de cmunicaçã das auditrias internas de segurança da infrmaçã em cnjunt cm a área de auditria interna e ST.A Recmenda-se a realizaçã de auditrias internas deste Sistema de Gestã de Segurança da Infrmaçã SGSI. As auditrias internas d SGSI têm a finalidade de verificar, cm base em evidências bjetivas, se as seguintes cndições crrem satisfatriamente: Os prcediments e instruções peracinais sã adequads e eficazes; Os setres da Empresa vêm atuand em cncrdância cm s dcuments nrmativs; Os subsídis frnecids sã suficientes para elabraçã ds relatóris periódics de análise crítica d SGSI Prduzir plíticas e instruções nrmativas específicas Devem ser prduzidas plíticas e instruções nrmativas específicas, cm fc em segurança da infrmaçã, cbrind a relaçã ds temas atuais que sã u serã bjet de utilizaçã na empresa e pssíveis pnts de ameaça crprativa. Estas prduções devem ser aprvadas pela direçã da rganizaçã, publicadas e cmunicadas para tds s funcináris, clabradres e partes externas relevantes. Atualmente, s temas em destaque sã: Cnsumerizaçã (BYOD) Virtualizaçã de dispsitiv fim

244 242 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Utilizaçã de redes sciais internas e externas Mbilidade Crprativa Lei de acess à infrmaçã Crime Cibernétic Acess à rede sem fi Guarda e recuperaçã de infrmações/dads da rganizaçã Ressaltams a imprtância destes temas em destaque na rganizaçã, que deverã ser analisads para a tmada de decisã na elabraçã de uma plítica e instruçã nrmativa específica. Esta atividade deve ser mediada pela SI.P cm api da ST.A. Deve haver um esfrç inicial de revisar as atuais plíticas de segurança da infrmaçã, seguind s critéris de elabraçã da nrma ISO/IEC Implantar uma sluçã de Lista de cntrle de acess (ACL- Access Cntrl Lists) Implantar uma sluçã de Lista de cntrle de acess (ACL- Access Cntrl Lists) para dispsitivs lcais e externs, garantind a prteçã ds dads da rganizaçã cntra pssíveis cnexões de dispsitivs externs na empresa, cm pen drives, discs externs, equipaments u cnexões. Uma sluçã cm as seguintes características: Recurs de regras de autrizaçã determinam qual cnteúd pde ser acessad u mdificad; Atribuiçã de regras de autrizaçã pr mei de ACLs (Access Cntrl Lists, listas de cntrle de acess), que sã aplicadas autmaticamente a tds s bjets de repsitóri na lista de cntrle; Recurs de Autenticaçã de usuári respnde as desafis d Sistema Operacinal, cm as slicitações de nme/senha de usuári, u a mecanisms de autenticaçã mais sfisticads, cm desafi de cnexã única cm a Web u SecureID da RSA; Validaçã das identidades de usuári em relaçã as diretóris padrões de LDAP (Lightweight Directry Access Prtcl, prtcl leve de acess a diretóri) antes de frnecer acess a cnteúd autrizad; Funções de auditria, históric e rastreabilidade de acesss. O imprtante é cntrlar acess físic à Rede Crprativa através de 802.1X e NAC para garantir que só se cnectarã a rede, s equipaments que atenderem as prérequisits de segurança definids pela plítica de acess a rede. Ressaltams a imprtância de que esta atividade deve ser mediada pela SI.P cm api da ST.A

245 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Padrnizar uma sluçã de transferência de arquivs e digitalizaçã de dcuments na rganizaçã Padrnizar uma sluçã de transferência de arquivs e digitalizaçã de dcuments na rganizaçã de frma segura, transferind diverss arquivs, dads e infrmações entre as unidades de negóci, de frma rápida, segura e cnfiável para um grup cm acess crític definid nas unidades da rganizaçã. Esta sluçã deverá permitir a classificaçã da infrmaçã ns dads e dcuments existentes Aplicar uma sluçã de autenticaçã digital Aplicar uma sluçã de autenticaçã digital pr nvs dispsitivs para um grup definid cm acess crític. Uma sluçã que atenda as requisits de geraçã e verificaçã de ASSINATURAS DIGITAIS basead na ICP (Infraestrutura de Chaves Públicas Brasileiras) - Brasil DOC-ICP Aplicar s requisits de segurança digital para prteçã d site da empresa Realizar um levantament cmplementar ds principais requisits de segurança digital para aplicar a prteçã ideal n site e seu cnteúd, cm bjetiv de prteger s dads da página eletrônica u site da rganizaçã cntra pssíveis ataques e invasões de hackers. Implantar um prjet para realizaçã de teste de penetraçã periódic para identificaçã de pssíveis falhas de segurança n site. Esta atividade deve ser realizada pr uma equipe de serviç de auditria externa de segurança pr uma empresa especializada neste tip de atividade Estabelecer uma sluçã de serviçs de criptgrafia e assinaturas digitais Estabelecer uma sluçã de serviçs de criptgrafia e assinaturas digitais (HSM - Hardware Security Mdule) para um grup definid cm acess crític. A sluçã que atenda as requisits de geraçã e verificaçã de ASSINATURAS DIGITAIS basead na ICP (Infraestrutura de Chaves Públicas Brasileiras) Brasil DOC-ICP-15.01, garantind trca de s e dcuments cm garantia de segurança na abertura d dcument. Repsitóri segur de chaves de segurança prvend assim uma platafrma para serviçs de criptgrafia, cm assinatura digital e encriptaçã. Deverá integrar cm prcessament das sluções cm Tkens óptics geradres de chave de segurança, cartã de segurança, tabela de senhas, dispsitiv de senhas eletrônicas Aplicar s requisits e cntrles padrões de segurança na rede perativa Aplicar s requisits e cntrles padrões de segurança da infrmaçã na rede perativa, cm bjetiv de prteçã ds dads da rganizaçã cntra pssíveis

246 244 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E indispnibilidades de serviçs e mitigar s riscs e vulnerabilidade de segurança existente nesta rede. Esta atividade deve ser mediada pela ST.A cm api da SI.P na definiçã ds requisits e cntrles padrões de segurança na rganizaçã Estabelecer uma sluçã de cntrle de acess a Data Center Estabelecer uma sluçã de cntrle de acess físic para s centrs de prcessament de dads (CPD) u Sala Cfre, nde tenha mecanism de identificaçã únic digital via bimetria de impressã digital, facial u íris e crachá eletrônic de serviçs em tds s centrs de prcessament da empresa integrads e padrnizads. Pssibilitam a identificaçã e liberaçã d acess de smente aqueles que sã autrizads a entrarem n CPD u Sala Cfre da rganizaçã. Vale ressaltar que a iniciativa IE019 Aprimrament d Mdel de Gestã de Operações tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Avaliar uma sluçã de Single Sing-n (SSO) Realizar uma avaliaçã para uma sluçã de Single Sing-On (SSO) para flexibilizar acess d usuári dentr ds sistemas e serviçs da empresa, cm qual pderá aprveitar mesm lgin de acess utilizad para realizaçã de múltiplas entradas em diferentes sistemas, é uma frma em que SSO efetivamente pderá cntribuir timizand as tarefas, facilitand a interaçã usuári-empresa. Cabe ressaltar, a implantaçã desta sluçã para s sistemas e serviçs vitais ligads cm s prcesss crítics da empresa.

247 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer uma Sistemática de Gestã de Segurança da Infrmaçã (SGSI) Definir mdel u Sistemática de Gestã de Segurança da Infrmaçã Detalhar mdel u sistema de gestã de segurança da infrmaçã para empresa. Esta sistemática deve cntemplar s seguintes itens: Papéis e respnsabilidade Flux de atividades Definiçã d cntext de Gestã Cumpriment legal das instruções nrmativas Criaçã d estud de cas Plíticas, plans e prcediments. Cnsciência e Cmunicaçã Estabelecer s requisits de Segurança da infrmaçã Identificar s requisits de segurança da infrmaçã a partir das seguintes fntes: Princípis, bjetivs e requisits d negóci; Legislaçã vigente que a rganizaçã, seus parceirs cmerciais e prvedres de serviç devem atender; Análise e avaliaçã de riscs para a rganizaçã. Aplicar medidas de cntrle Aplicar as medidas de cntrle baseadas nas 11 seções da ISO/IEC 27002, para assegurar a reduçã ds riscs a níveis aceitáveis. A aplicaçã destas medidas de cntrle permitirá a identificaçã ds recurss a serem prtegids, a definiçã de mecanisms de segurança e esclareciment de um incidente de segurança. Mdelar prcess de gestã de segurança da infrmaçã Desenhar e descrever as atividades d prcess de gerenciament de segurança da infrmaçã. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Desenh de Serviçs), s bjetivs de cntrle d COBIT 5 e a nrma ISO/IEC 27001:2005. Eleger a área respnsável pela gestã da segurança da infrmaçã Definir a área respnsável pela gestã d sistema de gestã da segurança da infrmaçã em Furnas, cnsiderand api de utras áreas da rganizaçã. Capacitar equipe de implantaçã e peraçã em ISO/IEC 27001, e Mbilizar e treinar na família ISO27000 s prfissinais que ficarã respnsáveis pr acmpanhar a implantaçã e peraçã d Sistema de Gestã de Segurança da Infrmaçã. Descrever prcediments de gestã de segurança da infrmaçã Detalhar s prcediments de execuçã das atividades de gestã de segurança da infrmaçã integrand cm s prcesss de gerenciament de serviçs de TI. Elabrar manuais d SGSI Prduzir manuais detalhads cm pass a pass de execuçã das atividades d SGSI.

248 246 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer uma Sistemática de Gestã de Segurança da Infrmaçã (SGSI) Implantar uma ferramenta de api Implantar ferramenta que apie a execuçã ds prcediments e mnitrament ds ativs estabelecids na gestã de segurança da infrmaçã, integrada à ferramenta de gestã de slicitações e incidentes de serviçs de TI. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Prmver um prgrama de cnscientizaçã sbre a infrmaçã crprativa Estabelecer escp d prgrama de cnscientizaçã sbre segurança da infrmaçã crprativa Descrever prcediments d prgrama de cnscientizaçã Estabelecer escp d prgrama na rganizaçã, cm fc na cmunicaçã sbre segurança da infrmaçã em tda a empresa. Detalhar s prcediments de execuçã das atividades d prgrama de cnscientizaçã. Capacitar equipe ns prcediments d prgrama de cnscientizaçã Elabrar s plans de cmunicaçã Avaliar as pções de cmunicaçã Capacitar a equipe da ST.A, cm api da SI.P, na execuçã ds prcediments e ferramentas estabelecidas para prgrama. Criar e dcumentar s plans de cmunicaçã. Avaliar e detalhar tdas as pções de cmunicaçã e aplicá-las de acrd cm a necessidade de cada tema de segurança da infrmaçã e área da rganizaçã. Estabelecer s períds de cmunicaçã Estabelecer e aplicar s períds de cmunicaçã n semestre para encaminhar, avaliar, aprvar, divulgar tds s plans de cmunicaçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Otimizar um prgrama de auditria interna cm fc em segurança da infrmaçã Descrever prcediments d prgrama de auditria interna Definir a área respnsável pel prgrama de auditria interna cm fc em segurança da infrmaçã Detalhar s prcediments de execuçã das atividades d prgrama de auditria interna cm fc em segurança da infrmaçã. Definir a área respnsável pel prgrama de auditria interna cm fc em segurança da infrmaçã em Furnas, cnsiderand api de utras áreas da rganizaçã.

249 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Otimizar um prgrama de auditria interna cm fc em segurança da infrmaçã Estabelecer um prgrama de auditria interna cm fc em segurança da infrmaçã Definir um plan de cmunicaçã de auditrias internas Estabelecer e aplicar s períds na semana para divulgar as auditrias planejadas na empresa. Elabrar e detalhar s mecanisms para um plan de cmunicaçã de auditrias internas cm fc em segurança da infrmaçã peridicamente para tda a rganizaçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Prduzir plíticas e instruções nrmativas específicas Selecinar s temas atuais Mdelar prcess de elabraçã de plíticas e instruções nrmativas específicas Estabelecer s prcediments de desenvlviment, aprvaçã e publicaçã Eleger s membrs para desenvlviment das nvas plíticas Definir s temas atuais e específics para desenvlviment de dcuments que abrdem tema segurança da infrmaçã na rganizaçã. Desenhar e descrever as atividades d prcess de elabraçã de nvas plíticas e instruções nrmativas. Estabelecer s prcediments de desenvlviment, aprvaçã e publicaçã das plíticas e instruções nrmativas específicas. Eleger s membrs principais e auxiliares n desenvlviment, aprvaçã e publicaçã das nvas plíticas e instruções nrmativas. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar uma sluçã de Lista de cntrle de acess (ACL- Access Cntrl Lists) Visitar algum cliente d fabricante, que tenha implementad a sluçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Validar sluçã de ACL Questinar a fabricante s requisits ideais para implantaçã da sluçã Questinar a fabricante s requisits para realizar uma integraçã cm utras ferramentas e sistemas existentes em Furnas Realizar uma avaliaçã e teste independente da sluçã

250 248 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar uma sluçã de Lista de cntrle de acess (ACL- Access Cntrl Lists) Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã Definir escp e perfis de treinament Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Padrnizar uma sluçã de transferência de arquivs e digitalizaçã de dcuments na rganizaçã Identificar as sluções existentes de transferência de arquivs e digitalizaçã de dcuments Avaliar s benefícis que cada sluçã apresenta para a empresa, cnsiderand integraçã cm utrs sistemas Avaliar as sluções existentes na rganizaçã Levantar s custs adicinais para a padrnizaçã de cada sluçã na rganizaçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Questinar a fabricante s requisits ideais para implantaçã da sluçã Definir s detalhes técnics para a padrnizaçã da sluçã Definir a sluçã única para padrnizar na rganizaçã Elabrar um term de referência para aquisiçã da sluçã e/u licenças de us para empresa Adquirir a sluçã

251 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Padrnizar uma sluçã de transferência de arquivs e digitalizaçã de dcuments na rganizaçã Definir escp e perfis de treinament Capacitar equipe de suprte Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid Definir escp e perfis de treinament Capacitar s usuáris Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 8 hras, para tds s usuáris em meis de cmunicaçã de fácil acess Estabelecer uma plítica de utilizaçã Elabrar uma plítica para rganizaçã de utilizaçã única desta sluçã Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Aplicar uma sluçã de autenticaçã digital Visitar algum cliente d fabricante, que tenha implementad a sluçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Validar sluçã Questinar a fabricante s requisits ideais para implantaçã da sluçã Questinar a fabricante s requisits para realizar uma integraçã cm utras ferramentas e sistemas existentes em Furnas Realizar uma avaliaçã e teste independente da sluçã Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã

252 250 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Aplicar uma sluçã de autenticaçã digital Definir escp e perfis de treinament Capacitar equipe Realizar para cada perfil definid, treinaments a serem prgramads cm carga hrária de n mínim 24 hras Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar s requisits de segurança para prteçã d site da empresa Definir Escp Definiçã ds principais requisits de segurança digital, prteçã d site e cnteúd da rganizaçã para aplicar uma sluçã de prteçã cntra ataque u invasã. Validar as alternativas de prteçã Prpsiçã de alternativas de sluçã de prteçã cntra ataque u invasã e validaçã cm a ST.A Definir s detalhes técnics de cada requisit Implantar s requisits de segurança Elabrar um term de referência para aquisiçã da sluçã u carta de prjet intern para desenvlviment na rganizaçã Definir escp e perfis de treinament Capacitar equipe Realizar para cada perfil definid, treinaments a serem prgramads cm carga hrária de n mínim 24 hras Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Estabelecer uma sluçã de serviçs de criptgrafia e assinaturas digitais Visitar algum cliente d fabricante, que tenha implementad a sluçã Validar sluçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Questinar a fabricante s requisits ideais para implantaçã da sluçã

253 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer uma sluçã de serviçs de criptgrafia e assinaturas digitais Validar sluçã Realizar uma avaliaçã e teste independente da sluçã Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã Definir escp e perfis de treinament Capacitar equipe Realizar para cada perfil definid, s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras Visitar algum cliente d fabricante, que tenha implementad a sluçã Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Aplicar s requisits e cntrles padrões de segurança na rede Operativa Detalhar s requisits e cntrles padrões de segurança elegíveis Avaliar s levantaments essenciais e necessáris, ds requisits e cntrles na empresa que frem factíveis de serem aplicadas na rede perativa Definir escp Estabelecer s requisits necessáris para aplicar s padrões de segurança na rede perativa, indicand uma u várias sluções. Buscar sluções Pesquisar e levantar, junt as frnecedres, s cntrles de segurança mais atuais das sluções existentes, além da pesquisa de nvas ferramentas. Validar as alternativas de sluçã Prpsiçã e validaçã das alternativas de sluçã de cntrles de segurança na rede Operativa na empresa junt cm a ST.A

254 252 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Aplicar s requisits e cntrles padrões de segurança na rede Operativa Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã Definir d escp e perfis de treinament Capacitar equipe Realizar para cada perfil definid, treinaments a serem prgramads cm carga hrária de n mínim 24 hras Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Estabelecer uma sluçã de cntrle de acess a data center Definir Escp Definiçã ds mecanisms de cntrle de acess de segurança digital, prteçã de tds s centrs de prcessament, backups, armazenaments e/u Sala cfre para aplicar uma sluçã de prteçã para empresa. Buscar Sluções Pesquisa e levantament, junt as frnecedres, ds cntrles de segurança mais atuais das sluções existentes, além da pesquisa de nvas ferramentas. Visitar algum cliente d fabricante, que tenha implementad a sluçã Validar sluçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Questinar a fabricante s requisits ideais para implantaçã da sluçã Realizar uma avaliaçã e teste independente da sluçã Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã

255 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer uma sluçã de cntrle de acess a data center Definir d escp e perfis de treinament Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar uma sluçã de Single Sing-n (SSO) Buscar Sluções Pesquisa e levantament, junt as frnecedres, d entendiment e facilidade da sluçã de Single Sing-n (SSO), além da pesquisa de nvas ferramentas. Definir Escp Definiçã ds mecanisms de cntrle de acess de segurança digital, prteçã de tds s centrs de prcessament, backups, armazenaments e/u Sala cfre para aplicar uma sluçã de prteçã para empresa. Visitar algum cliente d fabricante, que tenha implementad a sluçã Validar sluçã Questinar a fabricante sbre a arquitetura ideal e infraestrutura adequada Questinar a fabricante s requisits ideais para implantaçã da sluçã Realizar uma avaliaçã e teste independente da sluçã Definir s detalhes técnics para cntrataçã da sluçã Adquirir sluçã Elabrar um term de referência para aquisiçã da sluçã Adquirir a sluçã

256 254 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar uma sluçã de Single Sing-n (SSO) Definir escp e perfis de treinament Capacitar equipe Realizar s treinaments, a serem prgramads cm carga hrária de n mínim 24 hras, para cada perfil definid Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã 4.1. Benefícis Esperads Tabela 4.2: Benefícis Benefícis Prteçã da infrmaçã crítica da rganizaçã cntra perda, rub, us indevid u divulgaçã nã autrizada. Assegurar a cntinuidade d negóci Assegurar as parceirs, órgãs reguladres, frnecedres e cliente que a sua infrmaçã cnfidencial está segura. Manutençã da reputaçã e cnfiança Melhria da imagem da rganizaçã para mercad e sciedade Melhria na percepçã d cliente sbre s serviçs da empresa Aument da dispnibilidade ds serviçs da empresa Reduçã n nível de expsiçã as riscs em tds s ambientes Reduçã da prbabilidade de crrência de incidentes de segurança Reduçã ds dans e perdas causads pr incidentes de segurança Recuperaçã ds dans em cas de desastre u incidente Visã ds riscs relacinads a negóci, permitind pririzar investiments de acrd cm a imprtância de cada ativ

257 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Sluções Ad-hc para questões de segurança de infrmaçã Adçã de sluções paliativas (de cntrn), visand atender n curt praz as nã cnfrmidades de segurança, a invés da adçã integral das recmendações de gestã da segurança da infrmaçã. SI.P e ST.A Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Nme Descriçã Fnte Nã patrcíni da alta direçã nas ações de cntinuidade Nã bter patrcíni da alta direçã nas ações de cntinuidade ds serviçs de TI para rganizaçã, limitand apntament de ações de cntingência as serviçs de TI ligads as prcesss crítics de negci. Organizaçã Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã.

258 256 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Respstas as Riscs Tabela 5.3: Respstas as Riscs Riscs Tratament Respsta Sluções Ad-hc para questões de segurança de infrmaçã Nã patrcíni da alta direçã nas ações de cntinuidade de negóci Mitigaçã Eliminar Definir, cmunicar e validar entendiment, quant a papel e s bjetivs da área de gestã de segurança da infrmaçã. Se a abrangência e bjetivs da área de gestã de segurança da infrmaçã nã estiverem clars, as áreas de negóci nã terã visibilidade ds benefícis que pdem aferir. Apresentar tds s riscs e impacts que pdem ser gerads na empresa cas s prcesss crítics da rganizaçã nã cntinuem perand. Esta avaliaçã deve mstrar impacts financeirs, de imagem e perante a sciedade.

259 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE013 - Estabeleciment de mecanisms de respsta as incidentes de segurança da infrmaçã 1. Objetiv da Iniciativa Recmendar medidas para respnder as incidentes de segurança da infrmaçã para atender a aprimrament de gerir riscs de TI, n que diz respeit à infrmaçã sigilsa da rganizaçã Objetivs Estratégics apiads Seguem abaix, as perspectivas, segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Objetiv Estratégic Descriçã Vinculaçã Resultad R3 Balancear Riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes a s principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Primári Parte Interessadas I3 - Atender s requisits impsts pr órgãs e prcesss regulatóris Garantir que as demandas ds agentes regulatóris interns e externs a Furnas, referentes a TI, sejam encaminhadas e prvidenciadas dentr ds prazs cmprmissads, pr mei da estruturaçã e aprimrament de prcesss de planejament integrad de serviçs, acmpanhament e gestã ds níveis de cnfrmidade. Primári Prcesss Interns P1 - Racinalizar custs gerais de TI Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment. Secundári

260 258 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza a nrma ABNT NBR ISO/IEC 27002:2006, que sã rientações e práticas de mercad para uma gestã de segurança da infrmaçã adequada para a rganizaçã. Outra ba prática utilizada para cnstruçã desta iniciativa é livr Service Design e Service Operatin d ITIL, ediçã 2011, que sã rientações para gestã de serviçs de TI Iniciativas estratégicas relacinadas IE002 - Aprimrament das práticas vinculadas a Central de Atendiment. IE008 - Implantaçã de práticas e prcesss para gestã serviçs de TI IE012 - Estabeleciment de mecanisms para garantir a prteçã de infrmações sigilsas. IE014 - Otimizaçã d prcess de gestã de cntinuidade para s serviçs de TI. IE019 - Aprimrament d Mdel de Gestã de Operações Prcesss COBIT 5 vinculadas à Iniciativa APO13 Gerenciar a Segurança da infrmaçã DSS04 Gerenciar Cntinuidade DSS01 Gerenciar Operações DSS05 Gerenciar Segurança ds serviçs

261 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Furnas pssui diversas maneiras e áreas que tratam ds incidentes de segurança da infrmaçã, cm a SI.P (Crdenaçã de Segurança da Infrmaçã), a Cmissã de Ética, Cmitê de Atendiment as Órgãs Externs e Fiscalizaçã de Cntrle (CAOEF), a TI.G (Superintendência de Organizaçã e Tecnlgia da Infrmaçã) u a OV.P (Ouvidria) e AD (Auditria Interna). O canal de entrada dependerá da situaçã u da natureza da demanda. Nã há um acmpanhament ds registrs de incidentes pr parte da SI.P, cas sejam encaminhads para utra área citada anterirmente. Nã fi apresentada uma plítica u uma instruçã nrmativa que esclareça diretamente que caracteriza um incidente de segurança da infrmaçã. Há um entendiment de que estes incidentes de segurança pdem ser tratads cm incidentes de tecnlgia da infrmaçã u cm vilaçã de alguns itens d Códig de Ética da rganizaçã. Na ST.A, alguns chamads sã classificads cm incidentes de segurança da infrmaçã, mas cm um viés de tecnlgia. Iss depende da natureza da abertura d chamad, d que está send impactad e qual grup slucinadr deve ser acinad para resluçã deste incidente. Esses incidentes pssuem um temp de atendiment mais curt em relaçã a um chamad cnvencinal. A SI.P nã acmpanha s incidentes de segurança da infrmaçã registrads n helpdesk da ST.A Ns últims 12 meses, fram registrads na ST.A 332 incidentes, classificads cm de segurança da infrmaçã. Há duas redes de dads cncrrentes e cm finalidades distintas (a Crprativa e a Operativa) e que s mecanisms de segurança nã sã padrnizads para ambas. A rede Crprativa é administrada pela ST.A e cmprta tds s dispsitivs de segurança essenciais para a empresa trafegar s dads administrativs da rganizaçã. Já a rede Operativa tem a finalidade de transferir dads para a peraçã das usinas e geradres de energias. Esta rede é administrada pela Operaçã (DO) e atua de frma independente, nã havend envlviment da ST.A u da SI.P na gestã desses equipaments. Nã fi apresentad um plan de cntinuidade para TI. A ST.A está executand um prjet de cnstruçã de um data center, que irá se trnar site de cntingência e cntinuidade. Nã há prcediments e nem um plan de cntinuidade de TI alinhad cm a cntinuidade de negóci da empresa Riscs assciads Seguem abaix, s riscs assciads decrrentes de perar nas cndições descritas na situaçã atual: Ausência de práticas de cntinuidade Cntinuidade ds serviçs de TI que nã sã gerids adequadamente Crescente dependência de indivídus-chave Falha em recuperar s sistemas e serviçs de TI em temp hábil Falha em tmada de decisã para alternativas de prcesss Falta ns recurss de recuperaçã

262 260 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Indispnibilidade de recurss crítics de TI Aument ds custs para gestã de cntinuidade Pririzaçã de recuperaçã de serviçs de TI nã tend cm base as necessidades d negóci e s prcesss crítics Plans de recuperaçã inadequads e deficientes Indispnibilidade de dads de backup e mídia devid à falta de dcumentaçã em armazenament extern Destruiçã acidental de dads de backup Incapacidade de lcalizar as fitas de backup quand necessári Nã detecçã de falhas de segurança Expsiçã de infrmações e perda de dads Vilações ds requisits legais e regulamentares 2.2. Fatres Mtivadres da Iniciativa Cm base n diagnóstic da gestã de segurança da infrmaçã, fram mencinads alguns fats relatads ns últims ans, cm s listads a seguir: Tabela 2.1: Relaçã ds principais incidentes de segurança da infrmaçã Item Descriçã 1 Infecçã pr vírus nas estações de trabalh 2 Ataques cntra redes e sistemas 3 Acesss nã autrizads 4 Us nã autrizad de redes sem fi 5 Fraudes internas e externas 6 Furt de infrmaçã prprietária 7 Vazament de infrmações da rganizaçã para mercad u para a imprensa 8 Nã classificaçã de infrmações em dcuments restrits u cnfidenciais 9 Cmpartilhament de infrmações cnfidenciais 10 Invasã de sistemas u estações de trabalh 11 Falha na restauraçã de backups 12 Dcuments impresss, nã classificads, expsts em áreas cmuns 13 Espinagem industrial 14 Assédi de empresas terceiras para bter infrmações da cmpanhia

263 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams a melhria da prteçã da infrmaçã sigilsa na empresa, cumprind s seguintes passs: Implantar um prcess de incidente de segurança da infrmaçã Estabelecer um centr de peraçã de segurança da infrmaçã Implantar um prcess de gestã de cntinuidade de serviçs de TI Implantar uma ferramenta de api 3.1.Implantar um prcess de incidente de segurança da infrmaçã Estabelecer um prcess frmal, que execute prcediments para tratar s incidentes de segurança da infrmaçã crrids na rganizaçã, cnsiderand s seguintes aspects: Classificaçã ds recurss a serem prtegids; Implementaçã de mecanisms de segurança; Definiçã d grup slucinadr para atuar em cas de incidentes; Classificaçã ds incidentes quant a nível de gravidade; Elabraçã da estrutura de escalnament (d peradr, passand pels gerentes até presidente); Mntagem de kit de ferramentas para atuar em incidentes em platafrma diversas; Definiçã de prcediments a serem adtads; Prcediments de cleta e preservaçã de evidências; Prcediments de recuperaçã ds sistemas afetads; Prcediments de rastreament da rigem; Elabraçã de prcess legal intern cntra causadr d incidente. A ST.A, em cnjunt cm a SI.P, deve definir claramente s incidentes de segurança da infrmaçã. Os identificads cm send de segurança, cas nã sejam slucinads n 1º nível de atendiment, devem ser direcinads para Centr de Operações de Segurança da Infrmaçã (SOC). A equipe d SOC será respnsável pel acmpanhament de incidentes de segurança até a sua resluçã final, devend retrnar incidente slucinad para que 1º nível pssa apurar a satisfaçã d usuári e encerrar incidente. Os incidentes de segurança devem ser tratads de frma diferenciada pels grups slucinadres e equipes envlvidas na resluçã. A central de serviçs de TI de Furnas deve ser utilizada cm canal de entrada de registrs de incidentes de segurança da infrmaçã. O SOC deve sempre frnecer infrmações atualizadas de prcediments acerca das vulnerabilidades, visand à garantia de atendiment de primeir nível na Central de Serviç de TI. O canal de

264 262 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E registr na empresa, a uvidria, deve ser integrada cm este canal de cmunicaçã para tratar temas ligads à segurança da infrmaçã. É Imprtante manter centralizadas as infrmações e bases de incidentes de segurança da infrmaçã cm a SOC. Estas infrmações devem ser apresentadas para s cmitês ligads à segurança da infrmaçã na rganizaçã. Este prcess deve ser padrnizad e alinhad cm SGSI(verificar IE012 Estabeleciment de mecanisms de respsta as incidentes de segurança da infrmaçã ), cm bjetiv de manter a cnfrmidade ds padrões de segurança da infrmaçã estabelecids na empresa. Vale ressaltar que a iniciativa IE002 Aprimrament das práticas vinculadas a Central de Atendiment tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Estabelecer um Centr de Operaçã de Segurança da Infrmaçã Estabelecer um Centr de Operaçã de Segurança da Infrmaçã (SOC),abrangend papéis, tarefas e respnsabilidades, tant da ST.A cm da SI.P. A frmaçã deste SOC deve cntar cm prfissinais dedicads e cnhecedres d tema, cm prpósit de: Orientar s demais grups slucinadres e áreas envlvidas sbre tema; Manter alinhament das prpsições d tema cm bjetivs d negóci; Levar s temas relevantes para Cmitê de Segurança da Infrmaçã; Obter a interlcuçã cm utras áreas e unidades envlvidas na empresa; Tratar aspects tecnlógics, físics, humans e rganizacinais acerca d tema. O Centr de peraçã de segurança da infrmaçã pde ter uma parte da equipe cntratada, cuj bjetiv é prestar serviçs de administraçã e mnitrament permanente (24 x 7) d ambiente de segurança (Firewall, IDS, IPS, Prxy e EndPint, entre utrs), garantind que s dads nã serã atingids e que ele sempre terá backup destes, detecçã e reaçã as incidentes de segurança. Este SOC deve atender s requisits abaix: Gerenciament ds lgins e das cntas de acess da empresa; Gerenciament ds incidentes de segurança da infrmaçã; Cntrle de prevençã de vazament de infrmaçã; Gerenciament ds events de segurança da infrmaçã; Realizaçã de testes e hmlgaçã de itens de segurança da infrmaçã; Existência de prfissinais qualificads para gerenciament da segurança da infrmaçã; Garantia da integridade, dispnibilidade e segurança das infrmações; Gerenciament e mnitraçã da segurança lógica;

265 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cmpartilhament ds recurss e serviçs especializads de segurança da infrmaçã; Integraçã ds serviçs gerenciads de segurança e análises de vulnerabilidade cm NOC Netwrk Operatin Center. Os especialistas de segurança da infrmaçã devem ser alcads na Estrutura de Segurança da Infrmaçã de Furnas. A mesma pde acinar utrs interlcutres interns u até mesm externs para prcess de respsta a um incidente u demanda de segurança da infrmaçã. Assim, deve cntar cm prfissinais multidisciplinares e cm especialidades essenciais tais cm: Gvernança em TI; Gestã de Serviçs de TI; Família de prduts da ISO 27000; Outras especializações acerca d tema. Vale ressaltar que a iniciativa IE019 Aprimrament d Mdel de Gestã de Operações tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Implantar um prcess de gestã de cntinuidade de serviçs de TI Implantar um prcess de gestã de cntinuidade de serviçs de TI cm bjetiv de prver a cntinuidade, armazenament de cópias de segurança (backup) em instalações remtas (ff site) e da realizaçã de treinaments periódics d plan de cntinuidade. O gerenciament da cntinuidade de serviçs de TI visa suprtar prcess de gerenciament da cntinuidade d negóci cm a garantia de que a infraestrutura técnica e de serviçs sejam recuperadas dentr d praz especificad e acrdad cm a rganizaçã. Para exemplificar, s serviçs a serem garantids pdem ser: sistemas, aplicações, redes, telecmunicações, banc de dads, suprte e central de serviçs. Iss deve ser alcançad criand e mantend plans de cntinuidade atualizads, através de cnstante análise de risc em cnjunt cm gerenciament da gestã de segurança da infrmaçã. Cntrats cm empresas terceirizadas pdem ser feits para prvisinament de capacidades de recuperaçã que façam parte ds plans de cntinuidade. O prcess é respnsável pr: Após um desastre, fazer a avaliaçã d risc e impact da perda ds serviçs de TI; Fazer a definiçã de temp de restauraçã ds serviçs; Identificar serviçs primrdiais para negóci para prviment de medidas de prevençã adicinais;

266 264 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fazer a definiçã de qual abrdagem será tmada para a restauraçã ds serviçs; Tmar medidas para prevenir e reduzir s efeits d impact de um desastre; Criar, manter e testar um plan de recuperaçã que seja bem detalhad para restaurar s serviçs, n períd definid, após um desastre. É imprtante destacar que gerenciament da cntinuidade ds serviçs de TI (GCSTI) trabalha cm s desastres que afetam s serviçs de TI e mantém s serviçs em plen funcinament a fim de garantir que negóci nã sfra interrupções. O GCSTI é parte e depende d Gerenciament de Cntinuidade de Negóci (GCN). O direcinament d prcess de gerenciament da cntinuidade ds serviçs de TI crre de acrd cm s requisits d negóci e nã basead n que a rganizaçã de TI acha que negóci necessita. O GCSTI é dependente das infrmações que sã frnecidas pel GCN. Vale ressaltar que a iniciativa IE014 Otimizaçã d prcess de gestã de cntinuidade para s serviçs de TI tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Implantar uma ferramenta de api A ST.A, em cnjunt cm a SI.P, deve adquirir e implantar ferramentas que apiem a execuçã ds prcediments e mnitrament das atividades estabelecidas n prcess de incidente de segurança da infrmaçã e na gestã de cntinuidade de serviçs de TI, integrada à ferramenta de mesma gestã. A ferramenta deve atender às funcinalidades mencinadas abaix: Gerenciament de events e infrmações de segurança (SIEM - Security Infrmatin and Event Management) DLP - Data Lss Preventin (Prevençã de perda de dads) Vale ressaltar que a iniciativa IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã.

267 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar um prcess de incidente de segurança da infrmaçã Desenhar e descrever as atividades d prcess de incidente de segurança da infrmaçã. Esta definiçã d prcess deve cntemplar s seguintes itens: Papéis e respnsabilidade Flux de atividades Definiçã d cntext de Gestã Mdelar prcess de incidente de segurança da infrmaçã Descrever prcediments d prcess de incidente de segurança da infrmaçã Elabrar nvas plíticas para prcess de incidente de segurança da infrmaçã Cumpriment legal das instruções nrmativas Criaçã d estud de cas Plíticas, plans e prcediments. Cnsciência e Cmunicaçã Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Desenh de serviçs e Operaçã de Serviçs) e s bjetivs de cntrle d COBIT 5 Detalhar s prcediments de execuçã das atividades d prcess de incidente de segurança da infrmaçã integrand cm prcess de gestã ds serviçs de TI Realizar a criaçã de nvas plíticas d prcess de incidente de segurança da infrmaçã de frma a atender s requisits da rganizaçã, seguind as recmendações ds livrs da ITIL (Service Design e Service Transitin) e s bjetivs de cntrle d COBIT 5 Capacitar equipe de implantaçã e peraçã d prcess de incidente de segurança da infrmaçã Mbilizar e treinar s prfissinais que ficarã respnsáveis pr acmpanhar a implantaçã e peraçã d prcess de incidente de segurança da infrmaçã Cnscientizar a ST.A e a rganizaçã sbre s nvs prcediments e prcess de incidente de segurança da infrmaçã Intensificar as campanhas de cnscientizaçã e palestras sbre incidentes de segurança da infrmaçã Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Estabelecer um Centr de Operações de Segurança da Infrmaçã Definir e validar escp de atuaçã d Centr de Operações de Segurança da infrmaçã (SOC) de Furnas Definir e validar escp de atuaçã d Centr de Operações de Segurança da infrmaçã (SOC) de Furnas: atividades, funções, papéis, respnsabilidades, tecnlgias e equipaments suprtads, níveis de serviç, indicadres de desempenh, prcediments de escalaçã etc.

268 266 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer um Centr de Operações de Segurança da Infrmaçã Definir a infraestrutura Definir e validar tda infraestrutura necessária a funcinament d Centr de Operações de Segurança da Infrmaçã (SOC): espaç físic, equipaments, cmputadres, hardware, sftware, unidades de backup, nbreaks, geradres, sistemas peracinais, aplicações, sistemas específics de gerenciament de redes crprativas, sistemas de api, mnitrament, segurança, cmbate a incêndi e refrigeraçã, etc Elabrar investiment para implantaçã e peraçã d SOC Elabrar e validar as estimativas ds investiments e custs peracinais necessáris para implementaçã, manutençã e peraçã cntinuada d Centr de Operações de Segurança da Infrmaçã (SOC) Definir as cmpetências necessárias Elabrar e validar as estimativas das equipes de trabalh necessárias para a peraçã cntinuada d Centr de Operações de Segurança da Infrmaçã (SOC), cm as respectivas cmpetências, papéis e respnsabilidades Cmunicar implantaçã d SOC Cmunicar à rganizaçã a implantaçã d SOC, suas respnsabilidades, prcediments e indicadres adtads Cnduzir cntratações Obter infrmações e prpstas de cntratações de serviçs de SOC, revisar fertas, esclher frnecedres e negciar cntrataçã Reestruturar s encntrs e cmitês Reestruturar s encntrs, cmitês e grups de trabalh existentes em Furnas, cm bjetiv de determinar um pnt fcal para mediar às reuniões sbre segurança da infrmaçã. Avaliar a real necessidade de realizar cmitês, cmissões e grups de trabalh ligads à segurança da infrmaçã que nã sejam redundantes. Integrar cm partes interessadas Cntrlar s fatres que geram integraçã e mudanças cm utras áreas da rganizaçã, garantind que sejam benéficas e aprvadas. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã

269 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar um prcess de cntinuidade de serviçs de TI Mdelar s prcesss de gestã de cntinuidade de serviçs de TI Descrever prcediments de gestã de cntinuidade de serviçs de TI Elabrar nvas plíticas para prcess de gestã de cntinuidade de serviçs de TI Elabrar s plans de cntinuidade Estabelecer um prgrama de simulações Definir s requisits para encaminhar s testes e simulações Definir um plan de cmunicaçã Desenhar e descrever s macrprcesss, prcesss e atividades d gerenciament de cntinuidade ds prcesss crítics e ds serviçs de TI relacinads. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Desenh de Serviçs) e s bjetivs de cntrle d COBIT 5. Detalhar s prcediments de execuçã das atividades de gestã de cntinuidade de serviçs de TI integrand cm prcess de mudanças ds serviçs de TI. Realizar a criaçã de nvas plíticas de gestã de cntinuidade de serviçs de TI de frma a atender s requisits da rganizaçã, seguind as recmendações ds livrs da ITIL (Service Design e Service Transitin) e s bjetivs de cntrle d COBIT 5. Criar e dcumentar s plans de cntinuidade para cada prcess crític. Estabelecer e aplicar s períds n semestre para encaminhar, avaliar, aprvar, divulgar tdas as simulações e testes planejads ns prcesss crítics e s serviçs vitais de TI relacinads. Detalhar s requisits essenciais e s critéris para encaminhar uma simulaçã e teste de cntinuidade, cnsiderand papeis e respnsabilidades. Elabrar e detalhar s mecanisms para um plan de cmunicaçã peridicamente para tda a rganizaçã. Definir s requisits ds membrs e participantes d cmitê de cntinuidade Capacitar equipe ns prcediments d cmitê de cntinuidade Prmver atividades preliminares necessárias à realizaçã das reuniões de trabalh d Cmitê. Executar um prjet pilt Prpr um subcmitê n COTISE Detalhar s requisits essenciais das pessas que serã membrs d cmitê de cntinuidade ds prcesss crítics e ds serviçs de TI relacinads, cm também seus participantes na rganizaçã. Capacitar à equipe da SI.P, ST.A e as áreas envlvidas na execuçã ds prcediments e ferramentas estabelecidas. Prcediments que viabilizem e assegurem êxit das reuniões d cmitê de cntinuidade de TI. Operacinalizar s prcediments e s prcesss de gestã de cntinuidade de serviçs de TI através da execuçã de um pilt cm detecçã e crreçã das imperfeições Prmver um subcmitê de cntinuidade de serviçs de TI n COTISE

270 268 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Implantar um prcess de cntinuidade de serviçs de TI Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar uma ferramenta de Api Definir a ferramenta de api para prcess de gestã de incidentes de segurança da infrmaçã e gestã de cntinuidade de serviçs de TI Dispnibilizar infraestrutura adequada para a ferramenta de api Integrar a ferramenta cm sistema de gestã de serviçs de TI existente Detalhar s requisits, avaliar ferramentas n mercad e decidir pela aquisiçã u desenvlviment de sistema de api. Dispr de servidres, links, redes de dads, banc de dads, demais recurss dedicads para a ferramenta de gestã de segurança da infrmaçã. Detalhar s requisits, avaliar a integraçã entre as ferramentas para s prcediments de gestã de segurança da infrmaçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã

271 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2.: Benefícis Benefícis Minimizaçã de perdas financeiras em cass de acnteciments graves. Atendiment de aspects de gvernança, de requisits legais, de cntratuais e regulamentares Assegurar as parceirs, órgãs reguladres, frnecedres e cliente que a sua infrmaçã cnfidencial está segura. Reduçã de interrupçã ds serviçs vitais de TI Melhria da imagem da rganizaçã para mercad e sciedade Diferenciar a empresa perante mercad Declaraçã ds riscs assciads cm s serviçs vitais de TI Reduçã n nível de expsiçã as riscs em tds s ambientes Reduçã da prbabilidade de crrência de incidentes de segurança Reduçã ds dans e perdas causads pr incidentes de segurança Recuperaçã ds dans em cas de desastre u incidente Visã ds riscs relacinads a negóci, permitind pririzar investiments de acrd cm a imprtância de cada ativ Garantia de cntingência em falhas desastrsas

272 270 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Descnheciment ds prcesss crítics de negóci A nã identificaçã quant as prcesss crítics de negóci recnhecids pela rganizaçã, limitand apntament ds serviçs vitais de TI para elabraçã de plan de cntinuidade d mesm, alinhad às necessidades d negóci da rganizaçã. Organizaçã Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.2: Riscs Nme Descriçã Fnte Nã existência de plan de cntinuidade de negóci Nã bter uma referência d plan de cntinuidade de negóci para as ações de cntinuidade as prcesss crítics da empresa. Organizaçã Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) X Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã.

273 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Respstas as Riscs Tabela 5.3: Respstas as Riscs Riscs Tratament Respsta Descnheciment ds prcesss crítics de negóci Transferência Cntrataçã de recurss especializads n tema, para tratar e cnduzir uma avaliaçã ds prcesss crítics de negóci para rganizaçã.

274 272 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE014 - Otimizaçã d prcess de gestã de cntinuidade para s serviçs de TI 1. Objetiv da Iniciativa Recmendar a timizaçã d prcess de gestã de cntinuidade para s serviçs de TI para ST.A Objetivs estratégics apiads Seguem abaix, as perspectivas, segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa. Tabela 1.1: Objetivs estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Partes Interessadas I1 - Atender à demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, rçament dentr ds prazs e cm s níveis de qualidades especificads. Primári Partes Interessadas I2 Frnecer serviçs segund acrds de nível de serviç estabelecids cm s clientes Assegurar a dispnibilidade ds recurss e sluções de TI pela adçã de recmendações, medidas e prcediments que garantam a resiliência da infraestrutura de TI e a recuperaçã ds serviçs dentr ds parâmetrs e patamares, definids ns requisits de dispnibilidade d negóci, pactuads junt à ST.A. Primári Partes Interessadas I3 - Atender as requisits impsts pr órgãs e prcesss regulatóris Garantir que as demandas ds agentes regulatóris interns e externs a Furnas, referentes a TI, sejam encaminhadas e prvidenciadas dentr ds prazs cmprmissads, pr mei da estruturaçã e aprimrament de prcesss de planejament, acmpanhament e gestã ds níveis de cnfrmidade. Primári Prcesss Interns P3 - Elevar nível de maturidade ds prcesss de TI priritáris para Negóci Referenciad a padrões e mdels de mercad, implantar prcesss e realizar ações que aumentem a eficiência e eficácia da execuçã ds já existentes na ST.A, eliminand retrabalhs, ineficiências e atividades que nã gerem valr u benefícis para a rganizaçã. Fcar ns prcesss de TI que sejam cnsiderads mais relevantes tend em vista suprte as bjetivs institucinais. Secundári

275 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs estratégics vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Resultad R3 - Balancear riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi elabrada cm base n que precniza as bas práticas ds livrs da ITIL versã 3,lançada em junh de 2007 e revisada na ediçã em 2011, que sã rientações e melhres práticas de mercad para uma gestã de serviçs de TI adequada para a rganizaçã. Também fi elabrada cm base n que rienta a nrma ABNT NBR ISO/IEC 27001:2005 e ABNT NBR ISO/IEC 27002:2006, que sã rientações e práticas de mercad para uma gestã de segurança da infrmaçã adequada para a rganizaçã Iniciativas estratégicas relacinadas IE001 - Aprimrament ds prcesss de cnfiguraçã e gestã de mudanças. IE004 - Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A. IE005 - Definiçã e Implantaçã de Práticas e Mecanisms de Gvernança de TI. IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI. IE012 - Estabeleciment de mecanisms para garantira prteçã de infrmações sigilsas. IE013 - Estabeleciment de mecanisms de respsta as incidentes de segurança da Infrmaçã. IE019 - Aprimrament d Mdel de Gestã de Operações Prcesss COBIT 5 vinculads à Iniciativa EDM02 - Assegurar Entrega ds Benefícis APO09 - Gerenciar Acrds de Serviç APO13 Gerenciar a Segurança da infrmaçã

276 274 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E DSS04 Gerenciar Cntinuidade DSS05 Gerenciar s Serviçs ligads à Segurança da infrmaçã

277 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Nã há plans u prcediments de cntinuidade de serviçs de TI, nem de negócis, e nã há plans alinhads cm s prcesss crítics de negóci. Entretant, está send cnstruíd um datacenter em Jacarepaguá para ser um site de cntinuidade em alguns serviçs de TI definids pela ST.A. Os backups sã realizads, cnferids diariamente e sã armazenads na sede da empresa. Existe uma iniciativa de levantar s prcesss crítics da rganizaçã cm a finalidade de elabrar ações de cntinuidade na empresa. Cm nã fi apresentad um plan de cntinuidade para TI, a ST.A está executand um prjet de cnstruçã de um data center, que irá se trnar site de cntingência e cntinuidade. O planejament e a elabraçã de um plan de cntinuidade está sb respnsabilidade da SI.P, que iniciu trabalh cm s seguintes prcesss de negóci: Cnselh de administraçã Leilã de energia PID Quand há paralisações u greves na empresa, alguns funcináris da empresa sã deslcads para htéis. Nã há um prcediment u frmalizaçã sbre esta açã. 2.1.Riscs assciads Seguem s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Os clientes, a TI e s frnecedres nã cmpreendem as suas respnsabilidades; Falta de priridade u priridade imprópria para s diferentes serviçs de TI prestads; Serviç peracinal ineficiente e cm cust elevad; Ausência de um prcess de cntinuidade ds serviçs de TI; Vulnerabilidade para s usuáris devid à falta de plans de cntinuidade.

278 276 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Fatres Mtivadres da Iniciativa Seguem abaix, s fatres mtivadres decrrentes de se perar nas cndições descritas na situaçã atual: Tabela 2.1: Pnts de atençã e prtunidades de melhrias Item Descriçã 1 Ausência de práticas de gerenciament de cntinuidade de serviçs de TI. 2 Ausência da análise de impact de prvedres de serviç cntratads as serviçs crítics. 3 Ausência de um prcess dcumentad n gerenciament de cntinuidade de serviçs de TI para tratar ds serviçs vitais para rganizaçã. 4 Nã há um mapeament ds serviçs de TI relacinads cm s prcesss crítics da rganizaçã.

279 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Recmendams à melhria da prteçã da infrmaçã sigilsa na empresa, cumprind s seguintes passs: Identificar s serviçs vitais (crítics) de TI; Analisar impact na rganizaçã; Definir estratégia de cntinuidade ds serviçs vitais de TI; Definir um prgrama de simulações; Implantar um prcess de gestã de cntinuidade ds serviçs de TI; Estabelecer Cmitê de Cntinuidade de TI; 3.1. Identificar s serviçs vitais (crítics) de TI Identificar s serviçs vitais (crítics) de TI, nas diversas platafrmas existentes na ST.A, relacinads as prcesss crítics da rganizaçã ligads diretamente a negóci da empresa, que sfrerã impacts numa pssível catástrfe nestes itens. Ist permitirá uma base inicial para rientar que cntinuar na interrupçã daquele serviç vital de TI. É Imprtante utilizar Plan de Cntinuidade de Negóci, que apia na identificaçã ds prcesss crítics d negóci da empresa. Iss facilitará relacinament destes prcesss crítics cm s serviçs vitais de TI que sã utilizads e relacinads. A iniciativa IE001 Aprimrament ds prcesss de cnfiguraçã e gestã de mudanças tem cm um ds seus bjetivs, implementar um sistema de gestã de serviçs de TI que pde cntemplar recurs u módul de gestã de cntinuidade de serviçs de TI para gerenciar relacinament destes prcesss crítics cm s serviçs de TI já existentes. Também será identificad s ativs e itens de cnfiguraçã nas diversas platafrmas existentes na ST.A, relacinads a tds s serviçs de TI que sfrerã mudanças, alterações e remções nestes itens. Vale ressaltar que a iniciativa IE008 Implantaçã de práticas e prcesss para gestã de serviçs de TI tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Analisar impact na rganizaçã Analisar s impacts que pderã gerar interferência u interrupçã ns prcesss de negóci crític, cas s serviçs vitais de TI sejam paralisads em um desastre. O resultad desse pass irá direcinar a determinaçã das estratégias de cntinuidade ds serviçs de TI que nrtearã td prcess. Nesta análise devem ser cnsiderads s seguintes pnts: Análise de impact n negóci; Prcesss crítics d negóci; Dans ptenciais u perdas; Habilidades d pessal e instalações necessárias para ativar as funções críticas;

280 278 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Áreas internas e frnecedres crítics n api da entrega ds serviçs; Prejuízs financeirs e custs adicinais; Avaliaçã d risc; Estratégia de cntinuidade d negóci; Medidas de reduçã de riscs; Eliminaçã de pnts de falha; Maires cntrles de segurança física e lógica. Vale bservar que a iniciativa IE012 Estabeleciment de mecanisms para garantir a prteçã de infrmações sigilsas tem cm um ds seus bjetivs identificar riscs, ameaças e vulnerabilidades ns prcesss crítics da rganizaçã. Esta iniciativa pde ser utilizada nesta atividade para elabraçã deste item Definir estratégia de cntinuidade ds serviçs vitais de TI Uma estratégia aprpriada precisa ser desenvlvida, cntend um equilíbri ideal da reduçã ds riscs e pções de recuperaçã. O equilíbri irá depender muit da natureza d negóci e a dependência ds serviçs vitais de TI. A elabraçã de um plan de recuperaçã e cntinuidade é um cnjunt de decisões e ações que devem ser feitas seguind as pções abaix: Tabela 3.1: Opções de cntinuidade de serviçs de TI Opçã Prcediments Administrativs Arranjs recíprcs Recuperaçã Gradual (Cld stand-by) permanente u prtável Recuperaçã Intermediária (Warm stand-by) interna / externa / móvel Descriçã Se a infraestrutura nã estiver dispnível pr muit temp, uma pçã é utilizar prcediments administrativs. Um destes prcediments pderá ser: vltar a utilizar frmuláris em papel. Em cas de um desastre, as rganizações dispnibilizam suas infraestruturas, uma para a utra. Ou seja, é feit um acrd entre empresas que pssuírem infraestruturas semelhantes, send que uma emprestará sua infraestrutura para a utra. É pssível também que empresas em cnjunt desenvlvam uma infraestrutura de cntingência (redundância) e rateiem s custs entre si. A desvantagem desta pçã é a cnfidencialidade ds dads. Nesta estratégia a própria rganizaçã tem um espaç dispnível cm uma infraestrutura que cntenha eletricidade, cnexões telefônicas, ar cndicinad, para nde as aplicações pssam ser migradas e s níveis de serviçs restaurads. Este espaç pde ser alugad u fazer parte da estrutura da empresa. Neste cenári existe um lcal para cntinuar serviç dispnível, alugad u cmprad. Recuperaçã Imediata (Ht stand-by) Esta é nrmalmente uma extensã das pções de Recuperaçã Intermediária através de frnecedres. Ela nrmalmente cbre serviçs que sã extremamente crítics e que pdem afetar a sbrevivência da empresa u pel mens um impact que pssa impedir a empresa de gerar receitas. É cmum neste cas ter um site de redundância funcinand em lcal paralel; se um sistema cair link é redirecinad para site de cópia.

281 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Váris plans devem ser criads para pder implantar prcess de Gestã de Cntinuidade de Serviçs de TI. Estes plans se referem às questões cm prcediments de emergência, medidas de reduçã de riscs, avaliaçã de dans, que fazer cm s dads, plan de recuperaçã e retmada ds serviçs vitais. O Plan de Recuperaçã (Plan de Recvery u ainda Cntinuidade) precisa ser definid cntend s seguintes itens: Períd de atualizaçã; Lista de respnsáveis pr definir qual açã deve ir para determinad grup slucinadr; Iniciaçã da recuperaçã; Grup de especialistas para cbrir as ações e respnsabilidades destes setres individualmente; Lista das áreas internas e frnecedres. Os plans devem ser desenvlvids e implementads para a manutençã u recuperaçã ds serviçs vitais de TI e para assegurara dispnibilidade da infrmaçã n nível requerid e na escala de temp definida, após a crrência de interrupções u falhas ds prcesss crítics d negóci. Vale ressaltar que a iniciativa IE019 Aprimrament d Mdel de Gestã de Operações tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã Definir um prgrama de simulações Definir uma prgramaçã de simulações que teste e atualize regularmente, de frma a assegurar sua permanente atualizaçã e efetividade nas ações e medidas de cntinuidades selecinadas. Estas simulações devem envlver tds s integrantes d plan de cntinuidades de serviçs de TI, frnecedres, áreas de api, usuáris e clientes. Preferencialmente, realize s testes em cnjunt cm plan de cntinuidade de negóci da rganizaçã. O teste é a parte crítica de td prcess e a única frma de garantir que a estratégia esclhida, s arranjs stand-by, lgísticas, plans de recuperaçã de negóci e prcediments irã funcinar na prática. Recmenda-se a realizaçã ds testes d plan de cntinuidade ds serviçs vitais de TI numa frequência mínima de uma vez a an, pdend ser feit semestralmente. Vale ressaltar que a iniciativa IE004 Implantaçã de Prcesss, Plan de Cmunicaçã e Prgrama de integraçã entre as áreas da ST.A tem cm um ds seus bjetivs estabelecer estas metas, pdend apiar-se nesta recmendaçã.

282 280 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar um prcess de gestã de cntinuidade ds serviçs de TI Devem ser desenhads, descrits, dcumentads, implementads e cmunicads s prcediments e templates que garantam a peraçã permanente, cnsiderand s seguintes aspects: Iniciaçã da Gestã de Cntinuidade; Requisits e estratégia; Implantaçã; Gerenciament peracinal. Deve ser nmead um respnsável pel prcess, que pssua cnheciment e experiência n tema. Cm a gradual maturidade, esta estrutura pde iniciar cm uma equipe mínima dedicada para garantir a execuçã das tarefas necessárias. O prcess de cnsiderar em suas atividades, a validaçã ds plans e ações de cntinuidade ds serviçs vitais de TI, através de auditrias internas. Vale bservar que a iniciativa IE012 Estabeleciment de mecanisms para garantir a prteçã de infrmações sigilsas. tem cm um ds seus bjetivs, realizar auditrias internas ns serviçs de TI da rganizaçã e que pde ser utilizada nesta atividade para cumpriment deste item Estabelecer Cmitê de Cntinuidade de TI Estabelecer um cmitê de cntinuidade de TI, vltada para elabrar, simular, perar e auditar s plans de cntinuidade ds serviçs vitais de TI da rganizaçã. Este cmitê deve pssuir representantes das áreas de TI envlvidas ns plans, das áreas de negóci e de frnecedres relacinads a serviç vital. Este cmitê deve pssuir autridade para permitir que crises, interrupções graves e desastres sejam identificads para a tmada de decisã cm a alta gestã de invcar s plans de cntinuidade ds serviçs vitais de TI sejam aplicadas, de frma mais rápida e segura.

283 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Identificar s serviçs vitais (crítics) de TI Definir s serviçs de TI crítics Detalhar s serviçs de TI crítics em peraçã relacinads cm s prcesss vitais da empresa. Classificar s serviçs de TI em peraçã Criar prcediments únics para cada serviç de TI crític em peraçã Detalhar, classificar s serviçs de TI em peraçã pr grau de imprtância para empresa. Criar prcediment únic para cada serviç identificad de TI crític em peraçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Analisar impact na rganizaçã Analisar impact na rganizaçã Levantar e estimar s riscs, ameaças e vulnerabilidades ds serviçs vitais assciads as prcesss crítics da rganizaçã. Seguir as recmendações da nrma ISO/IEC Pririzar s impacts Definir e pririzar grau de impact para s serviçs crítics. Seguir as recmendações da nrma ISO/IEC Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Definir uma estratégia de cntinuidade ds serviçs vitais de TI Avaliar as pções de recuperaçã Elabrar s plans de cntinuidade Avaliar e detalhar tdas as pções de recuperaçã e aplicá-las de acrd cm a necessidade de cada serviç vital de TI. Criar e dcumentar s plans de cntinuidades para cada serviç vital de TI. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Definir um prgrama de simulações Estabelecer um prgrama de simulações Estabelecer e aplicar s períds n semestre para encaminhar, avaliar, aprvar, divulgar tdas as simulações e testes planejads ns serviçs vitais de TI.

284 282 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Definir um prgrama de simulações Definir s requisits para encaminhar s testes e simulações Definir um plan de cmunicaçã Detalhar s requisits essenciais e s critéris para encaminhar uma simulaçã e teste de cntinuidade, cnsiderand papéis e respnsabilidades. Elabrar e detalhar s mecanisms para um plan de cmunicaçã peridicamente para tda a rganizaçã. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Implantar um prcess de gestã de cntinuidade ds serviçs de TI Mdelar s prcesss de gestã de cntinuidade de serviçs de TI Descrever prcediments de gestã de cntinuidade de serviçs de TI Definir templates de gestã cntinuidade de serviçs de TI Desenhar e descrever a cadeia de valr, macrprcesss, prcesss e atividades d gerenciament de cntinuidade ds serviçs de TI. Seguir as recmendações da ITIL V3 ediçã 2011 (livr de Desenh de Serviçs) e s bjetivs de cntrle d COBIT 5 Detalhar s prcediments de execuçã das atividades de gestã de cntinuidade de serviçs de TI integrand cm prcess de mudanças ds serviçs de TI Detalhar frmat e preenchiment ds artefats a serem utilizads na execuçã das atividades de gestã de cntinuidade de serviçs de TI para este fim, tend cm base as recmendações ds livrs da ITIL (Service Design e Service Transitin) Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã Estabelecer Cmitê de Cntinuidade de TI Definir s requisits ds membrs e participantes d Cmitê de cntinuidade de TI Detalhar s requisits essenciais das pessas que serã membrs d Cmitê de cntinuidade de TI e seus participantes na rganizaçã Dispnibilizar infraestrutura Dispr de espaç físic, mbiliári, rede de dads e cmunicaçã para as atividades d prcess Capacitar equipe ns prcediments d Cmitê de cntinuidade de TI Capacitar a equipe na execuçã ds prcediments e ferramentas estabelecidas

285 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Prmver atividades preliminares necessárias à realizaçã das reuniões de trabalh d Cmitê Estruturar as infrmações necessárias à realizaçã das reuniões de trabalh d Cmitê Descriçã Prcediments que viabilizem e assegurem êxit das reuniões d Cmitê de cntinuidade de TI. Planejar gerenciament da recmendaçã Gerenciar a recmendaçã Mnitrar a execuçã da recmendaçã Encerrar a gestã da recmendaçã 4.1. Benefícis Esperads Tabela 4.2: Benefícis Benefícis Minimizaçã de perdas financeiras em cass de acnteciments graves. Atendiment de aspects de gvernança, de requisits legais, cntratuais e regulamentares. Reduçã de interrupçã ds serviçs vitais de TI Minimizaçã de perdas financeiras Diferenciaçã da empresa perante mercad Declaraçã ds riscs assciads cm s serviçs vitais de TI Melhria da qualidade de serviçs de TI Aument da satisfaçã e cnfiança ds clientes e usuáris cm a rganizaçã de TI Aument da dispnibilidade ds serviçs de TI Aument da prdutividade ds usuáris Garantia de cntingência em falhas desastrsas Declaraçã ds riscs assciads cm a transiçã ds serviçs

286 284 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Descriçã Fnte Descnheciment ds prcesss crítics A nã identificaçã quant as prcesss crítics de negóci recnhecid pela rganizaçã, limitand a apntament ds serviçs vitais de TI para elabraçã de plan de cntinuidade de TI alinhad às necessidades d negóci da rganizaçã. Organizaçã Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, deverá ser apresentad um plan de respstas as riscs em cmplement a plan de implementaçã Plan de Respstas as Riscs Tabela 5.2: Respstas as Riscs Riscs Tratament Respsta Descnheciment ds prcesss crítics Transferência Cntrataçã de recurss especializads n tema, para tratar e cnduzir uma avaliaçã ds prcesss crítics de negóci para rganizaçã.

287 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE015 Aprimrament de práticas de arquitetura Tecnlógica na ST.A 1. Objetiv da Iniciativa Recmendar a implantaçã de uma área de Arquitetura Tecnlógica na ST.A para ser respnsável pel levantament da arquitetura atual da empresa; definiçã da arquitetura que mais se adeque a mdel de negóci de Furnas e implantar s prcesss necessáris para a gvernança da arquitetura de frma a aprimrar a gestã ds sistemas de infrmaçã, administraçã de dads da rganizaçã e suprte tecnlógic n que diz respeit a alinhament entre TI e negóci. Este dcument descreve cnjunt de recmendações criadas para a Arquitetura de Infrmações de Furnas. As dcumentações fram elabradas baseadas ns diagnóstics realizads através de análises de dcuments, realizaçã de entrevistas e respstas de questináris. O resultad da análise de td este material deu rigem a 04 recmendações: Aprimrament de Práticas de Arquitetura Tecnlógica na ST.A Transiçã de Sistemas na Platafrma Mainframe Estabeleciment de Mdel de Nva Arquitetura de Sistemas e Infrmações Aprimrament de Sistemas de Api a Negóci Este dcument apresenta, para cada recmendaçã, s benefícis esperads, s riscs envlvids e a final prpõe um plan de açã a ser seguid pela ST.A. O term Arquitetura pssui várias cntações na indústria de TI e dificilmente há um cnsens entre s diferentes nmes e as diferentes terminlgias. Dependend da rganizaçã e d cntext, terms cm Arquitetura de Negóci, Arquitetura de Sistemas, Arquitetura de Infrmações, Arquitetura Tecnlógica e Arquitetura de Prcesss pdem ser usads de maneira cmplementar u sbrepsta. Além diss, existem diverss framewrks que endereçam esses temas, cm pr exempl, Zachman, TOGAF, DODAF, FEA, entre utrs, nrmalmente dand uma cntaçã de agregaçã das diferentes arquiteturas em uma de mair nível, nrmalmente chamada de Arquitetura Empresarial u Crprativa. N cntext deste trabalh, usarems nme Arquitetura Tecnlógica para dentar as camadas de arquitetura respnsáveis em rganizar s sistemas de infrmaçã da empresa, suas respectivas classes de dads e a infraestrutura tecnlógica que dá suprte a esses sistemas. Esta arquitetura deve estar intimamente ligada cm a camada superir de negóci e também direcinada pr tda a infraestrutura definida e relacinada na camada inferir de tecnlgia, cnfrme mstra a Figura 1.1.

288 286 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura1.1: Camadas de Arquitetura A necessidade de planejar cm s dads sã cletads, cm fluem através da rganizaçã, cm sã transfrmads em infrmaçã e quais sã s sistemas utilizads para tud iss é de vital imprtância para qualquer tip de negóci. Um bm plan, que mstre tds s sistemas da rganizaçã, nde estã as suas frnteiras e cm eles interagem entre si, é cndiçã sine qua nn para um suprte eficiente ds prcesss de negóci da empresa, uma evluçã cnsistente da infraestrutura de TI e uma ba aplicaçã ds investiments Objetivs Estratégics apiads Seguem abaix, as perspectivas, segund Mapa Estratégic, que sã vinculadas para realizaçã desta iniciativa.

289 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics Vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Prcesss Interns P1 - Racinalizar custs gerais de TI Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment. Primári Prcesss Interns P6 - Estabelecer prcess de arquitetura tecnlógica Definir e implantar prcess visand à mdelagem e à descriçã de cm s recurss de Tecnlgia da Infrmaçã devem ser lgicamente rganizads de frma a atender as requisits de integraçã e padrnizaçã ds prcesss de negóci para entregar serviçs adequads, em respsta as mdels peracinais estabelecids crprativamente. Primári Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundári Partes Interessadas I1 - Atender à demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes. Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Secundári Resultads R1 - Agregar valr a resultad da crpraçã Adtar mecanisms que pssibilitem explicitar para a alta administraçã a cntribuiçã da Tecnlgia junt as segments de negóci, através d mapeament e metrificaçã d cmprtament da ST.A ns bjetivs estratégics de Furnas e n desempenh de suas principais linhas de negóci. Secundári Resultads R2 - Reduzir custs unitáris de TI Sistematizar prcediments de apuraçã, análise e cntrle de custs ds serviçs de tecnlgia da infrmaçã prestads pela ST.A, visand a adçã de pssíveis medidas para sua reduçã. Faz parte deste bjetiv estud para identificaçã, definiçã e pririzaçã das unidades de serviçs de TI a serem cnsideradas. Secundári

290 288 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs Estratégics Vinculads Perspectiva Obj. Estratégic Descriçã Vinculaçã Resultads R3 - Balancear riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Secundári 1.2. Fundamentaçã para prpsiçã Esta iniciativa fi baseada em algumas estruturas apresentadas n framewrk TOGAF 9 d Open Grup, uma abrdagem para a cncepçã, planejament, implementaçã e administraçã da arquitetura tecnlógica rganizacinal Iniciativas Estratégicas relacinadas IE003 - Aprimrament d prcess de levantament e gerenciament de requisits IE016 - Aprimrament de sistemas de api a negóci 1.4. Prcesss COBIT 5 vinculadas à Iniciativa EDM02 Assegurar entrega ds benefícis APO03 Gerenciar Arquitetura Empresarial APO011 Gerenciar Qualidade

291 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual A arquitetura atual de Furnas cnta cm mais de 500 sluções diversas de TI entre sistemas de infrmaçã, pequenas aplicações e planilhas eletrônicas dand suprte as diverss prcesss da empresa. Essas sluções de TI estã implementadas em diversas tecnlgias e diversas platafrmas e dã suprte a diferentes funções de negóci da rganizaçã. A distribuiçã das sluções de TI pr funções de negóci pde ser verificada na Figura 2.1. Figura2.1: Distribuiçã de Sluções de TI pr Funçã de Negóci A partir deste gráfic, destaca-se a grande quantidade de sistemas presentes na área de recurss humans, fat já esperad pr ser uma área antiga da rganizaçã e pela necessidade de manutençã ds dads pr um lng períd de temp e também na área Administraçã e Gestã que cncentra um grande númer de sluções diversas que nrmalmente nã se encaixam em nenhuma utra funçã de negóci. Além diss, é imprtante ressaltar que as áreas fim sã suprtadas pr um númer, cnsideravelmente inferir, de sistemas em cmparaçã cm as áreas de api. Para suprtar estes sistemas sã utilizadas diversas tecnlgias, que fram agrupadas em seis categrias: Mainframe, IBM, Micrsft, Outrs e Tecnlgias Abertas. Pels númers apresentads na Figura 2.2, nta-se que a arquitetura atual de Furnas é diversificada e centrada principalmente na tecnlgia Micrsft (Visual Basic e NET), IBM(Ltus Ntes, Dmin) e em aplicações ligadas a mainframe. As tecnlgias de frmat abert cm HTML, CSS, XML, pr exempl, fram representadas n gráfic abaix cm Tecnlgia Aberta. Outra tecnlgia de utilizaçã cnsiderável é SAP, nã citada acima pr nã ter sid registrada n catálg de aplicações de Furnas (GDS), já que nrmalmente é representad pr apenas uma aplicaçã.

292 290 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura2.2: Distribuiçã de Sluções de TI pr Funçã de Negóci O SAP fi implantad na empresa em 2010 e prvê um suprte a diferentes funções de negóci, principalmente das áreas de api cm Aquisições, Finanças e Recurss Humans. Apesar d sucess na implantaçã d SAP, mesm ainda cnvive cm diversas aplicações e sluções periféricas necessárias para bm andament d dia a dia da empresa. O mainframe pssui muitas aplicações em funcinament, mas a mair parte está dispnível apenas para cnsultas históricas, nã existind nenhuma entrada de dads. Quant às sluções de TI, a mair parte delas é de respnsabilidade da ST.A mas nã é incmum desenvlviment de sluções diretamente pelas áreas de negóci. Outr fat muit cmum é que as diversas sluções, sejam da área ST.A, sejam da área de negóci, carecem de integraçã cm as demais aplicações da empresa e em muits cass cm própri SAP. Quant as principais classes de dads, ntu-se a ausência de um dicinári glbal de dads de tda a rganizaçã. Algumas entidades chaves que nrmalmente fazem frnteira entre as diferentes funções de negóci da cadeia de valr da rganizaçã muitas vezes sã replicadas em diferentes sistemas causand prblema de diferentes versões ds dads send parte delas incnsistentes entre si. Este incidente é bservad em diferentes cadastrs de Usinas e Empreendiments na empresa, pr exempl Riscs assciads Seguem s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Nã cnfrmidade cm relaçã à gvernança de TI; Nã pssuir pessas capacitadas e fcadas n levantament, definiçã e gvernança da Arquitetura Tecnlógica, assim cm um respnsável pela mesma; Nã pssuir uma garantia de que s prcesss necessáris para a gestã da Arquitetura Tecnlógica sejam efetivamente executads.

293 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Dificuldade em identificar quais sistemas de infrmações e quais entidades de dads estã relacinadas à quais prcesss de negócis e qual infraestrutura tecnlógica. Impssibilidade de efetuar análises de cenáris futurs d tip E Se Fatres Mtivadres da Iniciativa Cm base em reuniões realizadas cm as áreas de negóci e ns questináris de necessidades e de sluções de TI, fram identificads s principais fatres mtivadres para a criaçã da área de Arquitetura Tecnlógica na rganizaçã, cnfrme citad na Tabela 2.1. Tabela 2.1: Fatres Mtivadres para a criaçã da área de arquitetura tecnlógica Item 1 Descriçã Definir cnjunt mínim necessári de sistemas de infrmaçã de Furnas para dar suprte as prcesss de negóci. 2 Estabelecer um prcess de análise das sluções lcais visand trná-las sluções crprativas 3 Esquematizar flux de infrmaçã entre as diferentes áreas 4 Dcumentar s sistemas 5 Manter um mdel de dads glbal 6 Ptencializar us d SAP 7 Ter cnheciment exat da infraestrutura tecnlógica que dá suprte a cada prcess de negóci da rganizaçã

294 292 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Furnas cnsidera tema da gestã da arquitetura cm fundamental para sucess da área de TI durante s próxims ans. Ist fica evidente através d bjetiv estratégic P6 - Estabelecer Prcess de Arquitetura Tecnlógica d mapa estratégic de TI. Entretant, nã há uma área na rganizaçã exclusiva para este fim. A Iniciativa Estratégica Estabeleciment de Mdel na Nva Arquitetura de Sistemas e Infrmações estabelece uma primeira versã de uma arquitetura futura prpsta para Furnas, assim cm diverss prjets para atingi-la. A área de arquitetura que está send prpsta nesta iniciativa será respnsável pr evluir mdel de arquitetura futura, efetuar s demais levantaments na arquitetura atual que sejam necessáris, pririzar e acmpanhar s prjets de transições de arquitetura e gvernar tds s artefats gerads. Esta área deverá ser inserida ns prcesss de gestã da rganizaçã, através da definiçã de suas respnsabilidades e de quais áreas ela se relacinará, cm a área de gestã de demandas, de desenvlviment de sftware es escritóris de prcesss. As seguintes atividades sã recmendadas para a implantaçã da área de Arquitetura Tecnlógica: Estabelecer Área de Arquitetura Tecnlógica na ST.A; Integrar a área de Arquitetura Tecnlógica ns prcesss de gestã da rganizaçã; Implantar ferramentas de gestã da Arquitetura Tecnlógica Estabelecer Área da Arquitetura Tecnlógica na ST.A Deve ser criada uma área dentr da ST.A que seja respnsável pr criar e manter a Arquitetura Tecnlógica. Para iss, é necessári definir sua estrutura, além ds prcediments e técnicas mais adequads à cultura de Furnas para a manutençã da arquitetura e selecinar pssíveis ferramentas que suprtem estes prcediments e técnicas. Quant à estrutura da área de Arquitetura Tecnlógica, recmenda-se a definiçã de três núcles: Gestã da Arquitetura Tecnlógica, Arquitetura de Dads e Arquitetura de Sistemas, exemplificads na Figura 3.1. Arquitetura Tecnlógica Arquitetura de Sistemas Arquitetura de Dads Figura3.1: Estrutura da Área de Arquitetura Tecnlógica

295 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O núcle de Gestã da Arquitetura Tecnlógica deve: Avaliar ROI ds prjets e publicar seus resultads; Gerir riscs da Arquitetura Tecnlógica; Definir e manter metamdel de arquitetura que irá cnslidar tdas as infrmações de negóci, sistemas, infrmações e tecnlgia. Garantir que as slicitações de mudanças estejam aderentes as framewrks de arquitetura empresarial e de gvernança; Mnitrar mudanças de negóci, mudanças tecnlógicas, maturidade da capacidade da arquitetura, prgramas de gestã de ativs, qualidade ds serviçs entre utrs; Manter históric das mudanças executadas permitind cancelament da mudança cas necessári; Influenciar prjets de negócis a explrarem a Arquitetura Tecnlógica, a fim de alcançar s resultads. Efetuar análises de cenáris futurs e cmpará-ls entre si. O núcle de Arquitetura de Dads deve: Estabelecer padrões para a rganizaçã ds dads, cm nmenclatura, frma de dcumentaçã e ferramentas de maneira a assegurar um entendiment cmum de dads entre a TI e s usuáris de negóci; Criar e manter um dicinári de dads crprativ, definind claramente s Dads Mestres da rganizaçã e seu cicl de vida, u seja, cm dad nasce, evlui e quand ele deixa de ser imprtante para a rganizaçã pdend ser descartad. Estabelecer e manter uma estrutura de classificaçã de dads capaz de determinar a prpriedade ds dads e a respnsabilidade sbre eles. Levantar e cletar junt à área de infraestrutura quais sã s servidres e tecnlgias envlvids em cada banc de dads. Garantir que as principais metdlgias e estad da arte de cnheciment estejam send utilizadas na rganizaçã, pr exempl: DMBOK (Data Management Bdy f Knwledge), Knwledge Discvery Metamdel (OMG- KDM), Cmmn Warehuse Metamdel (OMG-CWM) e Enterprise Data Management (EDM) O núcle de Arquitetura de Sistemas deve: Estabelecer e manter um mdel da arquitetura de infrmações da empresa que permita desenvlviment de aplicações e atividades de api à decisã cnsistente cm s plans de TI; Manter um catálg de aplicações de Furnas;

296 294 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Interagir cm as áreas de negóci e cm as utras gerências da ST.A para assegurar a cnsistência d mdel da arquitetura de infrmações e as respnsabilidades de cada área em relaçã as dads e aplicações; Impedir que nvas iniciativas de desenvlviment criem sbrepsições de dads e funções; Levantar e cletar junt à área de infraestrutura quais sã s servidres e tecnlgias envlvids em cada sistema de infrmaçã. Garantir que as principais metdlgias e estad da arte de cnheciment estejam send utilizadas na rganizaçã, pr exempl: Sftware Engineering Bdy f Knwledge (SWEBOK), Mdeling and Simulatin Bdy f Knwledge (M&SBOK), Meta-ObjectFacility (OMG-MOF), Unified Mdeling Language (OMG- UML), ObjectCnstraintLanguage (OMG-OCL), Semantics f Business Vcabulary& Business Rules (OMG-SBVR) e Service Oriented Architecture (SOA). O estabeleciment da área Arquitetura Tecnlógica tem um impact n prcess de gestã de demandas, n prcess de desenvlviment de sftware, descrit na iniciativa IE003 - Aprimrament d Prcess de Levantament e Gerenciament de Requisits, na estrutura rganizacinal e na gestã de melhrias pntuais da iniciativa IE016 - Aprimrament de Sistemas de Api a Negóci. Tabela 3.1: Quadr de prfissinais necessáris para a implantaçã Papéis Quantidade Respnsabilidades Gerente da área de arquitetura 1 Respnsável pela Área de Arquitetura Tecnlógica e pela crdenaçã d núcle de gestã da arquitetura. Influenciar prjets de negócis a explrarem a Arquitetura Tecnlógica, a fim de alcançar s resultads. Avaliar ROI ds prjets e publicar seus resultads. Gerir riscs da Arquitetura Tecnlógica. Analista de gestã da arquitetura 1 Garantir que as slicitações de mudanças estejam aderentes as framewrks de arquitetura empresarial e de gvernança. Mnitrar mudanças de negóci, mudanças tecnlógicas, maturidade da capacidade da arquitetura, prgramas de gestã de ativs, qualidade ds serviçs entre utrs. Manter históric das mudanças executadas permitind cancelament da mudança cas necessári. Crdenadr da Arquitetura de Dads 1 Crdenar trabalh da equipe d núcle de arquitetura de dads.

297 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 3.1: Quadr de prfissinais necessáris para a implantaçã Papéis Quantidade Respnsabilidades Analista de Dads 1 Estabelecer padrões para a rganizaçã ds dads, cm nmenclatura, frma de dcumentaçã e ferramentas de maneira a assegurar um entendiment cmum de dads entre a TI e s usuáris de negóci. Criar e manter um dicinári de dads crprativ. Estabelecer e manter uma estrutura de classificaçã de dads capaz de determinar a prpriedade ds dads e a respnsabilidade sbre eles. Crdenar trabalh da equipe d núcle de arquitetura de sistemas. Crdenadr da Arquitetura de Sistemas 1 Interagir cm as áreas de negóci e cm as utras gerências da ST.A para assegurar a cnsistência d mdel da arquitetura de infrmações e as respnsabilidades de cada área em relaçã as dads e aplicações. Impedir que nvas iniciativas de desenvlviment criem sbrepsições de dads e funções. Analista de Sistemas 1 Estabelecer e manter um mdel da arquitetura de infrmações da empresa que permita desenvlviment de aplicações e atividades de api à decisã cnsistente cm s plans de TI. Manter um catálg de aplicações de Furnas. A estruturaçã inicial da área de Arquitetura Tecnlógica vai demandar um esfrç adicinal que pde ser atendid cm recurss humans adicinais além ds definids na tabela acima. Após a criaçã e cnslidaçã d mdel de arquitetura, d refinament e detalhament d catálg de aplicações e da definiçã d dicinári de dads, s trabalhs de manutençã destes artefats e das atividades d setr pdem ser feits pela equipe prevista na tabela acima Integrar a área de Arquitetura Tecnlógica ns prcesss de gestã da rganizaçã É de fundamental imprtância a definiçã d relacinament desta área cm as demais áreas da empresa, seja uma área de negóci, cm escritóri de prcesss, u seja, cm um departament da própria ST.A, cm pr exempl de desenvlviment de sistemas (DSI.G) u de infraestrutura (DIR.G). Os principais relacinaments que devem estar explicitamente definids sã: Gestã de Demandas e Desenvlviment de Sistemas: assegurar que s prcesss de desenvlviment de sistemas e de gestã de demandas incluam um pass para infrmar e cnsultar a Área de Arquitetura Tecnlógica sbre

298 296 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E desenvlviment de nvs sistemas e sbre as manutenções crretivas, adaptativas e evlutivas ds sistemas existentes. Escritóri de Prcesss: s prcesss definids pel escritóri devem ser capturads e mapeads na Arquitetura Tecnlógica de frma que a ligaçã destes prcesss cm s sistemas de infrmaçã, regras de negóci, classes de dads, servidres e tecnlgias fique explícita e permita a análise de cenáris futurs. Infraestrutura Tecnlógica: tdas as infrmações sbre servidres, platafrmas e tecnlgias que impactam a arquitetura tecnlógica devem ser mapeadas pela área de Arquitetura Tecnlógica cm api da área de infraestrutura de TI (DIR.G), que deve garantir a existência e atualizaçã das infrmações necessárias e assciaçã das mesmas as sistemas de infrmaçã e sistemas de banc de dads. Utilizand a metdlgia ADM precnizada pel TOGAF, cada fase desta metdlgia está intimamente relacinada cm alguma área definida na estrutura da Arquitetura Tecnlógica u utra área da própria empresa, cnfrme mstrad na Figura 2-5. Os retânguls em azul representam um ds núcles da própria área de Arquitetura Tecnlógica enquant que s retânguls em laranja representam utras áreas da empresa. A integraçã da área de Arquitetura Tecnlógica cm a de Desenvlviment de Sistemas e Gestã de Demandas envlve: Receber a especificaçã d nv sistema u da mudança n sistema existente; Avaliar impact da mudança na arquitetura de infrmações. Nesta etapa devem ser analisads s impacts em utras aplicações a fim de se evitar a sbrepsiçã de funcinalidades e retrabalh ds usuáris e s impacts sbre s dads da rganizaçã, evitand-se a redundância, incnsistência e prmvend a integraçã das infrmações entre as diversas aplicações. Também devem ser analisads s aspects de segurança, prpriedade e respnsabilidade sbre s dads afetads pela mudança; Sugerir adaptações, crreções u restrições na especificaçã da mudança para evitar cnflits e redundâncias cm a arquitetura de infrmações atual; Retrnar as sugestões e alterações, se existirem, para a área respnsável para adequaçã e aprvaçã; Após a aprvaçã de ambas as partes, dcumentar mudança na arquitetura de infrmações; Receber a dcumentaçã d que fi efetivamente implementad para nva avaliaçã e dcumentaçã na Arquitetura de Infrmações; Nesta etapa devem ser definids, em cnjunt cm as áreas de desenvlviment de sistemas e de gestã de mudanças, quais s artefats e s respectivs padrões e técnicas utilizadas para cnstruí-ls, serã utilizads para a trca de infrmações entre as áreas.

299 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Gestã de Demandas Desenvlviment de Sistemas Gestã da Arquitetura Escritóri de Prcesss Arquitetura de Dads Arquitetura de Sistemas Gestã da Arquitetura Figura 3.2: Relacinament d TOGAF cm a Área de Arquitetura e Outras Áreas da Empresa A integraçã da área de Arquitetura Tecnlógica cm Escritóri de Prcesss envlve: Cnhecer s prcesss atuais da rganizaçã e vincular estes prcesss cm s sistemas de infrmaçã; Mnitrar quaisquer mudanças crridas ns prcesss da rganizaçã e ns serviçs que implementam estes prcesss; Prver para a área de prcesss, análises de cenáris para dar suprte a mudanças ns prcesss; Garantir que as mudanças na arquitetura de prcesss suprtem s bjetivs estratégics da rganizaçã; Garantir a timizaçã ds prcesss de negóci através da identificaçã ds gaps tecnlógics. A integraçã da área de Arquitetura Tecnlógica cm a área de infraestrutura envlve: Cnhecer a arquitetura de infraestrutura atual da rganizaçã e vincular servidres, tecnlgias e platafrmas cm s sistemas de infrmaçã; Identificar lcais relevantes nde a tecnlgia é implantada; Mnitrar quaisquer mudanças crridas na área de infraestrutura; Prver para a área de infraestrutura, análises de cenáris para dar suprte a mudanças nas tecnlgias; Garantir que as mudanças na área de infraestrutura suprtem s bjetivs estratégics da rganizaçã.

300 298 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Implantar ferramentas de gestã da Arquitetura Tecnlógica Esta recmendaçã trata da aquisiçã e implantaçã da ferramenta de api à Arquitetura Tecnlógica. A implantaçã de uma ferramenta é imprescindível devid a grande quantidade de infrmações a serem geridas. A ausência de uma ferramenta desta natureza trnaria muit difícil mnitrament das mudanças nas diversas camadas da arquitetura. A ferramenta a ser implantada deve ser capaz de representar e apiar a manutençã da Arquitetura Tecnlógica da rganizaçã através ds seguintes requisits: Suprtar um metamdel cm as principais definições utilizadas na Arquitetura Tecnlógica; Permitir a custmizaçã deste metamdel; Pssuir um repsitóri que centralize tds s mdels da rganizaçã. É desejável que este repsitóri seja alimentad a partir das ferramentas utilizadas nas diversas áreas da empresa; Pssuir diferentes níveis de cntrle de acess para usuáris; Permitir que a visualizaçã ds relacinaments entre as entidades d metamdel seja a partir de matrizes; Permitir a integraçã cm utras ferramentas de mdelagem utilizadas na rganizaçã; Pssuir funcinalidade de análise de impact e gaps das diversas instâncias ds mdels das rganizações; Permitir a análise de diferentes cenáris futurs e a pssibilidade de cmparaçã entre esses cenáris. Permitir a visualizaçã ds mdels via web; Pssuir s principais mdels de mercad que serã utilizads nas diversas perspectivas e abstrações da rganizaçã, cm BMM, BPMN, UML, Entidade- Relacinament, entre utrs; Permitir que diagramas pssam ser gerads e derivads relacinand qualquer entidade d metamdel; Permitir a navegaçã entre as instâncias d metamdel; Permitir a visualizaçã ds diferentes mdels da rganizaçã a partir de uma visã de um framewrk de mercad cm Zachman, TOGAF u ainda mesm um framewrk prprietári da rganizaçã.

301 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Estabelecer Área da Arquitetura Tecnlógica na ST.A Implementar Área Organizacinal de Arquitetura Tecnlógica Organizar uma área na estrutura da ST.A, que fique respnsável pela gestã cntínua da arquitetura Tecnlógica. Ver item 2.1. Elabrar nrmas e prcediments para funcinament da área. Prcediments que assegurem que a arquitetura tecnlógica esteja sempre atualizada. Ver item 2.1. Selecinar pssíveis ferramentas para apiar e dcumentar a arquitetura tecnlógica Identificar as ferramentas cm ptencial de api e dcumentaçã da arquitetura tecnlógica de Furnas. Ver item 2.1. Integrar a área de Arquitetura Tecnlógica ns prcesss de gestã da rganizaçã Definir em cnjunt cm as áreas envlvidas prcess, as atividades e s artefats para a trca de infrmaçã. Assegurar que prcess de desenvlviment de sistemas e de gestã de demandas inclua um pass para infrmar e cnsultar a Área de Arquitetura tecnlógica sbre desenvlviment de nvs sistemas e sbre as manutenções crretivas, adaptativas e evlutivas ds sistemas existentes. Além diss, definir cm será a integraçã cm as áreas de prcesss e de infraestrutura, a fim de bter s dads necessáris para a manutençã da dcumentaçã da arquitetura tecnlógica. Ver item 2.2. Implantar ferramentas de gestã da arquitetura tecnlógica Aquisiçã de ferramenta para api e dcumentaçã da arquitetura tecnlógica Aquisiçã da ferramenta, de treinament, de serviç de cnsultria para a implantaçã e de cntrataçã de suprte.

302 300 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Pssibilitar a gestã da manutençã da Arquitetura Tecnlógica. Garantir que uma área seja respnsabilizada pela arquitetura da rganizaçã. Obter recnheciment da imprtância d tema perante s demais setres. Garantir que a TI pssa acmpanhar as mudanças de negóci

303 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Risc Tabela 5.1: Riscs Nme Impssibilidade de capturar tds s mdels da empresa para cmpr a Arquitetura Tecnlógica Descriçã A btençã das infrmações e mdels necessáris para levantament e definiçã da arquitetura atual da Arquitetura Tecnlógica pde sfrer diferentes tips de impediments relacinads à captura dessas infrmações, seja pela sua nã dispnibilidade, nã existência, nã estar em um frmat de arquiv que pssa ser carregad n repsitóri da arquitetura u até mesm pela falta de dispnibilidade d prfissinal respnsável pela infrmaçã, entre utrs. Fnte ST.A n mment d levantament das infrmações de arquitetura Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

304 302 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.2: Riscs Nme Definiçã imprópria ds prcesss u nã cumpriment destes na integraçã da área de Arquitetura Tecnlógica cm as utras áreas Descriçã A integraçã da área de arquitetura tecnlógica cm utras áreas da rganizaçã depende da definiçã e d cumpriment ds prcesss. A mdelagem adequada d prcess e cntrle da execuçã de suas atividades sã imprescindíveis para sucess da área de arquitetura tecnlógica. Fnte ST.A n mment d levantament das infrmações de arquitetura Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.3: Riscs Nme Esclha inadequada da ferramenta de gestã da Arquitetura Tecnlógica Descriçã A esclha inadequada da ferramenta de gestã da arquitetura tecnlógica pde cmprmeter a mdelagem e captura ds dads, impssibilitand a cnstruçã de cenáris essenciais para a tmada de decisã. Fnte ST.A n mment d levantament das infrmações de arquitetura Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) X Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

305 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.4.: Riscs Nme Nã dispnibilidade ds recurss necessáris Descriçã A criaçã de uma área para a manutençã da Arquitetura Tecnlógica depende da dispnibilizaçã de diverss recurss: uma estrutura física adequada, recurss humans prvenientes da realcaçã de pessal e/u da cntrataçã de nvs prfissinais e recurss financeirs para aquisiçã de ferramentas. Fnte ST.A n mment d levantament das infrmações de arquitetura Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

306 304 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Respstas as Riscs Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, apresentase um plan de respstas as riscs em cmplement a plan de implementaçã. Tabela 5.5: Respstas as Riscs Riscs Tratament Respsta Impssibilidade de capturar tds s mdels da empresa para cmpr a Arquitetura Tecnlógica Mitigaçã Cnscientizar s prfissinais envlvids através de palestras sbre as cnsequências da nã btençã das infrmações necessárias. Exigir a transparência ds prcesss da rganizaçã para que s respnsáveis em frnecer as infrmações sejam cnhecids e cbrads pr iss. Definiçã imprópria ds prcesss u nã cumpriment destes na integraçã da área de Arquitetura Tecnlógica cm as utras áreas Mitigaçã Validar cm as áreas de negóci envlvidas resultad da mdelagem ds prcesss. Autmatizar s prcesss da rganizaçã para garantir a sua execuçã. Esclha inadequada da ferramenta de gestã da Arquitetura Tecnlógica Mitigaçã Levantar s requisits necessáris da ferramenta antes de realizar a esclha. Validar estes requisits cm tda a equipe de arquitetura tecnlógica. Nã dispnibilidade ds recurss necessáris Mitigaçã Definir papel de gerente da área de arquitetura cm a capacidade necessária para influenciar a área de negóci. Selecinar um gerente da área de arquitetura dentr d perfil exigid pela descriçã d papel.

307 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE016 - Aprimrament de sistemas de api a negóci 1. Objetiv da Iniciativa Prpr recmendações a respeit de prblemas pntuais em cada aplicaçã, de frma a evluir as mesmas, para melhr atender as necessidades da empresa. Durante prcess de levantament das infrmações d Diagnóstic da Situaçã Atual realizad através de análise de dcuments, questináris de necessidades de negóci e sluções de TI, fram identificadas diversas necessidades pntuais ns sistemas de infrmaçã que representam pssíveis melhrias na captura e registr de dads, na visualizaçã de infrmações, n dia a dia da rganizaçã, na interaçã ds usuáris, na evluçã das diferentes tecnlgias existentes e na integraçã entre sluções de TI, cm intuit de melhrar as perações atuais da empresa Objetivs Estratégics Apiads Seguem abaix, as perspectivas, segund Mapa Estratégic, que sã vinculadas para a realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics Apiads Perspectiva Objetiv Estratégic Descriçã Vinculaçã Partes interessadas I05 Impulsinar sucess das áreas clientes cm sluções invadras de TI Prpr e dispnibilizar sluções quant a us invadr de TI rientadas às necessidades das áreas de negóci, cm base na utilizaçã plena e diferenciada das tecnlgias já dispníveis na ST.A e também de tecnlgias emergentes de maneira a ferecer efetivs ganhs quant à eficiência e eficácia ds prcesss de negóci. Primári 1.2. Fundamentaçã para prpsiçã A prpsta da iniciativa é dada em funçã das sugestões e pnts levantads pels funcináris de Furnas nas entrevistas e questináris entregues Iniciativas Estratégicas Relacinadas Nã se aplica

308 306 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Prcesss COBIT 5 Relacinads à Iniciativa EDM02 Assegurar Entrega ds Benefícis APO02 Gerenciar a Estratégia APO03 Gerenciar a Arquitetura Empresarial BAI02 Gerenciar Definições de Requisits BAI03 Gerenciar Sluções de Identificaçã e Cnstruçã.

309 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Furnas, ns seus 56 ans de existência, acumulu um diversificad cnjunt de aplicações, de diversas tecnlgias e platafrmas. Atualmente catálg cnta cm aprximadamente 500 aplicações. Muitas dessas aplicações atendem às necessidades ds usuáris, entretant algumas necessitam de melhrias para facilitar prcess de trabalh, u seja, dia a dia da rganizaçã. Observu-se que algumas aplicações encntram-se bsletas em funçã da cnstante evluçã da tecnlgia da infrmaçã. As tecnlgias antigas, apesar de rbustas, nã pssuem facilidade na entrada de dads, na integraçã entre sistemas e nas extrações de infrmações. Furnas pssui dificuldade cm esses temas, que ns dias de hje sã indispensáveis. Os sistemas, aplicações e dads de Furnas que integram a sua arquitetura de infrmações estã distribuíds e fragmentads em diversas áreas da empresa. N levantament de infrmações sbre esses sistemas fram identificadas diversas melhrias pntuais, que, uma vez implantadas, melhram aspects de prdutividade e cnfiabilidade das sluções de TI envlvidas Riscs assciads Esta seçã define s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual. Dificuldade de cmunicaçã entre as áreas; Esfrç despendid em atividades passíveis de autmaçã; Pssibilidade de errs devid à reentrada de dads em sistemas sem cmunicaçã. Incnsistência e replicaçã de dads. Prblemas de interperabilidade e integraçã; Prblemas de suprte e manutençã; 2.2. Fatres Mtivadres da Iniciativa Cm base em reuniões realizadas cm as áreas de negóci e ns questináris de necessidades de TI e de sluções de TI, fram identificads s principais pnts de atençã da rganizaçã.

310 308 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Melhrar s sistemas de infrmaçã Tabela 2.1: Fatres Mtivadres Fatres Mtivadres Prmver a atualizaçã tecnlógica de Furnas Reduzir s custs Dcumentar s sistemas Centralizar dads Gerar melhr cnheciment das aplicações presentes Ptencializar us das aplicações

311 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendações As recmendações de melhrias pntuais para as aplicações presentes em Furnas fram divididas pelas funções de negóci: Atividades Fim: Cntrataçã Indicar que um empréstim dá suprte a váris prjets; Prjet e Cnstruçã Integraçã d SAAGI cm Aplicativ Análises Químicas e Prtal DO. Dispnibilizar EFENERGIA em dispsitivs móveis e acesss externs. Manutençã a lng praz d SDDP. Dcumentar Prtal DO. Padrnizar códigs de empreendiments e equipaments. Operaçã Desenvlver uma interface entre Elebra e SAGE. Integrar módul de cálculs a ESPRO. Manutençã Melhrar análise de indicadres de qualidade de serviç de geraçã e manutençã Cmercializaçã Custmizar SAP para cntrle de aviss de datas de venciment. Custmizar geraçã de pagament n SAP. Atividades de Api: Recurss Humans Implementaçã de funções d aplicativ Matérias em um únic aplicativ. Melhrar integraçã entre sistema de avaliaçã de desempenh e SAP. Difundir hábit de planejament de treinaments. Difundir hábit de dcumentar s sistemas. Aquisições Melhrar cntrle da MIRO n SAP. Custmizaçã d SAP (MIRO/MIGO). Mei Ambiente Aperfeiçar prcess de backup da aplicaçã SINV.

312 310 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Atualizaçã periódica de dads d sistema SAIGEE. Adaptaçã d SAP a Acórdã nº 2523/2012 d TCU Desenvlver um manual de utilizaçã d SAP para s usuáris em Furnas. Elabrar e implantar treinament de usuáris d SAP. Aprimrar us d SAP pels gestres de prjet. Cntrle de Acess a SAP Indicar que um empréstim dá suprte a váris prjets A parte de cntrle ds financiaments pssui uma grande dificuldade de crrelacinar s empréstims cm cada um de seus prjets. Iss crre, pis um empréstim, em muits cass, dá suprte a váris prjets e n SAP nã é pssível indicar esse relacinament. Prtant, deve-se ser feita a custmizaçã d SAP para indicar este relacinament Integraçã d SAAGI cm Aplicativ Análises Químicas e Prtal DO O sistema SAAGI da área de prjet e cnstruçã dever ser capaz de cnsultar infrmações sbre s plans de gestã d Prtal DO. Além diss, também deve cnsultar s resultads das análises de água e efluentes executadas pels labratóris de Furnas através d Aplicativ Análises Químicas, desenvlvid pel DSI.G. 3.3 Dispnibilizar EFENERGIA em dispsitivs móveis e acesss externs O EFENERGIA, Prtal de Eficiência Energética da DIVE.E, necessita ter seu acess dispnível em dispsitivs móveis, de md a permitir melhr acmpanhament e cntrle das atividades da Eficiência energética, integrand s póls na atuaçã d Plan de Açã Manutençã a lng praz d SDDP É precis ter aplicativ SDDP (Mdel de Despach Hidrtérmic Estcástic cm Restrições de Transmissã) perand pr um períd de até 20 ans de md a atender a cntrat de prestaçã de serviçs. Atualmente, SDDP, desenvlvid em Frtran Ansi 77, precisa ser mantid peracinal pela empresa até 29/11/2032 pr frça de cntrat cm s gverns de Angla e Namíbia. Para tal, é recmendada a atualizaçã d aplicativ para uma tecnlgia mais recente Dcumentar Prtal DO O prtal DO atualmente é dependente de seu desenvlvedr, pel fat de nã haver uma dcumentaçã cmpleta d sistema a sua atualizaçã e manutençã ficarem atreladas apenas a quem desenvlveu. Recmendams a dcumentaçã deste

313 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E sistema a fim de que seja pssível direcinar a manutençã e atualizaçã deste sistema a diferentes pessas quand necessári Padrnizar códigs de empreendiments e equipaments Os empreendiments e equipaments sã identificads através de códigs. Em alguns cass um códig é inicialmente gerad na fase de prjet e cnstruçã e depis, empreendiment u equipament recebe um nv códig na peraçã. Desta frma é precis padrnizar s códigs ds ativs de frma que pssam ser acmpanhads pelas diferentes áreas da empresa durante td seu cicl de vida Desenvlver uma interface entre Elebra e SAGE Existe uma sluçã na STIV.O chamada Elebra, que serve para visualizar s alarmes da remta Elebra da SE Ivaiprã. Essa sluçã necessita pssuir interface cm sistema SAGE Integrar módul de cálculs a ESPRO Atualmente, para se utilizar ESPRO, existe a necessidade de especializaçã n seu us. A análise ds seus dads depende bastante da sensibilidade de prfissinais experientes. Ist crre, pis a aplicaçã nã tem integrad módul de cálculs. Cnsequentemente, ESPRO precisa ter módul de cálculs integrad em seu sistema para facilitar seu us pr prfissinais nvs e/u nã especializads Melhrar análise de indicadres de qualidade de serviç de geraçã e manutençã É necessári melhrar s indicadres de qualidade ds serviçs de geraçã e transmissã para saber qual melhr mment de efetuar uma manutençã em um equipament (estimativa de cust da parcela variável X cálcul d mês mais favrável) Custmizar SAP para cntrle de aviss de datas de venciment Atualmente a executar uma revisã tarifária, as datas cnstam n relatóri gerencial, mas nã há emissã de avis n SAP de quand um venciment está próxim de crrer. É precis custmizar módul SD d SAP de md a emitir s aviss de venciment as usuáris Custmizar geraçã de pagament n SAP O módul FI d SAP nã deixa um pagament ser gerad sem um nível de detalhament específic que, em alguns cass nã é pssível infrmar. É precis realizar um estud de quais infrmações de pagament sã de fat indispensáveis e devem ser brigatórias e quais nem sempre é pssível infrmar. Em seguida é precis

314 312 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E custmizar módul FI d SAP a fim de que a geraçã de pagaments seja mais adequada Implementaçã de funções d aplicativ Materias em um únic aplicativ O aplicativ Materias nã gera s arquivs finais para envi a Imprensa Nacinal, ele necessita de sftware de terceir para ist. Deve ser feita a melhria d aplicativ de md que nã seja mais necessária esta intervençã de utr sftware, as funções necessárias em um únic mei que gera relatóri para envi Melhrar integraçã entre sistema de avaliaçã de desempenh e SAP O sistema de avaliaçã de desempenh necessita de dads cadastrais ds empregads que, pr sua vez, estã n SAP. Deve ser feita a melhria da integraçã entre sistema de avaliaçã de desempenh e SAP, que atualmente, é insatisfatória Difundir hábit de planejament de treinaments Existem treinaments de áreas específicas que sã brigatóris pr questões de segurança e legais. Também há treinaments que sã slicitads pr cada área de acrd cm suas necessidades. O SAP pssui um módul destinad a cntrle ds dads de treinaments, prém este módul encntra-se em desus prque nã há infrmações suficientes e estimativas de quais treinaments devem ser ferecids. Recmendams que seja difundid na rganizaçã cm um td prcess de planejament de treinaments antecipadamente para que assim RH cnsiga trabalhar melhr na btençã de recurss necessáris para que s treinaments pssam crrer Difundir hábit de dcumentar sistemas Existem diversas aplicações d RH que pssuem puca dcumentaçã. Muitas dessas dcumentações encntram-se desatualizadas. Recmendams que hábit de dcumentar desenvlviment e alteraçã (atualizaçã/manutençã) ds sistemas seja difundid a fim de que quaisquer mudanças ns prcesss u ns sistemas sejam efetuadas mais fácil e eficientemente. Esta é uma recmendaçã que pde e deve ser aplicada a tds s sistemas de Furnas Melhrar cntrle da MIRO n SAP Impedir a aprvaçã da MIRO quand alguns dads d pedid nã estiverem preenchids u nã estiverem válids. Deve existir um pnt de cntrle para garantir preenchiment e a manutençã crreta ds dads d pedid.

315 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Impedir, cm a custmizaçã d SAP, que emissr da MIRO altere camps que influenciem na frma d pagament. Pr exempl: praz de pagament que fi acrdad na licitaçã pel cmpradr nã pde ser alterad pel recebedr. Impedir que Gestres Cntratuais de utras áreas alterem s dads ds Pedids de área em que nã trabalham Custmizaçã d SAP (MIRO/MIGO) Atualmente, a Divisã de Administraçã de Frneciment (DADF.G) nã está send bem atendida pel SAP. Fram identificads váris prblemas cm a falta de integraçã d SAP cm utras ferramentas, trabalh manual na inserçã de dads, inflexibilidade na ediçã de dads, permissã de usuáris indevida, ausência de dads essenciais e de seus validadres Aperfeiçar prcess de backup da aplicaçã SINV A aplicaçã SINV, quand instalada em desktp, nã pssui backup, nrmalmente é realizad apenas backup de cass simulads. É precis estender a abrangência de backup ds dads da aplicaçã a fim de pssuir mair segurança e cnfiabilidade em cas de falha n sistema Atualizaçã periódica de dads d sistema SAIGEE O sistema SAIGEE - Sistema de Api a Inventári de Gases de Efeit Estufa atualmente nã pssui uma atualizaçã periódica de índices e variáveis que sã utilizads em fórmulas e, pr sua vez, sã elabradas pr metdlgias internacinais de cálcul de emissões de GEE. Deve-se, prtant, custmizar sistema SAIGEE para apresentar estes dads atualizads Desenvlver um manual de utilizaçã d SAP Atualmente muits usuáris d SAP nã pssuem devid cnheciment para us d SAP. O fereciment de um manual as usuáris é de grande ajuda para desenvlviment ds prcesss da empresa Elabrar e implantar treinament de usuáris d SAP Há a necessidade de treinar s usuáris d SAP de frma adequada. Antigamente, quem precisava de acess a SAP era treinad. Atualmente, iss nã é mais uma brigaçã, que geru váris errs de us d sistema. A interface d SAP nã é intuitiva e, pr iss, há grande dificuldade de utilizaçã sem devid treinament. As áreas que têm mair necessidade de treinament sã a de saúde e a de segurança. Recmendams a elabraçã de um plan de treinament adequad as usuáris e trnar ist um pré-requisit a ser cumprid pr tds aqueles que fizerem us d SAP.

316 314 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Aprimrar us d SAP pels gestres de prjet Muits dads que sã necessáris para a área de acmpanhament de cntratações na SP.N existem n SAP mas nã sã atualizadas pels gestres. Prtant, deve-se garantir a execuçã d prcess cm auxíli d escritóri de prcesss Cntrle de Acess a SAP A RS.G nã pssui acess a alguns móduls d SAP. Existe a necessidade de se ter acess a estes móduls. Prtant é precis analisar métd de liberaçã de acess as móduls d SAP, adquirir a autrizaçã para acess e identificar s móduls a serem acessads pela Crdenaçã de Relações Sindicais. Além diss, devem ser criads perfis de acess específics para auditrias internas e externas de frma a permitir a fiscalizaçã de cntrles interns.

317 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de Implementaçã das Recmendações Tabela 4.1: Plan de Implementaçã das recmendações Açã Descriçã Indicar que um empréstim dá suprte a váris prjets Custmizar relacinaments n SAP Custmizar SAP a fim de relacinar um empréstim a mais de um prjet Integraçã d SAAGI cm Aplicativ Análises Químicas e Prtal DO Especificar integraçã d SAAGI cm utrs sistemas Definir requisits de integraçã entre SAAGI e Prtal DO e entre SAAGI e sistema de análises químicas Desenvlver integraçã Uma vez definids s requisits as integrações devem ser desenvlvidas pela ST.A Dispnibilizar EFENERGIA em dispsitivs móveis e acesss externs Dispnibilizar acess d prtal EFERNERGIA pr mei de dispsitiv móvel Realizar prjet de evluçã d prtal de md que este também seja acessível através de dispsitivs móveis Manutençã a lng praz d SDDP Garantir funcinament plen d aplicativ de acrd cm a data impsta n cntrat através da sua atualizaçã tecnlógica. Realizar estud das tecnlgias dispníveis atualmente n mercad a fim de determinar a mais adequada para manter a aplicaçã ativa até a data prevista n cntrat Dcumentar Prtal DO Realizar dcumentaçã d Prtal DO Realizar análise d Prtal DO a fim de dcumentá-l e facilitar seu suprte e manutençã Padrnizar códigs de empreendiments e equipaments Padrnizar s códigs de empreendiments e equipaments Elabrar um padrã de códigs de empreendiments e equipaments de md que estes sejam identificads de frma única dentr de tda a empresa Desenvlver uma interface entre Elebra e SAGE Elabrar prjet de integraçã entre Elebra e SAGE Especificar e desenvlver uma interface entre s sistemas Elebra e SAGE Integrar módul de cálculs a ESPRO Realizar estud de viabilidade para adquirir módul de cálculs d ESPRO Avaliar a pssibilidade de adquirir módul de cálculs d ESPRO a fim de facilitar seu us

318 316 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de Implementaçã das recmendações Açã Descriçã Melhrar análise de indicadres de qualidade de serviç de geraçã e manutençã Analisar pnts crítics ds indicadres de qualidade Redefinir padrões de indicadres de qualidade através da análise de seus pnts crítics para definir qual melhr mment de efetuar uma manutençã em um equipament (estimativa de cust de parcela variável x cálcul d mês mais favrável) Custmizar SAP para cntrle de aviss de datas de venciment Realizar estud de viabilidade da custmizaçã d módul SD Planejar as alterações necessárias n sistema de md que pssa ser pssível habilitar aviss de venciment de revisões tarifárias Executar e implantar custmizaçã Uma vez efetuad planejament das alterações, executar prjet de custmizaçã e implantá-l Custmizar geraçã de pagament n SAP Analisar infrmações de pagament Analisar e definir infrmações de pagament indispensáveis e que devem ser brigatórias Custmizar SAP Realizar custmizaçã d SAP a fim de deixar brigatórias apenas as infrmações abslutamente necessárias sbre s pagaments e habilitar que as demais sejam pcinais Implementaçã de funções d aplicativ Materias em um únic aplicativ Especificar prjet de evluçã d aplicativ Materias Realizar estud de mudanças necessárias para a evluçã d aplicativ de frma que ele gere arquiv final a ser enviad para a Imprensa Nacinal Evluir sistema e implantar melhrias Realizar as mdificações necessárias e evluir aplicativ Melhrar integraçã entre sistema de avaliaçã de desempenh e SAP Mapear alterações necessárias e evluir interface entre Sistema de Avaliaçã de Desempenh e SAP Alterar a interface entre s sistemas para que Sistema de Avaliaçã de Desempenh pssa acessar s dads de empregads cadastrads n SAP Difundir hábit de planejament de treinaments Especificar regras de planejament de treinaments Avaliar nível de detalhament de infrmações necessári para planejar treinaments cm a antecedência adequada Aplicar as regras às diversas áreas Aplicar as regras especificadas às diversas áreas de Furnas a fim de difundir hábit d planejament prévi ds treinaments a serem realizads Difundir hábit de dcumentar s sistemas Espalhar a cultura de dcumentaçã ds sistemas de infrmaçã Difundir pr tda a empresa hábit de realizar a dcumentaçã s sistemas a fim de facilitar sua manutençã e atualizaçã

319 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de Implementaçã das recmendações Açã Descriçã Melhrar cntrle da MIRO n SAP Custmizar SAP para cntrlar melhr s dads da MIRO Analisar s dads e realizar custmizaçã d SAP para garantir preenchiment e a manutençã crreta ds dads d pedid Custmizaçã d SAP (MIRO/MIGO) Identificar as necessidades da Divisã de Administraçã de Frneciment (DADF.G) cm relaçã a SAP e implantar custmizações necessárias Identificar as necessidades da Divisã de Administraçã de Frneciment (DADF.G) em relaçã à parte de SAP que envlve MIRO/MIGO e efetuar as custmizações necessárias. Aperfeiçar prcess de backup da aplicaçã SINV Evluir a aplicaçã SINV para melhrar seu prcess de backup Incrprar a aplicaçã SINV um prcess de backup cmplet. Atualizaçã periódica de dads d sistema SAIGEE Evluir SAIGEE para realizar atualizações periódicas Evluir a aplicaçã SAIGEE para realizar peridicamente a atualizaçã autmática de índices e variáveis que sã elabradas pr metdlgias internacinais de cálcul de emissões de GEE. Desenvlver um manual de utilizaçã d SAP para s usuáris em Furnas Elabrar e distribuir manual d SAP Elabrar um manual d SAP de acrd cm as funcinalidades utilizadas e custmizadas pela empresa e trna-l acessível as usuáris. Elabrar e implantar treinament de usuáris d SAP Elabrar treinament de usuáris d SAP Elabrar treinament de usuáris n SAP de acrd cm as funcinalidades utilizadas e custmizadas em Furnas e realizar treinament de tds s funcináris cm acess a sistema. Aprimrar us d SAP pels gestres de prjet Difundir a cultura de utilizaçã plena d SAP pels gestres de prjet Cm auxíli d escritóri de prcesss, maximizar us d SAP pels gestres de prjet de md que s dads sejam sempre atualizads. Cntrle de Acess a SAP Realizar levantament ds perfis de usuáris encntrads em Furnas Identificar s diferentes tips de usuáris que devem ter acess a SAP, definir seus níveis de acess e garantir acess de tds aqueles que precisarem.

320 318 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Esperads Melhr satisfaçã ds usuáris Benefícis Melhria na velcidade de realizaçã ds prcesss. Melhr integraçã das aplicações de Furnas. Melhria d suprte de aplicações. Melhr aprveitament das aplicações.

321 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Riscs Tabela 5-1: Avaliaçã de Riscs Nme Insatisfaçã ds usuáris cm as mudanças Descriçã Usuáris nã ficarem satisfeits cm as mudanças que fram implementadas. Fnte Reuniões e questináris relacinads às aplicações presentes na empresa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) X Baixa (E) Baixa (E) Tabela 5-2: Avaliaçã de Riscs Nme Intrduçã de nvs errs durante as mdificações nas aplicações Descriçã É muit cmum que crra em sistemas antigs e legads a intrduçã de nvs errs a desenvlver nvas funcinalidades. Fnte Reuniões e questináris relacinads às aplicações presentes na empresa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

322 320 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5-3: Avaliaçã de Riscs Nme Nã cmpreensã da imprtância de atualizaçã das aplicações de Furnas Descriçã Furnas tem em sua dispsiçã muitas aplicações para uma grande variedade de bjetivs. Existe a pssibilidade de alguns usuáris nã cmpreenderem as mudanças que estã send feitas Fnte Reuniões e questináris relacinads às aplicações presentes na empresa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) 5.2. Plan de respsta as riscs Tabela 5-4: Plan de respsta as Riscs Riscs Tratament Respsta Intrduçã de nvs errs durante as mdificações nas aplicações Mitigaçã Estabelecer um prcess frmal de hmlgaçã das nvas funcinalidades Nã cmpreensã da imprtância de atualizaçã das aplicações de Furnas. Mitigaçã Esclarecer a imprtância de mdernizar e reajustar as aplicações cm bjetiv de ptencializar s prcesss da empresa.

323 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE017 Transiçã de Sistemas na Platafrma Mainframe 1. Objetiv da Iniciativa Caracterizar a situaçã atual ds sistemas mainframe a fim de frnecer base para a tmada de decisã das medidas para substituiçã destes sistemas em respsta a aprimrament da racinalizaçã de custs gerais da TI e da reduçã ds seus custs unitáris. Atualmente, cust da sluçã d mainframe de Furnas é muit alt, gerand um ônus bastante elevad para a empresa e que pderia ser utilizad mais eficientemente em utras atividades priritárias. É necessári que seja feit cmplet levantament ds dads e aplicações que ainda existem na platafrma mainframe, que sejam tmadas as decisões necessárias para determinar descarte ds dads, e que sejam implementads s prjets de migraçã de aplicações que sejam necessáris Objetivs Estratégics apiads Seguem abaix, s bjetivs segund Mapa Estratégic, que sã vinculads para realizaçã desta iniciativa. Tabela 1.1: Objetivs Estratégics vinculads Perspectiva Objetiv Estratégic Descriçã Vinculaçã Partes Interessadas I5 - Impulsinar sucess das áreas clientes cm sluções invadras de TI Prpr e dispnibilizar sluções quant a us invadr de TI rientadas às necessidades das áreas de negóci, cm base na utilizaçã plena e diferenciada das tecnlgias já dispníveis na ST.A e também de tecnlgias emergentes de maneira a ferecer efetivs ganhs quant à eficiência e eficácia ds prcesss de negóci. Primári Prcesss Interns P6 - Estabelecer prcess de arquitetura tecnlógica Definir e implantar prcess visand à mdelagem e à descriçã de cm s recurss de Tecnlgia da Infrmaçã devem ser lgicamente rganizads de frma a atender as requisits de integraçã e padrnizaçã ds prcesss de negóci para entregar serviçs adequads, em respsta as mdels peracinais estabelecids crprativamente. Secundári 1.2. Fundamentaçã para prpsiçã Nã se aplica.

324 322 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Iniciativas estratégicas relacinadas Nã se aplica Prcesss COBIT 5 relacinads à Iniciativa Nã se aplica.

325 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Até puc temp atrás, a mair parte ds sistemas de infrmaçã de Furnas estava na platafrma mainframe, permeand as diferentes áreas de negóci e principalmente a área de api da empresa. A despeit da alta capacidade de prcessament e d alt pder de armazenament desta platafrma, fi iniciad prcess de migraçã dessas sluções para a baixa platafrma. Fram desenvlvidas diversas sluções em baixa platafrma e a implantaçã d SAP em 2010 absrveu grande parte das funcinalidades executadas pels antigs sistemas. Entretant, alguns pucs sistemas em alta platafrma cntinuaram ativs. Este cenári causu uma grande diversidade de sistemas em baixa platafrma (Figura 2-1) e um alt cust ds sistemas que ficaram n mainframe. Atualmente cust d mainframe pr sluçã implantada é muit alt na empresa, pis existem 61 aplicações ainda ativas, caracterizand uma baixa relaçã cust-benefíci. Além diss, a tecnlgia utilizada em sistemas mainframe está bsleta, dificultand a sua manutençã e a sua integraçã cm demais sluções da empresa. Esses fatres geram a necessidade de substituir estes sistemas antigs e desligar a máquina mainframe. Distribuiçã de Sistemas n Mainframe Ativs 215 Históric (Smente cnsultas) Nã Ativs Figura2-1: Distribuiçã de Sistemas n Mainframe *Fnte: Ativs = Sluções n GDS na Situaçã Prduçã e que tenham relaçã cm ERP cm Interface u Vazi adicinads as sistemas restantes da tabela de sistemas ativs de mainframe entregues pela TI.G Históric = Sluções n GDS na Situaçã Prduçã e que tenham relaçã cm ERP cm Substituíd Nã Ativs = Sluções n GDS na Situaçã diferente de Prduçã e Cancelads Durante as entrevistas realizadas fi verificad que cnjunt atual de sluções ativas e legadas existentes atualmente n mainframe pde ser caracterizad pr quatr grups: Sistemas ativs sã sistemas que ainda sã utilizads frequentemente, pssuem funcinalidades que nã fram migradas para baixa platafrma.

326 324 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Sistemas para cnsulta (sistemas histórics) sã sistemas que já fram ttalmente incrprads n SAP u em utras sluções, prém seus dads histórics nã fram migrads e pr iss permanecem n mainframe para permitir cnsultas através de telas dispníveis na própria platafrma. Arquivs sequenciais sã arquivs cm dads gerads pels sistemas mainframe e que nã estã relacinads cm nenhum sistema ativ e nenhum sistema para cnsulta. Cada arquiv sequencial pssui sua própria lógica de acess e smente sistema dn d arquiv tem cnheciment desta lógica. Bancs de dads Da mesma frma que s arquivs sequencias, existem bancs de dads nã relacinads as sistemas anterires. Os bancs de dads atualmente nã representam grandes prblemas, pis sua lógica de armazenament é cnhecida e pssuem mair facilidade n prcess de migraçã de seus dads para baixa platafrma. Tabela 2.1: Resultad d levantament das necessidades essenciais de segurança da infrmaçã Item Necessidades essenciais de migraçã de sistemas mainframe 1 Definir quais dads devem ser mantids e quais pdem ser descartads 2 Identificar quais arquivs sequenciais sã de quais sistemas 3 Identificar quais arquivs sequenciais sã intermediáris e pdem ser descartads 4 Migrar sistemas ativs para baixa platafrma 5 Especificar e desenvlver cnsultas 6 Identificar s funcináris cm cnheciment das aplicações/dads d mainframe e pririzar a sua participaçã ns levantaments necessáris nas atividades necessárias à migraçã. 2.1.Riscs assciads Seguem s riscs assciads decrrentes de se perar nas cndições descritas na situaçã atual: Dificuldade de perar sistemas que pssuem puca dcumentaçã e que sfreram mdificações a lng d temp que pdem nã ter sid dcumentadas. Dependência ds prfissinais envlvids diretamente n desenvlviment e manutençã ds sistemas, pis smente estes sã capazes de cmpreendê-ls pr cmplet. Perda de dads devid à impssibilidade de acess. Alt cnsum d rçament de TI para manter pucs sistemas. Implicações legais prvenientes de auditrias que pdem slicitar dads, s quais acess está impssibilitad.

327 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Impssibilidade de manutençã/atualizaçã ds sistemas pr dissipaçã d cnheciment técnic necessári Fatres Mtivadres da Iniciativa Cm base n diagnóstic de arquitetura da infrmaçã, fram identificads s principais pnts de atençã ds sistemas mainframe na empresa, que representam bns fatres de mtivaçã para a implantaçã desta iniciativa: Tabela 2.2: Pnts de atençã e prtunidades de melhrias Item Descriçã Dificuldade cada vez mais crescente de ter pessas cm cnheciment especializad na tecnlgia mainframe. Dificuldade de manutençã e atualizaçã ds sistemas de alta platafrma devid a puca de dcumentaçã existente. Descnheciment de quais dads devem ser mantids e pr quant temp e quais devem ser descartads. 4 Alt cust de manter a platafrma mainframe.

328 326 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendações As recmendações de sistemas mainframe fram criadas a partir ds diagnóstics realizads cm base em entrevistas. Este dcument apresenta, para cada recmendaçã, s benefícis esperads, s riscs envlvids e a final prpõe um plan de açã a ser seguid pela ST.A. As recmendações fram dividas ns quatr grups de sluções ativas e legadas existentes atualmente na platafrma mainframe: Sistemas Ativs, Sistemas para Cnsultas, Arquivs Sequenciais e Banc de Dads. Sistemas Ativs: Incrprar sluções periféricas médicas d IM02, IM07 e IM14 n BENNER Migrar dads d PCC3 para SAP Custmizar SAP para aceitar datas que pssibilitem a migraçã ds dads d IOM3 para SAP e migrá-ls Migrar sistema de telefnia para baixa platafrma Migrar IHU2 Migrar MNA#MNAA Migrar ISF1 Sistemas para cnsulta (sistemas histórics): Analisar sistemas histórics e desenvlver cnsultas Arquivs Sequenciais: Analisar e migrar dads ds arquivs sequenciais Bancs de dads: Realizar migraçã ds bancs de dads 3.1. Incrprar sluções periféricas médicas d IM02, IM07 e IM14 n BENNER Atualmente as ligações entre SAP e BENNER sã executadas pel batch d IM02 e pel batch d IM07, cnfrme mstra a Figura 3-2. O IM07 cbre a parte de especial. O BENNER já absrveu a mair parte ds seus dads.

329 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Os atendiments sã dividids em: Ambulatrial (empregad vai a medic na rede credenciada) - 90% cust da empresa e 10% cust d empregad; Hspitalar - 90% de furnas e, cas empregad tenha plan suplementar da fundaçã, 10% da fundaçã; Ocupacinal e perícia (exame admissinal, demissinal, periódic, atendiment de emergência n ambiente de trabalh, perícia dntlógica) - Furnas arca cm 100% ds custs; O IM07 também funcina cm um cnversr de dads, pis faz interface entre SAP e BENNER, hje em dia esta é a principal funcinalidade dele já que as demais fram incrpradas pel BENNER. Figura 3-1: Cntextualizaçã ds sistemas ativs N IM07 quand se faz um pagament a um médic e paciente é apsentad entã s 10% sã da fundaçã, Furnas paga tud e depis cbra da fundaçã s 10%. Se algum funcinári é atendid em utra empresa parceira, cm Facesp, Eletrnrte, Eletrsul, entre utras, atendiment é feit pela empresa e depis cbrad de Furnas. O IM07 tem uma rtina mensal na qual ele reúne tds s dads d que fi liberad para pagament nesse temp e cmeça a fazer a cbrança ds 10% de cada funcinári na flha de empregads. Depis diss ele envia as infrmações para SAP, mas smente para empregads ativs, pis SAP só trata destes. Em cas de empregad inativ, a cbrança é enviada à fundaçã. Também é enviad um arquiv cm a matrícula d empregad e valr da cbrança para a flha da fundaçã. Cas indivídu nã tenha flha na fundaçã entã é emitid um avis de débit (blet) e enviad à residência dele.

330 328 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E O sistema IM02 é vltad para reembls de medicaments e reembls médic. Gerencia grups de denças, tips de medicament, tet pra cntrle d sald usad durante an. A parte de reembls é separada em medicaments e nã medicaments. O BENNER incrpru a grande mairia da parte médica, inclusive reembls que nã é de medicaments. Pr uma questã de falta de suprte na épca de implantaçã, a parte de reembls de medicaments permaneceu n IM02. Além dist, IM02 faz interface entre SAP e BENER através de prcediment batch. O IM02 também faz papel de um cnversr, BENNER exprta um arquiv para IM02 (arquiv de extensã ftp), entã IM02 preenche as tabelas. Depis, IM02 envia s dads para SAP. O SAP retrna dads para IM02 e mesm retrna s dads para BENNER. O IM14 é respnsável pr gerenciar flux mensal de apuraçã de despesas médicas para impst de renda. Ele lê tud que fi pag n an base d impst de renda (n cas agra é 2012 an base). O IM14 faz frmulári de despesas de reembls ds empregads e despesas cm credenciads. Gera um arquiv que é dispnibilizad para a cntabilidade e ela manda para a Receita Federal, atualmente nada é autmatizad para a realizaçã deste relatóri. A fundaçã já faz tud usand BENNER, e prcess é semelhante a de Furnas. O sistema BENNER pssui uma funcinalidade destinada a este prpósit, prém ela nã é utilizada pr Furnas atualmente. É necessári adquirir s móduls d BENNER que cubram as funcinalidades d IM02 e d IM07. É fundamental que seja desenvlvida uma interface em baixa platafrma entre SAP e BENNER. É necessári também que seja utilizada a funcinalidade d BENNER destinada à apuraçã de despesas médicas a fim de substituir IM14. Deste md será pssível desativar estes três sistemas, que requerem muit esfrç da TI para serem mantids e sã muit custss à Furnas Migrar dads d PCC3 para SAP O PCC3 é sistema de cadastr de mã de bra indireta que nasceu pr uma questã de acess físic (emitir crachá para a pessa ter acess a Furnas). Prém, cm passar d temp, utras funcinalidades fram incrpradas. A parte d cntrat de terceirs está n SAP, mas s dads de cada funcinári indiret estã n PCC3. Os funcináris que pssuem acess a SAP, pagament diret de Furnas u cntrle de frequência estã cadastrads n SAP, s demais estã n PCC3. Recmendams que tds s funcináris e clabradres sejam cadastrads n SAP. Dessa maneira é pssível ter um cntrle mair ds empregads (direts u nã) de Furnas e também eliminar mais um sistema legad. É muit mais vantajs financeiramente à rganizaçã que gerencie tds s funcináris e clabradres n SAP, pis estes já pssuem um módul destinad a iss que gerencia atualmente sós funcináris direts. Manter sistema PCC3 é muit mais ners d que manter s

331 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E dads n SAP, demanda mais trabalh da TI e ainda dificulta acess as dads já que estes estã em repsitóris diferentes Custmizar SAP para que aceite datas que pssibilitem a migraçã ds dads d IOM3 e migrá-ls O IOM3 é sistema respnsável pel cadastr de órgãs. Ele gerencia a estrutura rganizacinal de Furnas. Existem n SAP prblemas para cadastrar órgãs anterires a 1900 prque ist nã fi custmizad durante a implantaçã. Atualmente s dads ds órgãs da empresa a lng da história estã dividids entre SAP e IOM3. Estes dads sã bases para alimentar órgãs externs cm TCU. N IOM3 há a data que órgã fi criad e a data que órgã fi extint, mas esses dads nã estã cnectads a mais nada. N SAP estã s dads de órgãs criads após É recmendável que SAP seja custmizad para aceitar datas anterires a 1900 para que assim seja pssível manter tds s dads referentes à estrutura rganizacinal de Furnas em um únic lcal e IOM3 pssa ser desativad Migrar sistema de telefnia para baixa platafrma Furnas pssui um sistema de telefnia que atualmente é mainframe, pssui também um tarifadr que cmputa s dads de cntas telefônicas e chamadas e faz interface cm SAP. Recmendams que seja executad um estud de viabilidade para um plan de migraçã deste sistema para baixa platafrma e em seguida a execuçã d plan a fim de desativar sistema que está n mainframe Migrar IUH2 O IUH2 cntrla as áreas cupadas d escritóri central. Ele gerencia as áreas cupadas prque muit ds prédis cupads pr Furnas sã alugads à Fundaçã Real Grandeza. O sistema cuida d gerenciament ds espaçs e das cbranças de aluguel. Recmendams um estud de viabilidade da migraçã de suas funcinalidades para SAP. Cas nã seja pssível, há a pssibilidade de adquirir uma sluçã de mercad u desenvlver um sistema internamente Migrar MNA#MNAA Definid cm um sistema de serviçs gerais (trca de lâmpada, cnsert de mesa, etc.). Recmendams um estud de viabilidade para determinar a utilizaçã de uma sluçã de mercad, nã excluind as alternativas pen-surce existentes atualmente, u até mesm a migraçã de suas funcinalidades para dentr d SAP.

332 330 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Migrar ISF1 O ISF1 é sistema de cntrle de refeições (Bandejã). Ele trabalha cm s dads da catraca, valr de quil, etc. Os dads sã tratads e psterirmente enviads para SAP. Existe um sistema de api que envia s dads para ISF1. Existem prblemas prvenientes ds tips de pagament. Os pagaments pdem ser feits cm descnt em flha, que é vinculad a crachá d funcinári e há trataments diferentes para quem é apsentad u quem é clabradr. Nã pde haver pagament em dinheir. Recmendams um estud de viabilidade para migrar ISF1 para baixa platafrma de frma que seja incrprad a SAP u transferid para utra sluçã e que esta tenha interface direta cm SAP. Para simplificar pagament, deve ser estudada a pssibilidade de que pagament seja feit apenas através de ticket refeiçã u de cartã de crédit u débit Analisar sistemas histórics e desenvlver cnsultas Muits sistemas de alta platafrma tiveram suas funcinalidades incrpradas pel SAP. Esta implantaçã nã cntemplu a migraçã desta base histórica e as cnsultas a esses dads sã realizadas ainda n mainframe. A TI deverá cnstruir alternativas para substituir a mairia destas cnsultas n mainframe. Será realizada a migraçã de dads para uma nva base e implementada as cnsultas necessárias para a leitura desse históric. Fi iniciad levantament das cnsultas que devem ser desenvlvidas, entretant ainda nã huve uma especificaçã detalhada para que seja iniciad desenvlviment. O prcess de levantament dessas cnsultas será através de uma análise em cada sistema. Após a identificaçã das necessidades, serã mapeads s requisits para cada cnsulta e em seguida será iniciad desenvlviment. Este é um trabalh passível de terceirizaçã, vist que esta é uma tarefa nã depende cmpletamente d cnheciment de funcináris. Algumas pucas cnsultas já fram mapeadas, mas será necessári que seja feita uma revisã Identificar através de cada sistema s arquivs sequenciais ligads a ele Tds s sistemas mainframe pssuem arquivs sequenciais. Atualmente, há grande dificuldade de executar um levantament de quants e quais arquivs sã de cada sistema. A identificar um arquiv sequencial, este na verdade pde ser um repsitóri que cntém diverss utrs arquivs sequenciais e que nã é pssível saber até que se abra arquiv em questã. Os arquivs sequenciais pssuem uma lógica de acess própria e apenas cnhecida pel sistema que s gera. A partir de cada sistema é pssível identificar quais sã s arquivs sequenciais que ele prduzia, prém, alguns destes arquivs pdem ser apenas arquivs intermediáris em um prcess e nã necessitarem de serem

333 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E mantids. Há também prblema de que alguns Jbs que eram executads fra ds sistemas realizavam backup ds dads destes e criavam arquivs sequenciais pertencentes as sistemas, mas que nã pdem ser identificads diretamente através deles. A mairia ds arquivs sequenciais pssui a sua data de criaçã e a validade d dad armazenad ( temp que a rganizaçã deve manter dad). Esta validade pde variar de períds curts cm 5 ans até 30 ans (máxim pssível). Atualmentehá arquivs que daqui a 1 an já fazem 5 ans e pdem ser descartads. Prém, existem também arquivs s quais nã se sabe pr quant temp ainda devem ser mantids. A melhr abrdagem para identificar s arquivs sequenciais é identificar s arquivs pels quais cada sistema é respnsável. Para analisar quais arquivs sã tempráris e quais arquivs eram gerads em Jbs fra d sistema, é necessária a participaçã d analista respnsável pel sistema, que requer uma realcaçã temprária de pessal, vist que atualmente a mair parte das pessas que estavam envlvidas em sistemas mainframe agra trabalha cm SAP. A partir da identificaçã ds arquivs sequenciais deverá ser esclhida uma das linhas de açã pssíveis, exemplificadas, mas nã esgtadas na tabela abaix: Tabela 3.1: Linha de ações pssíveis para as situações identificadas Situaçã Identificada Arquiv sequencial que cntém diverss utrs arquivs sequencias Arquiv sequencial fi relacinad cm alguma aplicaçã e seu layut é cnhecid Linha de Açã Pssível Identificar a aplicaçã que acessa este dad para verificar a pssibilidade de dividi-l em váris arquivs Analisar se haverá necessidade de migraçã deste dad Arquiv sequencial nã fi relacinad a nenhuma aplicaçã de frma que seu layut nã é cnhecid Descarte d arquiv Data de validade n arquiv sequencial expirada u a expirar n curt praz Descarte d arquiv Arquiv sequencial temprári e/u de backup Descarte d arquiv Recmendams um estud de viabilidade que mensure a análise e migraçã ds arquivs sequenciais de cada um ds sistemas e também ds que eram gerads fra ds sistemas. Após este estud será pssível a especificaçã de um plan de migraçã Realizar migraçã ds Bancs de Dads Os bancs de dads atualmente nã representam grandes prblemas, pis sua lógica de armazenament é cnhecida e é fácil migrar seus dads para baixa platafrma. Recmendams um estud de viabilidade que avalie s dads as quais se tem acess

334 332 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E e elabrar um plan de migraçã, seja para baixa platafrma u para um datacenter alugad pela empresa. Este estud de viabilidade depende diretamente d cicl de vida ds dads que deve ser estudad e definid previamente cm citad na IE015 Aprimrament de Práticas de Arquitetura Tecnlógica na ST.A.

335 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de implementaçã das recmendações Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Incrprar sluções periféricas médicas d IM02, IM07 e IM14 n BENNER Adquirir um nv módul d sistema BENNER Adquirir módul d BENNER que gerencia reembls de medicaments e credenciads especiais Migrar dads d IM02 para BENNER Realizar a migraçã ds dads de reembls de medicaments que atualmente estã n IM02 para módul d BENNER de gerenciament de reembls de medicaments. Mapear e especificar uma interface entre BENNER e SAP Através de um estud das integrações que IM02 e IM07 realizam entre BENNER e SAP, especificar uma interface de baixa platafrma que pssa realizar essa integraçã Implantar a nva interface Desenvlver a interface em baixa platafrma e implantá-la Desativar s sistemas Desativar s sistemas IM02 e IM07 Realizar migraçã d IM14 para BENNER Realizar migraçã ds dads Desativar IM14 Realizar estud de viabilidade da migraçã Migrar dads Desativar sistema PCC3 Analisar módul d BENNER que pssui as funcinalidades semelhantes a IM14 e planejar a migraçã. Migrar s dads d IM14 para BENNER. Após a migraçã cmpleta ds dads, descartar sistema IM14. Estudar s dads atuais d PPC3 e planejar a migraçã deles para SAP. Migrar s dads d PCC3 para SAP. Após a migraçã cmpleta ds dads, desativar PCC3. Custmizar SAP para aceitar datas que pssibilitem a migraçã ds dads d IOM3 para SAP e migrá-ls Custmizar as datas de órgãs n SAP Migrar dads d IOM3 para SAP Desativar IOM3 Mdificar SAP para que seja pssível cadastrar órgãs existentes antes de Migrar s dads de órgãs que ainda estã n IOM3 para SAP, assim tds s dads de órgãs ficarã n mesm lugar. Após a migraçã cmpleta ds dads, desativar sistema IOM3.

336 334 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Migrar sistema de telefnia para baixa platafrma Realizar estud de viabilidade Estudar um plan de migraçã d sistema de telefnia para baixa platafrma. Decidir entre desenvlver internamente u adquirir uma sluçã de mercad. Realizar migraçã Desativar sistema de telefnia de alta platafrma Realizar a migraçã d sistema de telefnia para baixa platafrma de acrd cm a decisã tmada n estud de viabilidade. Em seguida à migraçã cmpleta da telefnia de Furnas para baixa platafrma, desativar sistema de telefnia em alta platafrma. Migrar IHU2 Realizar estud de viabilidade Realizar migraçã d IUH2 Desativar IUH2 Estudar a pssível migraçã ds dads e funcinalidades d IUH2 para SAP. Cas nã seja pssível, recrrer a desenvlviment intern u adquirir uma sluçã de mercad. Migrar sistema IUH2 de acrd cm a decisã tmada n estud de viabilidade. Após a migraçã cmpleta ds dads e funcinalidade d IUH2, desativá-l. Migrar MNA#MNAA Realizar migraçã d MNA#MNAA Desativar MNA#MNAA Migrar sistema MNA#MNAA de acrd cm a decisã tmada n estud de viabilidade. Após a migraçã cmpleta ds dads e funcinalidade d MNA#MNAA, desativá-l. Migrar ISF1 Realizar estud de viabilidade de migraçã Realizar estud de viabilidade de mdificaçã d prcess de pagament Implantar a sluçã esclhida Desenvlver uma interface entre a sluçã esclhida n estud de viabilidade e SAP Migrar ISF1 para a sluçã esclhida Analisar uma sluçã de migraçã d ISF1 para baixa platafrma. Cas nã seja pssível migrál para SAP, desenvlver uma sluçã internamente u adquirir uma sluçã de mercad. Analisar a pssibilidade de implantar um pagament de refeições que seja feit através de ticket refeiçã e cartã de crédit u débit apenas. Implantar a sluçã esclhida para a migraçã d ISF1. Cas nã seja pssível incrprar as funcinalidades d ISF1 a SAP, deve-se desenvlver uma interface entre a sluçã esclhida e SAP. Migrar s dads e as funcinalidades d ISF1 para a sluçã esclhida.

337 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 4.1: Plan de implementaçã das recmendações Açã Descriçã Migrar ISF1 Desativar ISF1 A fim da migraçã cmpleta de dads e funcinalidades d sistema ISF1, desativá-l. Analisar sistemas histórics e desenvlver cnsultas Realizar mapeament de cnsultas Estudar as cnsultas realizadas frequentemente ns dads histórics a fim de identificar cnsultas que ainda nã fram mapeadas e mapeá-las. Especificar e desenvlver cnsultas Especificar s requisits de cada cnsulta e desenvlvê-las. (Esta atividade pde ser terceirizada). Analisar e migrar dads de arquivs sequenciais Realizar estud de viabilidade de identificaçã ds arquivs sequenciais Avaliar validade ds dads armazenads ns arquivs sequenciais Descartar s dads que nã frem mais necessáris Realizar estud de viabilidade de migraçã ds dads ds arquivs sequenciais Realizar migraçã Planejar uma abrdagem de identificaçã ds arquivs sequenciais que tme cm base cada sistema e identifique s arquivs gerads pr ele. Uma vez identificads s arquivs sequenciais, analisar seus dads junt às áreas usuárias a fim de definir pr quant temp s dads devem ser mantids e quais já pdem ser descartads. Descartar s dads que já pssuírem validade expirada. Após identificar e definir a validade ds dads, estudar um plan de migraçã destes para baixa platafrma u para um datacenter alugad pr Furnas. Migrar s dads de acrd cm as decisões tmadas nas atividades anterires. Realizar migraçã ds dads ds bancs de dads Realizar estud de viabilidade da migraçã ds dads Realizar levantament de backups antigs Descartar backups irrecuperáveis Migrar dads Analisar quais dads estã em bancs de dads de fácil acess e planejar sua migraçã, seja ela para baixa platafrma u para um datacenter alugad pr Furnas. Realizar um levantament de tds s backups antigs de bancs de dads. Analisar quais destes estã irrecuperáveis pr nã se cnhecer layut das tabelas e quais ainda pdem ser acessads. Uma vez identificads s backups as quais acess nã é pssível, descarta-ls. Migrar s dads de acrd cm as decisões tmadas nas atividades anterires.

338 336 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Benefícis Esperads Tabela 4.2: Benefícis Benefícis Reduçã ds custs de manutençã e peraçã ds sistemas Facilidade de manutençã ds sistemas Melhr cntrle ds dads Mair facilidade de acess as dads Melhria n flux de dads entre s sistemas de recurss humans Mair facilidade para s usuáris na utilizaçã ds nvs sistemas

339 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs 5.1. Avaliaçã de Riscs Tabela 5.1: Riscs Nme Descarte indevid de dads Descriçã Durante a fase de análise ds dads que pdem ser descartads e que devem ser mantids, decisões equivcadas pdem ser feitas causand a perda de dads necessáris à rganizaçã. A falta destes dads pde ter implicaçã legal cas sejam slicitads em autrias. Fnte Durante entrevistas realizadas fi identificad que há grande dificuldade em bter decisões definitivas e precisas de pr quant temp s dads devem ser mantids. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) X Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

340 338 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 5.2: Riscs Nme Dificuldade de realcaçã de funcináris dentr da empresa Descriçã Para estuds de viabilidade e realizaçã de migrações muitas vezes será necessári mver analistas que n passad estavam envlvids cm s sistemas mainframe, prém atualmente desempenham utras atividades dentr da empresa. Enquant envlvids nas atividades da transiçã ds sistemas na platafrma mainframe estes funcináris terã mens temp dispnível para a realizaçã de utras atividades, gerand assim um atras na execuçã das tarefas nã relacinadas a esta iniciativa. Fnte Durante entrevistas realizadas fi identificad que a mair parte ds funcináris que estiveram envlvids n desenvlviment e manutençã ds sistemas mainframe hje realizam atividades diferentes na empresa. Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt X Alta (E) Alta (E) Média (E) Impact Médi Alta (E) Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E) Tabela 5.3: Riscs Nme Dificuldade em incrprar as funcinalidades necessárias a Furnas n BENNER Descriçã A Fundaçã Real Grandeza é quem detém a licença d sistema BENNER, para incrprar funcinalidades a ele é necessári que a Fundaçã faça, prém as funcinalidades necessárias a Furnas nã sã de interesse da Fundaçã, já que pacte atual atende às necessidades da Fundaçã. Fnte Entrevistas realizadas Matriz de Expsiçã (E) a Risc Expsiçã = Prbabilidade x Impact Prbabilidade Alta Média Baixa Alt Alta (E) Alta (E) Média (E) Impact Médi Alta (E) X Média (E) Baixa (E) Baix Média (E) Baixa (E) Baixa (E)

341 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Plan de respsta as riscs Ns cass em que a expsiçã a risc seja cnsiderada Alta u Média, apresentase um plan de respstas as riscs em cmplement a plan de implementaçã. Tabela 5.4: Respstas as Riscs Riscs Tratament Respsta Descarte de dads indevid Mitigaçã Estabelecer um prcess de cmunicaçã e validaçã das decisões tmadas. Estabelecer um prcess frmal de validaçã das decisões cm as áreas usuárias. Realcaçã de funcináris dentr da empresa Mitigaçã Pstergar atividades nã priritárias. Distribuir as atividades priritárias nã relacinadas à transiçã ds sistemas mainframe ds funcináris realcads entre utrs funcináris. Realcar funcináris gradualmente. Dificuldade em incrprar as funcinalidades necessárias a Furnas n BENNER Mitigaçã Cntrnar a questã pliticamente mstrand a imprtância para Furnas em utilizar essas funcinalidades n BENNER de frma que seja pssível desligar mainframe. Elabrar uma prpsta para adquirir as funcinalidades necessárias d BENNER para a Fundaçã Real Grandeza u Furnas adquirir pacte BENNER mais adequad de frma independente.

342 340 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E IE018 Estabeleciment de Mdel de Nva Arquitetura de Sistemas e Infrmações 1. Objetiv da Iniciativa Prpr um nv mdel peracinal para a Arquitetura Tecnlógica, de Sistemas e de Infrmaçã de Furnas que apie cntinuamente s prcesss de negóci. Além diss, dcument define um cnjunt de recmendações para que a rganizaçã evlua da arquitetura atual para esta arquitetura desejada. A iniciativa estratégica Estabeleciment de mdel da nva arquitetura de sistemas e infrmações fi criada devid à necessidade de rientar Furnas na atualizaçã d seu mdel peracinal atual, de frma que este pssa cada vez mais apiar s prcesss de negóci da empresa, evluir naturalmente cnfrme as mudanças atuais d mund ds negócis e ser ágil suficiente para utilizar s recurss dispníveis na rganizaçã sem desperdícis financeirs. Atualmente, existem diverss framewrks que endereçam essas questões e ainda incluem alinhament da estratégia da rganizaçã cm s prcesss de negóci, aplicações, dads e a tecnlgia que a suprtam. Dentre esses framewrks, s mais cnhecids sã Zachman, TOGAF, DODAF, FEA entre utrs, e que, de uma maneira u de utra, pdem ser estruturads em três camadas cnfrme a Figura 1-1. Figura1-1: Camadas de Arquitetura

343 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E A primeira Camada de Estratégia tem bjetiv de descrever e mdelar as principais Metas e Objetivs da rganizaçã alinhads cm a sua Missã e Visã. É uma atividade que está assciada a Planejament Estratégic que a rganizaçã faz, nrmalmente em um hriznte de 5, 10 u 20 ans. A Camada de Negóci descreve mdel de negóci da rganizaçã, mapeia seus macrprcesss, detalha s prcesss de negóci, assim cm cnjunt de aplicações e s dads que dã suprte a eles. A redefiniçã desta camada, pr exempl, pde prvcar cmplet replanejament de td cnjunt de aplicações envlvidas nas atividades primárias e de api da rganizaçã. Pr fim, a última camada, chamada de Camada de Infraestrutura, define a tecnlgia de servidres, redes de cmunicaçã e equipaments que suprtam as aplicações e dads da rganizaçã. Este trabalh está lcalizad na camada intermediária de negóci, envlvend a arquitetura de sistemas e infrmaçã, e relacinand-s cm as principais funções de negóci, prém sem a pretensã de detalhar flux de prcesss de negóci da rganizaçã. A necessidade de planejar cm s dads sã cletads, cm fluem através da rganizaçã e cm sã transfrmads em infrmaçã é de vital imprtância para qualquer tip de negóci. Um bm plan, que mstre tds s sistemas da rganizaçã, nde estã as suas frnteiras e cm eles interagem entre si, é cndiçã sine qua nn para um suprte eficiente ds prcesss de negóci da empresa, uma evluçã cnsistente da infraestrutura de TI e a ba aplicaçã ds investiments. Este dcument apresenta uma prpsta de um nv mdel peracinal para Furnas e define diversas recmendações para que a empresa migre d mdel atual, de uma arquitetura diversificada, para um mdel que prmva melhr a crdenaçã das diversas unidades de negóci da empresa dentr da cadeia de valr de Furnas. A Arquitetura Atual de Furnas encntra-se descrita n dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI e fi realizada através de análise de dcuments, questináris de necessidades de negóci e sluções de TI e também reuniões cm especialistas n negóci e em tecnlgia da rganizaçã. 1.1.Objetivs Estratégics apiads Seguem abaix, as perspectivas segund Mapa Estratégic, que sã vinculadas para a realizaçã desta iniciativa.

344 342 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs estratégics apiads pr esta iniciativa estratégica Perspectiva Objetiv Estratégic Descriçã Vinculaçã Prcesss Interns P1 - Racinalizar custs gerais de TI Garantir us eficiente ds recurss financeirs alcads nas atividades de TI, através da cnslidaçã de práticas vltadas à disciplina rçamentária, estabelecend prcediments interns na ST.A para registr, manutençã, acmpanhament, tmada de açã crretiva, melhria cntínua e apresentaçã de resultads quant a planejament e execuçã rçamentária de TI. Significa cnsiderar, também, aspects ligads a reutilizaçã/reus, precisã n temp e na especificaçã, bem cm cumpriment ds requisits de frneciment. Primári Prcesss Interns P6 - Estabelecer prcess de arquitetura tecnlógica Definir e implantar prcess visand à mdelagem e à descriçã de cm s recurss de Tecnlgia da Infrmaçã devem ser lgicamente rganizads de frma a atender as requisits de integraçã e padrnizaçã ds prcesss de negóci para entregar serviçs adequads, em respsta as mdels peracinais estabelecids crprativamente. Primári Resultads R1 - Agregar valr a resultad da crpraçã Adtar mecanisms que pssibilitem explicitar para a alta administraçã a cntribuiçã da Tecnlgia junt as segments de negóci, através d mapeament e metrificaçã d cmprtament da ST.A ns bjetivs estratégics de Furnas e n desempenh de suas principais linhas de negóci. Secundári Resultads R2 - Reduzir custs unitáris de TI Sistematizar prcediments de apuraçã, análise e cntrle de custs ds serviçs de tecnlgia da infrmaçã prestads pela ST.A, visand a adçã de pssíveis medidas para sua reduçã. Faz parte deste bjetiv estud para identificaçã, definiçã e pririzaçã das unidades de serviçs de TI a serem cnsideradas. Secundári Resultads R3 - Balancear riscs de TI Manter cntrle frmal e crdenad sbre s ptenciais agentes de impact referentes as principais prcesss de negóci de Furnas, mediante a habilitaçã e us sistemátic de mecanisms e dispsitivs capazes de prmver a identificaçã, análise, avaliaçã e tratament das vulnerabilidades e riscs inerentes a ambiente de tecnlgia da Infrmaçã, mantend-s ns níveis aceitáveis pela rganizaçã. Secundári Partes Interessadas I1 - Atender à demanda de prduts e serviçs dentr d praz, escp, qualidade e cust estabelecids cm s clientes Adtar melhres práticas e metdlgias de Gerenciament de Prjets e Cntrle de Qualidade na ST.A, de frma a permitir que as demandas de serviçs e sluções de TI encaminhadas a ST.A sejam atendidas cnfrme as necessidades das áreas de negóci, dentr ds prazs, cnfrme rçament, e cm s níveis de qualidades especificads. Secundári

345 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Tabela 1.1: Objetivs estratégics apiads pr esta iniciativa estratégica Perspectiva Objetiv Estratégic Descriçã Vinculaçã Prcesss Interns P2 - Aprimrar s padrões de gvernança da TI Definir e implantar estrutura e prcesss que deem suprte à iniciativas e ações relacinadas cm a Gvernança de TI, que tratem de aspects cm planejament, alinhament estratégic, avaliaçã de desempenh e mnitrament ds cntrles interns, e que assegurem a cnfrmidade, a timizaçã ds recurss, e api as cmitês de TI. Secundári 1.2. Fundamentaçã para prpsiçã A prpsta da iniciativa é dada em funçã das sugestões e pnts levantads pels funcináris de Furnas nas entrevistas e questináris entregues em cruzament cm mdel peracinal que mais se adéqua a rganizaçã. Diversas referências na literatura fram utilizadas neste trabalh, cm destaque para: Enterprise Architecture As Strategy: Creating a Fundatin fr Business Executin, Jeanne W. Rss, Peter Weill, David Rbertsn (2006); Strategic data-planning methdlgies, James Martin (1982); Enterprise Architecture fr Integratin: Rapid Delivery Methds and Technlgies, Clive Finkelstein (2006) Iniciativas estratégicas relacinadas IE001 Aprimrament ds prcesss de cnfiguraçã e gestã de demandas; IE015 - Aprimrament de Práticas de Arquitetura Tecnlógica na ST.A; IE017 - Transiçã de Sistemas na Platafrma Mainframe Prcesss COBIT 5 relacinads à Iniciativa APO03 Gerenciar Arquitetura Empresarial APO04 Gerenciar a invaçã

346 344 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Síntese da situaçã atual Para melhr suprtar sua estratégia, uma empresa deve definir seu mdel peracinal. O mesm é definid em quatr quadrantes distints e tda empresa deve se psicinar em um desses quadrantes*: Diversificaçã (baixa padrnizaçã, baixa integraçã); Crdenaçã (baixa padrnizaçã, alta integraçã); Replicaçã (alta padrnizaçã, baixa integraçã); Unificaçã (alta padrnizaçã, alta integraçã). As cmpanhias adtam um mdel peracinal n nível da empresa e pdem adtar diferentes mdels peracinais n nível das divisões, das unidades cmerciais, das regiões u de utrs. A padrnizaçã ds prcesss de negócis e de sistemas relacinads significa definir exatamente cm um prcess será executad, independentemente de quem desempenhará u nde ele será cncluíd. A padrnizaçã de prcesss prprcina eficiência e previsibilidade em tda a empresa. A integraçã asscia s esfrçs de unidades rganizacinais pr mei de dads cmpartilhads. Esse cmpartilhament de dads pde ser entre prcesss, para permitir prcessament de transações de pnta a pnta, u através ds prcesss, para permitir que a empresa apresente uma face única as clientes. O Mdel Operacinal atual de Furnas fi cnslidad a partir das infrmações btidas nas reuniões. Através das infrmações cletadas, classificams Mdel Operacinal Atual de Furnas cm Diversificad, u seja, cm níveis baixs de padrnizaçã e integraçã cm se pde visualizar na Tabela 2.1. Tabela 2.1: O Mdel Operacinal Atual de Furnas Dimensões Nível btid Mdel Operacinal Padrnizaçã Integraçã Baix Baix Diversificad Um mair detalhament sbre mdel peracinal atual de Furnas pde ser encntrad n dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI. Enterprise Architecture As Strategy: Creating a Fundatin fr Business Executin, Jeanne W. Rss, Peter Weill, David Rbertsn (2006)

347 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Riscs assciads Seguem abaix, s riscs assciads, decrrentes de se perar nas cndições descritas na situaçã atual: Baixa flexibilidade d negóci; Alt cust de manutençã de sistemas; Baixa cnfiabilidade de dads (redundância e incnsistência de dads); Baixa prdutividade da peraçã (devid a retrabalh de inserir s mesms dads em váris sistemas, pr exempl); Prblemas de cmunicaçã entre as diversas áreas da empresa; Alt risc na aquisiçã e desenvlviment de nvas sluções de TI; Falta de infrmações para a tmada de decisã n prcess de aquisiçã de nvs sistemas Fatres Mtivadres da Iniciativa Cm base em reuniões realizadas cm as áreas de negóci e ns questináris de necessidades e sluções de TI, fram identificads s fatres mtivadres para a migraçã à nva arquitetura tecnlógica: Tabela 2.2: Fatres Mtivadres para migrar à nva arquitetura tecnlógica Item Descriçã 1 Necessidade de respnder rapidamente às mudanças de negóci devid a cenári atual d setr elétric. 2 Há cnsiderável retrabalh pr parte ds prfissinais na inserçã, alteraçã e exclusã de dads duplicads em diverss sistemas. 3 Há um alt cust de manutençã de aplicações devid a grande variedade de sistemas cm mesm prpósit. 4 O mdel peracinal atual de Furnas nã é cmpatível cm as características de negóci. 5 Muitas vezes mesm term pssui significads diferentes nas diversas áreas de negóci. Nã há um dicinári de dads crprativ. 6 É descnhecid respnsável pr alguns dads da rganizaçã. 7 Alt acplament e baixa cesã entre as aplicações de algumas áreas de negóci.

348 346 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Recmendaçã Cnfrme descrit na intrduçã deste dcument, Mdel Operacinal atual de Furnas é Diversificad, que se caracteriza pr ter baixs níveis de padrnizaçã e integraçã entre seus prcesss de negóci. Dentre s quatr pssíveis mdels peracinais existentes, mais adequad para Furnas é Mdel de Crdenaçã, cnfrme a Tabela 3-1. Tabela 3.1: O Mdel Operacinal Alv de Furnas Dimensões Nível btid Mdel Operacinal Padrnizaçã Integraçã Baix Alt Crdenaçã A Crdenaçã exige alts níveis de integraçã em relaçã a Mdel de Diversificaçã, mas puca padrnizaçã de prcesss. Unidades cmerciais em uma cmpanhia cm Crdenaçã partilham um u mais ds seguintes elements: clientes, prduts, frnecedres e parceirs. Os benefícis da integraçã pdem incluir atendiment integrad ds clientes, a venda cruzada e a transparência em tds s prcesss da cadeia de supriments. Embra s principais prcesss de negócis sejam integrads, as unidades cmerciais têm perações únicas, muitas vezes exigind capacidades diferentes. Furnas pssui várias unidades geradras (hidrelétricas e termelétricas), subestações e linhas de transmissã. Existe uma alta necessidade de um mnitrament cnstante e centralizad da peraçã e das manutenções. Um únic incidente pde afetar sistema elétric em âmbit lcal, reginal u nacinal. Esta dependência exige uma alta integraçã entre s prcesss de negóci das usinas para nã cmprmeter sucess d negóci. Entretant, a peraçã destas diferentes unidades exige um baix nível de padrnizaçã. As unidades se lcalizam em diferentes áreas, estand sujeitas a distintas legislações, características gegráficas (bacias hidrgráficas, pr exempl) e capacidades de peraçã. Pr serem unidades autônmas, seria ideal uma baixa padrnizaçã ds prcesss entre as diversas unidades a fim de explrar suas peculiaridades e aumentar a eficiência perativa. A definiçã d mdel peracinal serve de insum para a futura Arquitetura de Infrmações de Furnas. A quantidade de platafrmas e sistemas utilizads seria limitada a fim de reduzir s custs de manutençã e aumentar a prdutividade ds prfissinais, casinand uma melhria na eficiência ds prcesss de negóci.

349 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Diferentemente d grande númer de sluções de TI e bases de dads existentes atualmente e apresentadas n dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI, cada funçã de negóci teria apenas um grande sistema estruturante, que suprtasse a mairia das atividades de negóci e alguns sistemas satélites, destinads às atividades periféricas restantes. O cnjunt de sistemas satélites pde variar de nenhum sistema até váris deles e nã necessariamente este númer é fixad em três cm na Figura 3-1. Sistemas Estruturantes: cntrlam s principais dads da área de negóci e executam as principais atividades que mdificam estes dads. O sistema estruturante pde ser própri SAP, desde que este centralize s dads e atividades críticas para negóci. Sistemas Satélites: executam atividades nã cnsideradas ns sistemas estruturantes. Estas atividades geralmente sã executadas espradicamente u nã influenciam de maneira significativa s principais prcesss da área de negóci. O sistema satélite deve se precupar cm a integraçã ds seus dads cm sistema estruturante. Cas seja necessári criar um dad que nã seja de sua respnsabilidade, ist deve ser feit através de uma interface cm sistema respnsável pr aquele dad. Figura 3.1: Visã Geral d Mdel Operacinal Alv O SAP teria seu us cada vez mais acentuad e uma platafrma alv seria esclhida para ptencializar a integraçã entre s diverss sistemas e funções de negóci da rganizaçã. Definims cm platafrma alv, a platafrma esclhida pela TI cm a que mais se adequa as seus bjetivs. Esta esclha pde depender de diverss fatres cm a dispnibilidade d frnecedr em dar suprte e treinament; a quantidade de ferramentas que a platafrma suprta; númer de aplicações que

350 348 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Furnas já pssui atualmente nesta platafrma; cust de manutençã, etc. A existência de uma platafrma alv é fatr fundamental na eficiência peracinal e simplifica a gestã da arquitetura futura. Para se alcançar a Arquitetura Futura ideal é imprescindível à execuçã das recmendações a seguir para cada funçã de negóci. 3.1.Cntrataçã Esta funçã de negóci diz respeit às cntratações de nvs empreendiments. Estes empreendiments surgem quand Furnas vence um leilã de cncessã u recebe uma autrizaçã da ANEEL. Quand Furnas ganha um leilã, ela pde se assciar a utras empresas pr mei de um cnsórci, caracterizand a criaçã de um empreendiment SPE. Quand nã há esta assciaçã cm utras empresas, chamams de empreendiment crprativ. Um empreendiment também pde ser riginad a partir de uma autrizaçã. Neste cas, prjet é sempre relacinad à mdernizaçã de um empreendiment de Furnas. Independente d tip de empreendiment, Furnas assina um cntrat cm a ANEEL, a habilita a cnstruir empreendiment e perá-l pr determinad períd de temp (geralmente em trn de 35 ans). O prjet deste nv empreendiment é aprvad cm base em algumas premissas que sã mnitradas a lng da peraçã. Atualmente, a área de nvs empreendiments utiliza de maneira prvisória sistema Pntes, que ainda está em fase de desenvlviment. Cnsmem também muits dads d SAP que, em sua mairia, nã sã cnfiáveis. A integraçã ds dads é incnsistente entre s sistemas e SAP nã é atualizad cm as nvas mudanças. A grande mairia da cmunicaçã cm entidades externas é feita através de planilhas Excel. Esses sistemas, em sua grande mairia, nã atendem às necessidades d negóci de frma eficaz, pis geram retrabalh através da replicaçã de dads entre s diferentes sistemas. Sistema Estruturante O Prtal DO (u Pntes) mstru-se inadequad para gerir s dads da SP.N. Há necessidade da definiçã de um sistema estruturante que auxilie cmpletamente prcess de cletar as infrmações de diversas áreas e cnslidá-las em um únic lcal para análises, elabraçã de relatóris e tmadas de decisã. Esta sluçã deve prever perfeit mnitrament e acmpanhament ds valres gasts, temp de execuçã, crngrama físic, marcs, multas, amrtizações, pagament de jurs, isençã de impsts, entre utras infrmações de um empreendiment.

351 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.2: Situaçã Desejada ds Sistemas da Cntrataçã Outr fatr a ser abrdad pr esta sluçã é a gestã de cntrats. Atualmente existem cntrats gerids n SAP, em Sharepint e em planilhas. Alguns cntrats antigs estã apenas armazenads em frma física. Atualmente nã é pssível reunir as infrmações referentes a tds s cntrats da empresa, pis tud está muit distribuíd e algumas infrmações dependem de funcináris específics. É necessária uma gestã cntratual que centralize s cntrats de tdas as áreas, facilitand acess e acmpanhament das suas infrmações. É interessante também que sejam frnecids lembretes as usuáris de quais cntrats estã a pnt de vencer e quais pagaments estã atrasads. Diante destas necessidades, recmenda-se adtar SAP cm sistema estruturante da área de cntrataçã. O SAP já cntém grande parte ds dads necessáris à área de cntrataçã e é capaz de realizar uma gestã integrada das necessidades apntadas acima. Entretant, é imprescindível a clabraçã das áreas relacinadas à cntrataçã para sucess da adçã desta ferramenta. Sistemas Satélites Para suprir necessidades pntuais da área de cntrataçã devem ser utilizads s sistemas satélites a seguir: Sistema de gestã de desempenh de frnecedres: atualmente a gestã de desempenh de frnecedres é realizada pel sistema SICAD, uma aplicaçã desenvlvida internamente e muit específica. Este pssui uma interface muit antiga, apresenta falhas de funcinament, prblemas de navegaçã nas telas e falha na cnsistência de dads. Há a necessidade de que este cntrle seja migrad para utra sluçã mais abrangente e cnfiável. Deve-se realizar um estud de viabilidade para decidir entre as alternativas de desenvlver uma sluçã custmizada, adquirir uma sluçã de mercad u utilizar uma sluçã SAP para reslver prblema. Prtal DO ( Pntes ): após a implantaçã d SAP cm sistema estruturante, ideal seria utilizar Prtal DO apenas para estud de benefícis, isenções e utrs assunts nã relacinads a SAP. Deve haver uma integraçã autmatizada, pis haverá cnsiderável cnsum de infrmações d SAP. Este prtal também pderia servir cm hspedeir para dispnibilizar diversas infrmações gerenciais a respeit das cntratações, ds seus valres, das lcalizações e ds frnecedres.

352 350 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Sistema de gestã de dcuments (GED): há a necessidade de armazenar e capturar s dcuments desta área de negóci em um sistema de gestã de dcuments (GED) integrad a Sistema Estruturante. Sistema de Cntrle de Pareceres: há a necessidade de manter e cntrlar s pareceres técnics slicitads e suas respstas em um Sistema de Cntrle de Pareceres integrad a Sistema Estruturante. Integrações Internas e Externas A área de cntrataçã é uma camada entre a execuçã ds prjets e a diretria. Assim, s dads d andament ds prjets sã cletads e prcessads para serem repassads a negóci. Cm a utilizaçã d SAP cm sistema estruturante, a cmunicaçã cm a diretria seria imediata. Vale ressaltar que é durante prcess de cntrataçã que empreendiment nasce cm classe de dads e evluiu a partir daí para as fases de prjet, cnstruçã, peraçã, manutençã e cmercializaçã. Dessa frma empreendiment sempre será cmpartilhad pr tdas essas funções de negóci. Além da diretria e prjets, utra área vinculada à cntrataçã é a área financeira, que já utiliza frtemente SAP, que também prmve a cmunicaçã entre as áreas. Além diss, algumas infrmações da área de cntrataçã devem ser enviadas para a ANEEL. Entretant, nã há um canal diret entre eles. Ist é feit pr mei de um sistema da Eletrbrás que nã fi cncluíd. Após a cnclusã deste sistema, deve ser realizad um estud para avaliar maneiras de autmatizar envi destas infrmações a fim de trnar esta cmunicaçã mais eficiente Prjet e Cnstruçã Uma vez cntrat assinad, esta funçã de negóci cuida de prjetar e cnstruir empreendiments de geraçã de energia, transmissã de energia e prjets de ampliaçã e mdernizaçã de instalações de Furnas. Acmpanha e gere s crngramas de execuçã física e financeira. A área de Prjet e Cnstruçã utiliza SAP para gerir suas atividades mais imprtantes cm a gestã da implantaçã d empreendiment, desde a btençã de recurss, encaminhament para a diretria e aprvaçã d plan de negci. Além d SAP utilizam MS Prject e Prject Server para gerir s crngramas de frma mais detalhada. Ainda nã há interface entre estas últimas ferramentas e SAP. Existem ainda infrmações referentes as prjets que estã armazenadas e tratadas em planilhas Excel e que sã dispnibilizadas em um prtal Sharepint. Cm base nas entrevistas realizadas e ns questináris recebids fi elabrad um mdel de dads que abrange as principais classes de dads tratadas na gerência de prjets, este mdel é apresentad n dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI, assim cm dicinári de dads cm as definições de cada classe de dads representada. Através destas e de utras análises fi identificada a arquitetura atual e a ideal para prjet e cnstruçã, nde fram identificads

353 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E sistemas estruturantes e sistemas satélites, integrações internas e externas e ações a serem executadas a fim de atingir a arquitetura de infrmaçã mais adequada à área. Sistemas Estruturantes O sistema principal d prjet e cnstruçã deverá ser SAP. Atualmente, através d SAP é realizada a gestã ds marcs ds crngramas físics e financeirs e n MS Prject e n Prject Server ficam as infrmações detalhadas ds crngramas. O SAP, cm sistema estruturante deve pssuir mais infrmações sbre prjet e cnstruçã d que pssui hje em dia. Figura 3.3: Situaçã Desejada ds Sistemas de Prjet e Cnstruçã Além diss, deve-se autmatizar pr cmplet a trca de infrmações entre SAP e Prject Server (e cnsequentemente crngrama n MS Prject) de frma que uma alteraçã feita em qualquer uma das pntas seja refletida na utra. Existem cnectres n mercad específics para esta tarefa que pdem ser adquirids pr Furnas. Sistemas Satélites O principal sistema satélite, cm já cmentad n parágraf anterir é a gestã detalhada das tarefas d crngrama através d MS Prject. Cm MS Prject pde ser usad para planejament e cntrle das tarefas d dia a dia de cada funcinári, que se cnvencinu chamar de micrgestã, deve-se analisar a melhr frma de integraçã cm SAP, de maneira que mesm tenha a infrmaçã mais cnslidada pssível em um nível de granularidade superir. Também sã executadas diversas análises referentes as prjets e à cnstruçã deles. Estas análises em sua mairia sã feitas através de planilhas Excel e depis divulgadas em um prtal Sharepint. Há ainda relatóris ds que sã realizads através d SAP u em BW u de frma manual. Os relatóris em BW sã satélites e precisam de integraçã cm SAP e MS Prject a fim de cletar as infrmações necessárias. Há a necessidade de um sistema para a gestã de riscs e utras análises feitas sbre s prjets. Este sistema deve ter interface cm prtal Sharepint para que s dads sejam publicads de frma rápida e fácil.

354 352 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Há também sistema SIACON que acmpanha medições físicas de serviçs ds cntrats. Iss envlve a mediçã mensal ds serviçs executads tant físics quant financeirs. Além diss, é necessária a utilizaçã ds sistemas satélites abaix: Sistema de gestã de dcuments (GED): há a necessidade de armazenar e capturar s dcuments desta área de negóci em um sistema de gestã de dcuments (GED) integrad a Sistema Estruturante. Sistema de Cntrle de Pareceres: há a necessidade de manter e cntrlar s pareceres técnics slicitads e suas respstas em um Sistema de Cntrle de Pareceres integrad a Sistema Estruturante. Integrações Internas e Externas Atualmente nã existe integraçã entre SAP e MS Prject cm Prject Server. É precis desenvlver u adquirir uma interface n mercad vist que estes sistemas tratam mesm tip de dad apenas cm um nível de detalhament diferente. A área envia um relatóri mensalmente para a ANEEL pel SIGET (sistema da ANEEL). É uma planilha Excel que Furnas deve preencher a respeit de bras que a ANEEL selecina e autriza. O frmat em Excel é definid pela ANEEL e uma pssível autmatizaçã deste prcess deve ser previamente discutida cm ela cas seja necessári. Há interaçã cm a Eletrbrás e Ministéri de Minas e Energia. Nesta interaçã, a mair quantidade de infrmações enviadas é de dads físics. Sã enviadas algumas planilhas manualmente e para as quais estã send desenvlvids relatóris junt cm a Accenture. Também é enviad relatóri PAC-FURNAS (planilhas Excel) e mais um relatóri cmplementar também em frmat Excel, cujas infrmações ainda nã estã ttalmente estruturadas e rganizadas. O Ministéri d Planejament está desenvlvend um sistema chamad WEB-PAC e em médi praz pde ser necessári enviar relatóris através deste sistema. Além das integrações acima citadas existem utras duas que ainda nã estã dispníveis e devem ser implantadas: integraçã d SIACON cm OTT (sistema de rçament de bras de transmissã) e cm Módul Financeir d SAP. É fundamental a implantaçã de uma interface entre SAP e MS Prject cm Prject Server, também é necessári autmatizar s relatóris que ainda sã manuais a fim de timizar prcess de integraçã cm órgãs externs. A fim de alcançar a arquitetura de infrmaçã adequada para a área de Prjet de Cnstruçã, recmendams as seguintes ações: Obter e implantar uma interface entre SAP e MS Prject; Sistematizar a gestã de bras; Integrar SIACON cm s sistemas OTT (sistema de rçament de bras de transmissã) e Módul PS d SAP (financeir); Integraçã d e-siget cm as páginas ds empreendiments d PGET-PAC;

355 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Realizar estud de viabilidade para uma sluçã que faça a gestã ds riscs e utras análises de prjets; Autmatizar relatóris. Obter e implantar uma interface entre SAP e MS Prject Há a necessidade de integrar SAP a MS Prject. A integraçã d planejament físic d Módul PS d SAP e MS Prject, juntamente cm as infrmações físicas e financeiras, facilitaria a visualizaçã d caminh crític d prjet. Atualmente gestr de cada prjet é respnsável pr manter s dads de crngramas ds prjets atualizads tant n MS Prject cm n SAP. Este prcess é feit manualmente. Há a necessidade de uma interface entre essas duas ferramentas que mantenha a cnsistência ds dads de frma autmática. É precis melhrar acmpanhament ds prjets em andament cm intuit de reduzir s respectivs atrass. Encntra-se a necessidade de melhr acmpanhament da mediçã de serviçs, balanç de materiais e a aprpriaçã de recurss. Desta frma, recmendams que seja adquirida n mercad uma interface entre SAP e MS Prject de md que s dads ds prjets sejam sincrnizads nas duas ferramentas e mantenham-se atualizads de frma fácil e prática, assim acmpanhament ds prjets pderá ser feit de maneira simples e mais eficiente. Sistematizar a Gestã de Obras O prcess de Planejament e Orçament de Obras precisa ser aprimrad para cntrlar tda a gestã e também tds s dads riunds d rçament. Atualmente, há em desenvlviment um Sistema de Planejament e Orçament de bras de transmissã. Este prjet de sistema satélite deve ser ampliad para incluir dads de bras de geraçã e visualizaçã através de Painel de Brd (Dashbards). Integrar SIACON cm s sistemas OTT (sistema de rçament de bras de transmissã) e Módul Financeir d SAP O SIACON é um sistema satélite de Acmpanhament de Medições Físicas de serviçs ds cntrats. Iss envlve a mediçã mensal ds serviçs executads tant físics quant financeirs. Deve ser feita uma integraçã d SIACON cm s sistemas OTT (sistema de rçament de bras de transmissã) e Módul Financeir d SAP. Integraçã d e-siget cm as páginas ds empreendiments d PGET-PAC O e-siget envia para a ANEEL um arquiv XML cm as infrmações d andament ds empreendiments. Deve ser feita a integraçã ds dads d e-siget cm as páginas ds empreendiments d PGET-PAC para facilitar a geraçã ds dads para a ANEEL. Realizar estud de viabilidade para uma sluçã que faça a gestã ds riscs e utras análises de prjets Hje em dia gerenciament de riscs é feit de frma manual. É precis analisar a viabilidade de adquirir uma ferramenta de mercad u bter uma sluçã pr

356 354 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E desenvlviment intern, para gerenciar s riscs ds prjets, assim cm utrs dads que sejam necessáris às análises realizadas pela área. A sluçã esclhida deve ter interface direta cm prtal em Sharepint nde s relatóris devem ser publicads. Autmatizar Relatóris Existem relatóris que ainda sã executads de frma manual, é precis analisá-ls e desenvlver prjets de autmatizaçã destes, seja na ferramenta BW u cm custmizações d SAP, u ainda cm alguma tecnlgia diferente dispnível n mercad. Independentemente da pçã esclhida para a autmatizaçã ds relatóris, esta deve cletar s dads existente n SAP u MS Prject a fim de gerar s relatóris em questã. 3.3.Operaçã Após a fase de cnstruçã, inicia-se a peraçã d empreendiment, u seja, ela passa a funcinar para gerar energia u transmiti-la. Um empreendiment pde pssuir um u mais lcais peracinais (usinas, barragens, subestações, etc.). Cabe à peraçã gerir s lcais peracinais e acmpanhar as funções exercidas pels seus equipaments, verificand bm funcinament d sistema, acmpanhament, registr e resluçã de incidentes, e api à manutençã ds equipaments ns prcediments de islament e nrmalizaçã. A Operaçã cnta cm diverss sistemas de infrmaçã em seu prtfóli. Entretant, seu principal sistema ainda nã fi cncluíd e utr fi criad devid à baixa cnfiabilidade ds dads d primeir. Nã há uma cmunicaçã efetiva entre s sistemas e, muitas vezes, ferramentas de micr infrmática sã utilizadas. Nã há nada de Operaçã n SAP. Hje há váris sistemas que realizam tarefas similares e cmplementares, que pderiam gerar melhres resultads se estivessem unificads. Sistema Estruturante Diante destas necessidades, a área de peraçã deve pssuir um sistema estruturante de Gestã de Ativs de Geraçã e Transmissã que englbe as funcinalidades d SIRO (Intervenções, Indispnibilidades e Restrições Operativas), d SCID (infrmações estatísticas) e d SIAP (tentativas de restabeleciment e desligaments frçads). Outrs requisits essenciais a serem cnsiderads n sistema estruturante sã: Relacinar funçã e equipament: na manutençã, mais imprtante é equipament em si (seu mdel, características, etc.) enquant na peraçã mais imprtante é a funçã que equipament executa. Essas duas entidades devem ter seus dads relacinads de frma que, a partir de uma funçã, sejam identificads tds s equipaments que a executam, seja n SAP (Manutençã) u ns sistemas da Operaçã; Autmatizar prcess de envi de infrmações a SGI (sistema d ONS): atualmente prcess de envi de infrmações a SGI é feit pr arquivs em XML que sã enviads manualmente a ONS;

357 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Reunir as infrmações de desligament de rede em um únic sistema: s desligaments estã em três sistemas diferentes e precisam ser reunids em um únic lugar para melhr cntrlá-ls; Suprtar pr cmplet cntrle de cicl de vida ds ativs: deve-se realizar cntrle d cicl de vida ds ativs, principalmente nas áreas de manutençã e peraçã, uma vez que sã de fundamental imprtância para a empresa tend em vista que s sistemas atuais nã suprtam pr cmplet. Este sistema deve estar integrad cm SAP cm prpósit de manter a sincrnizaçã de dads cm a área de manutençã, principalmente cm s registrs de equipaments e supriments utilizads na manutençã. Figura 3.4: Situaçã Desejada ds Sistemas da Operaçã Além das funcinalidades existentes ns três sistemas citads anterirmente, existem diversas sluções de TI lcalmente utilizadas nas diferentes usinas e subestações de Furnas, que em muits cass pdem frnecer requisits imprtantes para serem incrprads n grande sistema estruturante da Operaçã. Outr requisit imprtante a ser cnsiderad sã as necessidades de inspeções diárias de equipaments de subestações capturadas hje em um sistema antig que necessita de atualizaçã tecnlógica. Dessa frma, deverá ser feit um prjet para melhr analisar tds s requisits envlvids na peraçã e definid se a melhr pçã e desenvlviment de uma nva platafrma, a evluçã d SIRO para incrprar s demais requisits u até mesm a aquisiçã de um sistema de gestã de cicl de vida de ativs existente n mercad, que prvavelmente deverá ser custmizad para atender plenamente Furnas. Sistemas Satélites Devem ser cnsiderads s sistemas satélites integrads cm sistema estruturante já definid: Adçã de Tecnlgia Móvel: é de vital imprtância para Furnas que intrduza us de tecnlgias móveis na peraçã e manutençã de suas instalações u evlua us das mesmas ns cass em que ist já esteja acntecend para que haja um efetiv ganh nas perações de camp,

358 356 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E principalmente quand técnic está em lcais distantes e inóspits, sem a pssibilidade d us de cmputadres. Esta sluçã deve prever us d sistema mesm que nã haja cnexã de dads ativa, efetuand a psterir sincrnizaçã das infrmações registradas quand ist fr pssível; Rede Operativa: Furnas pssui uma rede específica para a prteçã e supervisã d sistema elétric, chamada de rede perativa. Capturar dads dessa rede e transprtá-ls para banc de dads na rede crprativa e integráls cm sistema estruturante pde se trnar uma pdersa ferramenta de análise e desempenh da peraçã, da detecçã de padrões em incidentes e melhra da eficiência. Esta integraçã trna pssível a efetiva integraçã da rede crprativa cm a rede perativa da empresa; Sluções Lcais nas Usinas: Diversas sluções de TI pdem existir lcalmente, principalmente cnsiderand que especificidades em relaçã a uma regiã e utra pdem ser bem diferentes. Neste cas, as sluções diversas devem cntinuar a existir lcalmente, sempre que pssível de frma integrada cm sistema estruturante. Também é necessári que a área de TI de Furnas tenha plen cnheciment dessas sluções, de frma que uma mudança em um sistema estruturante nã gere impact negativ nessas sluções lcais, causand dificuldade e prejuíz na peraçã; Sistema de gestã de dcuments (GED): há a necessidade de armazenar e capturar s dcuments desta área de negóci em um sistema de gestã de dcuments (GED) integrad a Sistema Estruturante. Sistema de Cntrle de Pareceres: há a necessidade de manter e cntrlar s pareceres técnics slicitads e suas respstas em um Sistema de Cntrle de Pareceres integrad a Sistema Estruturante. Integrações Internas e Externas A área de peraçã se cmunica cm a ONS slicitand aprvaçã da intervençã através d envi manual de um arquiv XML através d SIRO. O nv sistema estruturante, que englbará as funcinalidades d SIRO, deve autmatizar este envi e ntificar a respsta quant à aprvaçã. A principal área que interage cm a peraçã é a manutençã. É através d planejament da manutençã que sã geradas intervenções. O planejament da manutençã está n SAP e uma interface cm sistema estruturante deve ser criada para garantir que, quand huver a slicitaçã de intervençã n SAP, seu cadastr nã precise ser refeit n sistema estruturante da Operaçã. Outra área relacinada é a de Mei Ambiente. A área de peraçã depende da licença de peraçã para funcinar. Esta deve ter acess a sistema estruturante da área de mei ambiente smente cm prpósit de pder acmpanhar andament ds prazs e validades das licenças de peraçã. Além diss, a parte de auditria nã fica mais cm DEA e sim cm peraçã. A área de perações também é respnsabilizada pr empreendiments abandnads e pel cntrle de resídus. Deve-se analisar acess a sistema estruturante da área ambiental para que estas atividades pssam ser executadas em cnjunt cm a área de mei ambiente.

359 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Cm a área de Prjet e Cnstruçã, a peraçã realiza slicitações de mdernizaçã e/u revitalizaçã, u mudanças n sistema elétric e verifica empreendiment que fi entregue para saber se está apt à peraçã Manutençã Esta funçã de negóci trata ds cuidads necessáris para repar ns equipaments, sejam eles periódics (manutençã preventiva) u emergenciais (manutençã crretiva). Estes cuidads sã de extrema imprtância para garantir a cntinuidade da prduçã de energia. O principal sistema utilizad pela manutençã é SAP, nde é realizada a gestã d seu planejament. Este planejament gera intervenções na área de peraçã, que nã utiliza SAP e sim SIRO. Esta integraçã SIRO/SAP está mapeada, mas nã desenvlvida e deveria ser autmatizada a fim de trnar mais eficiente a execuçã das atividades. Outra necessidade da manutençã é registr de crrência. Existe hje um limite de licenças n SAP dispníveis para registr de crrências, que limita a entrada de dads. Sistema Estruturante Atualmente, a área de manutençã já utiliza intensamente SAP. As manutenções preventivas, crretivas, cntrle d planejament da manutençã e a OS (rdem de manutençã) sã alguns exempls. É necessári trnar SAP ficialmente sistema estruturante da manutençã e realizar sua integraçã cm sistema estruturante da peraçã, devid a elevad grau de integraçã entre as áreas. Figura 3.5: Situaçã Desejada ds Sistemas da Manutençã Outr fatr imprtante na integraçã das áreas de manutençã e peraçã é relacinament bem estabelecid entre s equipaments e suas funções. Na manutençã, mais imprtante é equipament em si (seu mdel, características, etc.) enquant que na peraçã mais imprtante é a funçã que equipament executa. Essas duas entidades devem ter seus dads relacinads n SAP de frma que, a partir de uma funçã, sejam identificads tds s equipaments que a executam, pr exempl.

360 358 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Sistemas Satélites Sistema de Cadastr de Ocrrências: Se prblema de limite de licenças d SAP nã fr cntrnad, será necessári desenvlver um sistema de cadastr de crrências que seja acessível a um númer mair de usuáris. Este sistema deve permitir uma integraçã autmatizada das crrências cm SAP para evitar trabalh de recadastrament das crrências; Sistema de prgramaçã e cntrle de manutençã: já existe uma sluçã de prgramaçã e cntrle de manutençã que deve ser melhr entendida. A sluçã atual está escrita em linguagem antiga e necessita de evluçã. Deve ser desenvlvida uma nva sluçã e sua implantaçã em utras unidades da manutençã deve ser cnsiderada; Sistema de gestã de dcuments (GED): há a necessidade de armazenar e capturar s dcuments desta área de negóci em um sistema de gestã de dcuments (GED) integrad a Sistema Estruturante. Integrações Internas e Externas A área de manutençã é frtemente relacinada à peraçã, entretant utilizam sistemas estruturantes distints. Ist demanda desenvlviment de uma integraçã entre s sistemas estruturantes das duas áreas, já cmentad anterirmente. N cntext d SAP, a manutençã também está intimamente ligada a módul de supriments e a aquisiçã ds mesms. A utilizaçã de peças, materiais e equipaments durante as manutenções, gera a baixa ns respectivs estques e pde disparar nvs prcesss de aquisiçã para recmpletar s mesms. Além diss, as manutenções devem ser mapeadas para s recurss humans que a executaram e também existir um cadastr de cmpetências que asscie as pessas às manutenções que elas estã aptas a executarem Cmercializaçã de Energia (Geraçã e Transmissã) A Cmercializaçã da Energia na parte de geraçã e cuidads ds cntrats de cmpra e venda de geraçã de energia, que sã btids a partir de leilões u chamadas públicas. Faz parte desta funçã de negóci acmpanhar dads de prduçã e cmpará-ls cm valres definids em cada cntrat. Já a Cmercializaçã da Energia de Transmissã é encarregada de cuidar das diversas cnexões a sistema de transmissã nacinal interligad, nde cada trech de linha de transmissã é prpriedade de uma determinada empresa, prém sistema é únic e tdas as transmissões sã interligadas. Existem váris agentes (geradres, transmissres, cnsumidres livres, etc.) que se cnectam a sistema e para iss é precis seguir várias brigações, que sã especificadas em cntrat. A área de Cmercializaçã da Energia de Transmissã gerencia estes cntrats de acess e é respnsável pr regular e frmalizar tds s acesss de cnexã de Furnas e a Furnas. Basicamente prcess de cntrats segue as seguintes etapas: Slicitaçã de acess; Negciaçã;

361 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Elabraçã; Trâmites de assinatura. Através ds diagnóstics, entrevistas e questináris fram identificadas as principais classes de dads existentes na cmercializaçã de energia, essas classes estã divididas em dis mdels: cmercializaçã da geraçã e cmercializaçã da transmissã, presentes n dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI, e nestes mdels estã devidamente representadas as interligações entre as diversas classes. Os mdels de dads, entrevistas, questináris e análises realizadas pssibilitaram a identificaçã de sistemas estruturantes, sistemas satélites e integrações em âmbit intern e extern. Sistemas Estruturantes Cm base nas entrevistas realizadas e ns questináris respndids, identificams que na cmercializaçã da geraçã SAP é utilizad para guardar s dads ds cntrats, a parte de serviçs (lcaçã, pr exempl). Entretant, nã há nada n SAP sbre a gestã de cmpra e venda, revisã tarifária, etc., send neste cas utilizadas ferramentas cm Excel. Fram identificads dis sistemas para cmunicaçã cm entidades externas (sistema na DCEE e SCDE). Os sistemas fram criads smente para reslverem prblemas pntuais. Nã há um sistema que centralize as necessidades da funçã de negóci. Figura 3.6: Situaçã Desejada ds Sistemas da Cmercializaçã da Energia Na cmercializaçã da transmissã, a mair parte da gestã ds cntrats é realizada pr mei de ferramentas de micrinfrmática cm Excel, pr exempl. O SAP é usad para a gestã financeira. Nã há sistemas para facilitar a cmunicaçã cm entidades externas. Muitas atividades sã realizadas manualmente. Nã há um cntrle de versã ds cntrats e nã há um sistema que centralize as necessidades da funçã de negóci. Além diss, sistema de PRD nã fi cnsiderad cnfiável devid à dificuldade de recuperar s dads depis de cadastrads. Neste cntext, mais aprpriad é que SAP deve ser sistema estruturante de cmercializaçã da geraçã e que a cmercializaçã da transmissã deve ter um sistema estruturante mais adequad a seu tip de negóci. Desta frma é precis analisar a pssibilidade de desenvlver um sistema internamente u adquirir uma

362 360 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E sluçã de mercad. Os dis sistemas estruturantes das cmercializações devem ser integrads de frma direta. Sistemas satélites A área de cmercializaçã da geraçã tem um sistema DCEE para analisar dads frnecids pelas utras áreas e depis enviar resultads para a DE e um utr SCDE, que é um sistema de dads que trafegam entre Furnas e a CCE. O prcess de btençã de pareceres técnics, jurídics e financeirs atualmente nã atende às necessidades da área, pis é muit manual e tma muit temp para ser realizad. Também pssuem prblemas na btençã de decisões da diretria, pis sistema que as divulga muitas vezes impssibilita acess as dads. Além diss, é necessária a utilizaçã d sistema satélite abaix: Sistema de Cntrle de Pareceres: há a necessidade de manter e cntrlar s pareceres técnics slicitads e suas respstas em um Sistema de Cntrle de Pareceres integrad a Sistema Estruturante. Integrações Internas e Externas A cmercializaçã interage cm utras áreas da empresa n âmbit financeir, técnic e jurídic, atualmente apenas dads financeirs estã n SAP e pdem ser acessads facilmente. Os demais dads estã em planilhas e dcuments de text. Há ainda a interaçã entre cmercializaçã e as diretrias, a qual pssui um sistema direcinad às Prpstas de Resluções das Diretrias, prém este apresenta prblemas de acess. As trcas de infrmações internas necessitam de um sistema satélite que as facilite e que tenha interface cm s sistemas estruturantes da engenharia, d jurídic e d financeir a fim de facilitar cmpartilhament de infrmações. Além das integrações internas, as cmercializações de geraçã e transmissã cmunicam-se cm órgãs externs cm ANEEL e CCE, a integraçã cm a ANEEL é ttalmente manual e cm a CCE se dá através d sistema SCDE u manualmente. Recmendams que as seguintes atividades sejam executadas a fim de atingir a arquitetura de infrmaçã adequada e sanar as necessidades das áreas: Autmatizar tratament de infrmações de Cmercializaçã da Geraçã; Obter um sistema estruturante que autmatize a gestã cntratual de cmercializaçã da transmissã. Estas atividades devem ser executadas avaliand-se as necessidades e pssibilidades de autmatizar a integraçã cm órgãs externs cm a CCE e a ANEEL. Autmatizar tratament de infrmações da Cmercializaçã da Geraçã Atualmente, a área de cmercializaçã de energia pssui puc ds seus prcesss atendids pel SAP. A parte de revisã tarifária de cmpra e venda (cálculs de revisã e planejament de quand deve ser realizada) é feita em planilhas Excel. As regras de negóci que regem s cntrats também sã administradas de frma manual. Iss demanda muit trabalh e mais temp d que ideal. É precis

363 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E gerenciar esses dads de frma autmatizada. Recmendams um prjet de custmizaçã d SAP a fim de migrar estas infrmações. Existe também a necessidade de um sistema que cntrle a análise de liquidaçã financeira versus cntabilizaçã, que sã relatóris prvenientes da CCE (Câmara de Cmercializaçã de Energia), neste cas é precis analisar se estes dads pdem ser absrvids pr alguma sluçã já existente na empresa u se deverá ser desenvlvid um nv sistema internamente u buscar uma sluçã prnta n mercad. Recmendams que seja executada a análise destes dads e ds recurss dispníveis a fim de decidir qual a melhr sluçã. Obter um sistema estruturante que autmatize a gestã cntratual de cmercializaçã da transmissã A cmercializaçã da transmissã atualmente nã pssui um sistema estruturante que dê suprte à mair parte de suas atividades. Os prcesss desta área sã executads de frma muit manual ainda. A gestã ds cntrats de transmissã pssui particularidades muit específicas que fizeram cm que ficasse fra d SAP. Recmendams um estud de viabilidade que analise as particularidades ds cntrats de transmissã e s demais dads gerids pela área de cmercializaçã da transmissã. Este estud deve decidir qual caminh mais adequad: desenvlver uma sluçã interna que dê suprte à área u adquirir uma sluçã de mercad devidamente adequada Recurss Humans O RH é dividid ns seguintes macrprcesss: Cadastr; Flha de pagament; Frequência (Timing); Saúde; Segurança; Mei ambiente. O cadastr é respnsável pr gerir um banc de dads cm infrmações ds candidats aprvads em cncurs e cuidar das admissões e demissões de empregads. A flha de pagament cuida ds cálculs salariais que usam s descnts prvenientes de us de serviçs de empresas externas, plan de saúde, etc., e também as bnificações de hra extra, pr exempl. A parte de timing gerencia s dads de pnt de frequência ds empregads. Em saúde há cntrle e execuçã de exames admissinais, demissinais, periódics, labratriais, atendiment médic, atestads de saúde cupacinal, etc.

364 362 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Segurança é respnsável pel cntrle de riscs e acidentes. E mei ambiente cuida da parte de prduçã, armazenament e descarte de resídus. As diferentes atividades de RH sã suprtadas pr diverss sistemas, dis principais (SAP e BENNER) em baixa platafrma e alguns em alta platafrma. Estes sistemas, muitas vezes nã estã integrads entre si diretamente. O SAP é sistema que centraliza a mairia das atividades. Existem infrmações da mesma natureza em sistemas diferentes, cm cadastr de funcináris que está n SAP, de terceirs que está n PCC3 e algumas atividades sã apiadas pr sluções cm planilhas Excel. Através ds diagnóstics, entrevistas e questináris, fram identificadas as principais classes de dads existentes n RH. Essas classes estã representadas n mdel de dads de RH, presente d dcument de Diagnóstic da Situaçã Atual de Arquitetura de TI. Cm base na rganizaçã e distribuiçã das classes de dads entre s sistemas identificads fi definid um sistema estruturante para RH e alguns sistemas satélites e a partir diss fram definidas ações que devem ser executadas a fim de atingir uma arquitetura de infrmaçã adequada. Sistema Estruturante O SAP é sistema que centraliza a mair parte das atividades de RH e, prtant, é sistema estruturante desta área, cntud, RH ainda pssui uma grande diversidade de sistemas e muits deles sã de prpósit específics e tratam pucas infrmações. Figura 3.7: Situaçã Desejada ds Sistemas de Recurss Humans O SAP pssui funcinalidades que pdem incrprar diverss destes sistemas. Em alguns cass, treinament da equipe em móduls e funcinalidades d SAP ainda nã utilizads pdem preencher essas lacunas. Sistemas Satélites O SAP nã pssui funcinalidades suficientes para tratar as infrmações de característica médica. Estas, em sua mairia, sã tratadas pel sistema BENNER. Atualmente há utrs sistemas que ainda tratam parte das infrmações médicas e

365 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E também realizam a trca de infrmações entre SAP e BENNER. O BENNER é principal sistema satélite de RH, ele deve incrprar tdas as funcinalidades médicas e ter integraçã direta cm sistema estruturante que é SAP. Integrações Internas e Externas Atualmente a integraçã entre s sistemas de RH é cmplexa e deve ser mdificada de md que se trne mais eficiente. A integraçã entre SAP (estruturante) e BENNER (satélite) é executada de frma intermediária pels sistemas IM02 e IM07, que sã sistemas mainframe. Os demais sistemas atuam em sua mairia de frma independente, que dificulta as atividades da área. O RH se relacina cm a área financeira de Furnas, prém, as infrmações necessárias estã dentr d SAP, de frma que a integraçã entre as áreas já acntece de frma imediata. Há relacinament cm órgãs externs cm Caixa Ecnômica, Plans de Saúde, Receita Federal, Ministéri d Trabalh e Empreg, Fundaçã COGE e empresas parceiras cm CAEF e ASEF, entre utrs. As trcas de infrmações entre RH e estes órgãs em alguns cass nã sã autmatizadas e em utrs sã realizadas pel SAP, BENNER u sistemas mainframe. Durante a cnstruçã da nva arquitetura é precis se ater às integrações necessárias, s sistemas satélites de RH devem sempre estar diretamente integrads a SAP, e em alguns cass cm sistemas de órgãs externs. Para que RH alcance uma arquitetura de infrmaçã adequada às suas atividades é precis executar algumas ações. A mair parte destas ações envlve a migraçã e desativaçã de sistemas mainframe, lg, estã explicitadas na iniciativa estratégica IE017 Transiçã de Sistemas na Platafrma Mainframe sã elas: Incrprar sluções periféricas médicas d IM02, IM07 e IM14 n BENNER; Migrar dads d PCC3 para SAP; Custmizar SAP para aceitar datas que pssibilitem a migraçã ds dads d IOM3 para SAP e migrá-ls; Migrar sistema de telefnia para baixa platafrma; Migrar IHU2; Migrar MNA#MNAA; Migrar ISF1. Além destas há utras medidas a serem tmadas, que sã tratadas n presente dcument: Migrar para SAP cntrle de pagament de cntratads; Obter uma sluçã que faça a gestã de resídus; Autmatizar a alcaçã de hras. Migrar para SAP cntrle de pagament de cntratads Atualmente, a cnferência de pagament de cntratad é feita pr planilhas, que é muit trabalhs. Uma sluçã autmatizada é capaz de timizar temp gast para cnferir s valres de pagaments. Recmendams que seja feit um plan de

366 364 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E migraçã destes dads para SAP que avalie se é precis custmizar algum módul antes de migrar s dads. Desta frma, a atividade de cnferência ds dads será muit mais simples e terá mens riscs de errs. Obter uma sluçã que faça a gestã de resídus Atualmente a lgística de prduçã, armazenament e descarte de resídus nã pssui um sistema adequad. É necessári que seja realizad um prjetpara analisar tratament destas infrmações pr algum sistema já existente em Furnas u em uma nva sluçã desenvlvida internamente u adquirida n mercad. Qualquer que seja a decisã tmada para gerir s resídus, sistema esclhid deve ter integraçã direta cm SAP uma vez que as cntratações de descarte de resídus sã cntrladas através dele. Autmatizar a alcaçã de hras O prcess de alcaçã de hras trabalhadas é feit manualmente pels funcináris em planilhas Excel. Recmendams um estud de viabilidade para autmatizar este prcess a fim de que s funcináris tenham mair facilidade n mment de dcumentar suas hras trabalhadas e também que seja mais simples e rápid gerar relatóris para a gerência. É necessári desenvlver um sistema internamente u buscar uma sluçã de mercad que atenda a essas necessidades. Qualquer que seja a decisã tmada para sistema de alcaçã de hras, a mesma deve ter integraçã direta cm SAP Aquisições É respnsável pr crdenar a execuçã de aquisições de supriments e bens necessáris e a cntratações de serviçs, rientand s demais órgãs da rganizaçã sbre estes prcesss. Atualmente, prcess de aquisiçã é bastante manual e demrad e muitas vezes deixand a empresa cm defasagem ns equipaments. Os cntrats de aquisições e serviçs deveriam estar tds n SAP, pr exempl. Sistema Estruturante O SAP é amplamente utilizad pela área de aquisições, prém, para atender às necessidades da área, há uma série de custmizações que devem ser feitas cm a criaçã de uma agenda de entrega, agenda de events, habilitações de pagaments, relaçã de entregas, rankeament de frnecedres, etc. Essas melhrias estã descritas n dcument de Inventári de Necessidades de Negóci anterirmente entregue a Furnas.

367 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.8: Situaçã Desejada ds Sistemas de Aquisições Outra necessidade identificada fi registr de órgã infrmal para recebiment de materiais. Nem sempre sã utilizadas as dependências de Furnas para receber materiais. Lg, é necessári um cadastr de órgãs infrmais n SAP para este recebiment. Sistemas Satélites É necessári que seja criad um Sistema de Cntrle de Habilitações de Pagaments ds Events Cntratuais, Atualmente sã feits apenas cntrles em Excel (sbre s grandes valres cntratuais) trnad prcess sem sistematizaçã e cm puca segurança, demandand excessiv temp ds Gestres Cntratuais. É necessária uma sluçã que autmatize este prcess e que esteja integrada cm SAP. Além diss, seria interessante que huvesse a pssibilidade de emissã de editais padrões cnfrme material, bra u serviç que estivesse send licitad. Este sistema pderia cnter inúmers padrões, dividids pr váris parâmetrs, e ainda permitisse a usuári efetuar as mudanças necessárias para seu cas específic. O sistema deve ler tdas as infrmações sbre prcess de licitaçã e s seus pedids diretamente d SAP. Integrações Internas e Externas Um ds principais órgãs interns que se relacina cm a área de aquisições é Financeir. Cm sistema estruturante de ambs é SAP, deve haver apenas uma precupaçã de que ambas as áreas tenham as devidas permissões de acess e alteraçã ds dads ds quais necessitam. Cm relaçã a órgãs externs, Furnas tem a brigaçã de enviar infrmações ds cntrats da Empresa para sistema SIASG d Ministéri d Planejament e Gestã. Atualmente, as áreas de gestã cntratual executam preenchiment desses dads manualmente e é necessári retirar este imens ônus de temp. Para iss, deve-se criar uma interface para a transmissã de dads de cntrats para SIASG.

368 366 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Finanças Esta funçã de negóci permeia praticamente tda a cadeia de valr da empresa, já que é acinada em praticamente tdas as atividades da atividades fim: na cntrataçã, financeir precisa dar respald sbre s gasts e investiments que estã send cntratads para um nv empreendiment; n prjet e cnstruçã, financeir fará pagament de tdas as faturas de materiais e serviçs existentes para erguer empreendiment; na peraçã, financeir dará respald pelas cntas necessárias para empreendiment manter seu plen funcinament; na manutençã, s materiais que serã utilizads em um determinad repar u trca preditiva fram cmprads anterirmente, através ds prcesss de Aquisiçã, send suas faturas pagas pel financeir; e pr fim, a cmercializaçã de energia, fará cntrle de tud que Furnas deverá pagar e receber na cmercializaçã de energia da geraçã e transmissã. Dessa frma, financeir é respnsável pr gerar as atividades financeiras da rganizaçã, pagaments, cbranças, empréstims, cntabilidade, planejament e execuçã d rçament, etc. Realiza planejament financeir, cuida d balanç e desenvlve s rçaments. Cm base nas entrevistas realizadas e ns questináris recebids fram feitas diversas análises a fim de definir a arquitetura de sistemas e infrmaçã ideal para a área financeira. A seguir, serã apresentadas as características de sistemas estruturantes, satélites e integrações internas e externas. Sistema Estruturante A funçã de Finanças atualmente centraliza suas atividades n SAP. O Financeir fi um ds sistemas mais cmentads na empresa, pis sua implantaçã n SAP está muit sólida e cncreta. Figura 3.9: Situaçã Desejada ds Sistemas d Financeir Nenhum pagament u peraçã financeira é feit na empresa sem passar pel SAP. O cntrle de cntas cntábeis está bem estabelecid e é pssível diferenciar facilmente que é custei e que é investiment. Dessa frma, SAP Financeir é sistema estruturante já amplamente utilizad e difundid na empresa.

369 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Sistema Satélite Devid à alta maturidade que a empresa tem hje cm a implantaçã d SAP n Financeir, existem pucas lacunas a serem preenchidas para melhrar esta funçã de negóci. Fram identificadas duas pções a seguir: Relatóris Financeirs Diverss: uma das necessidades de qualquer área financeira é a cnslidaçã e elabraçã de diverss relatóris para s mais diverss fins. Esta iniciativa pssui módul BW d SAP cm seu principal aliad. Nesta ferramenta, devem ser dispnibilizads já prnts s relatóris mais cmumente utilizads na empresa, prém de frma parametrizada para permitir que usuári pssa ter alguns filtrs para melhr atender as perguntas que precisa. Além diss, deve existir um módul dinâmic, que permita a análise ds dads pr diverss filtrs e dimensões, de frma que própri usuári cnsiga atender as diversas demandas ds mais varáveis tips de infrmaçã que sã slicitadas; BPC: Na área de cntabilidade, atualmente tds s prcesss de cnslidaçã sã feits manualmente através d Excel. Há a necessidade de autmatizar esse prcess. A ferramenta BPC está send adtada para melhrar prcess de cnslidaçã de balanç; Sistema de Cntrle de Pareceres: há a necessidade de manter e cntrlar s pareceres técnics slicitads e suas respstas em um Sistema de Cntrle de Pareceres integrad a Sistema Estruturante. Integrações Internas e Externas Cm dit anterirmente, a funçã de negóci d financeir está ligada cm diversas utras funções de negóci da empresa cm, pr exempl: Cntrataçã, Prjet e Cnstruçã, Cmercializaçã, Recurss Humans, Jurídic e Aquisições. Essas ligações pdem ser resumidas genericamente em duas frmas: Pagament de cntas: Prjet e Cnstruçã, Cmercializaçã, Recurss Humans, Jurídic e Aquisições; Recebiment de cntas: Cmercializaçã, Jurídic; Elabraçã de pareceres financeirs: Cntrataçã, Jurídic. Já nas integrações externas, envi das infrmações cnslidadas d setr de cntabilidade é uma brigaçã de Furnas cm a Eletrbrás. Alguns exempls deste envi sã planilhas cm infrmações de caixa, resultads e parceirs (grup Eletrbrás, fundações u SPEs). Atualmente, envi de arquivs é feit de frma manual, prém a Eletrbrás já esta trabalhand num sistema pra iss e em algum mment, seria interessante que esta integraçã fsse feita de maneira autmatizada. A fim de alcançar uma melhr arquitetura de infrmaçã, existem utras recmendações que trariam melhr benefíci para a empresa: Melhrar relacinament d Financiament cm Empreendiment; Adequar cntrle de viagens para cmprmeter verba. Melhrar relacinament d Financiament cm Empreendiment

370 368 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Atualmente, Furnas pssui diverss financiaments d BNDES e precisa ter cntrle ds recurss que sã utilizads a partir desses financiaments. Prém, SAP só permite que um financiament esteja relacinad cm um únic empreendiment, que nem sempre é a realidade. Algumas vezes, um empréstim pde dar respald a mais de um empreendiment. Dessa frma, é necessári que seja feita uma alteraçã n SAP para que este relacinament seja melhr caracterizad, inclusive, cm a divisã de valres entre cada empreendiment. Adequar cntrle de viagens para cmprmeter verba As viagens sã lançadas n sistema depis de crrerem. Atualmente, iss nã cmprmete a verba, prtant há pssibilidade de faltar recurss financeirs para reembls das viagens. É necessári que haja um planejament de viagens que cmprmeta a verba destinada a elas. Em funçã dist, deve-se desenvlver um mei de melhr cntrlar as viagens, seja pr mei da utilizaçã d módul de viagens específic d SAP u através d desenvlviment de uma ferramenta específica Mei Ambiente Esta funçã de negóci está ligada a tds s tips de mnitrament, licenças e gestã de riscs ambientais. Uma das suas principais respnsabilidades é gerenciar us de água que nã é destinada à prduçã de energia. Ist inclui administrar as licenças ambientais de captaçã e lançament sbre recurss hídrics (utrgas), avaliar estuds de viabilidade para a cnstruçã ds empreendiments e analisar seu cust ambiental. A ganhar um leilã de empreendiment própri, fazem Plan Básic Ambiental deste negóci, que cntém as medidas necessárias para s impacts ambientais. A área de mei ambiente pssui diversas sluções cm SIGO (sistema de gestã de Outrgas e Recurss Hídrics), SMLQA da área de engenharia ambiental e váris utrs sistemas de mnitrament de dads da DEA.E. Outrs sistemas existentes sã AQUIM (Sistema de Análises Químicas), PMSLF (Plan de Mnitrament de Sl e Lençl Freátic), PMEQA (Plan de Mnitrament de Efluentes e Qualidade de Água). Sistema Estruturante Apesar das várias sluções existentes, ainda existem alguns cntrles send feits pr planilha Excel, cm cntrle de dads ambientais nã referentes a utrgas (pr exempl, cntrle de resídus, plíticas e legislações a serem seguidas, entre utrs). É necessária uma sluçã que cntrle estes dads e gere s relatóris que devem ser enviads a órgãs externs cm TCU e IBAMA.

371 P l a n D i r e t r d e T e c n l g i a d a I n f r m a ç ã I E Figura 3.10: Situaçã Desejada ds Sistemas d Mei Ambiente Há também a necessidade de cntrlar s dads referentes às utrgas. Atualmente é utilizad sistema SIGO para cntrlar esses dads, mas este nã ferece nível de detalhament adequad. Já fi realizad um levantament de requisits para desenvlviment de um sistema que atenda melhr, prém prjet nã fi desenvlvid. É precis também cntrlar s dads de licenças prévias, de instalaçã e peraçã, que atualmente estã em planilhas Excel. Já se encntra em andament atualmente na ST.A um prjet para especificaçã, desenvlviment e implementaçã de um sistema de acmpanhament das ações de gestã integrada, chamad SAAGI. Este sistema pr sua característica integradra ds dads de mei ambiente é um candidat natural a se transfrmar n sistema estruturante desta funçã de negóci. Dessa frma, s requisits descrits acima entre utrs que devem ser ainda levantads pdem ser incrprads psterirmente neste prjet. Sistemas Satélites GISFURNAS: Sistema de gereferenciament que pssui tdas as crdenadas mapeadas de cada lcalizaçã, bacias hidrgráficas, relevs, planícies, etc.; SAP: apesar de ter crrid um treinament sbre SAP, este é subutilizad na área de ambiental. É necessári realizar um estud para definir quais funcinalidades d SAP pdem ser úteis e quais sã indispensáveis, seja pr mtivs legais u pr determinações das camadas superires da rganizaçã; Diversas aplicações de Mei Ambiente: pdem existir algumas sluções da DAE.E que pdem nã estar presentes n sistema estruturante, se trnand sistemas satélites integrads a ele. Dentre essas, destacam-se AQUIM, SAIGEE e SALA; Prtal para cmunicaçã ds plans de emergência: uma emergência pde gerar várias adversidades, sejam elas peracinais, ambientais, de saúde, etc. É precis cntrlar de md eficiente s plans de emergência, para que pssam ser executads de frma rápida e crreta cas haja necessidade. Em funçã dist, deve ser desenvlvid um prtal para a