2ª Edição - (Completo)

Transcrição

1 2ª Edição - (Completo)

2

3 PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO

4 Agência Nacional de Energia Elétrica ANEEL Diretoria Nelson Hübner Diretor-Geral André Pepitone da Nóbrega Edvaldo Alves de Santana Julião Silveira Coelho Romeu Donizete Rufino Diretores Superintendência de Gestão Técnica da Informação Ubiratã Bartolomeu Pickrodt Soares Superintendente

5 Agência Nacional de Energia Elétrica Superintendência de Gestão Técnica da Informação PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO 2ª Edição Brasília, DF 2011

6 Superintendência de Gestão Técnica da Informação Superintendente Ubiratã Bartolomeu Pickrodt Soares Assessor Wilson Delgado Pinto Equipe de Elaboração (edição original): Adriana de Carvalho Drumond Vivan André de Toledo Lima Andréa Hitomi Kabu Antonio Campos Monteiro Neto Francisco Alexandre Stecher de Oliveira Equipe de Campo (2ª edição): Adriana Lannes Souza Caroline Ribeiro Chahini Daniela de Moura Jucá Pereira Diogo Neves Regis Eddie Casimiro Dutra Fernanda de Lima do Nascimento Keyth Cristiano da Fonseca Lúcia Sampaio Gomes Luiz Cláudio Franca Torres Equipe de líderes de Execução de Estratégias de TI: Adriana de Carvalho Drumond Vivan André de Toledo Lima Antonio Campos Monteiro Neto Carlos Alcebíades Barros Cavalcanti Carlos Henrique Araújo Pimentel Cleide Maria Ricardo Coordenação (edição original) Antonio Carlos Borba Carapeba Flávio Talasca Pedro Paulo Costallat Bruno Jesse Duarte Menezes Marcio Constant de Andrade Reis Miriam Corrêa Fernandes da Cunha Victor Hugo da Silva Rosa Mário Rodrigues Clemente Mayra Gonçalves de Souza Resende Rodrigo Barbosa Medeiro Rogério Alves Barbosa Silva Sandra Flores Nunes Sérgio Williams Bezerra Lopes Terezinha Zélia Panobianco Vinícius Almeida de Vasconcelos Wender Furtado de Oliveira Daniel Fontoura Campos da Silva Fábio Araújo Cruz Herbert Lima Monteiro Márcio Constant Andrade Reis Ricardo Marques Alves Pereira Edição e Consolidação: Flávio Talasca Revisão: Dalmo Vinícius Coalho Borges Diagramação: Lívia Cristina Oliveira de Souza Capa: Tatiana Duarte Menezes A265p Agência Nacional de Energia Elétrica (Brasil). Plano diretor de tecnologia da informação / Agência Nacional de Energia Elétrica. 2 Ed. Brasília : ANEEL, p. : il. Inclui anexos, glossários e abreviaturas. 1. Tecnologia da informação. 2. Plano diretor. 3. Plano de ação. I. Título. CDU: 004:658(083.9)

7 AS DUAS VERSÕES DESTE DOCUMENTO O presente documento é apresentado em duas versões, para melhor atendimento das finalidades a que se destina. Uma versão sintética, para uso da Diretoria, Superintendências e Áreas Operacionais, possibilita o claro e imediato entendimento sobre os rumos da Tecnologia da Informação e o papel que representa como instrumento estratégico de apoio ao cumprimento da missão institucional da ANEEL. A segunda versão (completa) aprofunda a visão técnica da primeira e fornece informações detalhadas e relevantes a todos os profissionais da Agência e cidadãos, familiarizados e envolvidos, ou não, com a Tecnologia da Informação - TI. O conteúdo das duas versões é a seguir discriminado. VERSÃO CAPÍTULO 1 ESTRATÉGIA GERAL DE TI NA ANEEL SINTÉTICA COMPLETA 1. Contexto da Missão Institucional da ANEEL x x 2. Contribuição da TI ao sucesso da ANEEL x x 3. Princípios de Gestão de TI x x 4. Governança de TI x x 5. Arquitetura de TI x x 6. Padrões de Serviços e Processos x x 7. Portfólio de Aplicações de TI x x 8. Infraestrutura de TI x x 9. Gestão Financeira x x 10. Estrutura Organizacional x x 11. Gerenciamento de Riscos x x 12. Fatores Críticos de Sucesso x x CAPÍTULO 2 DETALHAMENTO DO PLANO DIRETOR 1. Infraestrutura x 2. Desenvolvimento x 3. Acervo Técnico e Gestão de Documentos x ANEXOS 1. Plano de Ações Prioritárias x x 2. Inventário de Ativos x 3. Finanças e Orçamentos x 4. Metodologia Aplicada x GLOSSÁRIO E LISTA DE SIGLAS E ABREVIATURAS x x

8

9 APRESENTAÇÃO Este documento tem como propósito contribuir para o aumento da capacidade de ação e desempenho das superintendências e áreas da ANEEL, no cumprimento de suas metas e desafios institucionais, por meio do fortalecimento dos recursos de Tecnologia da Informação - TI. Trata-se de um instrumento de cunho estratégico, por direcionar mudanças e explorar as melhores possibilidades de emprego e tratamento dos recursos de TI da Agência. Entre vários aspectos, este documento se propõe a: definir o Marco Referencial 1, cenários e prioridades para se alcançar as melhores soluções no atendimento das demandas de TI, tanto dos usuários internos e quanto dos usuários externos da Agência; estabelecer parâmetros para o manejo adequado das bases de dados corporativos e para otimização do emprego de recursos sistêmicos, humanos e de tecnologia; ser um norte orientador para suporte a todas as decisões de investimento e gastos relativos a TI; contribuir para o fortalecimento da governança de TI, por meio de definições, posicionamentos e diretrizes de fortalecimento dos mecanismos de controle e governança corporativa. Ao longo do tempo, espera-se também, com a aplicação das ações contidas neste trabalho, um aumento no nível de maturidade dos processos operacionais e das práticas de negócio da Agência, tornandoa cada vez mais ágil e próxima da sociedade, no cumprimento de sua missão social. NOTA DA 2ª EDIÇÃO A presente edição incorpora atualizações decorrentes da implantação das estratégias de TI, da revisão de prioridades das áreas usuárias e da dinâmica de atividades da Agência em geral entre o período de maio de 2010 a junho de Ressaltam-se dentre as principais alterações: a finalização de várias ações prioritárias (anteriormente em fase de elaboração), a aquisição / substituição de vários equipamentos da infra-estrutura, a revisão do portólio de projetos / aplicações sistêmicas e também a revisão de nomenclatura, detalhamento e composição de várias ações contidas nas estratégias de TI (ETI). O anexo I foi melhorado, com a inclusão de gráfico sobre a evolução da implantação das ETI até o fechamento desta edição. 1 Utiliza-se a denominação Marco Referencial para designar a condição ideal de TI. Marco Referencial indica o 'rumo', o horizonte, a direção que a instituição deve seguir, no sentido da sua superação e transformação.

10 SUMÁRIO CAPÍTULO 1 ESTRATÉGIA GERAL DE TI NA ANEEL 1. Contexto da Missão Institucional da ANEEL Contribuição da TI ao sucesso da ANEEL Princípios de Gestão de TI e Comunicação Governança de TI Arquitetura de TI Padrões de Serviços e Processos Portfólio de Aplicações de TI Infraestrutura de TI Gestão Financeira Estrutura Organizacional Gerenciamento de Riscos Plano Operacional Fatores Críticos de Sucesso CAPÍTULO 2 DETALHAMENTO DO PLANO DIRETOR 1. Infraestrutura Desenvolvimento Acervo Técnico e Gestão de Documentos ANEXOS 1. Plano de Ações Prioritárias Inventário de Ativos Finanças e Orçamentos Metodologia Aplicada GLOSSÁRIO E LISTA DE SIGLAS E ABREVIATURAS

11

12 CAPÍTULO 1 Estratégia Geral de TI na ANEEL

13

14 1. CONTEXTO DA MISSÃO INSTITUCIONAL DA ANEEL Proporcionar condições favoráveis para que o mercado de energia elétrica se desenvolva com equilíbrio entre os agentes e em benefício da sociedade. O espaço institucional da ANEEL é, por definição, complexo e abrangente. A ANEEL é responsável pela manutenção de regras claras e estáveis, indispensáveis à criação de um ambiente propício a investimentos de longo prazo no setor de energia. Assim, a atuação da ANEEL é condicionada por diversos aspectos: A regulação do setor elétrico tem impacto imediato no desenvolvimento econômico do país. A ANEEL desempenha papel primordial no estímulo a investimentos no setor elétrico, na prevenção de crises de abastecimento de energia elétrica e na redução dos custos de infraestrutura e de insumos ao setor produtivo o chamado custo Brasil ; O setor de energia não apenas tem participação expressiva no PIB, como condiciona severamente o desempenho dos demais setores produtivos; A escala da maior parte dos empreendimentos do setor elétrico requer o aporte de recursos financeiros em volumes extremamente elevados; As decisões no mercado de energia elétrica exigem planejamento de longo prazo, pois os investimentos necessários à geração, distribuição e comercialização de energia são direcionados a projetos que, em regra, demoram anos até sua conclusão e início de operação comercial; A efetividade da regulação depende fortemente da robustez técnica da ANEEL na definição de valores de tarifas, de forma a assegurar o equilíbrio entre remuneração do investimento e capacidade de pagamento dos consumidores. Além da complexidade inerente ao assunto, as decisões da ANEEL estão permanentemente expostas ao risco de situações de elevado custo político e ao risco de contencioso judicial; A regulação do setor elétrico tem impacto imediato na sustentabilidade ambiental e social da matriz energética; A atuação da ANEEL tem forte impacto social, uma vez que a fiscalização do cumprimento do marco normativo sustenta a política de acesso à energia elétrica pelo segmento da população de baixa renda; A ANEEL gera insumos para formulação de políticas públicas e planejamento governamental intersetorial, a exemplo da formulação das políticas industrial, de meio ambiente, de redução da pobreza e inclusão social; A ANEEL é depositária de dados e informações sensíveis e está obrigada a zelar pelo seu sigilo e integridade. Qualquer acesso indevido a tais informações expõe a Agência a riscos inaceitáveis - tanto de contencioso judicial, como de desgaste de sua imagem institucional. 3

15 4

16 2. CONTRIBUIÇÃO DA TI AO SUCESSO DA ANEEL Para que a regulação do setor elétrico cumpra seus objetivos, é indispensável captar a dinâmica e os diversos interesses do setor, frequentemente conflitantes, e refletir adequadamente a complexidade desta disputa. Por um lado, a informação é insumo para o processo decisório do órgão regulador e para a definição do marco normativo do setor elétrico. Por outro, quando organizada e disponibilizada pela ANEEL, a informação torna-se produto com elevado valor agregado para a tomada de decisão pelos diversos atores impactados pela regulação, desde formuladores de políticas públicas até investidores, produtores, distribuidores e consumidores finais de energia elétrica. A despeito da evolução da tecnologia e dos avanços organizacionais conquistados pela ANEEL desde sua criação em dezembro de 1996, foram detectados processos de trabalho da Agência severamente afetados pela falta, atraso ou imprecisão de informações, nas Oficinas de Trabalho TCU/FGV em , em especial: a fiscalização dos serviços de distribuição (avaliação física dos ativos); a regulação dos serviços de geração (acompanhamento do ONS); e a regulação tarifária (coleta e análise de informações de regulação econômica). Ainda de acordo com o trabalho do TCU/FGV, a precariedade do tratamento da informação na ANEEL prejudica de forma inequívoca a capacidade de o órgão cumprir sua missão institucional no que diz respeito à modicidade tarifária, pois este objeto de controle sofre mais de 73% do impacto global (probabilidade x materialidade x relevância) dos eventos relacionados à falta, atraso ou imprecisão das informações. A dificuldade no processamento de informações relacionadas à modicidade tarifária afeta, no mínimo, nove superintendências. O trabalho do TCU/FGV destacou também a dificuldade da ANEEL no tratamento do objeto de controle de qualidade, uma vez que este controle é afetado por mais de 15% do impacto global dos eventos relacionados à precariedade das informações. Entre as dificuldades na gestão da informação, as superintendências destacaram: Recebimento de informações e dados falhos, inadequados, pouco acurados, com omissões ou atraso; Problemas na qualidade da análise dos dados devido à falta de instrumentos automatizados; Ausência de mecanismos para coleta de dados; Ausência ou insuficiência de dados para análise; Erro de cálculo em decorrência de procedimentos não automatizados. Entretanto, está na governabilidade da ANEEL automatizar a captação e o tratamento de informações para mitigar a maior parte deste impacto, o que exige redesenho de processos para uso de workflow, definição de indicadores e metodologias na identificação de não-conformidades, definição de mecanismos de validação de dados captados e reestruturação das bases de dados corporativas, para viabilizar o uso de soluções de tecnologia para inteligência de negócio. 2 V. 5

17 6

18 3. PRINCÍPIOS DE GESTÃO DE TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO A tecnologia de informação e comunicação atualmente disponível para uso corporativo permite coletar e processar dados em volumes praticamente ilimitados e gerar relatórios em tempo real. Entretanto, o que diferencia as organizações é a capacidade de identificar quais os dados necessários para gerar informação relevante para a tomada de decisão e processá-los de maneira a obter o conhecimento necessário ao cumprimento de sua missão institucional. Neste sentido, a gestão de tecnologia de informação e comunicação será pautada pelos seguintes princípios. Assegurar a confiabilidade da informação coletada, processada ou publicada pela ANEEL; Assegurar a integridade e o sigilo de informações sensíveis; Buscar a redução de custos operacionais para a ANEEL e para o agente regulado nos aspectos relacionados à gestão de TI; Aumentar a agilidade na tomada de decisão pela ANEEL, com a automação de processos de trabalho; Favorecer a redução do risco de contencioso. Tais princípios requerem: Interoperabilidade dos sistemas corporativos da ANEEL com os demais órgãos governamentais afetos ao setor de energia; Automação no recebimento e validação de dados junto aos agentes regulados; Registro cronológico do relacionamento com os agentes regulados, de maneira a gerar prontuários eletrônicos 3 ; Uso intensivo de ferramentas de inteligência de negócio; Uso intensivo de geoprocessamento; Aplicação das melhores práticas de gestão comumente aceitas (ex. ITIL), com o sentido de assegurar padrões de melhoria contínua de qualidade, ou no mínimo, nunca inferiores à condição atual. 3 Atualmente disponível pelo Sistema de Acompanhamento do Relacionamento Institucional (SARI) 7

19 8

20 4. GOVERNANÇA DE TI A ANEEL deverá preservar o modelo de gestão de TI aprovado pela Diretoria Colegiada em dezembro de 2007, cujas bases encontram-se abaixo mencionadas: Uma área formalmente responsável por propor a agenda de Tecnologia da ANEEL, composta de: i. Plano Diretor de Tecnologia da Informação PDTI (vigência de 3 anos), que estabelece as diretrizes para a Gestão de TI; ii. iii. Plano Operacional (anual), que detalha os projetos a serem implementados para o atendimento daquelas diretrizes; Plano de Investimentos (anual), que aponta os custos da implantação do Plano Operacional; Um colegiado com respaldo institucional para aprovar a Agenda de Tecnologia e para avaliar formalmente o desempenho das áreas envolvidas no cumprimento da agenda aprovada; Uma área formalmente responsável por executar as determinações do colegiado e cumprir a Agenda de Tecnologia por ele aprovada; Gestores de sistemas corporativos, formalmente responsabilizados para esta missão. Em síntese, a ANEEL deverá buscar permanentemente a contratualização interna da gestão de Tecnologia da Informação, o que requer não apenas a clara definição dos projetos, mas também a formalização dos compromissos de cada um dos envolvidos na sua execução, sejam estes responsáveis pela área de tecnologia, de logística, de recursos humanos, de orçamento e finanças ou, mesmo, por uma área finalística quando gestora de um sistema corporativo. O compromisso formal em torno de projetos, quando associado a um rito também formal de avaliação periódica, resulta na visibilidade do desempenho de todas as áreas envolvidas e permite antecipar a detecção de dificuldades e de riscos na execução da Agenda de Tecnologia. Este modelo está alinhado ao marco normativo do SISP Sistema de Administração dos Recursos de Informação e Informática, especialmente à Instrução Normativa n 04, da SLTI / Ministério do Planejamento, Orçamento e Gestão, qde 12 de novembro de 2010, que estabelece a orientação de as contratações serem precedidas de planejamento, elaborado em harmonia com o PDTI, alinhado ao planejamento estratégico do órgão ou entidade. 9

21 10

22 5. ARQUITETURA DE TI Em termos gerais, o atendimento da demanda por serviços de Tecnologia da Informação da ANEEL será suprido por meio do emprego de recursos humanos especializados e de acervo de ativos físicos em níveis de quantidade, qualidade e confiabilidade compatíveis ao cumprimento da missão institucional da Agência, para o presente e o futuro. A suficiência da infraestrutura tecnológica de TI estará garantida pelo acervo de equipamentos e dispositivos mantidos em condições de alta segurança (ex. sala-cofre), com renovação tecnológica constante e suporte de serviços especializados. Equipes de profissionais especializados estarão a cargo das responsabilidades relativas à gestão da Rede Lógica, Banco de Dados, Aplicações Web, Segurança da Informação, Geoprocessamento e Service Desk, de forma a assegurar os princípios de alta disponibilidade, rigor técnico, processo corporativo, equipe altamente capacitada, agilidade operacional e retenção de conhecimento especializado inerentes às necessidades da Agência. No tocante ao desenvolvimento e manutenção das aplicações, a gestão dos serviços será assegurada por equipes internas especializadas em administração dos projetos, aplicação de novas tecnologias, sustentação dos serviços gerais, geoprocessamento e legados existentes. O desenvolvimento de novas aplicações será realizado por equipes de desenvolvimento externo (Fábrica de Software) e os procedimentos e mecanismos de desenvolvimento serão regulados por meio da aplicação de padrões de gerenciamento internos adotados pela Superintendência de Gestão Técnica de Informação SGI da ANEEL. Equipes especializadas na gestão documental e execução das funções de preservação e suporte aos acervos informacionais se incorporam também à SGI, como o Centro de Documentação e a Gestão de Documentos de Arquivos, dentro do escopo da gestão de TI. Informações complementares encontram-se relacionadas no tópico 8 deste capítulo Infraestrutura de TI. O detalhamento de todo o material descritivo técnico referente ao Marco Referencial sobre arquitetura de ativos e serviços encontra-se no Capítulo 2 deste Plano Diretor (versão completa). 11

23 12

24 6. PADRÕES DE SERVIÇOS E PROCESSOS Para que os serviços de TI da ANEEL sejam prestados de forma ágil, eficiente e com níveis elevados de qualidade, integridade e confiabilidade, serão adotados os seguintes padrões referenciais: Para efetividade técnica-operacional da infraestrutura, a aplicação dos princípios da alta disponibilidade, rigor técnico, processo corporativo, equipe altamente capacitada, agilidade operacional e retenção de conhecimento especializado 4 ; Para busca da melhoria dos processos e boas práticas de governança na infraestrutura, operação e manutenção de serviços de TI, a aplicação dos princípios constantes da biblioteca de boas práticas do ITIL 5 ; Para alcance dos objetivos de desenvolvimento, a aplicação de técnicas e princípios de gestão universalmente aceitos (ITIL e PMBoK 6 ), padrões unificados de modelagem e metodologia de desenvolvimento e métricas para constatação de evidências de execução e melhoria contínua da qualidade dos serviços de TI; Para fortalecimento da capacidade de ação do usuário e atendimento de sua demanda específica, a promoção e disseminação de tecnologias inovadoras; Para assegurar o bom funcionamento e manutenção evolutiva dos sistemas em uso, a aplicação de esforços necessários e suficientes para sustentação do legado existente; Para alcance da melhor solução possível no processo de atendimento de uma demanda, a busca por soluções estruturantes e de inteligência de negócio. 4 V. detalhes no Capítulo 2 Detalhamento, tópico Sigla da Information Technology Infrastructure Library, conjunto de boas práticas que buscam promover a gestão com foco no cliente e na qualidade dos serviços de TI de forma a alcançar o alinhamento estratégico com os negócios da corporação. 6 Sigla do Project Management Body ok Knowledge, conjunto de práticas em gerenciamento de projetos. 13

25 14

26 7. PORTFÓLIO DE APLICAÇÕES DE TI O portfólio de aplicações de TI da ANEEL está abaixo sumarizado: 7.1 Sistemas ativos em funcionamento Áreas Sigla do Sistema * Total Uso Corporativo Geral SICNET, Duto, Dutonet, GU, WebServices, Colaboração EGP e Desenvolvimento (Team Foundation), S3A 7 Fiscalização: SFF, SFE, SFG TAXA V2/V3, SISGECONT, INDQUAL, SIGEFIS, BMP, Inadimplentes 6 Regulação: SPE, SRE, SEM, COMVEN, DMR, SIPA Participação, P&D, PEE, BXR, Universal, SCS, SAMP SRC, SRT, SRG, SRD (Extranet e Intranet), SIGET, CTR, Cálculo Taxa 13 Autorização e Concessão: SGH, BIG, SIGEPH, Geração, Res 396, Comp.Financeira, Processos SCG, SCG, SCT Paracemp, CRGE, SAT, UND, HIDRO 11 Mediação: SMA SGO, Call Center 2 Administrativas: AIN, SRI, SRG, SIGAIN, SIGEC, Almoxarifado, Sisplan, Catraca, SigAneel, SICOR, SLC, PontoNet, SisRH, Dicom, Talentos, SIAL, Convênios, SARI, GESPRO, Boleto, 18 SLC, SAF, SGI, SPG, SGE, SRH Atesto de Contas Telefônicas Total de Sistemas Ativos: 57 * v. Glossário 7.2 Aplicações de Geoprocessamento existentes Áreas Descrição da Aplicação Total Uso Corporativo Geral / Uso ExternoSIGEL - Sist. Informações Georeferenciadas do Setor Elétrico em ambiente Web 1 SCG/Prefeituras/Estados/União Análises cartográficas de reservatórios das UHEs (Usinas Hidrelétricas de Energia), para fins de compensação financeira a entes da federação pela geração 1 SCG/Prefeituras/Estados/União de Análises energia de documentação cartográfica dos processos de declaração de utilidade pública (DUP) para fins de desapropriação de áreas e implantação de novos empreencimentos do setor elétrico, evitando erros de demarcação, duplicações e 1 outras interferências. Outras aplicações para atendimento das mais diversas finalidades (Ex: produção Uso Corporativo Geral / Uso Externo de sedimentos x vida útil de reservatórios e capacidade de geração, regionalização div da qualidade, confronto regional de tarifas x níveis de renda, etc. Total de Aplicações: < 4 15

27 7.3 Novos Projetos Sistêmicos Itens já em desenvolvimento e/ou constantes do Portal Sharepoint em 30/06/2011 Área solic. Novo Projeto [N] / Evolução Adaptativa [E] Sistema Prioridade Objetivo Benefícios a serem gerados Corporativo Corporativo SCT/ SRT / SER / SFF SCG / SFG CASE - Sistema de Cadastro de Agentes do Setor Elétrico SICnet 2 nova versão do Sistema Integrado de Gestão de Protocolos e Documentos Sistema Coleta de Preços para Custo Padrão de Linhas de Transmissão e subestações 7 SisMEGEE Sistema de Monitoramento dos Empreendimentos de Geração de Energia Elétrica (Outorga) / BIG N 110 N 110 N 110 N/ E 110 Estruturação do Registro dos Agentes do Setor elétrico Reformulação do sistema de gestão de documentos em nova plataforma com introdução de várias novas funcionalidades. Automatizar / padronizar / controlar inputs e alimentar BD p/ cálculo custo-padrão e divulgação informações pela Web (N) Sistema de gerenciamento para fins de outorga de gerações e acompanhamento de empreendi-mentos em obras. (E) Revitalizar sistema para consulta Web on-line em novas bases; SFE SIGECONT E 110 Evoluir sistema e converter em módulo do INDQUAL, para acesso à base integrada SGi / SRI SRD SARI Sistema de Acompanhamento do Relacionamento Instituconal GCEM - Sistema de Gestão de Campos Eletromagnéticos E 110 N 110 Criar novo banco de dados, aumentar flexibilidade, melhorar classificação e eliminar precariedade do sistema atual Divulgar informações de valores de campos eletromagnéticos da rede básica Solução estruturante que visa manter em boa ordem registros básicos dos quais dependem vários outros sistemas / aplicações. Melhoria de processos de trabalho, redução de atividades duplicadas (cópia e escaneamento), uso de assinatura digital e acesso externo a documentos de processos. Contribuição para análise, estimativas e determinações de investimentos na área de linhas de transmissão e subestações Redução da carga trabalho da SCG/SFG, aumento do retorno de respostas, compatibilidade ao Sist. Cadastro Outorgas / Obras Geração, e melhoria da confiabilidade da informação (Obs: o SisMEGEE deverá englobar o BIG e o Sistema de Outorga, além de criar o módulo de acompanhamento de obras de empreendimento de geração). Novos relatórios desemp. qualidade dos fornecedores, disponib. Ag.Estaduais na Web, agregação de dados ao SAD e consolidação dos indicadores no sistema Melhoria do controle dos consórcios, da desverticalização e melhor utilização do cadastro por outros sistemas / outras áreas da ANEEL. Conf. Lei aprovada em 2009, a informação se destina a prevenção de riscos da exposição humana aos campos eletromagnéticos. 7 O desenvolvimento deste sistema encontra-se temporariamente suspenso pela SCT em razão da contratação de consultoria para elaboração de sistema de coleta de preços da distribuição e correspondente aguardo de resultados. 16

28 SFF SRE / SEM SRD Diretoria SRT/ SFE/ SCT/ SRE SRI CVA Cálculo das Variações dos itens da Parcela A SAMP Versão 4 (Sistema de Acompanhamento de Mercado para Regulação Econômica) PRODIST módulo 6 (projeto piloto) Sistema de Controle de Reuniões da Diretoria (novo SICOR) N 110 N 110 N 110 N 110 SIGET E 53 SIAD Sistema de Acompanhamento da Descentralização N 26 SRC Universalização E 15 SFF SRC AIN RIT Relatório de Informações Trimestrais SICRAM - Sist,Controle de Resultados de Atendim.Call Center das Agências Sist Contr Processos de Auditoria E 13 N 11 E 9 Sistema para aferição das variações de custos não gerenciados pelos concessionários (parcela A) para auxílio ao processo de reajustes tarifários Reformulação do sistema para maior eficácia operacional. Recebimento de inputs de compensação financeira em razão de transgressões nos indicadores. Novo item solicitado pela Diretoria. Módulo de Acompanhamento de Empreendimentos para uso da SCT. Substituir processo manual de prestação de contas das agências estaduais por mecanizado e implantar novos processos de acompanhamento efetivo das atividades descentralizadas da ANEEL. Mudar estrutura de tabelas e incorporar novas informações, mudar página Web, automatizar carga informações Duto, alterar conteúdo apresentação. Aumentar processo de carga das informações para BDC, introduzir checagem de consistência, validação, atualização de consultas, emissão de relatórios consolidados, melhorar controle do preenchimento do RIT Relatório analítico sobre desempenho das Centrais de teleatendimento das empresas distribuidoras de Energia elétrica Diversos ajustes e novas funcionalidades de automação Melhoria operacional, redução de carga de trabalho e eliminação de erros de cálculos por meio de automação de processos. Melhorias nas funcionalidades existentes em atendimento às necessidades. Automação do processo de recebimento, armazenamento e disponibilização de inputs com emissão de relatórios de instrução. Melhoria de Controles Permitir a elaboração de controle dos empreendimentos em fase de outorga. Possibilitar um controle efetivo do processo de descentralização da ANEEL, com inputs automáticos, redução da complexidade, eliminação de atrasos e maior eficácia no controle das prestações de contas das agências estaduais. Melhoria na qualidade da informação, redução do volume de tarefas manuais, redução de erros e tempo de consolidação das informações do programa de universalizaçã.o Racionalização do conjunto de informações solicitadas pela ANEEL, redução do trabalho dos agentes, simplificação dos processos, facilidade de acesso ao RIT por outras UOs, maior transparência e melhoria da qualidade da info recebida Permitir fiscalização do atendimento e acompanhamento da melhoria de qualidade das distribuidoras em benefício ao público Melhoria nas condições de trabalho por meio da incorporação de ajustes no sistema em uso. 17

29 Novo Projeto [N] / Evolução Área solic Adaptativa [E] Sistema Prioridade Objetivo Benefícios a serem gerados SFF SRC SFE Sistema Cadastro de Inadimplientes SIPAF - Sist.Participação Financeira Resolução Normativa 250/07 APSE - Perturbações no Sistema Elétrico E 7 N 5 N 4 SRH Sist Recursos Humanos N 4 SRI SMA SMA SMA SAF Sistema para Apoio a Eventos Sistema de Ouvidoria (2ª versão) Sistema de Controle dos Conselhos de Consumidores Sistema de controle de Mediações N - N - N - Versão 3 do sistema, que permite atualizações automáticas e outras funcionalidades Aplicativo em Web para simulação do cálculo do encargo responsabilidade da Distribuidora e eventual particip. financeira do consumidor Desenvolver banco de dados de ocorrências e perturbações no sistema elétrico, para permitir o cruzamento de informações, estatísticas, tendências e relatórios diversos Implementação de novos módulos e relatórios ao sistema já existente Substituição do Mural Eletrônico e outras finalidades Integrar ouvidorias Agências descentralizadas e otimizar níveis de atendimento Gestão e acompanhamento dos conselhos de consumidores Maior agilidade e confiabilidade na prestação de serviços da ANEEL, com emissão certificado adimplência on-line Maior publicidade em relação à aplicação normativa e forma de cálculo pelo consumidor, conforme determina a regulamentação Maior eficácia da ANEEL em assegurar sua missão institucional, por meio de acompanhamento de variáveis controladas por atores externos, como ONS, Eletronorte, Furnas, etc Maior eficácia das atividades de controle de RH. Permitir registro e controle de eventos, consultas e audiências públicas Integração, novas funcionalidades, uso de recursos avançados Web, facilitar manutenções futuras Fiscalização da ANEEL sobre as atividades dos conselhos, conf. Resolução nº 138/2000 N - A ser encaminhado A ser encaminhado Automatização da gestão de Sistema de Elevar automatização, melhorar N - distribuição dos créditos aos Compensação Financeira integração e confiabilidade Estados, Municíp. e entidades Total de solicitações de desenvolvimento de novos projetos sistêmicos: 26 18

30 7.4 Novas Aplicações de Geoprocessamento identificadas Áreas Descrição da Aplicação Total Webservice em Padrão WFS para Consumo do Sistema SIGEL e Outros => Diretoria / MME / Uso implantação de recurso de transmissão automática de informações de fontes Corporativo / Uso Externo externas para atualização dos dados georreferenciados nos sistemas 1 disponibilizados pela ANEEL Uso Corporativo / Fiscalização / Uso Externo Geral Uso Corporativo / Uso Externo Uso Corporativo / MME / Estados / Uso Externo Geral Sistema de divulgação do acervo de imagens via Web => ferramenta para disponibilização ao público do acervo de imagens de satélites e cartas topográficas integrantes do BD georeferenciado do Setor Elétrico, de interesse para fins de planejamento e gestão de empreendimentos no setor elétrico. Implantação do processo de espacialização seletiva de dados e informações do SAD/SAS => incorporação de dados georreferenciados nas bases das ferramentas de Inteligência de Negócios (BI) Programa Luz para Todos: mapeamento, acompanhamento, representação geográfica e divulgação de áreas atendidas e ainda não atendidas => para maior transparência e conhecim. nas ações ligadas à justiça social junto ao setor elétrico Uso Corporativo / MME / Agentes Diretoria / MME / Uso Externo SRD / SRE / Uso Externo / Distribuidoras SCG / AIN / Áreas de Fiscalização SCG / AIN / Áreas de Fiscalização SGH / Áreas de Fiscalização / Concessionárias SRF / Áreas de Fiscalização / Concessionárias Linhas de Transmissão do SIN: mapeamento, acompanhamento, representação geográfica e divulgação do traçado real torre a torre => para fortalecimento e implantação de políticas públicas e direcionam.investimentos, com cruzamentos com outros mapas temáticos - escolas, povoados sem energia, IDH-M, etc. Suporte ao Programa de Tarifa subsidiada => para identificação do perfil sócioeconômico e cultural das populações subsidiadas e a razoabilidade da aplicação de justiça social. Mapeamento dos Conjuntos Elétricos e Índices DEC / FEC => para subsídios à definição dos indicadores de tendência, qualidade, problemas e decisões sobre investimentos e programas de melhoria. Mapeamento e monitoramento das ocupações ilícitas em torno dos reservatórios das UHE => reforçar o monitoramento e poder de polícia da Agência, no tocante à verificação física de ocupações irregulares e abusos, no âmbito do patrimônio da União). Mapeamento das Concessões => para visualização do acervo existente, indicadores, razoabilidade dos leilões e tom.decisões s/planejam.novas redes Mapeamento das bacias hidrográficas com maior potencial para implantação das PCHs ou CGHs => para suporte à agenda estratégica de prioridades de investimentos em projetos de geração. Georeferenciamento das perdas não técnicas => para detecção de furtos, "gatos", etc, culminando na exigência da ANEEL na tomada de providências, evitando que os bons consumidores sejam penalizados por essas perdas, no preço das tarifas SMA/Ouvidoria / Uso Corporativo SRD / Uso Corporativo Geral Controle Geográfico de Reclamações => para viabilizar ação coordenada com foco em qualidade de serviços, com base em informações estatístico-geográficas de 1 reclamações, vinculando-se à procedência e às concessionárias associadas. PRODIST => Módulo com funções de geoprocessamento a ser incorporado no 1 sistema de controle contábil dos ativos do setor elétrico Total de Aplicações: 13 19

31 20

32 8. INFRAESTRUTURA DE TI O acervo de equipamentos e dispositivos de infraestrutura de rede da ANEEL encontra-se instalado em data center (sala-cofre) de alta segurança e proteção, com climatização de precisão em redundância, geradores e outros dispositivos que asseguram estabilidade de funcionamento. O complexo instalado reúne ambiente tecnológico compatível aos níveis atuais, padronização, dimensionamento e suporte dos fabricantes em condições aceitáveis. Não obstante vários aspectos positivos, o acervo requer avaliação e redimensionamento contínuo para que sua suficiência operacional seja preservada com margem de segurança. No tocante ao volume de processamento e armazenamento de informações da Agência, pode-se dizer que há um crescimento do nível de demanda muito superior ao nível de crescimento econômico do país, que pode ser constatado pelos indicadores setoriais da Agência 8. Faz-se necessário, por consequência, avaliações periódicas e investimentos para prevenção de sobrecarga e instabilidade na rede lógica. Já o regime de contingenciamento, operado apenas em nível interno, qualifica-se como insatisfatório, dada a inexistência de infraestrutura redundante instalada em local distante. Várias ações de melhorias encontram-se em estudo, como a substituição do cabeamento estruturado nas diversas dependências e andares da Agência, para melhoria da organização e velocidade de comunicação. Assim, como estratégia, deve ser perseguida a garantia de continuidade do negócio, com redundância do ambiente operacional instalado fora da ANEEL e a maximização da ação preventiva, com uso de nível elevado de automação no controle e monitoramento da rede, entre outros. Para a boa continuidade das operações de TI da ANEEL e saneamento das limitações acima, faz-se necessário a execução dos níveis de investimento em hardware e software em conformidade ao orçamento anual apurado pela SGI (Plano Gerencial). No caso específico de softwares, deve ser assegurada a atualização periódica das versões dos mesmos, dentro do aplicável. Abaixo, encontra-se a posição do acervo de infraestrutura de hardware e software da ANEEL em junho de : Infraestrutura de Rede: Servidores de Rede: 56 equipamentos - 48 HP BL460C- G6, 8 Dell Power Edge R 710; Máquinas Virtuais: 61 servidores virtualizados; Dispositivos de Armazenamento (Storage): 1 EVA 8400 (SAN), 2 Clarion CX4-120 (SAN); Dispositivos Concentradores: 26 Switch Ethernet (Enterasys: 5 C3G124-48, 2 N3, 1 N7 e 1 E7; Cisco: 8 WS-CBS3120G-S e 8 WS-CBS3120X-S; Foundry: 1 FastIron Edge X424), 9 Switch de Fibra ótica (Brocade Silkworm: 1 mod e 8 mod. HP2) e 31 Switch Ethernet de Borda (Enterasys: 26 mod. C2H124-48, 4 mod. C2H124-48P e 1 B2H124-48); Dispositivos de Segurança: 1 servidor Dell Power Edge 1850, 9 Appliance Fortinet; Protocoladoras Digitais: 2 unidades Dell Power Edge R 200; 8 Entre as principais causas desse fenômeno, tem-se o crescente númeto de parceiros do setor elétrico, a elevada quantidade de projetos de empreendimentos elétricos em estudo, a interação com os mercados de energia e a complexidade da atividade regulatória em si. 9 V. detalhamento no Anexo 2 Inventário de Ativos 21

33 Unidade Robotizada de Backup: Dell Power Vault (1 ML 6000); Climatizadores de Alta Precisão: 2 Liebert Challenger 3000 e 2 Diamont Veja; Sistemas Operacionais/licenças: Windows 2003/2008 R2 Server em várias edições (Standard, Enterprise, R2, etc) 90 licenças e Red Hat Linux 3 licenças. Infraestrutura Banco de Dados: Sistema SQL Server Service Desk: Central de atendimento que opera externamente em ponto único com sistemas de gerenciamento próprio. Infraestrutura de Segurança Acervo com diversos dispositivos e ferramentas de segurança (antivírus, antispyware, antispam, antimalware, firewall VPN, etc), análises de risco e vulnerabilidade, filtros de conteúdo, etc. Infraestrutura Web: Softwares Cold Fusion, Microsoft SO versão 2003 e IIS versão 6. Infraestrutura para Geoprocessamento: Plataforma ESRI para aplicações vetoriais e ENVI para processamento digital de imagens. Infraestrutura do Acervo Técnico Informacional: Softwares em uso: Sistema Thesaurus de Automação de Bibliotecas (versão 6.0.5), Next Page On-Line (versão 4) e Lightbase/Goldendoc. Infraestrutura da Gestão de Documentos de Arquivo: Sistema SICnet. 22

34 9. GESTÃO FINANCEIRA A gestão financeira dos serviços de TI da ANEEL envolve três pontos relevantes: (i.) o do orçamento, onde são abordados aspectos pertinentes à forma como os recursos financeiros serão obtidos e administrados para permitir a efetivação das ações de TI; (ii.) o da contabilidade, em que se discute o tratamento ideal para os custos de TI e (iii.) o da gestão de contratos relativos a serviços de TI. Para o primeiro ponto, o do orçamento, o fato primordial a destacar é que a ANEEL, necessita de mecanismos internos muito ágeis e eficazes, para elaboração de um orçamento coerente e compatível com as áreas demandantes de TI, em prazos muito exíguos na fase final de consolidação da proposta da LOA, com frequente vaivém de informações que se alteram constantemente. Na fase posterior, da execução orçamentária, a agilidade também é um aspecto essencial no sentido de assegurar um controle e acompanhamento ostensivo dos gastos e disponibilização, ante diferentes cenários de contingenciamento, remanejamentos de verbas de TI e outros eventos. Assim, o quesito agilidade deve ser suprido por: Profundo envolvimento e responsabilidade dos gestores do processo, no sentido de prover um bom embasamento das prioridades, projeções, justificativas de gastos e também uma boa interlocução com a alta direção, com a demonstração das consequências para a Agência em caso de impossibilidade de efetivação dos gastos de TI; Apoio da Comissão de Gestão da Informação CGI, no tocante às definições e aprovação de projetos de TI; Processos internos adequados e coordenados; Disponibilização de sistema integrado próprio, para atendimento das necessidades da Agência, em complemento aos sistemas SIAPE e SIAFE da União 10 ; Controle de toda a gestão orçamentária de TI por servidores efetivos destacados para esta função dentro da SGI e de forma a propiciar um compartilhamento e suporte destas atividades com a fase de planejamento de contratações, no âmbito do processo licitatório. Quanto à contabilização dos gastos de TI, o Marco Referencial para a ANEEL é o de perseguir a abertura de gastos por natureza, apropriação e formação, para apuração de todo o dinheiro gasto, com identificação de custos por cliente, serviço e atividade. Trata-se do tratamento de TI como um centro de custo, de forma a permitir a determinação de base de valor (referências: custo/hora, licença por equipamento, ponto de função, hora/máquina e outros) acompanhada dos valores de referência unitários correspondentes contidos em registros contábeis e documentação comprobatória disponível (nota fiscal, lançamento, ordem de serviço e outros), de forma a compor uma base justa, confiável e transparente de apropriação de custos para cada superintendência e área demandante de serviços de TI. Este conceito se encontra alinhado aos princípios da biblioteca ITIL de boas práticas de gestão. No tocante à gestão de contratos, o Marco Referencial é o da ação pró-ativa e do pleno alinhamento às diretrizes da Secretaria de Logística e Tecnologia da Informação SLTI do Ministério do Planejamento 10 Atualmente, a ANEEL utiliza um sistema próprio (SIGANEEL), desenvolvido pela SGI, que oferece apoio para a administração deste processo e atendimento a particularidades de detalhamento, composição de custos e abertura de contas e subcontas em diferentes níveis de classificação de Custeio e Investimentos de TI. Na condição atual, o sistema requer manutenção corretiva e evolutiva para sanar uma série de limitações existentes. 23

35 MPOG, tanto na fase de planejamento do processo licitatório, para redução do nível de incerteza existente no tocante à obtenção da solução desejada, como também na fase de execução dos contratos em vigor, onde o esforço a ser despendido deve ter por foco a busca da melhoria contínua, por meio do uso de instrumentos adequados de avaliação de desempenho e mitigação dos riscos envolvidos. Entre os tópicos essenciais a serem cobertos, tem-se a forma como deverão ser asseguradas, contratualmente, as devidas condições de segurança, níveis de qualidade de serviços, transferência de conhecimento, transição contratual e continuidade dos serviços, por ocasião da substituição dos contratos relativos a serviços técnicos especializados. 24

36 10. ESTRUTURA ORGANIZACIONAL Como Marco Referencial, o diagrama de estrutura organizacional básico para assegurar o funcionamento adequado de TI na ANEEL é a seguir apresentado. Superintendência Assessoria Comitês * Geoprocessamento Administração de TI Gestão de Documentos EGP EGS Acervo Técnico (CEDOC) Sustentação de Sistemas ** Administração de Dados Outros Projetos *** Rede Lógica Segurança Banco de Dados Contratações e Aquisições Pessoal e Controles Planejamento e Orçamento Desenvolvimento Gestão de Ativos Fig. 1. Diagrama da estrutura organizacional Legenda: EGP: Escritório de Gestão de Projetos e Sistemas EGS: Escritório de Gerência de Serviços Serviços Observações: * Comitês: grupos de trabalho para atendimento às necessidades de TI, como: gestão de mudanças, PDTI, etc; ** Sustentação de Sistemas: além das atribuições de manutenção, inclui desenvolvimento de soluções com quantidade inferior a 50 Pontos de Função (até aprox. 400 horas de trabalho); *** Outros Projetos: inclui suporte a projetos não sistêmicos e outras aplicações (BI, Sharepoint, Web, etc). A SGI é responsável pelos seguintes processos: Prover segurança da Informação; Administrar software e Hardware; Central de Atendimento ao Usuário; Administrar Rede de Infra-estrutura; Disseminar informações; Administrar e Implementar Banco de dados; Processar e Disponibilizar Acervo Técnico Informacional; Gestão de Documentos de Arquivo; Desenvolver Sistemas de Informação e Desenvolver e Disponibilizar Sistemas de Informações Geográficas. Nas condições atuais, a estrutura de funcionamento da Superintendência de Gestão Técnica da Informação SGI assemelha-se à da Figura 1. As macro-funções operacionais são 5 (cinco): Escritório de Gesão de Projetos e Sistemas EGP, Geoprocessamento, Escritório de Gerencia de Serviços EGS, Acervo Técnico e Gestão de Documentos. A função Administração de TI apoia a Superintendência em atividades relativas às aquisições e gestão de contratos, pessoal, planejamento, finanças, orçamento, outras atividades de staff relativas à TI. 25

37 O EGP atua como unidade que centraliza e coordena a execução de projetos de modo contínuo, ao fornecer apoio aos projetos por meio de políticas padronizadas, procedimentos e gerenciamento de recursos. Para os sistemas novos, o desenvolvimento ocorre por meio de fornecedor contratado para esse fim (Fábrica de Software) e para os sistemas existentes, a manutenção é efetuada por meio da equipe de Sustentação de Sistemas. O EGP engloba também as áreas de: Administração de Dados, que atua como guardiã de dados da Agência, dentro do objetivo de eliminar focos de redundância e preservar a qualidade das informações e Outros Projetos que não os estritamente controlados por práticas e mecanismos específicos de gerenciamento de projetos. Ao EGS cabe a coordenação de todas as funções associadas à infraestrutura de TI, como administração da Rede Lógica, Segurança, Banco de Dados, Gestão de ativos (hardware e software) e Serviços em geral (Service Desk, Mensageria, Serviços Internet/Intranet, etc). O Acervo Técnico e Gestão de Documentos administram outros subprocessos distintos da Gestão Técnica da Informação, tanto no tocante à preservação do conhecimento gerado pelo setor energético como pelo conjunto de técnicas aplicáveis à guarda e acesso imediato das informações oficiais da Agência Situação da Força de Trabalho Nos últimos anos e particularmente na legislação a partir de 2008, em decorrência do Acórdão 1603/2008 do TCU Plenário, Levantamento de Auditoria, Situação da Governança de TI na Administração Pública Federal - houve ênfase para que os órgãos possuam quadro de servidores efetivos para atender as atividades de informática, qualificadas como estratégicas. Atualmente muitas atividades são exercidas por pessoal terceirizado, o que aumenta consideravelmente os riscos de continuidade dos serviços e perda do conhecimento por ocasião das substituições de contratos. A estrutura de pessoal no âmbito da tecnologia da informação apresentava deficiências, como medidas para solucionar o problema foram incluídas vagas no ultimo concurso para Analistas e Técnicos Administrativos com foco na área de TI, Arquivologia, Biblioteconomia e Georefefrênciamento para suprir as deficiências e atender as novas orientações quanto ao pessoal para área de TI. Foram previstas 17 vagas de Analistas (11 na área de TI, 2 na área Arquivologia, 2 na área de Biblioteconomia e 2 na área de Georeferenciamento) e 8 vagas de técnicos de TI o que vai melhorar e muito o quadro de pessoal da SGI. Como os técnicos entraram em exercício a partir de agosto de 2010 e os analistas / especialistas somente a partir de junho de 2011, vários projetos foram prejudicados. Como prioridade, serão supridas as atividades gerenciais, tanto relativas à TI propriamente dita, como nas áreas de Gestão de Documentos, Acervo Técnico e Geoprocessamento. Um resumo do quadro de pessoal efetivo da SGI, com a inclusão dos novos analistas administrativos aprovados no concurso já em exercício encontra-se a seguir demonstrado. 26

38 Efetivos Posição em 20/04/2011 CO ER AA TA Outr Total Superintendente 1 1 Assessor 1 1 EGP Serviços Service Desk / 1 1 Rede / Web / Banco de Dados / 3 3 Segurança Inform. 1 1 Geoprocessamento 2 2 Sustent. Sistemas 2 2 Adm.de Contratos /Planejamento/Orçamento Gestão Documentos CEDOC TOTAL A alocação será prioritariamente nas atividades de Planejamento, Gerenciamento das rotinas e contratos e na área de Segurança da Informação. Quanto ao plano de capacitação, o mesmo está inserido no Plano Anual de Capacitação da ANEEL, elaborado pelo SRH e tem por objetivos: promover o processo de aprendizagem contínua e contribuir para o desenvolvimento das competências institucionais da Agência; aplicar a Política de Capacitação da Agência, como estimulo à aprendizagem ativa e contínua, conforme disposições da Norma de Organização nº 002/2003; atender à Lei nº /2004, com vistas a assegurar a profissionalização dos ocupantes dos cargos de seu quadro de pessoal ou que tenham exercício na Agência; atender ao Decreto nº 5.707/2006, que institui a Política e as Diretrizes para o Desenvolvimento de Pessoal na Administração Pública Federal; atender ao Decreto n 6.530/2008, que regulamenta as regras de progressão e promoção dos servidores do quadro efetivo das Agências Reguladoras. otimizar os recursos financeiros disponíveis para o atendimento das demandas de capacitação. O treinamento geral para os servidores deverá cobrir as seguintes competências: Competência Trabalho em Equipe; Competência Senso Público/ Conduta Pública; Competência Comunicação; e Competência Especialização Técnica. 27

39 Competência Especialização Técnica Tema Introdutório Avançado Visita Técnica Total Conhecimento & Tecnologia da informação Ferramentas de TI - aplicativos de informática básica * Tecnologia da informação * Gestão do conhecimento e da informação * Ferramentas de TI - sistemas governamentais * * Obs: cursos para atender a todas as superintendências e áreas da ANEEL. Na área operacional deverá ser dada ênfase a cursos relacionados à Governança e melhores práticas de gestão de TI (COBIT e ITIL), cujos temas são abaixo relacionados: Conteúdo Introdutório Avançado Total Conhecimento & Tecnologia da informação Gestão de TI Gestão de segurança da informação Business Intelligence - BI 5 5 COBIT - Control Objectives for Information and related Technology Gestão de serviços de TI baseado em ITILF (IT Service Management Foundation) Análise de requisitos Governança de TI Redes de computadores Análise de Ponto de Função RUP e UML Engenharia de Software Banco de dados C.Net Desenvolvimento de WEB Gestão de documentos - aspectos gerais * Gestão da informação - aspectos gerais * Sistema Integrado de Administração Financeira SIAFI Operacional * Sistema de Concessão de Diárias e Passagens - SCDP * Aplicativo de editor de textos - MS Word * Aplicativo de apresentação de slides - MS PowerPoint * Aplicativo de correio eletrônico - MS Outlook SAS Enterprise Miner Aplicativo AUTOCAD * Administração de bancos de dados - SAMP Aplicativo de banco de dados - MS Access Aplicativo para gestão de projetos - MS Project Sharepoint Audit Command Language - ACL Modelos computacionais de simulação utilizados em estudos energéticos: MSUI, Newave e Decomp Arquivologia * Sistema de Gestão da ANEEL - SIGANEEL * Adobe Photoshop * Obs: cursos para atender a todas as superintendências e áreas da ANEEL. 28

40 Outros temas a serem incorporados acima são: usabilidade, acessibilidade e desenho de interfaces Web, Métricas de Software, Testes de Software e Auditoria de Contagem de Ponto de Função. Para a área de Administração de TI, relacionam-se os seguintes cursos: Área Administrativa Conteúdo Introdutório Avançado Total Gestão e fiscalização de contratos * Planilha de custos * Elaboração de termos de referência e editais * Contratos Administrativos * Licitação de serviços terceirizados * Licitação de serviços de TI Gestão de Contratos de Serviços Terceirizados * Direito administrativo - aspectos gerais * Processo administrativo - aspectos gerais * Processo administrativo - infrações e sanções 1 1 administrativas punitivas * 2 Legislação de ISS * Lei de Orçamento Anual - LOA * * Obs: cursos para atender a todas as superintendências. Outros temas a serem incorporados acima são os de Planejamento, Seleção de Fornecedores e Gestão de Contratos de TI em consonância com a IN 04/2010 da SLTI/MPOG, Elaboração de Plano Diretor de TI, Governança de TI no âmbito do SISP e Gestão de Projetos. 29

41 30

42 11. GERENCIAMENTO DE RISCOS DE TI Este tópico define, em nível estratégico, alguns dos principais riscos que podem comprometer as operações da ANEEL, em decorrência de falhas ou descontinuidade das operações de TI e a forma de enfrentá-los. As principais fontes de risco identificadas atualmente são: (i.) inconformidades relacionadas à Gestão e cumprimento da Política de Segurança, o que eleva o grau de fragilidade no enfrentamento a ataques externos comuns, perda de informações e solução de incidentes; (ii.) perda de conhecimento devida à falta de capital intelectual humano; (iii.) risco de serviços prestados por novo fornecedor em nível incompatível às necessidades da Agência; (iv.) ausência de plano ativo para recuperação de desastres e (v.) fatores externos à governabilidade da SGI Sumário descritivo dos Riscos (1) Por inconformidades relacionadas à Gestão e cumprimento da Política de Segurança A força da ação preventiva ainda se constitui a melhor forma de reduzir o risco de incidentes. Neste sentido, acredita-se que a existência de ferramentas e softwares essenciais de prevenção seria suficiente para manter a Agência afastada de ataques externos por hackers, vírus, arquivos maliciosos, sabotagens, etc. Mas não. Há uma gama extensa de possibilidades de incidentes que podem ser provocados internamente, desde a contaminação potencial da rede por uso de pen-drives afetados por usuários mal orientados, até a falta de controle para acesso de usuários não autorizados a utilizar sistemas e recursos da Agência. Por sua vez, a existência de princípios, normas, diretrizes, força de trabalho e dispositivos de segurança adequados (software e hardware) 11 por si só nem sempre se revela suficiente para manter a invulnerabilidade das informações da Agência. Assim, dentro do diagnóstico efetuado 12 será preciso um esforço coordenado em várias frentes, com o apoio da alta direção, para elevar os níveis de maturidade da Segurança da Informação Em linhas gerais, como forma de mitigar riscos mais comuns por falha de segurança, a ANEEL assume seu compromisso em fortalecer e aperfeiçoar seus mecanismos preventivos, bem como manter níveis mínimos de investimento necessários à atualização anual de sua infraestrutura de segurança, à aquisição de novas ferramentas de controle e auditagem, ao treinamento da força de trabalho, à contratação de consultorias para diagnóstico e aferição dos graus de risco, de forma a assegurar a eficácia de sua gestão e política de segurança, dentro do Marco Referencial descrito no Capítulo 2 Detalhamento, deste Plano Diretor. (2) Por perda de conhecimento e capital intelectual humano Este grupo de risco decorre da iminente saída de profissionais terceirizados que atuam há vários anos na Agência, sem a devida compensação por entrada de profissionais efetivos com domínio técnico. Os riscos encontram-se a seguir discriminados, com consequências tanto para as áreas de infraestrutura como desenvolvimento: 11 V. Capitulo 2 Detalhamento do PDTI, tópicos e Segurança: Marco Referencial, Situação Atual e Ações Prioritárias. 12 Efetuado pela consultoria Módulo Security Solutions realizada no 1º semestre de 2009, com base em metodologia própria. 31

43 a) Riscos associados à insuficiência do conhecimento da atividade regulatória da Agência: Trata-se da relação de dependência de cada processo de trabalho da ANEEL com a infraestrutura de rede. Por exemplo, qual o hardware e software envolvido com atividades como reuniões públicas da diretoria, audiências, ouvidoria, duto e todos os sistemas informatizados para atendimento dos negócios da agência. O risco refere-se à tomada de decisões potencialmente equivocadas na solução de problemas com a rede, uma vez que não contemplam o conhecimento desta relação de dependência e as possíveis implicações. b) Riscos associados à insuficiência de conhecimento da Infraestrutura: Refere-se ao conhecimento técnico sobre o funcionamento de todos os equipamentos, dispositivos e suas particularidades. O risco decorre do fato de as novas empresas contratadas alegarem que não dispõem de pessoal ou tempo para assimilar todo o conhecimento necessário para produzir o trabalho. Estima-se, pelo comportamento da curva do conhecimento e esforço, ambiente de caos (stress) para os primeiros 3 (três) meses, sem que as contratadas tenham condições de agir de imediato em situações de anormalidade. Após 9 (nove) meses, haveria uma tendência de retorno à normalidade, a depender do grau de esforço humano e cooperação na fase de transição contratual (ver figura nº 2): Conhecimento (variação ) Esforço forças-tarefas retorno à normalidade Stress 3m 6m 9m 12m 15m Fig. 2. Curva de Aprendizado Em um período intermediário, de 3 a 9 meses, seria necessária a realização de forças-tarefas ou jornadas especiais de trabalho por parte do novo contratado, que efetuará pressão sobre a ANEEL para ressarcimento de gastos não previstos com seus funcionários. c) Risco de perda, exposição indevida de informações, comprometimento da segurança dos dados: Decorrente do desconhecimento da infraestrutura ou do negócio. Exemplos: no trato com informações sigilosas, o risco decorre de um funcionário executar a atividade técnica sem se ater ao sigilo negocial; perda de dados por desconhecimento das ferramentas, procedimentos de manobras, mudança de tecnologia; atender a uma solicitação emergencial de processamento de sistema com dados sigilosos, sem o devido conhecimento, entre outros. 32

44 d) Riscos associados às mudanças constantes do ambiente tecnológico: Em função da dinâmica e diversidade das atividades e também das atualizações de hardware e software, os equipamentos e dispositivos de infraestrutura passam por mutações constantes, o que configura um ecossistema operacional, que funciona dentro de certa complexidade e regras críticas. Para toda mudança, há um risco de incompatibilidade entre equipamentos e suas interligações, o que requer planejamento, a partir de uma situaçãopiloto, antes de entrada em produção. O risco decorre da incapacidade temporária de se lidar com mudanças complexas e levar à interrupção temporária do funcionamento de certos serviços ou ao não atendimento da disponibilização solicitada, dentro do prazo programado. e) Risco de incapacidade de solução imediata de incidentes em terceiro nível de atendimento ou resolver problemas críticos Trata-se da demora na solução de incidentes, pelo fato de o técnico não estar familiarizado com a solução sistêmica e sua relação com a demanda do negócio. (3) Riscos associados a serviços prestados por novo fornecedor em nível incompatível com as necessidades da Agência: Trata-se dos riscos associados a fornecedor recém-contratado, cujos serviços prestados não atendam às necessidades da Agência, o que requer nova contratação. Os principais riscos seriam: a) Risco de interrupção da disponibilidade da rede, ou instabilidade de funcionamento, sem um pronto retorno à normalidade, dentro dos acordos de nível de serviço estabelecidos; b) Risco de incapacidade de resolver problemas críticos, ou de acompanhar as mutações do ecossistema, com perda de qualidade ou funcionamento precário da rede por tempo acima do normal; c) Risco de falta de comprometimento técnico e profissional da nova equipe, com perda de qualidade ou vícios ocultos não detectáveis sem uma análise mais profunda das questões técnicas. (4) Risco associado à ausência de plano ativo para recuperação de desastres A eliminação deste risco será possível por meio de solução de ambiente de redundância em local externo que assegure alta disponibilidade e armazenamento apropriado de informações, com expansão do canal Infovia já existente, instalação de servidor próprio, dispositivos de storage e outros equipamentos para assegurar a boa recuperação dos sistemas vitais e informações da Agência em caso de desastre ou acidente potencial 13. (5) Riscos oriundos de fatores externos à governabilidade da SGI Refere-se a toda fonte externa geradora de risco, sobre a qual a SGI se encontra impossibilitada de exercer diretamente ação preventiva ou pró-ativa para mitigação do risco. Por exemplo: manutenção inadequada dos geradores da ANEEL por parte de outra superintendência (risco de interrupção da rede e de não fornecimento de serviços críticos em regime de alta disponibilidade); paralisação dos serviços do SERPRO (risco de não disponibilidade de acesso à internet, portal e recursos sistêmicos que rodam em ambiente Web), entre outros. 13 Ver Diagrama no Capítulo 2 Detalhamento, Tópico Administração da Rede Lógica 33

45 11.2 Percentuais estimados de ocorrência de riscos As possibilidades de ocorrências potenciais dos riscos mencionados no subitem 11.1 são as seguintes: RISCOS IDENTIFICADOS: PERCENTUAIS DE OCORRÊNCIA PERÍODO EM MESES = = = = = = 3m > 6m 9m 12m 18m 24m 1. Por inconformidades relacionadas à Gestão e Política de Segurança pendente de nova análise de risco Por perda de conhecimento e capital intelectual humano: 15 a) Decisões equivocadas por insuficiência de conhecimento 50% 30% 20% 10% 0% 0% b) b1) Paralisações na rede 40% 20% 10% 5% 0% 0% b2) Esforço adicional para análise/solução 60% 50% 30% 15% 0% 0% c) Perda, experiência indevida ou comprometimento da Seginfo 30% 20% 10% 0% 0% 0% d) Efeitos de mudanças no ecossistema 40% 20% 10% 0% 0% 0% e) Incapacidade de solução de incidentes em 3º nível 20% 20% 20% 15% 10% 0% 3. Por níveis de serviços incompatíveis do novo fornecedor: a) Incapacidade de cumprir Acordo de Nível de Serviço (SLA) 20% 20% 10% 5% 0% 0% b) Incapaz resolver incidentes de 3º nível, problemas críticos, etc c) Falta de comprometimento técnico e profissional, vícios ocultos 40% 40% 30% 20% 10% 0% não mensurável Ausência de Plano ativo para Recuperação de Desastres não mensurável Fatores externos à governabilidade da SGI não mensurável Conforme avaliação da consultoria Módulo em 2009, entre 12 itens analisados, 8 tiveram classificação nível 1 (realizado) e 4 tiveram classificação 2 (gerenciado), enquanto que o recomendado seria de classificação 2 (gerenciado) para 6 itens, classificação 4 (controlado quantitativamente) para um item e 5 (otimizado) para 5 itens. Não obstante esses baixos níveis de maturidade para segurança, deve-se ressaltar que a ocorrência de incidentes graves como contaminação da rede por vírus é muito baixa (total de um incidente para cada 2 anos nos últimos 6 anos). 15 Percentuais direcionais de afastamento de padrões de normalidade com base em discussões levantadas junto ao pessoal especializado da Consultoria Sofhar. 34

46 11.3 Ações para minimizar riscos As ações que podem ser tomadas para amenizar ou eliminar as chances de ocorrência dos riscos acima identificados são: RISCOS AÇÕES 1. Implementar as ações prioritárias constantes do tópico Capítulo 2 deste Plano; 2. a, b, c, d, (a) Como ação geral para minimizar risco, manter todas as áreas de coordenação, planejamento e geração de políticas sob a coordenação de servidores do quadro efetivo; (b) Aditar parcialmente o contrato vigente de forma a manter um técnico em rede por um período mínimo de três meses e (c) reforçar a atualização da documentação sobre funcionamento de todos os dispositivos e programas existentes; 2. e Idem acima com a inclusão de um técnico em desenvolvimento familiarizado com sistemas da ANEEL e incluir cláusula no novo contrato ref. treinamento obrigatório e reciclagem dos funcionários; 3. a, b 3. c 4. Reforçar controle de interrupções com imposição de penalidades no acordo de nível de serviço, adicionado de ação mencionada para o risco 2 a; Idem acima; incluir agilização de contratação de auditoria de métricas e providencias judiciais para ressarcimento de prejuízos à ANEEL; Implementar ambiente de redundância em local externo conforme modelo descrito no Capítulo 2, tópico 1.1.2; 5. Reforçar monitoramento e exigir cumprimento de ações das áreas responsáveis. 35

47 36

48 12. PLANO OPERACIONAL Os efeitos da contribuição da TI para o alcance dos desafios estratégicos da ANEEL serão materializados pela execução de um plano coordenado de ações a seguir abordado. No ponto de partida, tem-se como base de direcionamento das ações a Agenda de Desafios Estratégicos , definida como instrumento de planejamento macroestrutural para alcance de determinados resultados da Agência no cumprimento de sua missão regulatória dentro de um horizonte de 4 anos. Em outra perspectiva, tem-se os levantamentos efetuados junto às áreas operacionais e, em seguida, a aplicação da metodologia de elaboração do PDTI, que resultou em uma série de necessidades e demandas de Ti a serem atendidas para alcance da situação ideal (Marco Referencial). Após um processo de depuração e análise de todas essas informações, chegou-se a um conjunto de iniciativas de TI, ora denominado Estratégias de TI ou simplesmente ETI, cujo foco é a aplicação de esforço coordenado na execução de ações de ordem informacional em várias frentes. A aplicação destas ETI, em conjunto com as demais ações de ordem operacional por parte das equipes das diversas áreas da ANEEL, terá efeito propulsor na geração de mudanças no ambiente de negócios da Agência e no alcance dos resultados definidos pela Agenda de Desafios Estratégicos. Os quadros a seguir propiciam uma visão do alinhamento dos componentes de ordem estratégica acima relacionado. Quadro nº 1 Desafios Estratégicos da ANEEL : transcrição dos tópicos definidos pela Agenda, com a inclusão dos resultados esperados; Quadro nº 2 Estratégias de TI (ETI): relaciona as iniciativas de TI, aqui definidos como marcos estratégicos cuja execução irá resultar nas mudanças do ambiente informacional que irão atuar em conjunto com as ações operacionais das diversas áreas da Agência; Quadro nº 3 - Alinhamento da TI para alcance dos Desafios Estratégicos: consiste no mapeamento de cada ETI no âmbito de cada Desafio Estratégico; Quadro nº 4 Cronograma da Evolução das ETI: visão temporal da ocorrência de implantação das ações componentes das iniciativas estratégicas de TI; Quadro nº 5 Implantação das ETI para alcance dos Objetivos : demonstra a execução das ETI simultaneamente à evolução do Mapa estratégico da Agência. 37

49 38

50 Quadro nº 1 - Desafios Estratégicos da ANEEL : Mapa Estratégico Relação dos Desafios DESCRIÇÃO 1. COERÊNCIA REGULATÓRIA: promover a consolidação dos Atos Regulatórios emitidos pela ANEEL, pautando-se pela racionalidade, clareza e atualidade, bem como propiciar a harmonia em relação à legislação e às políticas setoriais. 2. ALOCAÇÃO EFICIENTE DOS CUSTOS DE ENERGIA ELÉTRICA: promover a correta alocação de custos para possibilitar o acesso aos serviços de energia elétrica com qualidade adequada e pagamento justo. RESULTADOS ESPERADOS Legislação do setor elétrico sistematizada, racionalizada e clara Atos regulatórios harmonizados e atuais Estabilidade da Regulamentação alcançada Impacto regulatório avaliado Lacunas regulatórias reduzidas Preços compatíveis com os custos e assimetria tarifária reduzida Estrutura tarifária aperfeiçoada Incentivos à eficiência energética realizados Perdas não-técnicas e inadimplência reduzidas Custos e encargos monitorados e controlados Metodologia de revisão e reajuste tarifário aprimorada 39

51 DESCRIÇÃO 3. QUALIDADE DO SERVIÇO DE ENERGIA ELÉTRICA: dotar a Agência de instrumentos eficazes de promoção e monitoramento da evolução da qualidade do serviço de energia elétrica ofertado pelos agentes, pautados em parâmetros e indicadores que subsidiem a formulação das regras e o controle de sua aplicação. 4. EQUILÍBRIO ENTRE OFERTA E DEMANDA DE ENERGIA: contribuir para o equilíbrio entre a oferta e a demanda de energia elétrica, por meio da realização dos leilões para contratação de energia, de regulação e métodos de fiscalização que garantam a efetiva implantação dos empreendimentos contratados e do incentivo ao uso racional e eficiente de energia elétrica. 5. FORTALECIMENTO E TRANSPARÊNCIA DOS INSTRUMENTOS DE DIÁLOGO COM A SOCIEDADE: aprimorar e ampliar as consultas e audiências públicas, visando fortalecer o relacionamento e o diálogo da ANEEL com a sociedade. 6. FORTALECIMENTO DA IDENTIDADE E AUTONOMIA INSTITUCIONAL: consolidar o papel institucional de órgão regulador com autonomia e atribuições claramente definidas. 7. DESENVOLVIMENTO ORGANIZACIONAL: promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional RESULTADOS ESPERADOS Indicadores e instrumentos de aferição da qualidade do serviço aprimorados e aplicados. Mecanismos de incentivo econômico aos agentes implementados Ações preventivas e corretivas de controle da qualidade priorizadas Ações de fiscalização e regulamentação atuando integradas Regulação dos padrões de qualidade do serviço aperfeiçoada Inovação tecnológica no setor estimulada Leilões realizados com eficiência e eficácia garantindo a máxima competição Articulações interinstitucionais nos processos de planejamento e aprovação de inventários e outorgas fortalecidas Metas de universalização dos serv. energia elétrica definidas e fiscalizadas Empreendimentos contratados implantados Mecanismos de incentivo ao uso racional e eficiente de energia elétrica implementados Meios de comunicação e interlocução com a sociedade fortalecidos Efetividade e isonomia da participação dos atores, consumidores e agentes, garantidos Processo de audiências e consultas públicas aperfeiçoado Canais de comunicação e participação dos consumidores ampliados Papéis nas relações intra e interinstitucionais claramente definidos Autonomia administrativa, orçamentária e financeira implementada Participação no aprimoramento da legislação com vistas à modernização do ambiente institucional de sua atuação fortalecida Identidade institucional consolidada Servidores capacitados e comprometidos e uadro de pessoal dimensionado para o pleno exercício das funções institucionais Modelo de gestão aperfeiçoado de maneira contínua e sistemática Mecanismo de gestão do conhecimento e de processos aprimorados continuamente 8. INFORMAÇÃO COM QUALIDADE: reestruturar o modelo de gestão da informação, fortalecendo os mecanismos de acesso, integração e qualidade dos dados, bem como promover o tratamento racionalizado do fluxo das informações, no atendimento das demandas internas e do público interessado. 9. DESENVOLVIMENTO ORGANIZACIONAL: promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional. Modelo de Gestão da Informação estruturado Informações integradas e com qualidade Meios de acesso e disponibilidade das informações aprimorados Identidade institucional consolidada Servidores capacitados e comprometidos e quadro de pessoal dimensionado para o pleno exercício das funções institucionais Modelo de gestão aperfeiçoado de maneira contínua e sistemática Mecanismo de gestão do conhecimento e de processos aprimorados continuamente 40

52 Quadro nº 2 Estratégias de TI (ETI) Como mencionado anteriormente, as Estratégias de TI ou simplesmente ETI são um resultado das iniciativas de Tecnologia da Informação derivadas do processo de depuração e análise de inputs oriundos de várias frentes. De um lado, o direcionamento dado pelo conteúdo da Agenda de Desafios Estratégicos estabelecido pela Diretoria da ANEEL, e de outro lado, a produção de informações resultante de outras fontes internas e externas, como as Reuniões de Alinhamento Estratégico, o processo metodológico de elaboração do PDTI e as análises das melhores práticas no mercado (fluxo descrito abaixo). Reuniões de Alinhamento Estratégico Agenda de Desafios Estratégicos Elaboração do PDTI 1. Marco Referencial 2. Situação Atual INICIATIVAS DE TI 3. Ações prioritárias (próx.3 anos) Análise das melhores práticas no mercado ESTRATÉGIAS DE TI (ETI) A relação de Estratégias de Tecnologia da Informação (ETI) é a seguir discriminada. DESCRIÇÃO ETI 1 - NOVO MODELO DE GESTÃO CONSO- LIDADO: finalização das novas contratações e ampliação do quadro de servidores efetivos via concurso. ETI 2 - INFRA-ESTRUTURA ROBUSTA E INFORMAÇÃO 100% INTEGRADA IMPLANTADA: aprimoramento da infra-estrutura, eliminação da redundância, criação de banco de dados único, Back-up corporativo e outras ações internas implantadas. Subcomponentes das ETI 1. Contratação da fábrica de software finalizada 2. Serviços especializados de gestão da infra-estrutura contratados 3. Serviços de auditoria de métricas e qualidade contratados 4. Concurso e nomeação de novos servidores efetivados 1. Infra-estrutura aprimorada 2. Redundância eliminada 3. Banco de Dados Único implantado 4. Ambiente de Redundância em nível externo implantado 5. Outras ações de padronização e estruturação. 41

53 DESCRIÇÃO ETI 3 - INTELIGÊNCIA DE NEGÓCIOS E SOLUÇÕES INOVADORAS IMPLANTADAS: ações de Business Intelligence, ações Web, portfólio de sistemas e outras ações. ETI 4 - USO DE GEOPROCESSAMENTO INTENSIFICADO: ações de prospecção e viabilização de geoprocessamento, integração de acervos, portal elaborado. ETI 5 GESTÃO DE DOCUMENTAÇÃO MODERNIZADA: novo SICnet, certificação digital, ferramentas de buscas, etc. ETI 6 NÍVEL DE MATURIDADE DE GESTÃO DE TI APRIMORADO: elevação do nível de maturidade operacional, gestão do conhecimento e Seginfo obtidos, normas de TI atualizadas e consultoria internacional contratada Subcomponentes das ETI 1. BI: ferramenta implantada e entrada em operação 2. Portal Web: remodelação, atualização tecnológica e outros 3. especializados Portfólio: sistemas de gestão desenvolvidos da infra-estrutura 4. Administração dos Processos de Negócio implantada 1. Novo fornecedor contratado 2. Banco de Dados geográfico integrado implantado 3. Portfólio de Geoprocessamento: oportunidades de utilização e aplicações implantadas 4. PRODIST: módulo com funções de geoprocessamento implantado 1. Repositório único e novos procedimentos de administração de documentos implantados 2. Certificação digital implantada 3. Novos instrumentos de gestão de documentos implantados (SICnet, ferramentas de buscas, etc.) 4. Melhoria e refinamento dos processos internos executados 1. Nível de 100% de conformidade com ITIL alcançado 2. Avaliação de desempenho junto ao público interno realizada 3. Gestão do Conhecimento aprimorada 4. Nível de Segurança da informação aprimorado e normas de TI atualizadas 42

54 Quadro nº 3 Alinhamento da TI para alcance dos Desafios Estratégicos As capacidades técnicas que propiciarão a devida mutação adaptativa da organização rumo aos resultados esperados nos desafios estratégicos encontram-se mapeadas na matriz representada na forma abaixo: Estratégias de TI (ETI) Desafios Estratégicos O processo de implantação das Estratégias de Tecnologia de informação deverá permitir a total integração de todos os sistemas e dados da Agência. Requer, no entanto, um realinhamento dos processos de negócio aos quais os colaboradores estão envolvidos e também um ambiente de cooperação propício para definições de alterações no workflow e na fase inicial de manuseio das novas ferramentas. 43

55 44

56 DESAFIOS ESTRATÉGICOS Denominação Resultados esperados 1. COERÊNCIA REGULATÓRIA: consolidar a) Legislação do setor elétrico sistematizada, racionalizada e clara atos b) atos regulatórios harmonizados e atuais regulatórios, incoerências. eliminar inconsistências e c) estabilidade da regulamentação alcançada d) impacto regulatório avaliado e) lacunas regulatórias reduzidas a) Preços compatíveis c/ custos e assimetria tarifária reduzida b) Estrutura tarifária aperfeiçoada 2. ALOCAÇÃO EFICIENTE DOS CUSTOS DE ENERGIA ELÉTRICA: promover a correta alocação de custos c) Incentivos à eficiência energética realizados para possibilitar o acesso aos serviços de EE com d) Perdas não-técnicas e inadimplência reduzidas qualidade e pagamento justo. e) Custos e encargos monitorados e controlados 4. EQUILÍBRIO OFERTA E DEMANDA DE ENERGIA a) Leilões realizados com eficiência e eficácia garantindo a máxima competição ELÉTRICA: Contribuir para o equilíbrio entre a b) Articulações inter-institucionais nos processos de planejamento e aprovação de oferta e a demanda de energia elétrica, por meio da inventários e outorgas fortalecidas realização dos leilões para contratação de energia, de regulação e métodos de fiscalização que c) Metas de universalização dos serviços de EE definidas e fiscalizadas garantam a efetiva implantação dos d) Empreendimentos contratados implantados empreendimentos contratados e do incentivo ao uso racional e eficiente da energia elétrica. e) Mecanismos de incentivo ao uso racional e eficiente de EE implementados a) Meios de comunicação e interlocução com a sociedade fortalecidos 5. FORTALECIMENTO E TRANSPARÊNCIA DOS INSTRUMENTOS DE DIÁLOGO COM A SOCIEDADE: b) Efetividade e isonomia da participação dos atores, consumidores e agentes, garantidos aprimorar e ampliar as consultas e audiências públicas, visando fortalecer o relacionamento e o c) Processo de audiências e consultas públicas aperfeiçoado diálogo da ANEEL com a sociedade d) Canais de comunicação e participação dos consumidores ampliados a) Papéis nas relações intra e interinstitucionais claramente definidos 6. FORTALECIMENTO DA IDENTIDADE E AUTONOMIA INSTITUCIONAL: consolidar o papel b) Autonomia administrativa, orçamentária e financeira implementada institucional de Órgão Regulador com autonomia e atribuições claramente definidas c) Participação no aprimoramento da legislação com vistas à modernização do ambiente contribuir) institucional de sua atuação fortalecida a) Identidade Institucional consolidada X 7. DESENVOLVIMENTO ORGANIZACIONAL: b) Servidores capacitados e comprometidos e quadro de pessoal dimensionado para o promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional ALINHAMENTO DA TI PARA ALCANCE DOS DESAFIOS ESTRATÉGICOS DA ANEEL ESTRATÉGIAS DE TI (ETI) f) Metodologia de revisão e reajuste tarifário aprimorada a) Indicadores e instrumentos de aferição da qualidade aprimorados e aplicados 3.QUALIDADE DE SERVIÇO DE ENERGIA ELÉTRICA: b) Mecanismos de incentivo econômico aos agentes implementados disponibilizar instrumentos eficazes de promoção e c) Ações preventivas e corretivas de controle de qualidade integradas monitoramento da evolução da qualidade dos d) Ações de fiscalização e regulamentação integradas serviços de EE, pautados em parâmetros e indicadores apropriados. e) Regulação dos padrões de qualidade do serviço aperfeiçoada f) Inovação tecnológica no setor estimulada pleno exercício das funções institucionais X X ETI 2- Infraestrutura robusta e informação ETI 4- Uso de Geoprocessamento ETI 5- Gestão da ETI 3- Inteligência de ETI 6- Nível de maturidade de Gestão de TI ETI 1- Novo modelo de 100% integrada e implantada: aprimoram. intensificado: ações de Documentação negócios e soluções Gestão consolidado: inovadoras implantadas: ações BI, Web, Seginfo, Gestão do aprimorado: melhorar finalizar novas contratações e ampliar quadro Segurança, Ambiente viabilização de "Geo", SICnet, certific. digital, hardware, melhoria da prospecção e modernizada: novo BD único, portfólio de conhecimento, consult de efetivos via concurso em regime de integração de acervos, ferram.buscas, etc. sistemas e outras internacional e outros redundância externa e portal, etc. outras ações c) Modelo de gestão aperfeiçoado de maneira contínua e sistemática X X X d) Mecanismo de gestão do conhecimento e de processos aprimorados continuamente X X X X 8. INFORMAÇÃO COM QUALIDADE: reestruturar o modelo de gestão da informação, fortalecendo os a) Modelo de Gestão da Informação reestruturado X mecanismos de acesso, integração e qualidade dos dados, bem como promover o tratamento racionalizado do fluxo das informações, no atendimento das demandas internas e do público interessado. 9. APRIMORAMENTO DO PROCESSO DE a) Modelo de descentralização reestruturado, eficiente e com foco em resultados DESCENTRALIZAÇÃO: rever o modelo de b) Custos de referência para as atividades descentralizadas definidos descentralização de atividades complementares de regulação às Agências Reguladoras estaduais c) Indicadores para avaliação das metas formulados X (novo Sigefis, Prodist, GCEM) b) Informações integradas e com qualidade X X X X X c) Meios de acesso e disponibilidade das informações aprimorados X X X X X X X (alta disponibilidade em sistemas críticos) X (melhoria da alta disponibilidade pode X X (Sist.Coleta de Preços, SIGET, RIT, Sist.Participação Financeira, Sist. Análise Perturbações no SE, SAMP, CVA, BI) X (softwares para X (várias aplicações gerenciamento de potenciais) leilões) X (Sist.Ouvidoria, Contr.Atendim Call center, Part.Financ. de Consum, Prodist, Apoio a Eventos, Controle de Mediações) X (BI, SARI, SIAD, Sigecont, Prodist) 1/ 2/ 3/ X X X (celerização do processo de reajustes e revisões tarifárias por meio de melhoria da gestão documental) X (celerização do processo de reajustes e X (várias aplicações revisões tarifárias por potenciais) meio de melhoria da X (Portal do Setor Elétrico) X gestão documental) X (Melhoria das ferramentas de busca da documentação e legislação) 1/ Situação hipotética de BI: cruzamento de dados da baixa renda com o BD do Ministério de Desenvolv.Social para fins de refinamento da legislação sobre concessão do benefício 2/ Exemplo prático para aplicação de Geoprocessamento na coerência regulatória: cálculo de reajuste tarifário com influência das condições climáticas (raios, maresia, indice pluviométrica) como componente. 3/ Novas ferramentas de busca e SICnet remodelado poderão auxiliar o alcance este desafio. 44

57 45

58 Quadro nº 4 Cronograma da Evolução das ETI A estimativa de tempo de implantação das ETI é abaixo indicada (vide quadro em anexo) ETI 1: Novo Modelo de Gestão consolidado 1.1 Contratação de Fábrica de Software finalizada completado em 3 meses * 1.2 Serv.especializados de Gestão da Infraestrutura contratados completado em 15 meses * 1.3 Auditoria de Métricas e Qualidade contratada 8 meses para contratação 1.3 Concurso e nomeação de novos servidores efetivados completado em 18 meses * ETI 2: Infraestrutura robusta e informação 100% integrada implantada 2.1 Infraestrutura aprimorada a ser completado em 31 meses * 2.2 Redundância eliminada a ser completado em 30 meses * 2.3 Banco de Dados único implantado 14 meses para execução 2.4 Ambiente de Redundância em nível externo 26 meses para implantação 2.5 Outras ações estruturantes e de padronização: a ser completadas em 36 meses * ETI 3: Inteligência de negócios e soluções inovadoras implantadas 3.1 BI: ferramenta implantada e entrada em operação 17 meses para execução * 3.2 Portal Web: remodelação, atualiz. tecnológica e outros 32 meses de execução 3.3 Portfólio de sistemas desenvolvimento durante todo o período do PDTI 3.4 BPM, Administração dos processos de negócio 18 meses para implantação ETI 4: Uso de Geoprocessamento intensificado 4.1 Novo fornecedor contratado completado em 4 meses * 4.2 Webservice desenvolvida em padrão WFS 3 meses para implantação (apenas proj.piloto) 4.3 Portfólio Geo desenvolvimento durante todo o período do PDTI 4.4 PRODIST: módulo com funções de geoprocessam.(proj.piloto) 11 meses para implantação ETI 5: Gestão da Documentação modernizada 5.1 Repositório único e novos procedimentos de adm.documentos a ser implantado em 8 meses 5.2 Certificação Digital implantada 12 meses para implantação 5.3 Novos instrumentos para gestão de documentos 18 meses para implantação 5.4 Melhoria e refinamento dos processos internos 26 meses para implantação ETI 6: Nível de Maturidade de Gestão de TI aprimorado 6.1 Nível de 100% conformidade com ITIL alcançado 31 meses estimado 6.2 Avaliação de Desempenho junto ao público interno 3 meses para realização 6.3 Gestão do Conhecimento aprimorada a ser alcançado ao final do período 6.4 Nível de Segurança da informação aprimorado e normas de TI atualizadas alcance em 15 50

59 51

60 ESTRATÉGIAS DE TI CRONOGRAMA DA EVOLUÇÃO DAS ESTRATÉGIAS DE TI Descrição Subcomponentes das ETI J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D 1- Fábrica de Software contratada ETI 1- Novo modelo de Gestão consolidado: finalizar novas 2- Serviços Especializados de Gestão de Infraestrutura contratados contratações e ampliar quadro de 3- Serviços de Auditoria e Métricas de Qualidade contratados efetivos via concurso 4- Concurso e nomeação de novos servidores efetivados 1- Infra-estrutura aprimorada ETI 2- Infraestrutura robusta e informação 100% integrada implantada: aprimoram. da infra- 2- Redundância eliminada 3- Banco de Dados único implantado estrutura, eliminação da redundância, criação de BD único, B-up corporativo 4- Ambiente de Redundância em nível externo implantado e outras ações 5- Outras Ações internas 1- BI: implantação da ferramenta e entrada em operação ETI 3- Inteligência de negócios e soluções inovadoras implantadas: 2- Portal Web: remodelação, atualização tecnológica e outros ações BI, Web, portfólio de sistemas e 3- Portfólio: desenvolvimento de sistemas outras 4- Administração dos Processos de Negócios (BPM) 1- Novo Fornecedor contratafo ETI 4- Uso de Geoprocessamento intensificado: ações de prospecção e 2- Webservice padrão WFS para consumo SIGEL e outros sistemas viabilização de "Geo", integração de 3- Portfólio "Geo": analisar oportunidades e implantar aplicações acervos, portal, etc. 4- PRODIST: módulo de geoprocessamento implantado (piloto) 1- Repositório único e novos procedim.adm.doc.implantado ETI 5- Modernização da Gestão da Documentação implantada: novo 2- Certificação Digital implantada SICnet, certific. digital, ferram.buscas, 3- Novos instrumentos gestão docum (SICnet, ferram.buscas, etc) etc. 4- Melhoria e Refinamento dos Processos de Doc.implantados 1- Maturidade Operacional (100% ITIL) ETI 6- Nível de maturidade de Gestão de TI aprimorado: melhorar Seginfo, 2- Avaliação de Desempenho junto ao público interno realizada Gestão do conhecimento, consult 3- Gestão do Conhecimento aprimorada internacional e outros 4- Nível de Segurança da Informação aprimorado 51

61 52

62 DESAFIOS ESTRATÉGICOS Quadro nº 5 Implantação das ETI para alcance dos objetivos IMPLANTAÇÃO DAS ESTRATÉGIAS DE TI (ETI) 2009 Novo modelo de Gestão consolidado Infra-estrutura robusta e inform. 100% integrada Inteligência de Negócios e soluções inovadoras implantadas Geoprocessamento intensificado Alcance de Resultados em Dez % Gestão da Documentação modernizada Nível de maturidade de TI aprimorado Coerência Regulatória Alocação Eficiente dos Custos de Energia Elétrica Qualidade do Serviço de Energia Elétrica Equilíbrio entre Oferta e Demanda Fortalecim.e Transp.dos instrum.diálogo c/sociedade 5.2 Fortalecim.Identidade e Autonomia Institucional Aprimoramento do Processo de Descentralização Desenvolvimento Organizacional Informações com Qualidade Recursos para adequado funcionamento da ANEEL ETI 1 ETI 2 ETI 3 ETI 4 ETI 5 ETI 6 O quadro demonstra a relação entre os desafios estratégicos da ANEEL e as Estratégias de TI para alcance dos resultados objetivados. As faixas horizontais referem-se aos desafios estratégicos da ANEEL, cujos resultados deverão ser alcançados de forma gradual, em uma sequência ascendente de implantação das ETI. Deve-se ressaltar que cada ETI não é necessariamente subsequente uma à outra, muito embora a relação de interdependência entre elas seja maior ou menor. No decorrer do tempo, vários projetos e ações serão levados a efeito, de forma a contribuir para o alcance de um ou mais objetivos estratégicos, conforme a indicação das linhas verticais, cuja localização no quadro deve ser tomada como referência. 53

63 54

64 13. FATORES CRÍTICOS DE SUCESSO Foram identificados os seguintes pontos-chave para alcance dos objetivos definidos por este documento: Apoio da Alta Direção: consiste na aprovação e reconhecimento formal deste documento como um plano de natureza estratégica que define a Agenda de TI e as prioridades da ANEEL para os próximos anos; Coerência Técnica: trata-se do embasamento técnico e metodológico com que foi desenvolvido este documento, dentro de parâmetros objetivos e com o devido compartilhamento e consenso de toda a equipe responsável da SGI - ANEEL; Foco no fortalecimento da TI: que se define como um caminho de a Agência ampliar seu horizonte de atendimento e missão institucional, por meio do uso das ferramentas de TI; Fator seriedade: definido como o grau elevado de comprometimento de toda a estrutura organizacional da Agência para o cumprimento das ações contidas neste Plano Diretor, para a busca de melhoria de seus processos operacionais dentro do entendimento de que a TI se trata de assunto de todos e não apenas de uma área-meio que disponibiliza serviços de informática; Publicidade: consiste na divulgação interna e externa deste documento de forma a torná-lo conhecido de toda a organização como instrumento orientador de decisões de TI. 55

65 56

66 CAPÍTULO 2 Detalhamento 57

67 58

68 SUMÁRIO 1. INFRAESTRUTURA Marco Referencial Princípios gerais de Infraestrutura de TI Administração da Rede Lógica Banco de Dados Service Desk Segurança Gestão Internet / Intranet Equipamentos e Software de uso comum Situação Atual e Ações Prioritárias Quanto à adoção dos Princípios Gerais Administração de Rede Banco de Dados Service Desk Segurança Gestão Internet / Intranet Equipamentos e Software de uso comum DESENVOLVIMENTO Marco Referencial Novos Projetos Geoprocessamento Administração de Dados Sustentação de Sistemas Desenvolvimento - Situação Atual Desenvolvimento de Novos Projetos Geoprocessamento Administração de Dados Sustentação de Sistemas ACERVO TÉCNICO E GESTÃO DE DOCUMENTOS Marco Referencial Acervo Técnico Informacional Gestão Arquivística de Documentos Situação Atual e Ações Prioritárias Acervo Técnico Informacional Gestão Arquivística de Documentos

69 60

70 1. INFRAESTRUTURA 1.1 Marco Referencial Como mencionado anteriormente, este Plano Diretor designa Marco Referencial como a melhor condição possível de operações de cada subárea de Tecnologia da Informação. O termo indica o 'rumo' ou direção que a instituição deve seguir. Na infraestrutura, para a busca do que seria o melhor, faz-se necessário uma reflexão inicial sobre certas questões básicas, como: no que consiste exatamente uma Infraestrutura de TI; qual o tipo de negócio exatamente envolvido; e até que ponto a Infraestrutura influencia na definição de um modelo que melhor atenda à entidade reguladora. De forma sucinta, pode-se definir a Infraestrutura de TI como uma base sobre a qual é possível a construção de soluções e sistemas de informação que atendam às demandas de negócio de uma determinada organização de forma integrada e eficaz. Dentro desta base incorporam-se vários segmentos ou ilhas de atuação (Rede, Segurança, Web etc.) com perfis tecnológicos específicos e que formam um conjunto harmônico, de forma a permitir às equipes de projetos o desenvolvimento de novas aplicações e soluções de automação / informação demandadas pela organização. A Infraestrutura permite também, aos usuários em geral, processar todos os sistemas e aplicativos existentes de forma corporativa. Desta definição decorre que, ante uma ampla diversidade de tamanhos, ramos de atividades e complexidade, haverá sempre um perfil de infraestrutura que, melhor ou pior, se encaixa ao atendimento de necessidades de TI de uma organização, o que muitas vezes pode ser decisivo na obtenção de seu sucesso em um mundo de alta instabilidade e demanda por informação. No tocante às outras questões, pode-se afirmar que o tipo de negócio envolvido setor elétrico constitui uma das bases primordiais em que outros setores da economia mantêm alta dependência de fornecimento ininterrupto. Desta forma, indústria, comércio, agricultura e serviços não podem prescindir da disponibilidade de energia, mesmo que temporária, sob pena de comprometimento de todo o modelo econômico e da sustentação do desenvolvimento e crescimento social. A eficácia deste modelo de atuação em um país de dimensões continentais depende do bom funcionamento de todo um complexo de atividades segregadas em fases distintas (geração, distribuição, transmissão, comercialização etc.), do envolvimento de muitos atores, entidades e investimentos além de um emaranhado de recursos, equipamentos e dispositivos de ponta que atuam de forma ordenada e controlada para afastar riscos de eventual interrupção temporária ou precariedade no fornecimento de serviços. Em uma rápida associação, se o custo da não-disponibilidade, tanto de eletricidade como de TI, para um ambiente altamente competitivo do setor privado, leva a efeitos adversos pela perda de vendas, clientes, produtividade, reputação, etc., para a ANEEL, uma condição precária ou de falta de disponibilidade de TI, mesmo que momentânea, terá repercussões desfavoráveis no seu desempenho operacional, ante as várias situações embaraçosas que poderiam ocorrer. Entre estas situações potencias, podem-se citar: não atendimento a reclamações, impossibilidade de consultas à legislação regulatória, impossibilidade de obtenção imediata de documentos assinados digitalmente para obtenção de liminares, falhas na realização de eventos como leilões, falhas nas transmissões de audiências e reuniões públicas da Diretoria, não funcionamento do portal da internet, não submissão de arquivos e informações pelo Duto, atrasos no repasse de verbas de compensação financeira ou recebimento de receitas, etc. Enfim, toda a boa reputação da 61

71 Agência, como órgão regulador, seria afetada, pela incapacidade temporária de cumprir plenamente sua missão social 16. Diante destas considerações iniciais, tem-se a seguir, as linhas gerais que irão nortear o perfil adequado de ambiente de infraestrutura de Tecnologia da Informação da ANEEL Princípios gerais de Infraestrutura de TI Marco Referencial Para a Infraestrutura de TI em sentido amplo, o presente Plano Diretor estabelece os seguintes princípios gerais aplicáveis a todas as subáreas de atuação, como Marco Referencial: Alta Disponibilidade: definida como a capacidade de assegurar o fornecimento de serviços de forma contínua, estável e com boa qualidade, mesmo sob condições adversas. De forma inversa, define-se condição inaceitável a ocorrência de interrupções temporárias, paralisação ou instabilidade da Infraestrutura de TI que venha a comprometer as operações da ANEEL; Rigor Técnico: definido como o conjunto de práticas e procedimentos de trabalho que visam assegurar plena aderência e conformidade a todas as normas, padrões, diretrizes, requisitos e especificações técnicas quanto à utilização, operacionalização e preservação do acervo de informação e dos ativos de Infraestrutura de TI. O termo rigor refere-se à relevância ao fato de que não podem ser tolerados desvios e incompatibilidades operacionais no tocante aos quesitos citados na camada de base onde se estrutura todas as operações de TI; Processo Corporativo: definido como o modelo sequencial de ações que levam à identificação e classificação dos processos corporativos; à propriedade das informações e serviços de forma a garantir a indicação de gestores e responsáveis pelo acompanhamento, decisões e avaliação de resultados; e à consolidação do uso de recursos de TI de forma a orientar a produtividade obtida através de produtos e serviços de uso da Agência, com a implantação de políticas de uso e melhoria contínua das soluções; Equipe altamente capacitada: refere-se à disponibilização de recursos humanos que detenham conhecimento de tecnologias e domínio técnico para operacionalização, manutenção e evolução do ambiente de Infraestrutura de TI. Esta definição incorpora a garantia de realização de ciclos de treinamento e atualização contínua do conhecimento dos profissionais da Agência no tocante a hardware, software, geoprocessamento, plataformas de segurança, banco de dados, conectividade, segurança digital, gestão eletrônica de documentos, portais corporativos, BI e legislação. Isso proporcionará integração do conhecimento e portfólio de TI às operações e negócios conduzidos pela Agência, para fortalecimento da gestão e educação corporativa; Agilidade Operacional: definida como um conjunto de ações e procedimentos que asseguram a aquisição dos suprimentos que atendam a um padrão de desempenho com resposta operacional no tempo adequado. Inclui a realização de planejamento e ações que facilitam a aquisição de equipamentos, softwares, suporte, consultoria e serviços especializados de forma célere e a utilização de ferramentas que apliquem, ou incorporem de forma embutida, técnicas ou melhores práticas de TI aceitas na atualidade, como ITIL, COBIT, BSC, Team Foundation, etc. 16 Segundo o Código de Ética da ANEEL, a eficiência é um dos valores que pautam as ações da Agência, definida como a busca da excelência nos processos, tarefas e atividades, otimizando recursos de forma a obter os resultados esperados pela sociedade. 62

72 Retenção de conhecimento especializado: definida como a existência de quantidade mínima de profissionais efetivos, no âmbito das equipes de gestão técnica das áreas de infraestrutura, de forma a permitir a boa continuidade de funcionamento de todo o hardware e software existente e afastar riscos de perda de conhecimento especializado por ocasião da substituição de contratos de serviços especializados. Tais profissionais devem ser selecionados por meio de concurso público, para desempenhar funções em cada subárea específica. Passa-se, a seguir, aos detalhes específicos que complementam o Marco Referencial para cada subárea de Infraestrutura de TI Administração da Rede Lógica Marco Referencial A Administração da Rede é responsável pela guarda do data center da Agência 17, um complexo eletro-eletrônico onde as informações corporativas são processadas e armazenadas. Todos os recursos computacionais que compõem a rede hardware, software, dispositivos elétricos, lógicos, etc. bem como a condução de ações relativas à manutenção, licenciamento e suporte dos mesmos são de responsabilidade desta área. Além destas funções, a área ainda provê suporte, sustentação e coordenação de todas as ações inerentes ao processo evolutivo e de migração tecnológica de hardware e software do ambiente computacional, o que envolve um conhecimento multidisciplinar e amplo domínio técnico de toda a equipe, ante uma diversidade de projetos a serem executados com diferentes particularidades. Os seguintes parâmetros são definidos neste Plano Diretor como Marco Referencial de Infraestrutura de TI, específicos para a área de Administração da Rede Lógica, que devem ser aplicados de forma superveniente aos princípios gerais descritos no item 3.1.1: Instalações de alta segurança: deve ser assegurada a existência de um data center próprio, instalado em sala-cofre com dispositivos que garantam alto nível de proteção aos ativos de rede contra incêndios e outros incidentes, climatização de alto desempenho, gerador próprio, cabeamento e layout adequado para permitir auditoria visual e lógica por ocasião da realização de leilões. Esta definição decorre do modelo centralizado da Agência, sem filiais regionais onde poderiam abrigar redundância operacional; Sustentação: deve ser assegurado junto à área responsável pela infraestrutura predial, elétrica, hidráulica e de telefonia a atuação integrada e comprometimento no suporte e manutenção geral da infraestrutura de Rede, em razão da interdependência de TI para com vários itens essenciais como no-breaks, geradores, climatização etc., os quais não podem deixar de ser levados em consideração dentro do processo de planejamento da evolução tecnológica de TI; Sistemas Críticos e Não críticos: para sistemas críticos, deve ser assegurada alta disponibilidade em regime de três turnos de operação (24x7x365) ou em escala de plantões, e para os demais sistemas, regime de disponibilidade de 8x5 (horário comercial). Deve ser assegurada a existência de regras de classificações, análises de risco, análises e 17 Em razão de incertezas e das experiências ainda incipientes sobre soluções virtuais como cloud computing, o conceito de Infraestrutura de Rede referencial neste documento segue a forma de arquitetura convencional, como a utilizada pela maioria das grandes corporações no atual momento. 63

73 monitoramento de tráfego de dados para que os níveis de criticidade sejam corretamente apurados. Backup Corporativo: deve ser assegurada a existência de normas e procedimentos para: classificação de dados; políticas de salvaguarda e restauração de dados; localização da informação; acomodação (mídia) e armazenamento (local e remoto); segmentação de arquivos salvaguardados; plano de testes; solução de Plano de Continuidade de Negócios / Recuperação de Desastres por meio de solução de Backup Corporativo e/ou recursos de storage que assegurem redundância e armazenamento apropriado das informações contidas nos bancos de dados. Exemplo ilustrativo demonstrado na Fig. 3. A responsabilidade sobre a elaboração e atualização de normas relativas ao Backup Corporativo deverá ser compartilhada com as equipes de Infraestrutura de Banco de Dados e Segurança da Informação; ANEEL ÓRGÃO CONVENIADO Switch Ethernet Switch Ethernet CX4-120 Servidores Servidores Switch de fibra ótica Switch de fibra ótica Storage Storage Fig. 3. Diagrama de solução para ambiente redundante Evolução Tecnológica, Quantitativa e Qualitativa: devem ser realizados e revistos periodicamente os planos de aquisição de equipamentos e dispositivos de forma a assegurar um padrão de atualização de plataformas e melhoria constante de qualidade e propiciar uma migração tecnológica de hardware e software com base em processos planejados e coordenados. Os critérios de seleção de investimentos em equipamentos devem ser orientados pelo aspecto de disponibilidade, qualidade, redundância e grau de extensão do uso da tecnologia a ser adquirida, de forma a evitar obsolescência e desuso tecnológico em curto prazo. Armazenamento e Processamento: devem ser efetuados estudos preventivos de situações de sobrecarga de capacidade, falta de espaço para manobras e volume de crescimento das operações, de forma a manter afastado o risco de colapso em gargalos na rede, colisão de 64

74 dados em dispositivos concentradores ou insuficiência de armazenamento por informações processadas no ambiente tecnoõgico da agência. O período mínimo a ser coberto é de 3 anos do crescimento vegetativo dos negócios da Agência. Classificação da informação: deve ser assegurada a existência de política e regras para criação, manuseio, armazenamento, acesso, auditoria, tempo de vida útil e descarte de dados corporativos; Critério de seleção para arquiteturas: os princípios norteadores devem seguir o resultado a ser alcançado junto à área demandante ou a produtividade da SGI. Por exemplo, para uma determinada aplicação, cuja solução possa ser processada por plataforma Windows, Novell, Linux, Oracle, Lotus Notes, Sun Solaris ou outra qualquer, a arquitetura de solução deve ser selecionada dentro de rigor técnico voltado à obtenção de resultado. No tocante à rede instalada, a tecnologia disponível deve permitir expansão dinâmica de equipamentos, para atender a uma demanda crescente por armazenamento e desempenho de processamento decorrente de novas soluções sistêmicas. A padronização deve ser sempre perseguida em situações de riscos de incompatibilidade de desempenho ou diversidade de configuração ou identificação de softwares por dispositivos que possam afetar o processamento de sistemas legados ou soluções desenvolvidas sob várias linguagens. A arquitetura de projetos deve estar sempre voltada a desempenho, robustez, política de testes, localização, acesso rápido a sites, sistemas e serviços através de portais corporativos customizados, autenticação otimizada (Single Sign On) e obtenção de resultados. O padrão corrente de servidores blade deve ser perseguido, por reunir as melhores condições de espaço físico e tecnologia. Deverá ser avaliada a eventual utilização de software livre / público, sempre que aplicável. Definição de especificações de produtos enquadráveis para o ambiente de Infraestrutura de TI da ANEEL, sujeitos à aprovação e análise de viabilidade técnica da SGI: Mobilidade: a disponibilização de notebooks, tablets e celulares pode ser empregada sempre que haja necessidade de acesso remoto a dados corporativos decorrente da atividade dos colaboradores, por meio de OCS, NetMeeting, Vídeo Conferência, Windows Media, Unify Messenger etc; Voip: é possível a disponibilidade de recursos de voz sobre IP através de computadores e notebooks para utilização fora da agência como Unify Messsenger integrado à central telefônica ou secretária eletrônica via ; Redes sem fio: a cobertura do interior de toda a Agência por redes sem fio é viável, para permitir acesso a redes da Infovia; Certificação Digital: altamente recomendado para autenticações na rede. Nível de Maturidade: deve ser assegurada uma evolução qualitativa do ambiente computacional por nível de maturidade apoiado em processos, segregação de ambientes de desenvolvimento, homologação e produção, classificação da informação, papel dos agentes, políticas, diretrizes e cultura organizacional, além da devida associação com as particularidades de negócio às quais a Agência está envolvida, como os leilões, riscos de racionamento de energia, transmissão pública de reuniões da Diretoria, demandas por imagens, geoprocessamento, etc. No tocante à governança, deve ser assegurada a 65

75 existência de métricas e indicadores que permitam observar claramente os padrões de desempenho e a capacidade de resposta a incidentes de qualquer natureza; Política de divulgação das ferramentas de TI: deve ser coordenada ação conjunta com a área de Recursos Humanos no sentido de elevar o nível de conhecimento corporativo dos aplicativos e soluções existentes Banco de Dados Marco Referencial De uma forma geral, a área de Banco de Dados exerce o papel de guardião dos dados corporativos, uma vez que sua incumbência é a de mantê-los seguros e acessíveis para os usuários dentro dos padrões de segurança definidos em normas específicas. Trata-se da área responsável pelo suporte, administração, monitoramento e implantação de bases de dados com foco na segurança, estabilidade, confiabilidade e acessibilidade, para garantia da integração e unicidade da informação. Dentro desta visão, os padrões de utilização e as normas de segurança são essenciais para o respaldo das ações e decisões tomadas pelos analistas de banco de dados e backup. A área atende clientes internos da ANEEL, tanto dentro da SGI como de outras superintendências. Esses clientes são constituídos por áreas como a de sustentação de sistemas, superintendências que demandam a criação de relatórios de DW (Data Warehouse) e usuários que necessitem da recuperação ou realização de backups 18. Sob a ótica das melhores práticas de gestão, este Plano Diretor define os seguintes parâmetros como Marco Referencial, que devem ser aplicados de forma superveniente aos princípios relacionados no item 4.1.1: Quanto a Normas e Padronizações Relativas a Bancos de Dados: Obrigatoriedade de utilização: é obrigatória a utilização de padrões para formatos, nomenclatura, mecanismos de restrição, perfis de autoridade etc., no sentido de impedir a criação de soluções que atendam a interesses individuais ou de determinada área e sem metodologia, que possam comprometer a segurança e integridade do Banco de Dados Corporativo e/ou levar a redundância e inconsistência de informações. Responsabilidades: a elaboração e atualização regular destas normas estarão a cargo da equipe de Bancos de Dados e deverão ser revistas pela equipe de Segurança da Informação no que tange às disposições específicas sobre assuntos de segurança da informação; Clareza: as normas e padrões devem ser definidos de forma clara e permitir uma boa disciplina de utilização do Banco de Dados Corporativo no âmbito de desenvolvimento de sistemas; Rigidez: deve ser assegurado alto nível de rigidez normativo para forma e técnicas de utilização de BD, no tocante a objetos, modelos de dados, dicionarização, tabelas 18 Além das atribuições inerentes à Administração de Banco de Dados, a área responde temporariamente pelas atribuições de Aministração de Dados até que essa função passe a ser desempenhada por uma área específica para esse fim, vinculada ao EGP. Vide tópico

76 temporárias e uso de códigos armazenados no banco de dados (como stores procedures ou triggers). Deve ser garantida a existência de um único padrão na Agência, de forma a trazer clareza aos desenvolvedores e reduzir o nível de retrabalhos, redundâncias, inconsistências e a incidência de erros de modelagem, decorrentes da adoção de diferentes padrões para cada sistema; Garantia de compatibilidade: no planejamento de aquisição de software e produtos, deve ser observada a obrigatoriedade de os fabricantes procederem ao ajuste de compatibilidade de seus produtos à plataforma de Bancos de Dados em uso na Agência, e não o contrário; Backup Corporativo: a responsabilidade sobre a elaboração de normas e procedimentos de Backup Corporativo deverá ser compartilhada com a equipe de Infraestrutura de Administração de Rede, Segurança da Informação e Gestão de Documentos. Quanto à Segurança e Auditoria: Acesso ao ambiente de produção: deverá ser assegurada a existência de normas rígidas e mecanismos eficazes de segurança para garantir que o acesso ao ambiente de produção seja realizado somente por meio de sistemas e aplicações, e não por acesso direto de determinado usuário ou analista de sistemas individualmente. As senhas dos sistemas devem ter um controle restrito feito pela área de Serviços (gestão de liberação e implantação) e o analista de sistemas não deverá ter conhecimento da mesma; Alteração de dados em ambiente de produção: deverá ser assegurada a existência de norma rígida para garantir que ninguém possa ler, alterar, suprimir ou inserir dados em produção sem que seja através de um sistema ou aplicação. Caso necessário, a norma de segurança deve prever essa exceção, com indicação dos canais de autorização e a forma de registro desse acesso, onde o usuário individual ou analista de sistemas que faça uso das informações assine um termo de responsabilidade; Utilização de senhas: a norma de segurança deverá prever: (i.) controle de acesso rígido às bases de produção com vedação de uso de senhas fracas ou óbvias pelos usuários dos sistemas de produção; (ii.) as senhas de produção devem ser apenas configuradas para acesso dos sistemas. (iii.) os acessos de usuários à produção devem ser controlados e temporários, sem uso das senhas de sistemas; (iv.) vedação de que a senha fique codificada na aplicação, ou no caso de senhas codificadas nos sistemas, garantia de que o acesso ao código de produção seja controlado; (v;) manutenção de senhas criptografadas; (vi.) adoção de uma política de modificação periódica nas senhas de produção; (vii.) manutenção de um registro das senhas em arquivo criptografado, para agilizar a manutenção; (viii.) utilização de certificados digitais que reconheçam o acesso apenas das aplicações, o que restringe acesso não autorizado, mesmo que o invasor tenha conhecimento da senha do sistema; (ix) garantia de que o controle das senhas fique a cargo da área responsável pela Gerência de Liberação e Implantação, de acordo com o ITIL. Na ANEEL, a área responsável por essa gestão é a Gerência de Serviços, dentro da estrutura da SGI. 67

77 Práticas de auditoria: deverão ser adotadas boas práticas usuais de trabalho, como a auditoria de qualquer operação crítica no Banco de Dados, alterações de estrutura e alterações de dados em tabelas declaradas como críticas. A auditoria deve incluir também operações realizadas pelo Administrador de Banco de Dados (DBA) e pelo Administrador de Dados (AD). Tais atividades devem ser realizadas por meio da utilização de ferramentas específicas para auditoria de Banco de Dados disponíveis no mercado, que armazenam as informações em uma base separada e controlada. Os sistemas devem implementar auditoria de utilização como boa prática. Em caso de uma auditoria de sistemas feita pela AIN, TCU ou outro órgão externo, o sistema será capaz de fornecer informações úteis sobre quem acessa os sistemas, quem realizou determinada açõa e se essa ação teve o objetivo de fraudar dados; Eliminação de dados críticos: deverá ser assegurada por norma a não-eliminação de dados críticos por nenhum sistema ou usuário. Esta norma deverá dispor sobre a retenção destes dados, alteração de status informacional e migração dos mesmos para tabelas históricas quando não mais necessários dentro das bases transacionais, de forma a propiciar resposta imediata a qualquer necessidade sem se recorrer a backup, como por exemplo, no caso de questionamento jurídico; Responsabilidade sobre identificação da criticidade: deverá ser normatizada a definição dos responsáveis por identificar quais dados são sensíveis e / ou críticos, tanto do ponto de vista de acesso quanto de retenção da informação; Segurança compartilhada: deverá ser observado que nenhuma alteração poderá ser efetuada nos servidores de Banco de Dados sem o conhecimento da Administração dos Bancos de Dados (DBA), uma vez que a Segurança da Informação também envolve a responsabilidade sobre a administração do DBA. Como qualquer alteração de configuração pode ter impacto no desempenho dos sistemas, deve o DBA estar ciente da nova condição do servidor para poder considerar esta variável. Quanto ao ambiente computacional: Sistema Gerenciador de Banco de Dados Relacional (SGBDR):: a escolha de um SGBDR deve seguir um processo seletivo em que diversas variáveis deverão ser consideradas, para que a melhor decisão seja evidenciada, resultante da combinação ótima entre estas variáveis. Devem ser consideradas as seguintes variáveis: tecnologia, desempenho, robustez, funcionalidade, interface de administração, compatibilidade, aplicabilidade, custos com licenças, custos com migração de legados, custos com treinamento, dentre outras. O SQL Server 2008 foi adotado como a continuidade evolutiva mais vantajosa e econômica para o perfil da ANEEL e constitui-se no Marco Referencial para o presente momento. A eventual substituição por outro fabricante (Oracle, por exemplo) só poderia ser viabilizada caso o conjunto de custos de conversão de todos os sistemas legados, treinamento de pessoal técnico em nova linguagem, custo com duplicação de novas licenças para suportar o legado existente e os riscos de eventual incompatibilidade para os demais aplicativos e todo o hardware fosse suficientemente menor e livre de vários riscos inerentes à mudança radical de conceito a ser implantada. Deve ser levada em consideração a potencial utilização de software livre, sempre que determinados nichos de oportunidade se mostrar favoráveis à sua utilização. 68

78 Disponibilidade x Criticidade: deve ser assegurado que todos os bancos de dados de produção funcionem em ambiente redundante com o uso de tecnologia de cluster 19, dispositivos de armazenamento em rede (storage), bancos stand-by (se for preciso um nível mais alto de disponibilidade), política de backup e demais requisitos inerentes a esta classificação. Deverá haver alta disponibilidade para sistemas críticos, para garantir o mínimo de downtime 20 do ambiente, de acordo com parâmetros definidos em projeto. Deve ser definido o nível de disponibilidade exigido para os bancos de dados, como por exemplo, o regime 24x7 e quais as janelas disponíveis para manutenções; Topologia: a topologia mais adequada deve ser definida de acordo com a necessidade de disponibilidade dos serviços e recursos. Um SGBDR com mais recursos administrativos permite à área de Administração de Banco de Dados realizar estudos de planejamento de capacidade mais precisos e com maior subsídio técnico, o que contribui para avaliar a adequação da arquitetura e a previsão de necessidades futuras. O infográfico da Figura 4 apresenta a topologia que será adotada para fornecer alta disponibilidade para os bancos de dados de produção da ANEEL. Fig 4. Topologias de alta disponibilidade para Bancos de Dados Segregação de ambientes: deve ser assegurada a definição clara de ambientes de desenvolvimento, homologação e produção. Para cada sistema em desenvolvimento, deverá haver definição clara dos procedimentos a serem seguidos antes da colocação em produção. Deverá haver máxima restrição para baixa de dados de produção para o desenvolvimento. As equipes de desenvolvimento deverão criar massa de testes para os sistemas. Caso esse tipo de solicitação seja frequente, deve-se buscar no mercado ferramentas que mascarem dados sensíveis, para transformação dos mesmos sem valor legal. Essa alteração dos dados deve levar em conta que somente o ambiente de desenvolvimento acesse os dados de 19 Termo utilizado para designar um aglomerado ou conjunto de computadores que utiliza um sistema operacional compartilhado entre os mesmos. Entre os vários tipos existentes, tem-se como mais conhecidos os Clusters de Alto Desempenho, Clusters de Alta Disponibilidade e os Clusters para Balanceamento de Carga. 20 Termo que define o período de tempo em que determinado sistema fica indisponível. 69

79 desenvolvimento e que não seja permitido o direcionamento do ambiente de produção para acessar dados de outros ambientes. Quanto ao Banco de Dados Corporativo (BDC) e Business Inteligence (BI): Identificação da permanência: a existência de um Banco de Dados Corporativo implica na identificação do que deveria permanecer na base central e o que deveria ser separado destes como dados de sistemas. Em outras palavras, seria criado um banco de dados para cada sistema e o BDC poderia ser acessado através de visões baseadas em queries 21 e/ou códigos armazenados no banco de dados (stored procedure) de forma transparente. A verificação de integridade referencial pode ser realizada através de triggers 22 (obs: a própria foreign key é uma trigger do tipo before insert/update/delete). Esse banco de dado corporativo evoca um trabalho de transformar os dados em informação corporativa isenta de redundâncias e inconsistências, dentro das melhores práticas da gestão da informação; Alteração da modelagem: devem ser adotados procedimentos rígidos no momento de alteração da modelagem do BDC, para afastar riscos ao funcionamento dos sistemas. Desta forma, este trabalho deverá envolver um levantamento dos dados corporativos, dos sistemas que consomem esses dados, de quem os mantém e como devem ser acessados; Camada de isolamento: deverá ser disponibilizada camada de isolamento que funcionará como interface de comunicação dos sistemas com as tabelas do BDC e de um sistema com outros sistemas. Atualmente essa camada é fornecida pelos WebServices, mas nem todos os sistemas a utilizam. Essa camada deverá ser administrada pela área que administra o desenvolvimento de sistemas (EGP). O uso dessa prática deverá ser intensificado para sistemas desenvolvidos internamente ou produzidos pela fábrica ou comprados externamente; Acompanhamento técnico para BI: deverá ser assegurado acompanhamento adequado para a equipe e a estrutura de trabalho de atendimento à demanda por soluções de BI bem como suporte técnico apropriado. Dentro deste conceito, os dados não permaneceriam mais restritos a seus respectivos sistemas, mas sim, dentro de um contexto mais amplo, com inclusão de inteligência no uso da informação para maior suporte à tomada de decisão. Há um aspecto cultural que deve ser levado em consideração ao se implantar BI, em que a conscientização e o treinamento deverão contemplar tanto os profissionais de campo quanto os usuários finais da solução. Quanto ao Backup Corporativo: da mesma forma estabelecida para a normatização, os procedimentos operacionais de backup deverão ser compartilhados pelas áreas de Banco de Dados e Administração da Rede Lógica, em virtude da natureza afim deste trabalho. De uma forma ampla, as diretrizes, normatização, acompanhamento e políticas de backup não 21 O termo query, cujo significado isolado é o de inquirir ou consultar corresponde a uma funcionalidade ou objeto de consulta / busca ao SGBD oferecida pela própria linguagem para consulta ao Banco e dados a chamada SQL, Structured Query Language, ou Linguagem Estruturada de Consulta. 22 O termo trigger, que significa gatilho, refere-se a um procedimento programado cuja execução ocorre sempre que haja uma tentativa de modificar os dados de uma tabela protegida por ele. Quando a alteração é efetuada, o gatilho é disparado, com gravação do histórico de alterações, usuário e horário da ocorrência. 70

80 podem, em hipótese alguma, prescindir o envolvimento da área de Banco de Dados, posto que a arquitetura, estrutura e controle de BD são operacionalizados por esta área Service Desk Marco Referencial O objetivo do Service Desk é prover um ponto único de contato aos usuários de TI, condição imprescindivel para uma comunicação efetiva entre os usuários e as equipes de TI da SGI/ANEEL. Um Service Desk utiliza softwares especializados e ferramentas para registrar e gerenciar todos os eventos, com rápida orientação e restauração à normalidade dos serviços disponibilizados aos usuários e a devida interação dos subprocessos da SGI junto aos prestadores de serviços de TI. De acordo com as melhores práticas de mercado (ITIL, ISO 20000, COBIT), e no âmbito deste Plano Diretor, uma central de Service Desk deve possuir como Marco Referencial os seguintes pontos: Quanto ao Controle do Incidente: como responsável pelo controle dos incidentes, o Service Desk deve ser acessível aos clientes e usuários em suas atividades de gerenciamento. Entre as particularidades envolvidas quanto ao controle, devem ser observadas: Interface: deve ser disponibilizada interface a outras atividades como gerenciamento de serviço, mudança, problema, configuração, liberação, nível de serviço e gerenciamento de continuidade de serviço de Tl; Aceitação: deve ser assegurado um nível de boa aceitabilidade dos clientes e usuários, o que melhora a satisfação em relação ao fornecimento dos serviços de TI; Comunicação: deve ser assegurado suporte à comunicação de mudanças em toda a organização e o tratamento de incidentes até a resolução; Registro: deve ser assegurado que todos os incidentes sejam registrados com o intuito de se mensurar os gastos com TI, o tempo médio por atendimento, as relações entre incidentes, a manutenção do banco de soluções e os históricos de itens de configuração; Cobertura de suporte: deve ser proporcionada cobertura de suporte capaz de atender ao período de funcionamento da ANEEL com respostas às solicitações (teleatendimento, , sistemas remotos, sistemas de aberturas de chamados etc.); Processos: deve haver descrição suficiente de processos e procedimentos de atendimento. Quanto à forma de atendimento em Primeiro Nível: Desempenho e eficiência: o Service Desk deve atuar de forma proativa ao resolver a maioria dos incidentes possíveis em primeiro nível, por telefone ou remotamente. Ele tem a obrigação de manter os usuários informados sobre eventos, questões e dificuldades nos serviços de TI que possam impactar adversamente sobre a capacidade de realizar suas atividades. Com isso, reduz-se o tempo de paralisação das atividades desenvolvidas pelos colaboradores da Agência e obtém-se um bom 71

81 desempenho e eficiência dessa função, o que contribui para a melhoria da qualidade do fornecimento de serviços de TI. Quanto ao alcance de benefícios: deverão ser obtidos: Boa acessibilidade das informações e comunicações, através do ponto único de contato; Perguntas, pedidos, reclamações e comentários designados prontamente para ação; Boa qualidade e tempo de resposta rápido (retorno) para os pedidos dos clientes; Enfoque e abordagem estruturada proativa à provisão do serviço de suporte; Menor impacto negativo de incidente, maior produtividade do cliente/usuário; Melhor gerenciamento e controle da infraestrutura; Utilização aprimorada dos recursos de suporte de TI para maior produtividade do pessoal de negócios; Espírito de equipe, boa motivação e comunicação organizacional; Utilização de recursos eficientes, efetiva e superior; Relato de informações de gerenciamento consistente para aprimoramento das decisões de suporte; Realização de diagnósticos e restaurações de ambientes remotamente, sem a necessidade de deslocamento físico dos técnicos do Service Desk; Maior agilidade, flexibilidade e velocidade para a identificação e resolução de problemas; Racionalização dos custos de Service Desk; Aumento da satisfação dos usuários internos com os serviços de TI; Reduções de custo reais através da melhora significativa na disponibilização do equipamento para inventário e atualizações; Redução do tempo ocioso do equipamento que aumenta a produtividade do usuário; Aperfeiçoamento significativo das técnicas de diagnóstico e reparo de hardware e software. Quanto às métricas: as métricas do Service Desk deverão contemplar: Percentagem de chamadas resolvidas durante o primeiro contato com o Service Desk (ou seja, enquanto o usuário relata o problema na chamada telefônica); Percentagem de chamadas resolvidas pela própria equipe do Service Desk, sem recorrer à escalação; Tempo médio para resolver um incidente (quando resolvidos na primeira linha); Tempo médio para escalar um incidente (quando a resolução de primeira linha não é possível); Média de custo do Service Desk para lidar com um incidente; 72

82 Percentual de clientes ou atualização de usuários conduzidos dentro dos limites dos Acordos de Nível de Serviços (SLA); Tempo médio para revisar e fechar uma ligação resolvida; Número de ligações perdidas por hora do dia ou da semana, combinada com a média de ligações ( item crítico para determinação da força de trabalho necessária); Pesquisa de satisfação dos clientes. Quanto à Estrutura Organizacional: o Service Desk pode ser estruturado dentro das instalações físicas da ANEEL, externamente ou com uma combinação das duas situações. Apenas o atendimento em primeiro nível poderá estar em ambiente externo. Os demais níveis devem ser instalados fisicamente dentro da Agência a fim de proporcionar agilidade de atendimento. Na criação de níveis de equipe, devem ser considerados os seguintes fatores, quando aplicável: Expectativas de serviço dos usuários; Requisitos de negócios (orçamento e tempo de resposta as ligações); Tamanho, desenho e complexidade da Infraestrutura de TI e o Catálogo de Serviço; Número de clientes e usuários para dar suporte; Tipos de Incidentes e Requisições de Serviços ou tipos de Requisição de Mudanças RDM, se apropriado; Período de cobertura de suporte e o tipo de resposta necessária (telefone, , fax, voice mail, vídeo, atendimento físico); Nível de treinamento necessário; Tecnologias de suporte disponíveis (sistema de telefone, ferramentas de suporte remoto, etc.) Níveis de habilidades existentes da equipe; Processos e procedimentos em uso. Processos: o Marco Referencial de funcionamento do Service Desk deve contemplar um método de entradas e saídas dos processos como demonstrado na Figura 5. 73

83 Fig. 5. Diagrama representativo do Service Desk Segurança Marco Referencial Em um mundo onde a informação representa valor imprescindível para que todos os segmentos da sociedade exerçam suas funções, surge a necessidade da ação da área de Segurança Informacional, seja para prevenção de riscos associados a fatos naturais, seja para afastar a ação maliciosa ou nociva por parte de criminosos ou interessados que venham causar dano a este componente de vital importância. Atualmente, as organizações ficam expostas a diversos tipos de riscos e ameaças de ordem informacional, como fraudes eletrônicas, espionagem, sabotagem, vandalismo além de todos os efeitos naturais que possam destruir acervos eletrônicos, como incêndio ou inundações. Danos causados por códigos maliciosos, crackers e ataques de negação de serviços tornam-se a cada dia mais destrutivos e sofisticados. A Infraestrutura de Segurança da Informação tem por missão proteger os ativos de informação contra ameaças, na busca da diminuição das ocorrências, dos impactos e, consequentemente, dos riscos. Caracteriza-se por ser, antes de tudo, uma metodologia personalizada às condições encontradas. A sua implantação requer o levantamento de uma série de informações, a fim de que os produtos finais possam ser adaptados para uso pleno. Sob a ótica das melhores práticas de gestão, este Plano Diretor define os seguintes parâmetros como Marco Referencial, que devem ser aplicados de forma superveniente aos princípios relacionados no item 1.1.1: Quanto à Organização da Segurança da Informação: as atividades devem estar bem definidas e em conformidade com a Política de Segurança da Informação. As diretrizes básicas dessa política deverão atender às normas NBR ISSO/IEC 27002:2006 e NBR ISSO/ISC 27005:2008. O papel dos profissionais e do gestor da Segurança da Informação deve estar alinhado com a proteção que se deseja dar aos ativos e à implantação de controles específicos. Quanto à Análise/Avaliação e Tratamento de Riscos: a análise e avaliação de riscos devem ser realizadas periodicamente e de forma metódica, com a inclusão das mudanças 74

84 nos requisitos de segurança da informação, ou seja, nos ativos, ameaças, vulnerabilidades, impactos e sempre que mudanças significativas no ambiente ocorrerem. Para o tratamento dos riscos deve-se levar em conta a definição de critérios para se aceitar o risco ou não e considerar ainda a relação custo - benefício de se aplicar o devido controle. Os controles devem ser aplicados sempre que pertinentes, no sentido de reduzir os riscos. O risco pode ser evitado, eliminado ou transferido e seu escopo deve ser translúcido com enfoque na sua magnitude (análise) e significância (avaliação). Quanto à Política de Segurança da Informação: a política de Segurança da Informação deve ser formalizada por meio de documento oficial da instituição, aprovada pela direção, publicada e comunicada para todos os colaboradores e partes externas relevantes. O momento ideal para o desenvolvimento de uma política de Segurança da Informação é a situação anterior ao acontecimento dos problemas graves, pois a prevenção e o preparo são justamente a sua principal finalidade. Existem vários fatores a serem contemplados numa política, entre os principais: Diretrizes básicas; Manuseio e classificação de informações; Licenciamento de softwares; Backups; Acesso remoto; Resposta a incidentes; Investigação e perícia forense; Acesso aos recursos tecnológicos; Termo de confidencialidade; Declaração de comprometimento da direção; Acesso privilegiado; Propriedade intelectual; Requisitos legais e regulatórios, dentre outros. Quanto à Gestão dos Ativos: é preciso alcançar e manter a proteção adequada dos ativos da organização. Os ativos devem ser inventariados e a sua responsabilidade dever ser atribuída ao proprietário. A ANEEL deve identificar e manter o controle de todos os seus ativos com a devida documentação da importância de cada um. Os seguintes ativos devem ser considerados prioritariamente: Ativos de informação; Ativos de software; Ativos físicos; Serviços; Pessoas; 75

85 Reputação e imagem da corporação, dentre outros. Quanto à Gestão de Incidentes de Segurança da Informação: os serviços devem ser restaurados ao padrão normal o mais rápido possível com o mínimo de interrupção, e impacto negativo nas áreas de negócio. As fragilidades e eventos de Segurança da Informação associados com sistemas de informação devem ser comunicados, para permitir a devida tomada de ação corretiva em tempo hábil. Quanto à Gestão de Continuidade de Negócios: o desenvolvimento preventivo de um conjunto de estratégias e planos de ação deve ser conduzido juntamente às áreas de Infraestrutura de Rede e Banco de Dados, de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre e até o retorno à situação normal de funcionamento da corporação dentro do contexto do negócio do qual ela faz parte. Um plano de continuidade de negócios deve abranger os seguintes aspectos: Definição das medidas de redução de riscos apropriadas e o plano de continuidade das operações; Decisão sobre as estratégias de recuperação dos serviços de TI; Responsabilidades; Matriz de comunicação; Procedimentos, dentre outros. Quanto à Conformidade: um dos fatores primordiais na identificação dos requisitos de proteção necessários a uma dada informação é o olhar atento sobre legislação / regulamentação à qual a organização está sujeita, com a devida análise em detalhes na busca de determinações específicas. O objetivo da conformidade legal é evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Os gestores devem garantir que todos os procedimentos de Segurança da Informação, dentro da sua área de responsabilidade, sejam executados corretamente para atender à conformidade com as normas e políticas de segurança da informação. Quanto à Capacitação e Conscientização em Segurança da Informação: o elo mais fraco da corrente de Segurança da Informação são os próprios seres humanos. Para disseminar a cultura em Segurança da Informação é necessário conscientizar e capacitar os usuários de uma maneira sob medida para cada organização. Isso exige recursos financeiros, tempo das pessoas, alinhamento com a estratégia de negócio, planejamento de atividades e trabalho constante. A conscientização em Segurança da Informação deve respeitar a cultura organizacional e a maneira de ser de cada pessoa. Da alta direção até o colaborador de menor hierarquia ou relacionamento profissional, todos devem participar do processo de conscientização e treinamento. Aprender implica mudança de hábitos. O hábito é um dos produtos finais da aprendizagem que, por sua vez, significa mudança de comportamento. Quanto aos Indicadores: os indicadores são instrumentos importantes que devem ser utilizados no controle da gestão, verificação e medição de eficiência e eficácia da 76

86 Segurança da Informação. São da maior relevância para o campo da administração pública, pois permitem observar e mensurar aspectos de uma determinada realidade, na medida em que contribuem para o aumento da transparência da gestão e facilitação do diálogo entre os mais diversos grupos sociais organizados Gestão Internet / Intranet Marco Referencial A gestão da Internet / Intranet encerra uma gama de responsabilidades distintas, conforme a natureza das competências por parte das diversas áreas da ANEEL. Cabe à Superintendência de Comunicação e Relações Institucionais SCR a responsabilidade sobre a concepção, lay-out e desenvolvimento do sítio da Agência e do portal interno (intranet), bem como o fornecimento de informações a serem veiculadas e os serviços a serem oferecidos ao público dentro das competências definidas pelos incisos I e III do artigo 14-A da Portaria MME n 349/ (Regimento Interno da ANEEL). Já no tocante ao apoio técnico associado ao funcionamento do portal e ao desenvolvimento de outras aplicações em ambiente WEB, tem-se as responsabilidades atribuídas à SGI, dentro do escopo de suas competências. As principais responsabilidades envolvem tanto a gestão do ambiente computacional, infraestrutura de rede, banco de dados, administração de dados, segurança como também o apoio técnico para sustentação do portal, além do próprio desenvolvimento de aplicações sistêmicas em ambiente WEB. Disseminar a informação é a palavra chave de todo o processo, pois nada adianta o trabalho árduo das unidades organizacionais e de toda a Diretoria Colegiada se a informação e conteúdos produzidos pela Agência não forem divulgadas à sociedade, em condições de tempo e forma confiáveis, com disponibilidade de 24 horas em todos os dias da semana. Há uma série de atividades envolvidas pertinentes à segurança e gestão de conteúdo que devem ser consideradas, além do imprescindível cuidado com informações atualizadas e verídicas, uma vez que o recurso já se tornou ferramenta do dia-a-dia para os trabalhos dos usuários internos e externos. Desta forma, a WEB é a vitrine que exibe as informações e o desempenho das unidades organizacionais, à sociedade. Quanto mais fáceis o entendimento e localização das informações, maior a percepção e retorno da sociedade em termos de confiança, credibilidade, transparência e boa imagem da ANEEL. Para o Marco Referencial da ANEEL, na ótica das melhores práticas em gestão de ambiente WEB corporativo, aplicam-se as seguintes disposições: Quanto aos aspectos normativos e de padronização, cabe primordialmente à SCR no tocante à(s): Páginas da Internet: atender às recomendações de acessibilidade para a construção e adaptação de conteúdos do Governo Brasileiro na Internet (e-mag), publicadas em sítio específico 24 que edita regras e impõe objetos e links obrigatórios. É necessária a devida atenção para com novas regras e modificações, principalmente no momento de transições governamentais, e que devem ser seguidas por todo o Poder Executivo; 23 Conforme a redação dada pela Resolução Normativa ANEEL n 249 de 30/01/ Atualmente no endereço 77

87 Identidade Visual: harmonizar a identidade visual da Agência com o ambiente WEB, no qual a linguagem, forma, fontes, logomarca, cores e padronização estão definidas no Manual de Identidade Visual correspondente. Padronização: no caso de desenvolvimento de aplicações, a SGI deve seguir, quando aplicável, normas próprias de design, estilo, fontes, cores, padrão de menus e funcionalidades, de forma a padronizar as aplicações e sistemas WEB. Quanto à Segurança, cabe à SGI, no tocante a: Áreas de infraestrutura: respeitar as normas e padrões de segurança, banco de dados, desenvolvimento e infraestrutura do ambiente de TI da ANEEL. Deve ser assegurado o procedimento de backup e contingência com garantia de continuidade do serviço e recuperação de todas as informações, Banco de dados e sistemas, além da gestão da segurança e garantia dos sistemas críticos para situações emergenciais. Confiabilidade e autenticidade: garantir a confiabilidade da informação e a autenticidade do cliente gestor da informação através da melhoria contínua das técnicas de autenticação; Controle de modificações / Prevenção de fraudes: registrar em log 25 as atividades e modificações de inclusão de dados e informações publicadas na página. Deverão ser utilizadas técnicas de confirmação para assegurar a identidade do cliente externo como assinatura digital, ambiente seguro e certificação por cartório digital, para minimização das chances de fraude. A impossibilidade de modificação indevida de dados e captura de senhas deverá ser garantida por meio da aplicação de tecnologias de segurança adequadas; Quanto ao Sistema Gerenciador de conteúdo, aplicações e serviços da Internet / Intranet / Extranet / Hotsites cabe à SCR e SGI, no tocante a: Sistema Gerenciador: assegurar a disponibilização de um sistema que permita ao gestor alterar de forma simples e dinâmica as informações, com ferramentas que atendam às necessidades do dia a dia. Um sistema gerenciador dos sites e portais é de importância vital para a coordenação, organização da montagem dos sites e portais, de forma a garantir fácil acesso dos gestores de conteúdo, a manutenção dos seus dados, assim como a utilização de aplicativos específicos. Autonomia: permitir, quando aplicável, que as Unidades Organizacionais atuem de forma independente e descentralizada, com autonomia para divulgação de suas informações; Desempenho de serviços: assegurar o funcionamento do sistema e suas ferramentas de forma rápida e dinâmica, de forma a permitir a divulgação de informações no tempo e na hora que o cliente ANEEL (interno ou externo) necessitar. A segurança não pode ser esquecida em nenhum momento. 25 Procedimento de registro em espaço específico no banco de dados, que contém informações sobre nome, identificador de item, valores, etc para permitir recuperação de dados, dentro de determinadas condições. 78

88 Quanto ao Ambiente Computacional, cabe à SGI: Ambiente Redundante: assegurar que todos os sites e portais funcionem em ambiente robusto com o uso de tecnologia de alta disponibilidade e balanceamento de carga entre outras, para permitir à sociedade obter informação a qualquer tempo que necessita. Os bancos de dados e sistemas necessários ao funcionamento destes sites e portais também devem estar em infraestrutura similar (alta disponibilidade), em razão da utilização pelo público em regime 24x7 (ininterrupto, como padrão para ambientes Web) e do elevado número de páginas visitadas. A topologia mais adequada deve ser definida de acordo com a necessidade de disponibilidade dos serviços e os recursos disponíveis Quanto à Análise de conteúdo e Caducidade da Informação, cabe à SCR, com apoio da SGI, no tocante à: Gestão do Conteúdo: utilizar técnicas avançadas de gestão de conteúdo para garantir fácil alteração, registro dos eventos e procedimentos de auditoria. A SCR deverá estabelecer mecanismos para assegurar as responsabilidades de forma descentralizada junto às áreas da ANEEL quanto ao controle da temporalidade das informações contidas no sítio; Registros e Controles: assegurar a disponibilidade de avisos automáticos de conteúdo com data a expirar ou vencida e escalonamento dos avisos à medida da criticidade do dado. O registro das modificações, validade do conteúdo e periodicidade da informação são condições imprescindíveis. Devem ser evitadas e/ou eliminadas a redundância e informações conflitantes. Quanto aos Recursos Humanos, no tocante a: Gestores de Conteúdo WEB: cabe à SCR, com apoio da SGI assegurar que o gerenciamento do processo seja conduzido por servidores do quadro efetivo com experiência nas atividades de gerenciamento do conteúdo e aptos. a treinar os gestores de conteúdo na ferramenta de administração, dentro do aplicável. Deverão ser asseguradas atualização e capacitação técnica dos profissionais, para acompanhamento das novas tecnologias envolvidas; Desenvolvedores e Mantenedores dos Sistemas e Aplicações WEB (Internet e Intranet): cabe à SGI assegurar a existência de profissionais qualificados, com capacidade de manter um bom gerenciamento dos serviços, hardware, software e sistemas, bem como de assimilação de novas tecnologias, para otimização do ambiente; Quanto à Tecnologia e atualização, cabe à SGI com apoio da SCR, no tocante a: Novos mecanismos de interação com a sociedade: acompanhar diariamente as novidades relativas às mídias sociais na internet, ante a rapidez da proliferação de novas tecnologias em detrimento da descontinuidade de outras. Ante o desejo geral de se obter informação em todos os meios disponíveis, é imprescindível a pesquisa por novos recursos de comunicação utilizados pela sociedade (RSS, , 79

89 cadastros, redes sociais) desde que, após análises e pesquisas, seja recomendada a utilização por adequação ao ambiente da Agência. Novos produtos: acompanhar a atualização tecnológica dos produtos existentes e das novas tecnologias utilizadas em sites e portais Pesquisa externa: utilizar ou eventualmente contratar, quando aplicável e dentro das necessidades, serviços prestados por empresas especializadas na realização de enquetes, para identificação dos anseios da sociedade, por ocasião da coleta de sugestões para redesenho do portal e seus sistemas. Este procedimento se faz necessário no sentido de se rever periodicamente a forma como os usuários enxergam a Agência Equipamentos e Software de Uso Comum Marco Referencial A existência de regras e procedimentos coerentes para aquisição de itens de uso comum, como equipamentos (computadores, notebooks, impressoras, scanners, etc) e softwares (aplicáveis a determinadas áreas, como MindManager, ACL, AutoCad, PageMaker, CorelDraw, etc),é requisito essencial para assegurar a disponibilização de um parque de equipamentos de boa procedência, qualidade e padronização. Tais elementos auxiliam fortemente a tomada de decisões e propiciam suporte para o enfrentamento das várias dificuldades que ameaçam o equilíbrio no atendimento das demandas dos usuários internos da ANEEL, como a elevada obsolescência ou limitação de recursos financeiros. Os seguintes parâmetros são definidos como Marco Referencial da Agência. Regras gerais para aquisição de itens de uso comum: Microcomputadores e Notebooks: a decisão sobre a aquisição e perfil dos equipamentos estará condicionada às necessidades de trabalho dos usuários e também à melhor relação possível de custo x benefício; Softwares: idem acima Procedimento para Solicitação/Aquisição: deverá ser aberto um chamado ao Service Desk. O fluxo deste procedimento estará disponível em local apropriado no sítio intranet da Agência. Necessidade de especificação: será levado em consideração as atividades exercidas pelo usuário. Por exemplo, os equipamentos de tipo avançado são primordialmente destinados às áreas de desenvolvimento, Web, Administração da Rede, Banco de Dados e outras áreas que utilizam softwares gráficos ou planilhas complexas; para as demais áreas onde não há necessidade atrelada ao trabalho desenvolvido, os itens poderão seguir o padrão normal. Impressoras, dispositivos e serviços de impressão: deverá ser perseguida a terceirização de serviços de impressão, de forma a evitar aquisição de artigos consumíveis como tinta, toner e outros. No modelo de terceirização, deverá ser assegurada a possibilidade de identificação individual do usuário, para controle do volume de impressão gerado. Na ocasião de renovação de contratos, deverá ser efetuada análise de viabilidade entre diferentes modalidades de contrato, como: custo por impressão com e sem inclusão de papel, custo de equipamentos que 80

90 incluem digitalização, scanner e fax e outros, de forma a se obter a melhor relação possível custo versus benefício para Agência. Scanners: deverá ser perseguida uma política de conversão de scanners individuais para scanners corporativos, em razão de os novos equipamentos já embutirem esta funcionalidade sem acarretar custos para a digitalização. Parâmetros relativos a mobilidade: Determinação da necessidade: deverá ser apontado pelas superintendências e outras áreas a dependência de equipamentos como notebooks, PDA e GPS para exercício de suas atividades. Os potenciais usuários destes equipamentos portáteis são os membros da Diretoria e os servidores das áreas de fiscalização, concessão e eventos, por realizarem viagens para realização de suas atividades; Requisitos: a definição dos requisitos para esses equipamentos deverá levar em conta parâmetros como resistência, portabilidade (peso e dispositivos de acesso), desempenho e autonomia. Definição de política de renovação tecnológica: Ciclo de vida dos equipamentos: será atrelado ao período de garantia dos mesmos; Renovação tecnológica: será utilizada política de renovação de acordo com o prazo de expiração da garantia. Por exemplo, se para determinado lote a garantia expira em 3 anos, a renovação será de 33% a cada ano, se for 5 anos, a renovação será de 20%. O processo de aquisição será mesclado com contrato de suporte para as máquinas com prazo de garantia expirado e também, alternativamente quando for tecnicamente viável, a realização de melhorias (upgrade) como aquisição de memórias para melhora de desempenho dos equipamentos. Regras para descarte dos equipamentos: Dispositivos legais: deverá ser observado o cumprimento da IN 205/2008 do SEDAP/PR e Decreto nº 99658/1990 da Casa Civil; Responsabilidade: a responsabilidade para o descarte estará a cargo da Superintendência de Administração e Finanças SAF, e não da SGI; Definições legais: deverão ser realizadas análises periódicas para classificação da imprestabilidade dos bens. Com amparo no Decreto 99658/1990 Art. 3, Parágrafo Único, Alíneas c e d, tais equipamentos são classificados como inservíveis para as atividades de tecnologia de informação da ANEEL, em razão da condição, in verbis: (c) antieconômica, pela manutenção onerosa, rendimento precário devido ao uso prolongado, desgaste prematuro ou obsoletismo; (d) irrecuperável, por não mais poderem ser utilizados para o fim a que se destinam, devido à perda de suas características ou em razão da inviabilidade econômica de sua recuperação. 81

91 Análise e aprovação de atendimento de demandas encaminhadas pelos usuários: de forma ampla, para atendimento de demandas internas da Agência, a tomada de decisão sobre aquisição de itens de informática de uso geral nunca deve ser tomada por áreas solicitantes, mas sim pela CGI Comissão de Gestão da Informação, que detém competência exclusiva para isto, com apoio em critérios e parâmetros técnicos elaborados pela SGI. O processo de atendimento deve ser operado dentro da seguinte sequência de atividades: área identifica a necessidade => SGI analisa e define a especificação => SGI inclui a solicitação dentro da relação de aquisição periódica (anual, semestral etc.) => CGI autoriza a aquisição. Software Livre: deverá sempre ser avaliada a disponibilização destes recursos, para eventual utilização, sempre que aplicável. 82

92 83

93 1.2 Situação Atual e Ações Prioritárias Infraestrutura Neste tópico, faz-se um confronto entre e a situação atual e o Marco Referencial da Infraestrutura de TI da ANEEL. Todos os aspectos positivos e negativos encontram-se descritos, de forma a demonstrar as limitações, riscos e fragilidades da condição atual. Ao final, são relacionadas ações prioritárias que irão possibilitar o alcance da situação ideal definida no Marco Referencial. Antes da análise de cada segmento de atuação, faz-se o confronto da situação atual da infraestrutura, quando à adoção dos princípios gerais de infraestrutura relacionados no item Quanto à adoção dos Princípios Gerais Sobre a questão inicial relativa ao nível de disponibilidade, tem-se atualmente a operação do data center da ANEEL em regime de dois turnos somente. O não funcionamento em regime de três turnos (24x7), ideal para os padrões da Agência, inviabiliza o envio e processamento de informações pelos sistemas de rede durante a madrugada, fins de semana e feriados. Além disso, não há cobertura para ações de manutenção e processamento em batch para esses horários, algo cada vez mais demandado nos tempos atuais. No tocante ao rigor técnico e processo corporativo, consideradas as limitações de hardware e software do presente momento, qualifica-se o nível de aderência a esses quesitos como aceitável, visto que as fragilidades identificadas ainda não foram suficientes para comprometer o bom desempenho de toda a infraestrutura. Para avaliação do quesito agilidade operacional, deve-se considerar a questão da atual impossibilidade de aplicação na íntegra de todos os itens constantes das bibliotecas de boas práticas e princípios aceitos da atualidade (ITIL, COBIT, BSC, etc.) por várias limitações e fatores de ordem operacional. Além disto, tanto as ações de restrição e contingenciamento orçamentário impostas pelo Governo Federal, como a morosidade observada na finalização dos processos licitatórios de aquisição de bens e serviços com maior complexidade, tem retardado a aquisição de vários itens-chave da execução orçamentária, o que exige esforço adicional da SGI para superar esses entraves. Em razão destes fatores, qualifica-se o nível de agilidade operacional como mediano. Com referência a recursos humanos e retenção de conhecimento especializado, a equipe multidisciplinar de funcionários especializados terceirizados é altamente qualificada, capaz de atuar em uma grande diversidade de projetos com diferentes particularidades, detentora de alto conhecimento técnico, confiabilidade e motivação, o que tem assegurado um padrão de atendimento satisfatório e eficaz para as necessidades da Agência. No entanto, ante a iminência de substituições dos contratos de serviços especializados, tem-se um processo de desligamento de profissionais de alta qualificação, com repercussões no nível de conhecimento geral adquirido ao longo de vários anos de experiência de trabalho na área, o que provoca uma situação de certa fragilidade e instabilidade em todas as áreas de infraestrutura. 26 Vislumbra-se uma melhora dessa situação com a recente entrada em exercício de servidore selecionados no concurso público em 2010, o que possibilita o emprego de força de trabalho na gestão operacional e preservação de todo o capital intelectual criado. 26 Para maiores informações a respeito e demonstração dos impactos potenciais, vide tópico 8 - Análise de Riscos. 84

94 Assim, as ações necessárias para sanar as limitações e deficiências acima apontadas seriam, independentemente de ordem de prioridade: Implantar totalmente, ou ampliar, a extensão do regime de alta disponibilidade na infraestrutura, de forma a permitir a operação de todas as aplicações e sistemas críticos; Elevar o nível de maturidade de gestão de TI, por meio de ações de fortalecimento de conhecimento, como programas de treinamento e atualização; Elevar os níveis de orçamento de TI da Agência, por meio de articulação interna e externa; Passa-se a seguir, à discussão do confronto da situação atual da Infraestrutura com o Marco Referencial, detalhada por segmento de atuação e o devido levantamento de ações prioritárias Administração da Rede Situação Atual Na condição atual, sob a ótica dos padrões mínimos exigidos pela Agência, a área de Administração da Rede apresenta tanto virtudes como defeitos. Em relação às instalações do data center, a existência de uma sala-cofre para abrigo dos equipamentos (dotada de alta segurança, dispositivos de proteção, climatização de alta precisão, geradores, etc.) é um ponto forte que assegura bom nível de segurança, estabilidade de atendimento e baixa ocorrência de falhas. Há um complexo instalado que reúne ambiente tecnológico relativamente avançado, bom grau de padronização, dimensionamento e suporte dos fabricantes em condições aceitáveis. Este aspecto altamente positivo se contrasta, no entanto, com uma série de limitações e deficiências. Os sistemas de gerenciamento integrados, responsáveis pelo monitoramento e notificação de alterações no ambiente de infraestrutura da sala-cofre ainda apresentam limitações e impedem uma prevenção proativa e eficaz na ocorrência de incidentes. No tocante ao ambiente de servidores e armazenamento de dados, os investimentos realizados em 2009, com a aquisição de servidores HP Blade e um storage HP EVA 8400, já se mostram insuficientes em virtude do rápido aumento da demanda, tanto por usuários, sistemas, pela necessidade de backup e pela reestruturação da topologia. Devido à necessidade de alocação de recursos de storage durante os anos de 2010/2011 e implantação de alta disponibilidade aos serviços de TI da agência, faz-se necessário revisões com maior periodicidade quanto às necessidades de expansão de servidores de rede e armazenamento de dados, para garantia da disponibilidade das soluções, principalmente durante as manutenções de hardware e software, sem que exista a necessidade de parada das soluções publicadas. Adicionalmente, a entrada em funcionamento de um novo Sistema de Gestão de Documentos (SICNet 2) deverá exigir uma infraestrutura muito robusta para comportar um aumento na carga de processamento de informações. O processo de Backup Corporativo foi atualizado em decorrência da aquisição de biblioteca de fitas robotizada com tecnologia de última geração, que permite crescimento modular, o que eliminou a precariedade anterior. Em virtude do aumento da demanda por espaço em disco, faz-se necessário revisar as políticas de backup e recuperação de dados, de modo a garantir rapidez na recuperação de informações e desastres. Outra deficiência é a indisponibilidade de infraestrutura redundante instalada em local distante, um componente altamente estratégico para plena efetividade de seu Plano de Continuidade de Negócios / Recuperação de Desastres. Quanto a recursos humanos, a deficiência de servidores efetivos especializados em administração de rede, apontada anteriormente como fator de fragilidade em todas as áreas de infraestrutura, foi 85

95 parcialmente amenizada com o recente ingresso de novos servidores concursados. Deverá ser perseguida a manutenção de um processo evolutivo de ambiente orientado a projetos, com a adoção de diretrizes, políticas precisas e critérios objetivos para orientação de soluções futuras, padronização de ambientes (desenvolvimento, homologação e produção) e existência de mecanismos de auditoria independentes. Em resumo, ante a situação reportada, tem-se que o modelo ideal de governança de TI para o ambiente de rede ainda não se encontra totalmente implantado, o que requer ação coordenada para o alcance do Marco Referencial. As ações prioritárias relacionadas a seguir propiciam o saneamento das deficiências acima relacionadas e a melhoria da condição atual, e devem ser seguidas, independentemente da ordem, de forma superveniente às ações listadas no tópico obs: os itens marcados com (*) em andamento vide Anexo I: Elaborar e executar a criação do Domínio de Aplicações; (*) Estudar, planejar e implementar gerenciamento de serviços de TI via biblioteca de boas práticas do ITIL; Elaborar, aprovar e implantar a replicação de sites e serviços para ambiente externo ao edifício sede (redundância externa); Efetuar investimentos em ferramentas de monitoramento e auditoria; Criar ciclo de treinamento para a equipe de rede; Assegurar investimentos em hardware para atender a demanda atual e garantir o crescimento futuro; (*) Estudar e propor soluções de VOIP; Desenvolver uma cultura de utilização dos produtos e serviços disponibilizados pela SGI; Elevar a capacidade de armazenamento de dados corporativos (storage) da Agência; Estudar e propor a implantação de solução de rede sem fio em toda a Agência; 86

96 1.2.3 Banco de Dados Situação Atual A situação atual dos procedimentos de gestão de Bancos de Dados em confronto com o Marco Referencial ideal é a seguir detalhada. Normas e Procedimentos: as atualizações tanto da norma técnica como do manual de procedimentos de solicitações de serviços de banco de dados ainda não se encontram disponíveis. No presente momento, este trabalho é conduzido em conjunto com o Escritório Geral de Projetos (EGP) e deverá ser transferido para uma área a ser criada, denominada Administração de Dados. A norma encontra-se em fase de revisão e deverá ser disponibilizada para que críticas e sugestões antes da publicação. Como primeira prioridade, serão disponibilizadas as normas de patrões e técnicas de modelagem de dados e também a norme de padronização de nomenclatura de objetos de banco de dados.. Segurança e Auditoria: houve avanço com relação à auditoria e controle de acesso de sistemas, por meio do desenvolvimento do sistema S3A. Esse novo sistema será um gateway 27 entre a aplicação e o Banco de Dados destinado principalmente aos novos sistemas desenvolvidos na ANEEL. O controle de acesso ao ambiente de produção ainda precisa ser implantado, mas o processo já se encontra alinhado entre as gerências de Banco de Dados, Sustentação de Sistemas e Serviços. Ambiente Computacional: no tocante ao Sistema Gerenciador de Banco de Dados Relacional (SGBDR), o Microsoft SQL Server 2000 foi substituído recentemente pela versão SQL Server No tocante ao ambiente computacional, foram disponibilizados pela Gerência de Rede 6 servidores com a configuração de dois conjuntos de cluster, um com duas máquinas para bancos de dados usados por serviços (como Sharepoint por exemplo) e outro com 4 máquinas para os demais bancos de dados de produção. A configuração do SQL Server nesse ambiente e posterior migração dos bancos de dados para o novo ambiente ocorreu no primeiro semestre de Banco de Dados Corporativo (BDC): no tocante ao BDC, estão em curso as ações necessárias ao desenvolvimento do Banco de Dados único (vide Anexo 1 ETI 2.3). Na condição atual, há um compartilhamento da base existente com diversos sistemas legados, o que gera dificuldades na identificação de gargalos, isolamento de erros, backup e recuperação. Business Inteligence (BI): no tocante à utilização de ferramentas de BI (Business Inteligence), a ANEEL usa a tecnologia de data warehouse embutida dentro do contexto do SAD (Sistema de Apoio a Decisão). Porém esta abordagem ainda é apenas voltada para geração de relatórios gerenciais sem a utilização de todos os recursos do BI. A cultura organizacional para desenvolvimento de soluções de BI encontra-se atualmente em formação, com várias aplicações já em fase final de implantação junto a várias áreas operacionais. Na atual condição, apenas um analista de sistemas foi destacado ao desenvolvimento de soluções de BI, enquanto que o ideal seria pelo menos mais de um profissional dedicado a esse trabalho. A ANEEL implantou em 2010 o SAS, uma ferramenta robusta voltada para BI e que será adotada para padrão. Dentro desse contexto, encontra-se em andamento um trabalho de migração do SAD atual do Microsoft Analysis Service para o SAS. Backup Corporativo: o Backup Corporativo, atualmente se encontra sob responsabilidade da área de Banco de Dados. Faz-se necessário a participação da área de infraestrutura de rede nas discussões e compartilhamento das responsabilidades relativas às ações futuras pertinentes a esta questão. Com base na política atual de backup será feita uma atualização para refletir a nova tecnologia de hardware de backup e também a possibilidade de armazenamento das fitas de backup em um ambiente externo à ANEEL. A política 27 Gateway ou porta de ligação é um dispositivo ou equipamento dedicado a efetuar uma intermediação geralmente destinada a interligar redes, separar domínios de colisão ou traduzir protocolos diferentes. 87

97 de backup corporativo apresentou avanços no decorrer do início de 2011, e passa por uma revisão com foco na continuidade do negócio. A arquitetura com base na política de backup corporativo é mostrada na figura abaixo. As ações prioritárias identificadas como o mínimo necessário para manutenção da rota norteadora descrita no Marco Referencial e que assegura padrões de boa gestão do Banco de Dados com foco na segurança, eficiência e melhoria contínua são as seguintes - obs: os itens marcados com (*) contém ações em andamento vide Anexo I: Atualizar/rever o conteúdo da NT nº 6/2004 Padronização de objetos da Base de Dados Corporativa da ANEEL (*) Criar e adequar normas de procedimentos ao Modelo de Desenvolvimento de Sistemas da ANEEL MDS (*); Implementar o controle das senhas no âmbito da Gestão de Liberação e Implantação feito pela Gerência de Serviços de acordo com as práticas do ITIL; Atualizar o catálogo de serviços de Banco de Dados de acordo com o modelo do ITIL (*); Integrar o monitoramento de banco de dados à ferramenta Micrososft System Center e que está em fase de implantação pela Gerência de Rede (*); Realizar treinamento específico para a equipe de Banco de Dados como forma de garantir a atualização tecnológica e permitir que seja oferecido um serviço de suporte compatível com as necessidades da ANEEL; Planejar a migração das bases de dados de produção para o novo hardware que foi configurado e disponibilizado pela Equipe de Rede no primeiro semestre de 2010; Configurar os bancos de dados com uso da topologia Microsoft Cluster para alta disponibilidade (*); Remodelar o Banco de Dados Corporativo, com foco na eliminação de redundâncias e inconsistências, e criação de um modelo de informações corporativas (*); 88

98 Definir a arquitetura de banco de dados com base na segregação de ambientes em desenvolvimento, homologação e produção. Para uma abordagem mais eficaz, é preciso criar regras bem claras e restritas para entrada de sistemas em produção; Dar continuidade à atualização e revisão da política de backup corporativo com foco na continuidade do negócio, com previsão do armazenamento externo das fitas de backup e dentro de novas tecnologias em uso como HyperV (virtualização) por exemplo. 89

99 1.2.4 Service Desk Situação Atual Visão geral das mudanças Desde o início das operações até outubro de 2009, o atendimento aos usuários de TI da ANEEL era efetuado na forma de um Help Desk, com uma estrutura de 9 funcionários terceirizados de alta qualificação e familiarização com o ambiente computacional da Agência. A principal característica desse tipo de atendimento era que todos os funcionários desempenhavam o papel de atendente e solucionador dos serviços, por vezes diretamente associados em diferentes subprocessos (Rede, Banco de Dados, etc), sem a concentração em um ponto único de contato (SPOC 28 ), o que abria espaço para os usuários internos e externos da SGI terem acesso livre aos demais subprocessos (vide figura 6). Fig. 6. Estrutura relacional do Help Desk anterior ao novo contrato de serviços de Central de Atendimento Apesar da boa aceitação pelos usuários, são muitas as implicações decorrentes de um modelo em que é permissível o contato direto do usuário com as áreas de produção, com diversos transtornos que vão desde a queda de produtividade até a descaracterização e inviabilidade do processo de execução do Help Desk, e que torna subjetivo todo e qualquer quantitativo de valores que poderiam ser gerados pelas solicitações à SGI. Assim, para maior ganho de produtividade, empregava-se um esforço muito grande no gerenciamento da mensuração dos serviços, uma vez que boa parte dos incidentes não era registrada na ferramenta existente 29. Esse modelo também não contemplava uma classificação dos atendimentos realizados em primeiro, segundo e terceiro nível, desde a abertura de chamado realizada pelo técnico disponível na Central de Atendimento. Com o intuito de promover um avanço em relação às melhores práticas de gerenciamento de serviços de TI 30, bem como recomendação do Tribunal de Contas da União e da SLTI/MPOG, a SGI/ANEEL promoveu a contratação dos serviços nos moldes de uma Central de Atendimento (Service Desk). Essa nova modalidade contratual trouxe um grande avanço em relação ao modelo definido no Marco Referencial, com a existência de uma dinâmica de funcionamento que contempla, entre várias melhorias, diferentes níveis de 28 Abrev. de Single Point of Contact, referente ao ponto único de contato. 29 Na época, a ANEEL havia adquirido o software AHD da Computer Associates para gerenciamento desses serviços. 30 Constantes do ITIL Information Technologu Infrastructure Library. 90

100 execução de serviços, atendimento remoto em primeiro nível, benefícios associados a um melhor procedimento de chamadas e melhores controles de registro. De acordo com esse modelo, os usuários internos devem realizar as solicitações por meio de contato telefônico ou . Por telefone, o técnico atendente verifica a possibilidade de resolução do incidente imediatamente de forma remota através do Systems Management Server (SMS) ou tira a dúvida do usuário para depois abrir e finalizar o chamado. Caso seja necessária a intervenção presencial, é aberto o chamado que entra em uma fila de espera, até que um técnico possa verificar o incidente in loco, para solução ou recolhimento do equipamento para as instalações do Help Desk para reparos. Quando a solicitação é realizada por , o técnico que primeiro verificar a mensagem, abre o chamado que entra em uma fila de espera e envia uma mensagem para o usuário com o número da solicitação. Caso o técnico perceba que o incidente pode ser solucionado remotamente, entra em contato com o usuário interno e solicita autorização do mesmo para a realização de conexão e atendimento à demanda. Após a realização do serviço, fecha o chamado. Transição para o primeiro contrato Durante os primeiros meses de vigência do contrato com a primeira empresa fornecedora 31 houve reações negativas e descontamento dos usuários pela mudança implantada 32, e que pode ser atribuído primordialmente ao fator cultural, fenômeno comum a todas as organizações que promovem mudanças deste tipo. O fato de os técnicos da empresa não conseguirem obter resultados significativos na qualidade e presteza do atendimento de demandas das mais diversas áreas da Agência tornava o descontentamento ainda maior. Após algumas ações corretivas por parte da empresa prestadora e a mudança de hábito dos usuários, houve uma melhoria das condições operacionais. A ferramenta implantada pela empresa foi a Inforoad, que contemplava todas as classificações de chamados (1º e 2º nível). Quando as chamadas eram transferidas para solução em 3º nível, era utilizada outra ferramenta, a CA 6.0, semelhante à anteriormente utilizada pela Agência. Mesmo com a ocorrência de transtornos ocasionais pela falta de atualização dessa ferramenta, a empresa logrou nível de atendimento satisfatório para as condições da ANEEL, com custo-benefício em níveis razoáveis. No entanto, passado mais algum tempo de execução, a empresa alegou a existência de subdimensionamento do volume de serviços no momento de apresentação da proposta contratual, por ter considerado apenas dois técnicos para atendimento, o que configurou condição financeiramente desvantajosa para a prorrogação do prazo de vigência do contrato nas mesmas bases. Com esse fato, procedeu-se a uma nova licitação para seleção de um novo fornecedor. Transição para o segundo contrato No segundo processo licitatório, foi acrescentada a obrigatoriedade de a empresa incluir em sua proposta a disponibilização de um software de Service Desk com vista à obtenção de um melhor desempenho de suas funções. 31 Contrato firmado com a empresa Net Service. 32 Dentre as principais reações iniciais a essa mudança, os usuários recusavam-se a abrir chamados pelo ponto único de contato e expressavam descontentamento pela perda de qualidade e presteza no tocante ao atendimento de suas demandas. 91

101 A Agência, no entanto, foi novamente surpreendida pelo mercado, pelo fato dos serviços terem sofrido drásticas perdas de qualidade. Dentro do procedimento acertado, a empresa contratada 33 havia proporcionado à ANEEL o software OTRS, de plataforma livre e em sua segunda versão. Esse sistema ficou inoperante e com deficiências em grande parte do tempo, o que acarretou muita insatisfação quanto ao atendimento. Além disso, outros fatores agravantes surgiram, como: demora excessiva de atendimento, abandonos de chamadas, falta de treinamento, etc, que resultaram em piora na qualidade dos serviços prestados. Ressalta-se que todas as ações tomadas pela SGI/ANEEL para solução dos problemas junto ao fornecedor como sanções, reuniões, penalidades, etc foram infrutíferas até o momento, com a formação de um contexto de inviabilidade de continuidade dos serviços e iminencia da necessidade de se proceder a nova licitação. Dentro da orientação normativa da SLTI/MPOG e TCU de se licitar contratações de bens e serviços de TI por meio de pregão eletrônico, será efetuada nova tentativa para contratação de fornecedor, com reforço no edital, dentro do possível, do nível de exigências ao novo fornecedor. Porém, caso essa nova contratação não resultar em fornecimento de serviços de qualidade aceitável, a ANEEL deverá avaliar futuramente a possibilidade de proceder à modalidade de licitação convencional para alcance de uma associação de baixo custo com padrão de maior qualidade de serviços (tipo técnica e preço). Estatísticas de atendimento (Out/2009 Set/2010) No primeiro e segundo nível de atendimentos houve um total de chamados (média mensal de chamados). Deste total, cerca de foram resolvidos em 3º nível de atendimento, o que corresponde a 41,0% do total. Tab 5: Média Anual de Ocorrências (Out2009-Set2010) Registros de Ocorrências Média Média (Out Set 2010) por mês anualizada Rede Rede (Mensageria) Reprografia Segurança Suporte 1 e 2º nível Serviços Sustentação de Sistemas Web 7 88 Banco de dados Gestão de Documentos Outros grupos Total A segunda empresa contratada foi a Solução Serviços Especializados Ltda. 92

102 O comportamento mensal dos chamados demonstra uma tendência de crescimento com consequência da consolidação da mudança cultural na Agência, com picos em determinados meses, primordialmente associados à substituição de equipamentos ou mudança de software (Figura 7) MÉDIA DE ATENDIMENTO (nº de ocorrências) out/09 Nov Dez jan/10 Fev Mar Abr Mai Jun jul/10 ago/10 set/10 Total de Atendimentos Suporte em 1º / 2º nível Encaminhado ao 3º nível Figura 7 : Atendimento do Service Desk: dados de out 2009 a Set 2010 Principais Conclusões: Na posição anterior à primeira transição contratual, a equipe de 11 pessoas era comporta de um gerente, 7 técnicos e três estagiários, com mais de 70% de seus integrantes em formação no nível superior e com certificações COBIT, ITIL e MCDST e vários cursos oficiais Microsoft, dentre outros. De uma forma geral, a combinação da forma de atendimento predominantemente local/presencial com uma demanda de alta oscilação e oferta fixa de força de trabalho resultava em um modelo pouco eficiente para os padrões da ANEEL. Com a alteração do modelo contratual, a Agência se beneficiou em três aspectos: (1) na redução do tempo de atendimento dos chamados, através do conceito de ponto único de atendimento; (2) na assimilação de uma cultura próativa na solução de problemas, dentro das práticas do ITIL e; (3) na economia de custos de mão de obra especilizada, da ordem de aproximadamente R$ ,00 anuais. O lado menos favorável para esse modelo seria a da maior dependência de funcionários da Central de Atendimento para habilidades técnicas e interpessoais, no sentido de prover com maior eficiência a resolução de problemas em todos os níveis. Como se pode observar no gráfico da figura 7, o crescimento de resolução de problemas no 3º nível seria um forte indício de perda de eficiência por parte dos profissionais da empresa contratada. Ressalta-se que, mesmo com problemas de qualidade, este modelo sanou a ausência de controle eficaz das atividades realizadas pela Central de Atendimento, uma deficiência que acarretava, entre vários 93

103 efeitos, o desconhecimento do valor real dos custos incorridos de TI nestes serviços. Uma situação típica do modelo anterior era aquela em que, por exemplo, durante um determinado atendimento presencial, o técnico aproveitava o tempo para efetuar atendimentos a outros usuários nas proximidades, sem o devido registro. Entre os efeitos adversos decorrentes dessa prática, tinha-se: atrasos no roteiro dos demais atendimentos programados, perda dos históricos atendidos referentes aos itens de configuração (CIs), falta de informação no banco de soluções, dificuldade de se levantar diagnósticos precisos em determinadas situações, impossibilidade de se apurar corretamente o tempo de atendimento e de se apropriar o custo incorrido real, etc. Independente de outras considerações, ressalta-se que o modelo de ponto único de contato demonstra ser o mais vantajoso para a Agência, dada sua versatilidade e indução à ação próativa de resolução de problemas de TI. O Marco Referencial da ANEEL, no entanto, vai além, na busca da melhoria contínua de qualidade e aprendizado (ITIL), o que requer uma parceria com fornecedores que mantenham e praticam esses valores na prestação de seus serviços, sem canibalização e alta rotatividade nas equipes de atendimento. 94

104 1.2.5 Segurança Situação Atual Histórico da Evolução e Base da Situação Atual A preocupação com a Segurança da Informação na ANEEL permeia o ano de 2000, quando se planejou um Ambiente Operacional Seguro. A implementação desse projeto contemplou a solução integrada de segurança lógica para sistema de informação da ANEEL para possibilitar a disponibilização das informações institucionais com integridade e confiabilidade. Contemplou ainda, a integração de ferramentas de segurança ao ambiente de gerenciamento corporativo. Como forma de direcionamento, a Presidência da República, por meio do Decreto nº 3.505/2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Em 2001, foi publicada pela ABNT a norma ISO (versão traduzida da norma inglesa BS7799 atualmente publicada no Brasil na versão NBR ISO/IEC 27002:2006), que estabelece boas práticas para gestão da segurança da informação. Essa norma tem sido considerada no Brasil e no mundo uma referência de segurança da informação. No entanto, as orientações do Governo Federal com relação à Segurança da Informação ficam mais claras com a publicação dos Decretos 4.553/2002 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal. No primeiro semestre de 2003, a ANEEL realizou, com ajuda de consultoria especializada, análise, avaliação e tratamento de riscos em seu ambiente operacional. Esse foi o marco para os trabalhos em Segurança da Informação que resultou na implementação de diversos recursos tecnológicos de segurança em sua rede de computadores e na criação da equipe específica para administração de segurança da informação. Nessa época foi elaborada a primeira versão da Política de Segurança da Informação 34. Feitas estas considerações iniciais, passa-se à descrição da situação atual na mesma ordem de sequência de apresentação dos parâmetros do Marco Referencial relacionados no item Organização da Segurança da Informação Atualmente, o subprocesso Segurança da Informação envolve um servidor efetivo e 4 profissionais terceirizados e está estruturado da seguinte maneira: Gestão da Segurança da Informação: constitui a peça fundamental para as decisões em relação à matéria e tem o propósito de dirigir e orientar as ações conceituais e técnicas, para integração e convergência das mesmas; Normatização e Conscientização em Segurança da Informação: compreende um conjunto de dispositivos que definem as regras de uso seguro dos recursos de TI, bem como as ações para disseminar a cultura em segurança da informação; Gerência das Ferramentas de Segurança da Informação: compreende o conjunto de softwares, ativos de segurança e políticas aplicadas e configuradas para controlar e auditar o 34 A missão da Administração da Segurança da Informação é promover a Segurança da Informação Corporativa, provendo a Agência dos meios normativos e tecnológicos necessários, em consonância com as Diretrizes Básicas da Política de Segurança da Informação da ANEEL. 95

105 ambiente operacional, para evitar que as ameaças virtuais possam explorar vulnerabilidades e se concretizarem. A equipe tem como responsabilidades principais a de dirigir e de orientar as ações conceituais e técnicas, de forma a integrá-las rumo a uma convergência de atividades e também a tomadas de decisões relacionadas à Segurança da Informação. Para a tomada de decisões, pode-se dizer que se trata de atividade delicada e que resulta em sucesso ou perdas, sejam materiais (perda de arquivos, backup e equipamentos) ou abstratas (perda da confiabilidade), e que requer a interação dos problemas por parte da Diretoria, Procuradoria e da Comissão de Gestão da Informação, para embasamento das decisões. Além destas, atividades operacionais e táticas, são feitas uma série de atividades relativas à normatização / conscientização e gerenciamento de ferramentas. Como mencionado, o subprocesso de Administração da Segurança da Informação coordena a transmissão das reuniões públicas de Diretoria em conjunto com os demais subprocessos da SGI. Esse subprocesso disponibiliza toda infraestrutura de tecnologia da informação, bem como suporte aos participantes da reunião, com responsabilidades na preparação do ambiente operacional, disponibilidade dos serviços de informática e apoio técnico aos recursos disponibilizados e à transmissão da imagem e voz dos participantes da reunião através da intranet e da internet. Com base na definição das atribuições e responsabilidades da equipe acima pormenorizada, tem-se um ambiente organizado e que atende às demandas, o que é um ponto positivo. Análise/Avaliação e Tratamento de Riscos A gestão e o controle efetivos dos riscos implicam em desenvolvimento e manutenção de um processo que permita identificar, analisar, avaliar e tratar riscos que possam causar impactos negativos à organização, além de priorizar as ações para redução de riscos a níveis aceitáveis. Dessa forma, foi adquirido em 2008, um software que automatiza os processos de Gestão de Riscos, Conformidade e Governança em TI, que permite identificar e avaliar os riscos na ANEEL, além de fornecer base para priorização de ações e recursos. Esse contrato contemplou ainda, consultoria especializada que auxiliou na execução de nova avaliação do ambiente operacional e institucional para fazer a gestão da Segurança da Informação e do conhecimento. O resultado desse trabalho, finalizado em 2009 apontou falhas, avaliou os controles existentes e forneceu diagnóstico de revisão das práticas adotadas pela ANEEL. Em razão de limitações de recursos financeiros e humanos, as correções sugeridas foram implantadas de forma parcial. Com base nas informações acima, tem-se um conjunto razoável de aspectos aderentes ao Marco Referencial. Política de Segurança da Informação O primeiro documento da Política de Segurança elaborado pela empresa de consultoria contratada em 2003 constitui-se a peça fundamental para o início da cultura de segurança na Agência. Foi aprovado pela Diretoria Colegiada da ANEEL em 2004 e amplamente divulgado. A Política de Segurança da ANEEL é composta pelo conjunto de normas a seguir: 96

106 Norma de Organização ANEEL nº 12/2004 (revisada em 2006), que dispõe sobre as Diretrizes Básicas da Política de Segurança da Informação, referentes ao conjunto de medidas de proteção que, quando aplicadas aos ativos de informações, possa proporcionar à ANEEL garantia aos princípios da confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio; Norma Organizacional nº 13/2004, que estabelece as Normas Gerais para Colaboradores e visa apresentar as ações de segurança e definir critérios para a utilização e disponibilização dos ativos em atendimento à Política de Segurança da Informação da Agência; Norma Organizacional ANEEL nº 14/2004, que dispõe sobre regras para Administradores de Serviço, com determinação de critérios para acesso privilegiado aos ativos em atendimento à Política de Segurança da Informação da Agência e Norma Organizacional ANEEL nº 15/2004, que dispõe sobre a classificação, o tratamento e a gestão da informação de natureza pública, apresentada à Agência Nacional de Energia Elétrica ANEEL, em qualquer suporte, conforme os critérios de sigilo, de disponibilidade e de integridade; Alguns procedimentos de trabalho foram elaborados com intuito de orientar a padronização e a racionalização das Unidades Organizacionais da ANEEL, ao normatizar as atividades de administração. São eles: Procedimento Administrativo para utilização de caixa postal de correio eletrônico da ANEEL; Procedimento Administrativo para qualidade em serviços de atendimento aos usuários da ANEEL; Instrução para criação e alteração de senha. Termos de responsabilidade são aplicados para os colaboradores, no inicio da prestação de serviços e durante o curso de formação de servidores, com aplicação efetiva a toda vez que se ingressa um novo colaborador na ANEEL. Dentre a lista de fatores a serem contemplados na política de segurança, relacionados no Marco Referencial, com exceção do item investigação e perícia forense e da falta de uma maior ação do Comitê de Gestão da Informação CGI no tocante ao intercâmbio com a direção, tem-se o atendimento integral dos demais itens. Pelas informações acima demonstradas, conclui-se que a Política de Segurança da Informação encontra-se organizada e estruturada. Gestão dos Ativos No tocante à Gestão dos Ativos, as preocupações da ANEEL são de duas ordens: o da segurança lógica e o da segurança física, esta última com o objetivo de prevenir acesso não autorizado, dano e interferência às informações, equipamentos e instalações físicas da organização. Inclui também, a utilização de dispositivos que interagem com o mundo físico, em contraste e complementação aos dispositivos lógicos. Quanto à segurança lógica, a Gestão dos Ativos é conduzida de forma automatizada em todo o processo, com atualizações dos antivírus nas estações de trabalho realizadas de forma automática e controladas por um servidor central que executa todo o gerenciamento das políticas de segurança, atualizações dos componentes e a emissão dos relatórios de infecção e conformidade do ambiente. 97

107 As atualizações de segurança e de produtos provenientes do fabricante da plataforma de sistema operacional utilizado na ANEEL 35 são distribuídas e gerenciadas pelos administradores. O foco dessa ação é manter o ambiente das estações de trabalho atualizado e com todas as correções de segurança aplicadas. Paralelamente, são retirados relatórios estatísticos e gerenciais sobre tais atualizações e suas aplicações no ambiente. No tocante ao back-up corporativo, há um compartilhamento de responsabilidades: os procedimentos operacionais estão a cargo do subprocesso Administração de Banco de Dados e as questões relativas à normatização e políticas de salvaguardas são compartilhadas pelos Subprocessos de Segurança da Informação, Administração de Banco de Dados e Administração de Rede, em razão da amplitude desta responsabilidade, que envolve o Plano de Continuidade de Negócios (discutido no próximo tópico). Após realização de backup mensal, as fitas são cadastradas no sistema SICNet e posteriormente encaminhadas ao arquivo geral para guarda física (sala-cofre própria). Em junho de 2011 foi iniciado um processo de duplicação das fitas e o armazenamento em empresa externa contratada para guarda de outros documentos. Esse procedimento não é o mais adequado para a segurança das mídias, e será substituído pela implantação do novo sistema de Backup Corporativo (descrito no tópico 1.1.2), no âmbito do Plano de Continuidade de Negócios. A solução de antispam em alta-disponibilidade existente proporciona um controle adequado do conteúdo recebido nas caixas postais, com análise de malwares, arquivamento e quarentena de mensagens suspeitas dos colaboradores, com necessidade de substituição em razão do vencimento contratual (ação já em curso). Resumidamente, depois de passar por um filtro inicial, as mensagens suspeitas, ficam retidas na caixa de quarentena dos respectivos destinatários para serem avaliadas, e podem ser excluídas ou liberadas para suas caixas de correio institucionais. A vantagem desta nova solução, além da redundância dos serviços e do controle parcial que o usuário possui sobre as mensagens que deseja ou não receber, é a proteção às mensagens que chegam e saem da ANEEL, além do baixo índice de spams que entram dentro do ambiente da Agência. De 100% das mensagens recepcionadas, cerca de 90% são bloqueadas por essa ferramenta, e o remanescente de 10% constituem-se mensagens dentro dos padrões de conformidade por envio e recebimento de s. A Agência dispõe de solução de Firewall e VPN para suportar diversas necessidades atuais, como: proteção de todas as estações de trabalho e servidores contra as ameaças da internet, publicações de serviços para o público externo, segmentação das redes remotas que compartilham informações com a ANEEL, segurança aos acessos aos sites disponibilizados pela Agência, com o intuito de mantê-los protegidos contra aplicativos espiões, acessos não autorizados, o acesso remoto controlado, a garantia de disponibilidade de acesso aos serviços e o monitoramento de atividades indevidas por meio de relatórios de utilização de protocolos. Essas soluções permitem cobrir também outras necessidades futuras, como a eventual expansão da rede lógica e o projeto de segurança, atualmente em fase de 50% de execução. Cabe ressaltar que sistemas como SGO (Sistema de Ouvidoria Call Center da Agência), o site reuniões públicas de diretoria transmitidas em tempo real dentro de outros sistemas críticos são exemplos alguns dos serviços que são mantidos com pela área de infraestrutura de Segurança da Informação. A ANEEL adota certificação digital para Pessoas Físicas (e-cpf), pessoas jurídicas (e-cnpj) e Serviços WEB e este serviço é conduzido pelo subprocesso Administração de Segurança da Informação. Foi adquirida também solução para assinatura digital de documentos digitais, que possa ser aplicada em todos os aspectos de resguardo e posterior armazenamento de informações e dados, bem como integração, em sua totalidade, com o sistema de gestão de documentos SICNet. 35 Microsoft Windows, para as plataformas Windows 2008/Vista/XP, assim como para Microsoft Office 2003/

108 As ferramentas de segurança utilizadas pelo subprocesso são: análise de risco e gestão do conhecimento, gerenciador do tokens 36 antivírus, antispyware, antispam, antimalware, classificação e bloqueio de páginas web, firewall e vpn, sistemas de detecção e prevenção de intrusão, analisador de vulnerabilidades e rotinas de back-up (Anexo de Inventário de Software e Dispositivos de Segurança). Os canais de comunicação com a Segurança da Informação são as páginas de intranet e internet, o correio eletrônico, por meio do seginfo@aneel.gov.br. Quanto à Gestão de Ativos sob a ótica da Segurança Física com relação a: acessos não autorizados, danos e interferências nas instalações, que podem ter como resultado perdas, prejuízos, furtos, comprometimento de ativos e interrupção das atividades, tem-se a atribuição operacional destas atividades sob a responsabilidade da Superintendência de Administração Financeira SAF. A equipe de Segurança da Informação elabora recomendações e propicia apoio à SAF a questões relativas ao controle de acesso físico 37 de visitantes, bem como de prestadores de serviços, contratos temporários, diretores, procuradores gerais e servidores públicos, entre as áreas. Com base nos dados acima, conclui-se pela existência de padrões satisfatórios no tocante à Gestão de Ativos. Gestão de Incidentes de Segurança da Informação e Gestão de Continuidade do Negócio Para os processos da organização identificados como serviços críticos, a SGI mantém um plano estratégico, que inclui procedimentos de trabalho e ações com vistas a manter a operacionalidade e a alta disponibilidade destes serviços, o que afasta riscos de interrupções nos casos de eventos súbitos como desastres de grande magnitude que podem causar prejuízos aos ativos e processos da instituição. Um exemplo prático de criticidade é a transmissão das Reuniões Públicas da Diretoria. Os serviços críticos estão identificados nos resultados da recente análise de risco feita e são tratados de forma adequada, à luz da norma de melhores práticas em Segurança da Informação NRB ISSO 27002:2006. Quanto ao Plano de Continuidade de Negócios, encontra-se em fase de elaboração, com previsão de término para julho de Como há inter-relação deste plano com as ações de proteção contra desastres, as responsabilidades sobre a elaboração do Plano de Ambiente em Refundância foram definidas da seguinte forma: elaboração e implantação a cargo da Administração da Rede; acompanhamento da elaboração e normatização a cargo da equipe de Segurança da Informação. Dada a inexistência do Plano de Continuidade acima, avalia-se a situação da Gestão de Incidentes e Continuidade de Negócios como deficiente, e que deve ser sanada tão logo sejam concluídas as ações em curso. Conformidade As ações em Segurança da Informação realizadas na ANEEL atendem aos requisitos preconizados conforme: 36 Trata-se de dispositivo de hardware para armazenamento de chaves criptográficas referentes à certificação digital 37 Cita-se como exemplo a instalação de câmeras de segurança no interior da Agência 99

109 A Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública; O Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades de Administração Pública Federal; O Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal; A NBR/ISO/IEC 27001:2005 da ABNT, que trata do Código de Prática para o Sistema de Gestão de Segurança da Informação; A NBR/ISO/IEC 27002:2006 da ABNT, que trata do Código de Prática para a Gestão da Segurança da Informação Técnicas de Segurança; Medida Provisória , de 28 de junho de 2001, que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências. As Normas de Organização ANEEL. Refere-se ao fato de que o exercício da boa prática da Segurança requer que todas as normas sejam conhecidas e cumpridas por todos. Capacitação e Conscientização em Segurança da Informação A equipe tem concentrado esforços nas ações de divulgação e na atualização dos conhecimentos sobre segurança da informação. Paralelamente, busca identificar a visão da corporação, suas expectativas e estratégias em relação à segurança, com a definição de políticas que tornam a segurança uma responsabilidade de todos e não apenas da equipe de segurança (Figura 8). Fig. 8. Trinômio da Segurança: Pessoas, Processos e Ferramentas Atualmente a conscientização é feita por meio de informativos periódicos sobre um tema predeterminado enviados para os s corporativos dos colaboradores. Outras ações incluem a divulgação de notícias relacionadas à Segurança da Informação no informe Compartilhando emitido pela ACI e o portal corporativo intranet, no menu da SGI Administração da Segurança da Informação. 100

110 Assim, com base nas iniciativas existentes, tem-se uma avaliação razoável da situação atual quanto aos aspectos de capacitação e conscientização de Segurança da Informação. Resumo dos Aspectos Positivos Política de Segurança da Informação estruturada e implementada; Realização de conscientização dos colaboradores com emprego de diferentes métodos; Tecnologias avançadas e atualizadas para suportar os serviços oferecidos pela ANEEL e proteger o seu ambiente operacional; Softwares adequados para monitoramento e controle do ambiente; Soluções com redundância (nível interno) que garantem disponibilidade dos sistemas e serviços; Constante intercâmbio de informações e recursos entre outros órgãos públicos; Equipe constantemente capacitada e especializada. Resumo dos Aspectos Negativos Falta de documentação adequada dos projetos e produtos gerados nos demais Subprocessos da SGI; Falta de planos de contingência para diversos serviços oferecidos; Dificuldade na contratação de produtos por meio de licitação pública, especialmente no que tange à modalidade pregão eletrônico, principalmente no tocante às constantes revogações pelo não atendimento das empresas vencedoras às especificações previstas nos editais; Alta rotatividade de técnicos com a perda de expertise, por término dos contratos ou por oportunidades melhores no mercado; Insatisfação de funcionários, por exemplo, pela perda do emprego no término dos contratos; Limitação de espaço físico para realização de reuniões com caráter sigiloso para elaboração de estratégias de segurança, principalmente por ocasião da preparação de eventos; Projetos paralisados no aguardo de orientações e direcionamento por parte da Gestão para continuidade: Análise de Risco e Gestão do Conhecimento em Segurança da Informação; Balanceador de Aplicações; Ações prioritárias para os próximos 3 anos ( ) Segurança Física e Lógica: 101

111 Criação de agenda de segurança para melhoria da integração entre as áreas da ANEEL e das práticas atuais que dependam do apoio da alta direção e demais superintendência, no sentido de mitigar os riscos tecnológicos, humanos e físicos existentes na ANEEL, em linha com as orientações dos Decretos do Governo Federal (nº 3.505, e outros) e do novo Código Civil que responsabiliza os administradores por negligência, imprudência ou imperícia perante a sociedade e terceiros prejudicados, por culpa no desempenho de suas funções. Inclusão de tópico de diretrizes de segurança para discussões na agenda da Comissão de Gestão da Informação. É importante que essa comissão tenha o compromisso de se reunir para discutir aspectos de Segurança da Informação com periodicidade; Execução do correlacionamento de informações em todos os dispositivos de segurança, hardware e software e auditoria dos sistemas através de ferramenta de SIEM (Security Information and Event Management); Avaliação da qualidade e análise de código fonte das aplicações que são desenvolvidas pela ANEEL ou fábrica de software com o uso de soluções para inspeção de código estático.os benefícios diretos seriam a codificação segura das aplicações, descobertas de bugs em aplicações em processo de desenvolvimento e incorporação ao ciclo de desenvolvimento de software seguro; Definição de camada de segurança para aplicações web e banco de dados - firewall de aplicações web - contra ataques destinados a estes serviços, com exploração das possívels vulnerabilidades onde as soluções atuais, IPS e IDS não são efetivas em categorias específicas de ataques do tipo SQL Injection, XSS, Application Denial of Service e Brutal Foce Login. Política de Segurança da Informação da ANEEL: Implantação de rotina anual de avaliação de segurança no ambiente (físico e lógico) da ANEEL e dos processos, no intuito de aferir o nível de risco dos respectivos ambientes e implementar as ações necessárias para alcançar o melhor grau de segurança possível, com a colaboração de consultoria especializada; Implantação das Normas Complementares nº 4, 5 e 8 da Instrução Normativa nº 01 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República (DSIC/CSIPR). Revisão das Normas Organizacionais Referentes à Política de Segurança da Informação da ANEEL e criação de novas que se façam necessárias; Criação de procedimentos para Gestão de Desastres Plano de Contingência, em conjunto com as áreas de Infraestrutura de Administração de Rede e Banco de Dados; Substituição do termo de responsabilidade por um termo de confidencialidade, ação que deve levar em consideração as diferentes situações em que os colaboradores atuam na ANEEL e a manutenção de cópias dos termos de confidencialidade na SGI; 102

112 Tecnologia: Dar continuidade à aquisição e renovação de soluções tecnológicas de ponta por meio de pesquisas realizadas em empresas gabaritadas e confiáveis (p.ex. Gartner); Auditoria das atividades dos colaboradores para certificar o cumprimento da Política de Segurança da Informação Pessoas: Realização de campanhas periódicas de conscientização e educação em todas as superintendências e áreas da Agência, em parceria com outras superintendências ; Elaboração e implementação de programas que melhorem a capacitação dos colaboradores quanto à conscientização sobre segurança da informação, em parceria com SRH e ACI e que serão utilizados na consecução dos serviços com avanço tecnológico, com vistas a garantir a adequada articulação entre a ANEEL e as entidades do Estado; Disponibilização de ouvidoria interna como um meio para receber reclamações, anônimas ou não, que relatem problemas do dia-a-dia. As reclamações devem ser tratadas pela SRH em conjunto com a equipe de Segurança da Informação (canal SegInfo ); Criação do CSIRT (Computer Security Incident Response Team). Trata-se de um grupo responsável pela condução de tratamento e respostas a incidentes em redes computacionais, conforme a Norma Complementar nº 05/IN01/DSIC/GSIPR. Indicadores de Desempenho: Rever e atualizar os Indicadores de Desempenho de forma a detectar antecipadamente riscos ainda não conhecidos e desvios ou sobrecargas em novas soluções ou ferramentas de rede e comunicação. Elaboração de Projetos: Padronização dos Projetos de Segurança no modelo indicado pelo Escritório de Projetos, quando aplicável; Gestão Internet / Intranet Situação Atual Na qualidade de instrumento de alta veiculação e interoperabilidade das unidades organizacionais com o público, a Web tem apresentado uma demanda e utilização cada vez maior. Os registros no período compreendido entre 01/01/2010 e 30/04/2011 indicam números expressivos: mais de 34 milhões de páginas vistas e mais de 24 milhões de downloads concluídos, apenas no Portal da Agência. O Portal da Agência é acessado durante todos os dias da semana e em todas as horas do dia, sem exceções. Nos finais de semanas, por exemplo, mais de um milhão de páginas são vistas, com registros 103

113 durante a madrugada de mais de 532 mil páginas visitadas a cada hora (período de 0h às 5h). Tem-se a seguir um detalhamento das particularidades. Segurança e Auditoria O controle de acesso ao gerenciador do portal, sites e hotsites apresenta deficiência. Apesar de grupos e perfis serem organizados no atual gerenciador de conteúdo, as senhas ainda não estão ligadas ao Administrador de Dados, o que obriga a um gerenciamento manual das permissões. Existe um termo de uso confirmado pelo cliente a cada acesso ao sistema de publicação de conteúdos e sistemas. Mas não existe um procedimento definido de auditoria de dados corporativo e publicações. Sistema Gerenciador de Sites e Portais (Administrador) O sistema gerenciador foi adquirido com transferência de tecnologia há cerca de 8 anos e desde então é adaptado às necessidades da Agência. A facilidade de manutenção do mesmo é uma vantagem, porém deve-se considerar que o avanço muito rápido da tecnologia leva à necessidade de evolução constante do produto. Com isto, pode-se antever a necessidade de releitura de todas as aplicações e da disponibilização de um novo gerenciador para os próximos anos. Ambiente Computacional e Alta Disponibilidade Atualmente o Portal, Fórum e Conselho de Consumidores, entre outros projetos, não operam em ambiente de alta-disponibilidade, situação esta que deverá ser revertida tão logo sejam instalados os hardwares e softwares de Infraestrutura de Rede correspondentes. Análise de conteúdo e Caducidade da Informação Atualmente o administrador já incorpora facilidades como controles de data de inclusão, expiração, validade da informação, envio de automático que solicita atualização do conteúdo aos responsáveis e seus superiores. No entanto, a política de gestão de conteúdo ainda precisa ser implantada. Pessoal qualificado e manutenção das aplicações A área de sustentação da SGI possui atualmente pessoal qualificado para manutenção e desenvolvimento de pequenas aplicações em WEB, em regime de rápido atendimento para os clientes. Contudo, a demanda de serviços sempre crescente e a alta velocidade de lançamento de novos produtos e soluções, trazem muita pressão à equipe e incorre na necessidade de se proceder a um redimensionamento quantitativo da força de trabalho. Tecnologia e atualização A atualização tecnológica das ferramentas de construção dos sites encontra-se em andamento, dentro do aplicável por meio da equipe de serviços especializados contratados.. 104

114 Backup e Contingências Atualmente a contingência é feita por servidor stand-by e pela Infraestrutura de Banco de Dados com equipe própria para alta disponibilidade. Para o conteúdo estático, pastas, aplicativos e sistemas, o backup do conteúdo do portal é efetuado diariamente pela equipe de Banco de Dados. Ações Prioritárias obs: ações em andamento assinaladas com (*) Alta Disponibilidade: implantar as ações necessárias para garantir alta disponibilidade e contingenciamento em nível interno em linha com a demanda exigida pela sociedade e pelos gestores internos (*); Portal internet: renovar o sítio e atualizá-lo tecnologicamente. Ação a cargo da SCR (*); Portais de Trabalho: disponibilizar ferramenta de organização e centralização dos trabalhos nas unidades organizacionais 38 ; Criar e divulgar normas de procedimentos para publicação de páginas e sites ligados a identidade visual da Agência (a cargo da SCR) Equipamentos e Software de Uso Comum Com relação às regras gerais para aquisição, o procedimento atual não é muito diferente do Marco Referencial, muito embora a normatização explícita ainda não esteja disponibilizada. Além disto, como a atuação da CGI ainda se encontra incipiente, as decisões sobre compra de microcomputadores tem sido feitas diretamente pela SGI, com base em parâmetros técnicos e avaliação da real necessidade do trabalho, sem o envolvimento desta comissão. No tocante a impressoras, a prática de uso de impressoras individuais, utilizada há alguns anos atrás, foi substituída pela política de uso de impressoras corporativas. A ANEEL é proprietária de 92 impressoras que compreendem as marcas Xerox, HP, Epson e Okidata. Alem dessas, utiliza mais 34 multifuncionais, por meio de contrato de reprografia 39, cujos valores aproximados são de R$ 0,04 por cada impressão monocromática e de R$ 0,49 por cada impressão policromática. A mudança de scanners individuais para corporativos ainda não foi implantada, em razão da necessidade de ajustes na compatibilidade com o SICNet. Ações Prioritárias Para alcance do Marco Referencial, faz-se necessário: Retorno operativo da CGI, no tocante à tomada de decisões sobre atendimento das necessidades e aquisição de equipamentos de uso geral; 38 Soluções como SharePoint, Blogs e Mini-portais. 39 Maiores referências pelo link 105

115 Análise e levantamento sobre novas modalidades de contratação de serviços de impressão, com o objetivo de se perseguir maior economia de escala; Rever ajuste de compatibilidade das impressoras multifuncionais com o SicNet, para disponibilização de scanners corporativos, junto à área de Desenvolvimento. 106

116 2. DESENVOLVIMENTO 2.1 Marco Referencial Por Desenvolvimento, no âmbito da Tecnologia da Informação, entende-se o subprocesso onde várias atividades e técnicas são aplicadas de forma a gerar soluções de melhorias no campo da automação, redução do esforço manual, gerenciamento, processamento e controle de grande massa de dados, comunicação, integração, etc. Tais soluções permitem às organizações operarem em níveis elevados de eficiência, qualidade, confiabilidade e maior eficácia no cumprimento de seus objetivos e desafios. Como decorrência da natureza complexa da atividade reguladora e do setor-objeto regulado, a ANEEL possui uma alta demanda por soluções de Desenvolvimento, condição esta agravada por um crescimento contínuo de novas situações, novos atores, programas, alterações normativas, etc. que ameaçam a capacidade de bom atendimento e das operações da Agência. Assim, o emprego intensivo de soluções de TI contribui positivamente, de um lado, para atenuar a sobrecarga de trabalho dos usuários junto às várias superintendências e áreas em que atuam, e de outro, para propiciar maior qualidade e velocidade de resposta ao atendimento das demandas da sociedade. Para introdução ao tema Desenvolvimento, sob a ótica de TI, deve-se levar em conta a existência de muitas partes, variáveis e técnicas que necessitam atuar em conjunto, no levantamento, análise e busca da solução para cada demanda da organização, o que envolve uma grande complexidade de atividades e tarefas. Além disso, as formas de solução se alteram no decorrer do tempo, em decorrência da evolução das tecnologias, tanto no âmbito do ecossistema computacional como no âmbito das técnicas, linguagens e utilização de ferramentas de programação e aplicativos 40. Em razão dessa grande diversidade de variáveis, elementos e fases a serem controlados, faz-se necessário aplicar técnicas modernas de gerenciamento e controle, chamadas Gerenciamento de Projetos. Assim, para cada nova solução de informação que venha a ser aplicada, seja um novo sistema, software, aplicativo ou ferramenta, utiliza-se o termo projeto, o qual, como o nome indica, designa a formalização do esforço temporário envolvido e a sequência de atividades relativas à criação da solução de TI propriamente dita. Quando a ação de Desenvolvimento é relativa à atualização, manutenção corretiva ou evolutiva de um sistema poderá existir um projeto específico ou não, conforme o grau de complexidade envolvida no processo. Como Marco Referencial, o subprocesso de Desenvolvimento da ANEEL é abordado sob quatro grupos de atuação em TI: Novos Projetos, Geoprocessamento, Administração de Dados e Sustentação de Sistemas. 40 Entre as grandes alterações dos últimos anos, tem-se o uso dos chamados ERP - Enterprise Resourde Planning, Sistemas Integrados de Gestão que processam informações em tempo real e que cobre todos os processos empresariais, como Contabilidade, Finanças, Compras, Vendas, Logística, RH, etc. Dentro deste conceito, todos os processos devem se amoldar ao sistema, e não o contrário, com a substituição da atividade de desenvolvimento pela customização e a atividade de desenvolvimento restrita apenas às necessidades ou funcionalidades específicas não cobertas ou disponibilizadas pelo ERP, com o devido interfaceamento destas ao sistema. No caso da ANEEL e demais órgãos da Administração Pública Federal, há certa semelhança do conceito ERP na área governamental pelo uso de sistemas integrados de gestão como SIAFI, SIAPE, SIDOR e outros no âmbito da União. 107

117 2.1.1 Novos Projetos Como mencionado anteriormente, para toda nova solução ou aplicação de TI há um projeto correspondente de forma a viabilizar uma condução adequada de todas as atividades e fases envolvidas no desenvolvimento e implantação. O modelo de desenvolvimento definido para a ANEEL considera que o gerenciamento de projetos, de uma forma ampla, fica a cargo da área de Escritório de Gerenciamento de Projetos (EGP), e que a construção propriamente dita dos projetos deve se processar de forma terceirizada. Assim, cabe ao EGP a condução de todas as ações necessárias relativas às fases preparatórias, de coordenação e acompanhamento da execução, que se traduzirão em artefatos técnicos, homologações e pagamentos ao fornecedor. Os seguintes parâmetros abaixo são definidos como Marco Referencial para fins de elaboração e gerenciamento de novos projetos: Adoção de técnicas e princípios de gerenciamento universalmente aceitos: dentre as melhores práticas adotadas, o EGP utilizará como norte orientador os princípios do PMBoK. A delimitação dos ciclos de desenvolvimento considera as fases de priorização, planejamento, iniciação, elaboração, construção, gerenciamento de aquisições e transição, definidas em documento próprio 41 cujo diagrama encontra-se abaixo reproduzido; Fig. 9. Ciclos de gerenciamento do projeto 41 O documento de referência é o MDS ANEEL. Modelo de Desenvolvimento de Sistemas, versão 1.0, publicado em Agosto de

118 Utilização de padrão único para disciplina de desenvolvimento: o desenvolvimento de projetos da ANEEL deverá seguir um padrão único para modelagem e metodologia de desenvolvimento de sistemas. Como referência, tem-se as regras estabelecidas do documento MDS-ANEEL, que seguiu os padrões UML e RUP; Adoção de Métricas como busca de melhoria contínua: no tocante ao processo de definição de métricas objetivas relativo a decisões sobre priorização de projetos, constatações e evidências nas várias fases de desenvolvimento, apuração de qualidade e diagnósticos de avaliação, fica estabelecido que a definição de tais métricas deverá ter como foco de direcionamento a melhoria contínua da relação custo-benefício para a Agência em âmbito corporativo, de forma a obter-se ganhos de eficiência, qualidade, segurança, aprimoramento / simplificação dos processos e economicidade; Pagamento dos Serviços prestados pelo fornecedor: todo pagamento de serviços ao fornecedor, seja com base em pontos de função, projeto contratado ou mesmo homem/hora, deverá estar condicionado à existência de métricas que comprovem a evidência de que os serviços ou artefatos foram devidamente executados ou entregues e dentro do nível de qualidade estabelecido; Princípios norteadores para desenvolvimento de projetos: no desenvolvimento de novos sistemas, aplicações e soluções deverão ser observados os seguintes princípios: Não redundância: refere-se à garantia de que toda informação do Setor Elétrico e da sociedade deverá ser obtida por fonte única, para posterior tratamento sistêmico e utilização em tomada de decisões; Confiabilidade: traduz-se na garantia de que as informações que circulam internamente e que são fornecidas à sociedade são confiáveis e de fonte segura; Flexibilidade: refere-se à necessidade de se extrair, analisar e processar informações a partir de um único repositório de dados; Processos automatizados: corresponde ao objetivo de se obter processos internos ligados a metas institucionais de forma automatizada e controlados por sistemas ou soluções de TI; Documentação organizada: trata-se da necessidade de se ter a documentação relevante das atividades diárias, atualmente guardada nos computadores dos colaboradores, devidamente classificada e organizada num único repositório; Preferência pela utilização de documentos eletrônicos: entendido como a tramitação dos processos públicos e administrativos por meio eletrônico, com requisito de autenticação digital. Promoção e disseminação de novas tecnologias: dentro do modelo terceirizado de construção de soluções, o EGP deverá avaliar a tecnologia mais adequada a uma demanda específica. Adicionalmente, terá que promover a implantação, sempre que viável, de tecnologias corporativas, de forma a fortalecer a capacidade de ação do usuário. Para 109

119 cumprir esse papel, terá que periodicamente avaliar produtos e soluções de mercado, com vistas à potencial aplicação na gestão da informação na ANEEL. Independentemente dessa atribuição, ficam definidas como prioridade a implantação de tecnologias de Inteligência Empresarial (BI), de Gerenciamento de Processos de Negócio (BPM) e Certificação Digital. Relação de Projetos Prioritários: a relação de projetos sistêmicos abaixo encontra-se alinhada com os objetivos estratégicos da Agência e deve ser ratificada e revisada periodicamente pela Comissão de Gestão da Informação CGI. Os critérios de pontuação de prioridade seguem a metodologia adotada pelo documento MDS ANEEL, Versão 1.0. A base de informação é o portal SharePoint do EGP de 31/10/2009 e inclusões adicionais como resultado de reuniões feitas pela SGI às demais Superintendências e Áreas. Itens constantes do Portal Sharepoint em 30/06/2011: Área solic. Novo Projeto [N] / Evolução Adaptativa [E] Sistema Prioridade Objetivo Benefícios a serem gerados Corpora -tivo CASE - Sistema de Cadastro de Agentes do Setor Elétrico N 110 Estruturação do Registro dos Agentes do Setor elétrico Solução estruturante que visa manter em boa ordem registros básicos dos quais dependem vários outros sistemas / aplicações. SICnet 2 nova versão Reformulação do sistema de Melhoria de processos de trabalho, Corpo- do Sistema Integrado de gestão de documentos em nova redução de atividades duplicadas rativo Gestão de Protocolos e N 110 plataforma com introdução de (cópia e escaneamento), uso de Documentos várias novas funcionalidades. assinatura digital e acesso externo a documentos de processos. SCT/ SRT / SER / SFF Sistema Coleta de Preços para Custo Padrão de Linhas de Transmissão e subestações 42 N 110 Automatizar / padronizar / controlar inputs e alimentar BD p/ cálculo custo-padrão e divulgação informações na Web Contribuição para análise, estimativas e determinações de investimentos na área de linhas de transmissão e subestações SCG / SFG SisMEGEE Sistema de Monitoramento dos Empreendimentos de Geração de Energia Elétrica (Outorga) / BIG N/E 110 (N) Sistema de gerenciamento para fins de outorga de gerações e acompanhamento de empreendi-mentos em obras. (E) Revitalizar sistema para consulta Web on-line em novas bases. Redução da carga trabalho da SCG/SFG, aumento do retorno de respostas, compatibilidade ao Sist. Cadastro Outorgas / Obras Geração, e melhoria da confiabilidade da informação (obs: o SisMEGEE englobará o BIG e o Sistema de Outorga, além de criar o módulo de acomp.obras de empreendimento de geração). SFE SIGECONT Sistema de Continuidade (Dosimetria) E 110 Evoluir sistema e converter em módulo do INDQUAL, para acesso à base integrada Novos relatórios desemp. qualidade dos fornecedores, disponibilização Ag. Estaduais na Web, agregação de dados ao SAD e consolidação dos indicadores no sistema 42 O desenvolvimento deste sistema encontra-se temporariamente suspenso pela SCT em razão da contratação de consultoria para elaboração de sistema de coleta de preços da distribuição e correspondente aguardo de resultados. 110

120 SGi / SRI SRD SFF SRE / SEM SRD Diretoria SRT/ SCT/ SRE SRI SARI Sistema de Acompanhamento do Relacionamento Instituconal GCEM - Sistema de Gestão de Campos Eletromagnéticos CVA Cálculo das Variações dos itens da Parcela A SAMP Versão 4 (Sistema de Acompanhamento de Mercado para Regulação Econômica) PRODIST módulo 6 (projeto piloto) Sistema de Controle de Reuniões da Diretoria (novo SICOR) E 110 N 110 N 110 N 110 N 110 N 110 SIGET E 53 SIAD Sistema de Acompanhamento da Descentralização N 26 SRC Universalização E 15 SFF RIT Relatório de Informações Trimestrais E 13 Criar novo banco de dados, aumentar flexibilidade, melhorar classificação e eliminar precariedade do sistema atual Divulgar informações de valores de campos eletromagnéticos da rede básica Sistema para aferição das variações de custos não gerenciados pelos concessionários (parcela A) para auxílio ao processo de reajustes tarifários Reformulação do sistema para maior eficácia operacional. Recebimento de inputs de compensação financeira por transgressões de indicadores. Novo item solicitado pela Diretoria Módulo de Acompanhamento de Empreendimentos para uso da SCT. Substituir processo manual de prestação de contas das agências estaduais por mecanizado e implantar novos processos de acompanhamento efetivo das atividades descentralizadas da ANEEL. Mudar estrutura de tabelas e incorporar novas informações, mudar página Web, automatizar carga informações Duto, alterar conteúdo apresentação. Aumentar processo de carga das informações para BDC, introduzir checagem de consistência, validação, atualização de consultas, emissão de relatórios consolidados, melhorar controle do preenchimento do RIT. Melhoria do controle dos consórcios, da desverticalização e melhor utilização do cadastro por outros sistemas / outras áreas da ANEEL. Conf. Lei aprovada em 2009, a informação se destina a prevenção de riscos da exposição humana aos campos eletromagnéticos. Melhoria operacional, redução de carga de trabalho e eliminação de erros de cálculos por meio de automação de processos. Melhorias nas funcionalidades existentes em atendimento às necessidades. Automação do processo de recebimento, armazenamento e disponibilização de inputs com emissão de relatórios de instrução. Melhoria de Controles Permitir a elaboração de controle dos empreendimentos em fase de outorga. Possibilitar um controle efetivo do processo de descentralização da ANEEL, com inputs automáticos, redução da complexidade, eliminação de atrasos e maior eficácia no controle das prestações de contas das agências estaduais. Melhoria na qualidade da informação, redução do volume de tarefas manuais, redução de erros e tempo de consolidação das informações do programa de universalização. Racionalização do conjunto de informações solicitadas pela ANEEL, redução do trabalho dos agentes, simplificação dos processos, facilidade de acesso ao RIT por outras UOs, maior transparência e melhoria da qualidade da info recebida. 111

121 SRC AIN SFF SRC SFE SICRAM - Sist,Controle de Resultados de Atendim.Call Center das Agências Sist Contr Processos de Auditoria Sistema Cadastro de Inadimplientes SIPAF - Sist.Participação Financeira Resolução Normativa 250/07 APSE - Perturbações no Sistema Elétrico N 11 E 9 E 7 N 5 N 4 SRH Sist Recursos Humanos N 4 SRI SMA SMA SMA SAF Sistema para Apoio a Eventos Sistema de Ouvidoria (2ª versão) Sistema de Controle dos Conselhos de Consumidores Sistema de controle de Mediações Sistema de Compensação Financeira N - N - N - N - N - Relatório analítico sobre desempenho das Centrais de teleatendimento das empresas distrib. de energia elétrica. Diversos ajustes e novas funcionalidades de automação. Versão 3 do sistema, que permite atualizações automáticas e outras funcionalidades. Aplicativo em ambiente Web para simulação do cálculo do encargo de responsabilidade da Distribuidora e eventual participação financeira do consumidor. Desenvolver banco de dados de ocorrências e perturbações no sistema elétrico, para permitir cruzamento de informações, estatísticas, tendências e relatórios diversos. Implementação de novos módulos e relatórios ao sistema já existente. Substituição do Mural Eletrônico e outras finalidades. Integrar ouvidorias Agências descentralizadas e otimizar níveis de atendimento. Gestão e acompanhamento dos conselhos de consumidores. A ser encaminhado. Automatização da gestão de distribuição dos créditos aos Estados, Municíp. e entidades. Permitir fiscalização do atendimento e acompanhamento da melhoria de qualidade das distribuidoras em benefício ao público. Melhoria nas condições de trabalho por meio da incorporação de ajustes no sistema em uso. Maior agilidade e confiabilidade na prestação de serviços da ANEEL, com emissão de certificado de adimplência on-line. Maior publicidade em relação à aplicação normativa e forma de cálculo pelo consumidor, conforme determina a regulamentação. Maior eficácia da ANEEL em assegurar sua missão institucional, por meio de acompanhamento de variáveis controladas por atores externos, como ONS, Eletronorte, Furnas, etc Maior eficácia das atividades de controle de RH. Permitir registro e controle de eventos, consultas e audiências públicas. Integração, novas funcionalidades, uso de recursos avançados Web, facilitar manutenções futuras. Fiscalização da ANEEL sobre as atividades dos conselhos, conf. Resolução nº 138/2000. A ser encaminhado. Total de solicitações de desenvolvimento de novos projetos sistêmicos: 26 Elevar automatização, melhorar integração e confiabilidade Geoprocessamento Marco Referencial O Geoprocessamento encerra uma série de atividades e procedimentos aplicáveis a qualquer tema que manipule dados ou informações vinculadas a um determinado lugar no espaço onde seus elementos 112

122 possam ser representados e referenciados eletronicamente em um mapa, tais como rios, usinas hidrelétricas, reservatórios, bacias hidrográficas, unidades de conservação, linhas de transmissão etc. Ao longo dos anos, os avanços obtidos no referenciamento de informações cartográficas combinado com os esforços internos de prospecção e viabilização de uso nos sistemas computacionais para processamento permitiu a abertura de um campo enorme de aplicações para a ANEEL. Com a intensificação de sua utilização, o Geoprocessamento se consolida como uma importante ferramenta de apoio à tomada de decisões, ao possibilitar à Agência o alcance de um controle efetivo do espaço territorial onde exerce suas funções de regulação e fiscalização, condição essencial para o pleno domínio do seu negócio. Ressalta-se, também, a importância estratégica, para a ANEEL, da tarefa de organizar e manter atualizado o acervo de dados e informações técnicas relativas às atividades estratégicas do setor de energia elétrica do país 43. Pelo fato desses insumos se encontrarem esparsos em diversas instituições e sem padronização, firma-se o Geoprocessamento como instrumento adequado para integrar essas informações de forma a que possam servir aos fins institucionais da ANEEL e à sociedade. Em linha com as normas e objetivos estratégicos, este Plano Diretor define os seguintes parâmetros como Marco Referencial de Geoprocessamento: Eliminação da ambiguidade informacional: refere-se ao esforço inerente ao processo, no sentido de se realizar o confronto, combinação e interpretação de dados geográficos individuais obtidos por diferentes fontes, como forma de buscar a integridade e confiabilidade da informação; Unificação de Bases de dados georeferenciados: trata-se de ação estruturante para unificar as bases de dados de todas as instituições que operam no setor de energia elétrico nacional (ONS, Eletronorte, ANEEL, EPE, MME, ANA, concessionárias etc.), com a devida importação dos dados hospedados nestas instituições para a ANEEL via recurso de webservice 44, que por sua vez, disponibilizaria às instituições parceiras o acervo de mapas e imagens digitais associados a dados e informações neles representados. Os benefícios desta ação seriam a consistência, a responsabilidade compartilhada pela manutenção e atualização de dados, maior transparência e a disponibilização externa das informações aos atores e parceiros usuários, ao invés do uso restrito na Agência; Banco de Dados Georeferenciado: definido como a priorização na modelagem e implantação de Banco de Dados Corporativo, que contém informações sobre geração, transmissão, distribuição, comercialização, regulação e outros dados temáticos e cartográficos de interesse com extensão de vínculos para acesso a imagens pelos sistemas existentes na Agência; 43 Ver Decreto de 06/10/1997 que institui a ANEEL, onde se estabelece em seu Anexo I, art. 4º, item XXXIII a competência de organizar e manter atualizado o acervo das informações e dados técnicos relativos às atividades estratégicas do serviço de energia elétrica e do aproveitamento da energia hidráulica e no art. 16º, item V que a ação fiscalizadora da Agência visará, primordialmente, à educação e orientação dos agentes, à prevenção de condutas violadoras da lei e dos contratos, com os propósitos, entre outros de subsidiar, com informações e dados necessários, a ação regulatória, visando à modernização do ambiente institucional de atuação. Na Agenda 2009 de Desafios Estratégicos da ANEEL encontra-se também o desafio nº 8 Informação com Qualidade em que vários quesitos são mencionados, entre os quais a busca da informação organizada e disponibilizada como um produto de elevado valor agregado para os diversos atores afetos à regulação, a disponibilização de novas ferramentas de inteligência corporativa, a melhoria dos mecanismos de acesso, nível de integração e confiabilidade de dados. 44 Trata-se de uma tecnologia que permite que os dados sejam obtidos por meio de uma camada informacional disponibilizada para acesso por qualquer sistema de mapas online via WEB. 113

123 Evolução tecnológica em nível compatível ao setor regulado: trata-se da disposição da ANEEL em assumir a dianteira ou, no mínimo, nível semelhante de avanço tecnológico e de conhecimento ao das empresas e entidades do setor elétrico, com o objetivo de preservar a confiabilidade e condições técnicas para regulação e fiscalização das atividades desse setor; Integração: maior integração entre os sistemas Georreferenciados e os demais sistemas corporativos da ANEEL. Novas aplicações de Geoprocessamento: embora ainda sem uma concordância formal das Superintendências e áreas da ANEEL, ficam mantidas as aplicações abaixo como Marco Referencial deste Plano Diretor, em razão da relevância e dos benefícios potenciais importantes para a tomada de decisões e cumprimento das funções institucionais da Agência. ÁREAS DE INTERESSE Diretoria / MME / Uso Corporativo / Uso Externo Uso Corporativo / Fiscalização / Uso Externo Uso Corporativo / Uso Externo Uso Corporativo / MME / Estados / Uso Externo Geral Uso Corporativo / MME / Agentes APLICAÇÃO Webservice em Padrão WFS para Consumo do Sistema SIGEL e Outros Sistema de divulgação do acervo de imagens via Web: para divulgação do acervo de imagens de satélites e cartas topográficas integrantes do Banco de Dados georreferenciado. 45 Implantação do processo de espacialização seletiva de dados e informações do SAD / SAS Programa Luz para Todos: mapeamento, acompanhamento, representação geográfica e divulgação de áreas atendidas e ainda não atendidas pelo programa. Linhas de transmissão do SIN: onde se localizam as linhas de transmissão de energia em forma de representação georeferenciada torre a torre? Qual a proximidade com as áreas menos favorecidas e de alta demanda por ações sociais, cujo atendimento depende da disponibilização de eletricidade? BENEFÍCIOS implantação de recurso de transmissão automática de informações de fontes externas para atualização dos dados georreferenciados nos sistemas disponibilizados pela ANEEL Ferramenta para atendimento das finalidades de planejamento e gestão de empreendimentos do setor elétrico. Incorporação de dados georreferenciados nas bases das ferramentas de Inteligência de Negócios (BI). Maior transparência e maior conhecimento nas ações ligadas à promoção de justiça social vinculadas ao setor elétrico. Ação estratégica para fortalecimento da implantação de políticas públicas. As definições de prioridades para investimentos em transmissão de energia poderiam ser obtidas por meio de cruzamentos com outros mapas georefenciados por camadas (mapas de escolas, povoados sem energia, IDH-M, áreas sem cobertura de internet bandalarga, etc), conforme prioridade de demandas advindas de outros órgãos governamentais. 45 Aplicação concluída. 114

124 SRC / Áreas de Fiscalização SRD/SRE/Uso Externo/ Distribuidoras SCG / Áreas de Fiscalização SCG / Áreas de Fiscalização SGH / Áreas de Fiscalização / Concessionárias SRF / Áreas de Fiscalização / Concessionárias Suporte ao Suporte ao Programa de Tarifa Subsidiada: trata-se de uma extensão de um sistema em desenvolvimento destinado ao controle dos subsídios aplicados, para fins de fiscalização Mapeamento dos Conjuntos Elétricos e índices DEC/FEC: onde estão geograficamente representados os conjuntos nos quais são subdivididas as áreas das concessionárias de distribuição e quais os valores de DEC / FEC a eles atribuído 46 Mapeamento das Ocupações Ilícitas: onde se encontram as áreas, geograficamente representadas, que foram objeto de ocupação ilícita às margens dos reservatórios de usinas hidrelétricas e qual o patrimônio sócioambiental afetado? Mapeamento das Concessões: em quais estados, municípios e bacias hidrográficas estão geograficamente representadas as áreas que foram desapropriadas e declaradas de utilidade pública pela ANEEL? Quanto às áreas de preservação permanente, atualmente não há um monitoramento efetivo sobre estas em torno dos reservatórios das UHE. A ANEEL não efetua fiscalização sobre o uso indevido dessas áreas, cuja responsabilidade fica dividida entre a ANEEL, IBAMA, e outros órgãos responsáveis de esfera estadual. Mapeamento da localização das bacias hidrográficas / potencial hidroenergético: onde se localizam as bacias hidrográficas e rios que apresentam maior potencial para implantação de PCHs ou CGHs de baixa queda ou a fio d água? Visualização geográfica das perdas de energia anormais: onde ocorrem as perdas não técnicas discriminadas por regiões, áreas de atuação das concessionárias e conjuntos elétricos? 47 Permitir o cruzamento de dados sobre subsídios por meio da superposição de diferentes camadas de informações socioeconômicas e demográficas georeferenciadas, como apoio à ação fiscalizadora. Subsídio para análise de tendências, qualidade, problemas, etc. e tomada de decisões envolvendo prioridades de investimentos e programas de melhoria. Viabilizar o exercício efetivo do poder de polícia da Agência no tocante à verificação física de ocupações irregulares e abusos, no âmbito do patrimônio da União. Atualmente, tais irregularidades somente são levantadas por meio de denúncias. Permitir o controle espacial e monitoramento efetivo de áreas desapropriadas, por meio de técnicas de sensoriamento remoto para produção de análises multitemporais de imagens de satélite, permitindo a detecção de abusos e uso indevido das áreas, afastando-se o risco de erros, superposições ou desvios de utilização., o que resulta em eficácia do poder de polícia da Agência. Identificar a localização correta das áreas dentro da nova classificação adotada pelo SNIRH, nas quais foram realizados estudos de inventário dos respectivos potenciais hidroenergéticos, a fim de permitir a elaboração de uma agenda estratégica de prioridades para investimentos de novos projetos de geração. Permitir a detecção de perdas anormais de energia (como furtos, gatos, etc), culminando na exigência da ANEEL às concessionárias para tomada das devidas providências, evitando que os demais 46 Aplicação a ser incluída no sistema Prodist, cujo desenvolvimento encontra-se na fase de Projeto Piloto. 47 Aplicação que será desenvolvida juntamente com o sistema Prodist. 115

125 SMA / Ouvidoria / Uso Corporativo SRD/Uso Geral Corporativo Controle Geográfico de Reclamações feitas à Ouvidoria: onde estão geograficamente localizados os consumidores que apresentam maior número de reclamações, estatisticamente classificados por serviços e seus prestadores? PRODIST Módulo 6: controle contábil dos ativos das empresas de distribuição. consumidores sejam penalizados pela incidência destas perdas na formação do preço das tarifas. Viabilizar uma ação coordenada com foco na melhoria da qualidade dos serviços de energia elétrica, com base em informações tomadas de uma classificação estatísticogeográfica de reclamações, vinculando-as à procedência e às concessionárias associadas. Incorporação da funcionalidade de associação de localização georreferenciada. Total de Aplicações Potenciais Identificadas: 13 Hardware e Ambientes de trabalho: deverá ser seguida a mesma filosofia de trabalho demonstrada no tópico de Marco Referencial de Infraestrutura Banco de Dados e EGP, com as seguintes particularidades para a área de Geoprocessamento: Ambiente de Desenvolvimento: constituído por um computador de configuração compatível para o tratamento e processamento de dados e imagens, com sistema operacional preferencialmente de 64 bits e versão atualizada do ambiente de programação Visual Studio; Ambiente de Homologação: a ser constituído por um servidor específico para esse fim Ambiente de Produção: a ser constituído por três servidores específicos para essa finalidade; Na estrutura proposta, as necessidades de acesso deverão ser organizadas dentro de um padrão adequado, em conformidade com as configurações dos sistemas e aplicativos que compõem o ambiente de Geoprocessamento e as normas de segurança e infraestrutura de rede da ANEEL. Enfatiza-se que a plataforma ESRI para aplicações vetoriais e o produto ENVI para processamento digital de imagens, atualmente utilizados, deverão ser mantidas, dentro da evolução da padronização já implantada na Agência. 116

126 Recursos Humanos: a força de trabalho do Geoprocessamento implica na existência de duas equipes distintas: a) Equipe de Gestão: responsável pela Administração de Dados Geográficos e atendimento de terceiro nível para incidentes. Esta equipe assume um papel-chave em todo o subprocesso, por permitir um direcionamento adequado das ações de sustentação das aplicações existentes e uma maior disciplina na administração do Banco de Dados, obtendo-se eficácia na qualidade e velocidade de atendimento a demandas. Devem ser despendidos esforços em: Capacidade de assimilação de novas competências; Conhecimento dos processos e negócios da Agência; Ações de treinamento e atualizações constantes em tecnologias inovadoras. b) Equipe de Desenvolvimento SIG : responsável pelo desenvolvimento de aplicações propriamente dito, e que pode ser viabilizada por fábrica de software específica, a exemplo do proposto em Novos Projetos, com benefícios de economicidade e maior flexibilidade para atendimento a grande número de demandas simultâneas Administração de Dados Marco Referencial A função da equipe de Administração de Banco de Dados é de natureza totalmente distinta da função de Administração de Dados. Enquanto a primeira associa-se à infraestrutura, cuidando de assuntos relativos ao armazenamento, condições de acesso, disponibilidade, monitoramento e segurança, a segunda função, de Administração de Dados, dedica-se mais aos dados em si, ou seja, à integridade dos mesmos. Trata-se de uma distinção da maior relevância e que leva a várias conclusões, como: 1 - a de que não é possivel desenvolver e manter sistemas de forma eficaz sem um profundo entendimento dos negócios de uma organização; 2 - a de que é preciso assegurar que o modelo conceitual de dados seja implantado corretamente; 3 - a de que há uma cultura a ser disseminada na organização, no tocante à definição de restrições de integridade, regras de validação de dados e a disciplina quanto à necessidade de informações. Apesar da clareza dessa distinção de conceitos dentro da SGI/ANEEL, as funções de Administração de Dados têm sido exercidas parcialmente e com muitas dificuldades pela área de infraestrutura de Banco de Dados, em razão da absoluta falta de profissionais no quadro efetivo. Com o ingresso de novos servidores, o Marco Referencial da ANEEL passa a ser o da incorporação da Administração de Dados como uma função a ser definitivamente operada dentro do Escritório de Gerenciamento de Projetos - EGP. Com isso será assegurada maior qualidade e integridade nas informações, e uma maior contribuição à unificação da visão que a Agência necessita ter de seus Ativos Digitais, com a correspondente eliminação e prevenção da redundância e anomalias na base de dados. 117

127 Os seguintes aspectos devem integrar o Marco Referencial, para consolidação do papel de Administração de Dados na ANEEL: Modelagem de dados: a Administração de dados, com a utilização de conhecimentos sólidos de modelagem de dados, deve possibilitar a criação e manutenção de estruturas de dados que sejam coerentes com o negócio da organização, imponham integridade e sejam flexíveis para permitir o compartilhamento da informação, permitindo a utilização segundo uma visão corporativa. Atualmente, quase a totalidade dos bancos de dados é relacional, ou seja, baseado na teoria matemática das relações. A adoção da modelagem relacional permite, com a aplicação de suas técnicas, alcançar o objetivo principal que é ter dados íntegros. Trata-se de técnicas consolidadas em âmbito internacional, por várias décadas. Estabelecendo a integridade dos dados, visa implementar restrições nas informações armazenadas, diminuindo a probabilidade de entrada de dados errados. Com a normalização é possível focar em aspectos como a preservação de integridade dos dados, estabilidade ao modelo e eliminação de redundância. Consultoria em Modelagem de Dados: a Administração de Dados deve orientar no uso das técnicas, padrões e ferramentas de apoio à modelagem de dados, conceitos corporativos e boas práticas para atingir qualidade de dados. Regras e Padrões: É necessário o estabelecimento formal de regras e padrões que direcionam e padronizam a atividade de modelagem de dados. Quanto mais precisa e detalha maior agilidade na atividade e qualidade no modelo de dados. Sendo um norteador para as atividades de modelagem realizadas pelas equipes de desenvolvendo. As regras devem abranger técnicas de modelagem de dados relacional, padrões de modelagem de dados da organização, padrões de nomenclatura e padrões de dicionarização de dados. É papel da Administração de dados zelar pelos padrões. Uso de Ferramentas de apoio: uma ferramenta CASE (Computer-Aided Software Engineering) auxilia o processo de modelagem de dados, pois permite a realização do projeto com componentes gráficos, sua dicionarização, geração de script s das estruturas e o compartilhamento dos modelos existentes. A utilização de modelos de dados permite o gerenciamento da complexidade. É instrumento de comunicação entre os profissionais envolvidos no desenvolvimento e manutenção e impõe disciplina para a especificação de problemas, assegurando as devidas considerações lógicas. Ainda conduz a sistemas de informação estáveis, robustos e confiáveis, de forma que mudanças normais na empresa não os afetem. Favorece o processo de verificação e validação e gera maior entendimento da entidade real a ser construída. É papel da Administração de Dados contribuir na escolha para aquisição e realizar disseminação de ferramentas de apoio ao ciclo de desenvolvimento no que se refere à modelagem de dados. Repositório Centralizado: um repositório centralizado de modelo de dados permite o armazenamento, a busca e a recuperação de modelos e todas as informações relacionadas. A utilização de uma ferramenta CASE que possua um repositório centralizado de modelo de dados intensifica a característica do modelo de dados de ser instrumento de comunicação. O controle do acesso, versionamento e compartilhamento de modelo de dados são fundamentais. Dicionário de Dados: O dicionário de dados é a centralização dos conceitos que envolvem cada objeto de dado, definidos formalmente de acordo com regras e padrões determinados. 118

128 Deve ser estabelecida uma metodologia que imponha clareza, completude e padronização na dicionarização dos dados. O estabelecimento de um glossário é um facilitador para o reuso da informação. Considerando que uma palavra, pode estar relacionada a vários significados, é necessária a definição de apenas um conceito para determinada palavra, tornando este conceito corporativo. Desta forma, aonde for identificado um conceito corporativo saberá que está se tratando da mesma coisa Sustentação de Sistemas Após o desenvolvimento e entrada em operação, os sistemas de informação poderiam funcionar eternamente sem nenhuma necessidade de alteração, caso o ambiente do setor de energia elétrica e os demais fatores externos associados permanecessem imutáveis ao longo do tempo. No entanto, isto não ocorre. Mesmo que nas fases de análise e modelagem se incorporasse muita flexibilidade para adaptação às mudanças, dificilmente os sistemas poderiam continuar funcionando na forma original, sendo necessário atualizá-los ou adaptá-los às novas regras do jogo. Há uma quantidade considerável de mudanças originadas por várias causas, como alterações na legislação, novas decisões, novas formas de cálculo, mudança de quantidade ou perfil de atores, mudança no desenho ou nos processos de negócio, novas necessidades a serem reguladas, novas políticas de governo, aderência a novas tecnologias, atualizações constantes de softwares por parte dos fabricantes, etc, e que levam à necessidade de se efetuar ações de manutenção aos sistemas existentes. Estas ações podem ser de manutenção corretiva, adaptativa, perfectiva, tecnológica ou mesmo relacionadas a projetos de inovação ou melhoria 48. Em razão do acervo expressivo de sistemas ativos na Agência (total de 58 sistemas legados em pleno funcionamento), as atividades relativas à sustentação assumem papel de alta relevância para as Superintendências e áreas da Agência. Correspondem ao Terceiro Nível do gerenciamento de incidentes atendidos pelo Service Desk 49, encerrando atividades que encerram alta complexidade e que exigem um nível elevado de comprometimento e envolvimento da Equipe de Sustentação. Como Marco Referencial para as atividades de sustentação, este Plano Diretor define os seguintes parâmetros: Interação com outras áreas: o subprocesso de Sustentação deve fluir conectado aos demais subprocessos relacionados à Gestão da Informação (primordialmente EGP, Infraestrutura Banco de Dados, Web e Service Desk), dada a alta interdependência de informações referentes ao acompanhamento de novos projetos e todas as ocorrências envolvendo as demais áreas da SGI. Da mesma forma, deverá ser assegurado uma participação clara da área de gerenciamento da Sustentação na formulação dos objetivos estratégicos da SGI, e o devido alinhamento aos objetivos estratégicos da Agência; 48 As mudanças mencionadas afetam o dia a dia do mundo da TI de um modo geral, o que pode ser observado cotidianamente, no momento do download de atualizações automáticas dos sistemas operacionais e softwares de uso geral. No caso de aplicativos, ferramentas e até mesmo ERP, pode-se observar também, com frequência, o forte apelo mercadológico que ressalta vantagens ou novas funcionaliidades de uma nova versão recém lançada, e que encobre, na verdade, a incorporação de uma série de ações de manutenção corretiva necessárias para eliminar falhas e bugs de funcionamento. 49 Escala de solução de incidentes: Primeiro Nível - atendimento remoto; se a solução não é encontrada, entra em funcionamento o Segundo Nível - atendimento local; se não resolvido, entre em operação o Terceiro Nível de atendimento, realizado pela área de sustentação ou subárea de infraestrutura, conforme o caso. 119

129 Divulgação das conclusões sobre Incidentes: trata-se da transmissão que deve ser efetuada ao EGP ou demais desenvolvedores sobre o aprendizado obtido na solução de incidentes sempre que identificada a utilidade ou aplicabilidade para fins de prevenção ou não repetição de problemas semelhantes, por meio de relatórios e reuniões periódicas; Busca de soluções estruturantes: item que requer compartilhamento com o EGP e que consiste na criação de bases padronizadas tanto para as novas aplicações como na atualização dos legados existentes, com o objetivo de se obter ganhos em: segurança, simplificação dos trabalhos de verificação e controle, auditoria, padronização de documentação, diagramação, validação, testes, etc. Utilização de plataformas de aplicativos e tecnologias de implantação inovadoras: consiste na política de se utilizar ferramentas de ponta para as ações de sustentação, sempre que aplicável, dada a constatação de que as soluções desenvolvidas sob tais tecnologias permitem melhor performance e tempo de resposta tanto no desenvolvimento como na sustentação; Foco na preservação do capital intelectual: trata-se de elemento-chave no subprocesso. O objetivo é centralizar forças no desenvolvimento e retenção do capital humano necessário para um bom direcionamento das ações de sustentação em todas as suas variantes, obtendo-se eficácia na qualidade, velocidade e aprendizado na solução de demandas críticas. Os esforços a serem despendidos, devem ser concentrados, primordialmente: No domínio das competências essenciais e na capacidade de assimilação de novas competências; No conhecimento dos demais processos e negócios da Agência; Nas ações de treinamento e atualizações constantes em tecnologias inovadoras; Na disseminação e compartilhamento do conhecimento em nível interno; Documentação: consiste no esforço conjunto de ações que deve ser realizado, no sentido de se reunir e manter atualizada a documentação de todos os sistemas e o histórico de alterações, de forma a facilitar o resgate do conhecimento sobre os produtos desenvolvidos, facilitar a identificação de variáveis e direcionar as soluções de manutenção; Apoio a Casos Especiais: trata-se de eventuais situações envolvendo caso fortuito, força maior ou outros, não necessariamente associadas a defeitos nos sistemas propriamente ditos, mas decorrente de circunstâncias junto às áreas usuárias em que a intervenção da Equipe de Sustentação possa vir a ser a melhor solução para sanar problemas e atender demandas que venham a ocorrer. As solicitações para atendimento destas demandas devem ser autorizadas pelo Superintendente da SGI. Indicadores de Desempenho: consiste na adoção e utilização de indicadores que avaliem, controlem e assegurem o cumprimento dos acordos de nível de serviço prestados pela equipe de sustentação. 120

130 2.2 Desenvolvimento Situação Atual Neste tópico, faz-se um confronto entre a situação atual e o Marco Referencial do subprocesso Desenvolvimento de TI da ANEEL. Todos os aspectos positivos e negativos encontram-se descritos, de forma a demonstrar as limitações da condição atual. Ao final, são relacionadas às ações prioritárias que possibilitam o alcance da situação ideal definida do Marco Referencial Desenvolvimento de Novos Projetos O EGP (Escritório Gerenciamento de Projetos) da ANEEL foi criado em 2006, com a responsabilidade sobre o levantamento de requisitos, preparação, comando, controle e acompanhamento da execução de projetos sistêmicos da Agência junto à equipe de desenvolvimento. A área atualmente encontrase em fase de estruturação e organização rumo à plena operacionalização do modelo de referência, tendo já conseguido implantar vários projetos junto à equipe da fabrica de software atualmente em operação na Agência (empresa Poliedro), com base na utilização das metodologias mencionadas no Marco Referencial. Dentre as principais dificuldades, cita-se o número reduzido de pessoal qualificado, aspecto vital a ser equacionado. Apesar disto, o EGP tem-se empenhado nas boas práticas de gerência de projetos aos sistemas, tendo obtido algumas realizações ao longo do período , no tocante às especificações dos Planos de Projeto e gerenciamento do desenvolvimento dos seguintes sistemas de informação: Sistema Inadimplentes Versão 3, Sistema de Controle das Reuniões de Diretoria (SICOR), Sistema Indicadores de Qualidade (INDQUAL) e Sistema de Monitoramento das Usinas Não-Despachadas Centralizadamente (UND). Além da especificação dos sistemas acima, O EGP gerenciou e participou do desenvolvimento dos sistemas: SIGAIN (Sistema de Gerência da Auditoria Interna), SIGEFIS v2 (Sistema de Gestão da Fiscalização) e Leilões das Usinas de Santo Antonio e Jirau. Ação relevante do EGP digna de menção é a elaboração do documento Metodologia para o Desenvolvimento de Sistemas MDS, que trata da descrição de métodos, processos e documentação para subsidiar o relacionamento da ANEEL com a futura contratada, no processo de contratação de serviços de desenvolvimento de sistemas na modalidade Fábrica de Software. As ações prioritárias para o período no âmbito do EGP são as seguintes: Administração dos dados corporativos da ANEEL: que consiste, em um primeiro momento, na execução de um conjunto de ações para mitigação de toda redundância da informação existente e, num segundo passo, da criação de um projeto para a base de dados corporativa, a partir das bases de dados atuais, e a geração de uma camada de webservices que tornarão essas informações disponíveis aos novos sistemas. Estes terão como requisito de arquitetura a utilização dessa camada, e na medida do possível, os sistemas legados também, por meio de manutenções evolutivas (Observação: a administração do Banco de Dados continuará a cargo da área de infraestrutura correspondente); Administração dos documentos da ANEEL: que consiste na criação, alteração e exclusão de repositórios de documentos, e o gerenciamento do ciclo de existência da informação, visando proteger e permitir a difusão de documentos importantes e que hoje estão dispersos nas estações dos colaboradores. Este processo deve ser feito em duas fases, iniciando-se com a busca de toda a documentação existente e da complementação 121

131 armazenada nas bibliotecas atuais (servidor Zinco, biblioteca virtual etc). Em seguida, com o desenvolvimento de um projeto para a criação de repositório único de documentos, com o auxílio de software específico (p.ex. Enterprise Content Management - ECM), de modo a resgatar e disponibilizar, com os requisitos de confidencialidade e segurança, a documentação relevante para as operações da ANEEL. O aplicativo deverá ser capaz de gerenciar o ciclo de vida da documentação, promovendo a remoção do documento de mídia mais rápida para uma mídia de consulta mais lenta ou de backup, esgotado o prazo legal de retenção; Gerenciamento do processo de desenvolvimento, baseado na entrega de produtos: que consiste na mudança do contrato de serviços terceirizados, atualmente remunerado em homens-hora, por contrato com remuneração baseada nos produtos entregues, no qual será utilizado o método dos Pontos de Função, padronizado pelo IFPUG. Espera-se com essa mudança uma maior celeridade na entrega dos produtos. Promoção e disseminação na ANEEL de novas tecnologias: o EGP, no novo processo de contratação, será responsável pela avaliação da tecnologia mais adequada a uma demanda específica. Adicionalmente, terá que promover a implantação, sempre que viável, de tecnologias corporativas, a fim de diminuir a departamentalização da informação. Para cumprir esse papel, terá que, periodicamente, avaliar produtos e soluções de mercado, e sua aplicabilidade à gestão de informação na ANEEL. Dentre elas, figuram as tecnologias de Business Process Management (BPM), Business Intelligence (BI) e Certificação Digital Geoprocessamento Situação Atual A experiência tem demonstrado a importância do uso do Geoprocessamento como ferramenta eficaz nas soluções de inúmeras demandas envolvendo a atividade de regulação do setor elétrico, principalmente pelo fato que a maioria das informações possui componente geográfico. No entanto, o Geoprocessamento ainda é subutilizado na Agência. Entre as causas que podem explicar esse fato, tem-se: a) causas de ordem estrutural, como: ausência de um banco de dados georreferenciado unificado 50 ; o pouco conhecimento quanto aos dados georeferenciados disponíveis nas concessionárias e outras instituições públicas e privadas que atuam no setor elétrico nacional; a falta de regulação quanto à obrigatoriedade de fornecimento de informações geográficas pelas concessionárias; 50 Atualmente, o sistema SIGEL possui um banco de dados geográfico estruturado. Por ser limitado e restrito às aplicações em uso pela ANEEL, ele não tem uma abrangência necessária para representar corporativamente todo o setor elétrico nacional. 122

132 a falta de padrão de intercâmbio de dados entre a ANEEL, concessionárias e os demais atores do setor elétrico nacional; a falta de articulação entre as diversas Superintendências e Áreas da Agência; a iniciativa de áreas finalísticas da ANEEL em utilizar serviços de geoprocessamento de forma isolada, para atender demanda imediata, comprometendo o acervo corporativo informacional da Agência; b) causas de ordem conjuntural, como: o nível de apoio limitado por parte do corpo de dirigentes, quanto ao reconhecimento das vantagens do Geoprocessamento como ferramenta de uso estratégico para a Agência; a falta de divulgação da ferramenta entre os técnicos da Agência; o pouco incentivo para participação do pessoal de campo e agentes internos em eventos técnicos, reciclagem de aprendizado, troca de informações com outras entidades e órgãos governamentais, etc. Atualmente, a equipe responsável da SGI concentra esforços em duas frentes de trabalho: (1) na prospecção, viabilização de aplicações e atendimento de demandas junto às áreas operacionais, em atuação como Analistas de Negócios e (2) no desenvolvimento propriamente dito, como Analistas de Sistemas especializados em soluções de Geoprocessamento. Esta atuação híbrida da equipe possibilitou a implantação de várias aplicações na ANEEL e elevar o nível de conscientização sobre as virtudes desta tecnologia junto às áreas operacionais, além de promover o crescimento de grande número de clientes externos, constatado pelo número expressivo de acessos ao sistema SIGEL em 2010: cerca de acessos externos, downloads de arquivos. Do total de registros, foi apurado uma participação de 41,28% visitas efetuadas por usuários estrangeiros no período. Apesar destes avanços, no entanto, há registros de exemplos práticos de casos que envolvem lacunas de controle e equívocos em atividades de fiscalização, concessão e outorga, o que evidencia fragilidade no poder de ação das áreas finalísticas da ANEEL, que poderia ser revertida com o melhor aproveitamento da tecnologia de Geoprocessamento. Por outro lado, deve ser registrado o fato de que iniciativas isoladas por parte de determinadas Superintendências da ANEEL, ao reconhecer a grande utilidade das ferramentas de Geoprocessamento, procuram resolver suas demandas internas com a contratação de serviços especializados, sem o envolvimento da SGI. Embora tratadas como casos de exceção, tais iniciativas são prejudiciais para a Agência, no sentido de que toda solução desenvolvida sem o controle da área responsável pela gestão e controle da informação (SGI) sujeita-se a diversos riscos, como redundância, perda de valor corporativo e todos os demais riscos de segurança inerentes à potencial utilização indevida do tratamento de dados isoladamente do Banco de Dados Corporativo. A relação dos serviços atualmente executados pela equipe de Geoprocessamento da SGI é a seguir demonstrada: 123

133 Aplicações atuais de Geoprocessamento ÁREAS USUÁRIAS DESCRIÇÃO DA APLICAÇÃO BENEFÍCIOS Uso Corporativo / uso Externo SCG/Prefeituras / Estados / União SCG/Prefeituras / Estados / União Uso Corporativo Geral / Uso Externo Sistema de Informações Georreferenciadas do Setor Elétrico SIGEL: sistema desenvolvido em ambiente Web, que registra informações espaciais dos empreendimentos do setor elétrico nacional, como geração, transmissão, distribuição, compensação financeira, etc., assim como cartas topográficas e mapas temáticos de interesse geral. Análises cartográficas de reservatórios das UHEs (Usinas hidrelétricas de Energia): várias aplicações desenvolvidas para fins de compensação financeira a entes da federação. Análises de documentação cartográfica de empreendimentos Outras aplicações: desenvolvidas ao longo do tempo, para atendimento às áreas finalísticas da ANEEL, como por exemplo: avaliação da produção de sedimentos, georreferenciamento das informações coletadas para o IASC Índice ANEEL de Satisfação do Consumidor, espacialização de tarifas, etc. Transparência nas informações sobre o setor elétrico à população, para as mais diversas finalidades. O número de visitas mensais atual é em torno de acessos mensais, evidenciando um uso externo e também corporativo geral. Validação das informações sobre as áreas ocupadas pelos reservatórios das UHEs para efeito do pagamento aos municípios, estados e União a título de compensação financeira pela utilização dos recursos hídricos para fins de geração de energia elétrica. Validação dos processos de áreas de Declaração de Utilidade Pública (DUP) pela ANEEL para fins de desapropriação e implantação de novos empreendimentos no setor elétrico. O foco é evitar erros de demarcação em razão de interferências com unidades de conservação, terras indígenas ou empreendimentos já em operação declarados de utilidade pública. Já foram processadas cerca de 50 áreas, dentro de um universo de mais de áreas a serem realizadas. Produzir variáveis que revelem fatos e eventos por meio de associação de imagens, dados cartográficos e tecnologia de geoprocessamento, para os mais diversos fins. Alguns exemplos: avaliação periódica da vida útil de reservatórios e capacidade de geração das UHE, conhecimento geográfico das condições de qualidade das distribuidoras, comparação regional das tarifas em confronto com níveis de renda, etc. 124

134 No tocante à infraestrutura de Geoprocessamento, a situação atual reflete a especificação do Marco Referencial, conforme demonstrado na figura abaixo: PUBLICADORES AMBIENTE DE PRODUÇÃO EXTERNO Internet NOBELIO AMBIENTE DE PRODUÇÃO INTERNO SAP103 SAP104 GEOPROCESSAMENTO (SGI) FERMIO HAP100 AMBIENTE DE HOMOLOGAÇÃO E DESENVOLVIMENTO LUTECIO ANEEL A estrutura é composta por dois ambientes: externo e interno. O ambiente externo é o que provê os serviços públicos de geoprocessamento. Atualmente este ambiente contempla o sítio SIGEL 51 que é o portal de geoprocessamento da ANEEL, que subsidia também o acesso externo aos serviços prestados através do Web Services 52. O ambiente interno subdivide-se em duas partes: (1) ambiente de homologação e desenvolvimento, utilizado pela equipe técnica para desenvolver, processar, validar e homologar novas informações e aplicativos previamente à sua publicação no ambiente de produção externo e/ou interno; e (2) ambiente de produção interno, que contempla os aplicativos de acesso interno da Agência, acessado através da intranet. Dentro da equipe técnica, há profissionais responsáveis pela publicação e administração dos serviços ( publicadores) que possuem diretivas e funções específicas para prover a continuidade dos serviços GIS em boa ordem. Entre as ações que levam à melhoria da condição atual e aproximam-se do Marco Referencial, temse: Os serviços em Web Services são prestados no formato WFS, que é o padrão aberto do Open Geospatial Consortium, organização voluntária internacional de padrões de consenso. 125

135 Ações de conscientização: trata-se da continuidade das ações conduzidas até o momento junto às áreas e Superintendências finalísticas da ANEEL, no sentido de elevar a conscientização dos benefícios do uso do Geoprocessamento. Estas ações devem ser compartilhadas com o EGP e a equipe de sustentação de Geoprocessamento, que resultarão em novas demandas a ser desenvolvidas pela equipe de Desenvolvimento (fábrica ou não). Fortalecimento institucional da atividade: ação ampla que consiste na centralização dos trabalhos em uma equipe multidisciplinar, com analistas de desenvolvimento especializados em Geoprocessamento na área de sustentação das aplicações já existentes. Para um bom dimensionamento da força de trabalho, seria necessária uma avaliação da SGI que contemple o desenvolvimento potencial das aplicações listadas anteriormente; Banco de dados geográfico: modelagem e implantação de BD corporativo, com informações sobre geração, transmissão e distribuição de energia elétrica, bem como dados temáticos e cartográficos de interesse para o setor. Ações estruturantes: consiste na efetivação: Da ação de Unificação da Base de dados entre as diversas instituições, como mencionado no Marco Referencial; Da implantação de diretrizes para obrigatoriedade de fornecimento de informações geográficas pelas concessionárias; Da adoção de um padrão de intercâmbio de dados entre a ANEEL, concessionárias e demais atores do setor elétrico nacional; Da contratação da fábrica de software exclusiva para Geoprocessamento (quando aplicável) Administração de Dados Situação Atual Como mencionado no Marco Referencial, as funções de Administração de Dados tem sido exercidas pela área de infraestrutura de Banco de Dados, existindo, porém uma clareza dentro da SGI/ANEEL quanto ao papel da equipe de infraestrutura Bancos de Dados e a sua distinção da função de Administração de Dados. Essa clareza de distinção pode ser percebida ao se observar as várias iniciativas tomadas para suprir essa deficiência organizacional, como: as ações efetuadas cotidianamente para evitar redundância nas bases de dados, a montagem do dicionário de dados, a implantação do sistema S3A que assegura uma padronização no tocante ao controle de acesso dos novos sistemas e o processo licitatório em curso para aquisição da ferramenta CASE. Além disso, o próprio PDTI em sua edição anterior, já previa a inclusão dessa função no âmbito do EGP, dentro do diagrama de organização da SGI. 126

136 A condição atual coincide com a entrada em exercício dos novos servidores efetivos na SGI, e o devido preenchimento em curso da função de Administração de Dados dentro do Escritório de Gerenciamento de Projetos EGP. Entre as ações prioritárias para essa equipe até o final de 2012 tem-se: a redefinição de padrões de modelagem de dados (nomenclatura, metodologia, etc) e o fluxo de trabalho compartilhado com outras funções do EGP Sustentação de Sistemas Situação Atual Conforme explicitado no Marco Referencial (item 2.1.4) as atividades de sustentação encerram grande complexidade. Adiciona-se a isto a quantidade relativamente elevada de sistemas legados ativos existentes na Agência (58 sistemas) as constantes mudanças de regra nos negócios da agência, a perda de profissionais de alta qualificação, a demanda crescente por solicitações de manutenção e a necessidade de constantes retrabalhos provocados por diversos fatores causais, tem-se um cenário de dificuldades para o bom desempenho desta área. No momento da elaboração do PDTI original 53, a área de Sustentação de Sistemas da SGI passava por grandes dificuldades de perda de profissionais qualificados e de conhecimento técnico-corporativo, uma vez que o modelo de gestão da TI e o contrato de prestação de serviços especializados estavam em processo de substituição. Como consequência, o número de solicitações de manutenção pendentes mais do que triplicou no período. Passado esse período crítico de instabilidade, a área começou a se estruturar, com a restauração da normalidade dos níveis de chamados pendentes. Atualmente tem-se em média uma fila de espera de demandas em torno de 5 solicitações. Entre os aspectos mais relevantes da situação atual, deve-se destacar: Adequação da Relação Volume x Força de Trabalho: dentre os 58 produtos legados ativos atualmente existentes, desenvolvidos e administrados no âmbito da SGI, aproximadamente 50 a 60% são submetidos anualmente a ações de manutenção (corretiva, adaptativa, perfectiva, tecnológica, projetos de inovação ou melhoria) pelo Grupo de Sustentação. Em confronto com a disponibilidade de analistas atuais, a média passada de 4 a 5 produtos a serem sustentados por analista melhorou para 2 produtos. Vale ressaltar que no período mais crítico de transição (janeiro a julho de 2009), a equipe conseguiu manter um ritmo acentuado de produção, com a quantidade de 23 projetos sustentados, 9 desenvolvidos completamente e 6 parciais, envolvendo mais de horas. Mesmo com a melhora dos indicadores, há a necessidade de um monitoramento constante no dimensionamento da força de trabalho alocada no processo de sustentação, em razão do aumento de demanda, da complexidade das tarefas e atendimento aos procedimentos relativos à publicação, validação e backup de sistemas em ambientes de desenvolvimento, homologação e produção (vide tópico seguinte). 53 Outubro de

137 Subprocessos/Atividades da área: dentro do conceito UML/RUP (Unified Modeling Language Rational Unified Process) de classificação de demandas, o Grupo de Sustentação atua em diversas atividades vinculadas aos diferentes subprocessos (total de 153 atividades identificadas) como: processamento e cargas de arquivos, acompanhamento de projetos, atendimento a usuários internos / externos e atividades de ordem gerencial e administrativa, análise, especificação, modelagem, ambientação, testes de verificação, etc. Adicionalmente, não é rara a ocorrência de situações em que a ação da área se faz necessária para realização de projetos de sistemas em caráter emergencial, em razão de circunstâncias e peculiaridades do momento, como por exemplo, no caso das recentes ocorrências com os sistemas FAD 54 e Acompanhamento de Metas Institucionais. Interação com Outras Áreas de TI: a área de Sustentação necessita de plena integração com as áreas de EGP, Banco de Dados, Rede, Geoprocessamento e Service Desk, primordialmente em razão de ser a responsável pela solução de incidentes, em um 3º nível de atendimento, associada a sistemas de informação. Há uma gama de muitas atividades interligadas, sem as quais a atividade de sustentação fica seriamente comprometida. Em razão disto, faz-se necessário que o modelo de gestão contemple a alocação dos funcionários responsáveis pela a atividade de sustentação dentro das dependências da ANEEL. Tecnologias Aplicadas: a decisão pela utilização de novas linguagens não é uma mera opção interna, mas sim consequência da evolução natural de tecnologias rumo à obtenção de maior velocidade e facilidade para implantação de soluções. Apesar da busca por padronização, há uma quantidade considerável de linguagens (10), ferramentas (9), tecnologias em servidores (5) e ambientes de desenvolvimento (13) e programação voltadas para finalidades específicas das diferentes áreas de especializações de TI na Agência, o que exige conhecimento diversificado e especializado dos analistas. Além disso, há uma gama de aplicações desenvolvidas baseada em novas soluções tecnológicas (p.ex. Sharepoint, XML, Infopath, Clickonce, Web Services, etc) e que exige atualização constante dos analistas da equipe. Observa-se que as soluções desenvolvidas sob tais tecnologias inovadoras têm permitido melhor performance e tempo de resposta tanto no tocante a desenvolvimento como sustentação. Quanto a software livre, deve ser efetuado confronto entre vantagens e desvantagens caso a caso, tomando-se por base o perfil de alta disponibilidade definido para a ANEEL. Perfil dos profissionais: além dos quesitos de ordem técnica que compõem a qualificação dos funcionários, deve-se ressaltar a necessidade dos membros da equipe possuir capacidade de absorver tecnologias inovadoras e serem voltados para a disseminação e compartilhamento do conhecimento entre os colegas. Além disto, parte da equipe deve também desempenhar funções de Analistas de Negócios como forma de melhor viabilizar o uso das ferramentas de BI e propiciar apoio ao desenvolvimento de soluções em conjunto com o EGP e as áreas usuárias. Documentação: em comparação com 2009, houve uma melhoria significativa na situação da documentação Há ainda uma quantidade significativa de produtos com documentação insuficiente ou inapropriada para os padrões em voga. Além disso, os manuais de instrução ou do usuário são incompletos ou pouco explicativos, situação esta agravada pela constante rotatividade de usuários na ANEEL, que não repassam os conhecimentos necessários aos 54 Sigla de Fiscalização da Avaliação de Desempenho, aplicativo de pequeno porte destinado ao uso da SRH desenvolvido pela equipe de Sustentação. 128

138 usuários sucessores. Esta situação requer esforços adicionais da equipe para ser totalmente revertida. A SGI tem como meta até julho de 2012 a documentação de 30 sistemas legados a serem escolhidos de acordo com a criticidade de cada um. Indicadores de nível de serviços: deverão ser aplicados os seguintes indicadores para a área de sustentação, com adoção de padrões ideais de referência: - Número de atendimentos por mês (por sistema) - medição mensal; - Tempo de atendimento baseado no tipo de atendimento (por sistema) medição mensal, classificando-se as alterações em: pontuais, estruturantes ou evolutivas (pequenas); - Número de reincidências do mesmo atendimento (por sistema) medição semanal; - Número de chamados na fila de espera média semanal; - Número de chamados fechados média semanal. Ações Prioritárias - os itens marcados com (*) indicam ações em andamento Destacam-se entre as principais: a formação do portal de sistemas; a Certificação digital para o DUTONET; a elaboração do Cadastro de agentes (*);aplicação contínua de Webservice e SOA (Service Oriented Architeture), a finalização dos trabalhos de documentação dos sitemas legados (*) - 30 sistemas até julho de 2012 e a implantação e acompanhamento dos indicadores para verificação do acordo de nível de serviços da área de sustentação. 129

139 130

140 3. ACERVO TÉCNICO E GESTÃO DE DOCUMENTOS 3.1 Marco Referencial Apesar da afinidade existente entre o Acervo Técnico Informacional e a Gestão de Documentos de Arquivos, tratam-se de subprocessos totalmente distintos na ótica de Gestão Técnica da Informação. Enquanto no Acervo Técnico o foco primordial é a preservação do conhecimento gerado pelo setor energético e áreas afins e/ou que venham, em nível de primeiro acesso, representar interesse para os negócios da ANEEL, na Gestão de Documentos tem-se um conjunto de técnicas aplicáveis à guarda e acesso imediato de toda informação produzida ou que se tornou oficial em decorrência de atendimento, tarefa ou qualquer função ou atividade exercida pela Agência, no âmbito de suas funções institucionais. As linhas gerais que deverão nortear a melhor referência para estes subprocessos encontram-se a seguir definidas Acervo Técnico Informacional Marco Referencial Na função Acervo Técnico Informacional, o marco referencial é o de uma entidade de guarda e difusão de documentos nos moldes de um padrão híbrido de biblioteca e arquivo, ao prover a coleta, recepção, organização, preservação, disseminação e acesso às informações contidas em documentos únicos ou múltiplos, produzidos por diversas fontes geradoras (sob a forma de originais ou cópias) e/ou referências sobre área de especialização da Agência, os quais chegam por passagem natural e obrigatória para dar suporte às atribuições da ANEEL e demais usuários. Para que os documentos cumpram suas funções sociais, administrativas, jurídicas, técnicas, científicas, culturais, artísticas e/ou históricas é necessário que estejam preservados, organizados e acessíveis. Há quatro tipos de entidades que se incubem dessa tarefa: arquivos, bibliotecas, museus e centros de documentação. Essas entidades têm a co-responsabilidade no processo de recuperação da informação, em benefício da divulgação científica, tecnológica, cultural e social, bem como do testemunho jurídico e histórico. As linhas básicas de concepção deste modelo derivam do marco inicial quando do seu projeto de implantação, no ano de 1998, por meio do trabalho intitulado Consultoria para Informatização da Superintendência de Gestão Técnica da Informação (SGI) da Agência Nacional de Energia Elétrica, e da passagem por transformações no decorrer dos anos em virtude do ambiente e das necessidades informacionais da ANEEL. De uma forma mais simplificada, esse modelo pode ser usualmente denominado de Centro de Documentação, ou CEDOC, expressão atualmente utilizada para referir-se às funções dessa entidade, cuja missão é coletar, processar, tratar, armazenar e disseminar as informações dos acervos bibliográfico, cartográfico, iconográfico, sonoro e de atos legislativos, com o objetivo de propiciar a promoção do conhecimento aos usuários da ANEEL e do público externo e utilização das novas tecnologias da informação. Cabe lembrar que, embora o CEDOC e o Arquivo da ANEEL tenham um papel comum a desempenhar na guarda e difusão dos documentos, diferem quanto ao tipo de documento que guardam e quanto aos procedimentos técnicos que empregam para organizar e descrever adequadamente o seu acervo. 131

141 No modelo referencial do Centro de Documentação, faz-se necessário a incorporação de características técnicas padronizadas e utilizadas internacionalmente, tais como: catalogação, classificação, indexação, organização e difusão seletiva da informação (fornecer a cada usuário, ou grupo de usuários, informações que correspondam ao seu centro de interesse), as quais são inerentes à boa gestão de entidades do gênero. Principais Prioridades Como Marco Referencial, ficam definidas as prioridades a seguir, devidamente alinhadas à Agenda de Desafios Estratégicos da Agência: Retomada do projeto Redinee, iniciado em 2000 e interrompido no ano seguinte, cujo objetivo é o de estabelecer padrões e normas de descrição e recuperação da informação pelas diferentes unidades informacionais das entidades relacionadas ao setor elétrico; Padronização da forma de apresentação e de recuperação da Legislação Completa na Biblioteca Virtual, conforme modelo utilizado na Legislação Básica do Setor Elétrico; Criação de Base de Dados e mecanismo de busca para atos administrativos da Agência na Biblioteca Virtual; Criação de Biblioteca Depositária Digital (Repositório Institucional), com o objetivo de disseminar textos completos dos trabalhos técnicos produzidos pela Agência e pelo extinto DNAEE, assim como para facilitar o acesso a essas fontes de informação institucional e legada; Disponibilização de Bases de Dados com arquivos digitais dos registros dos concessionários de aproveitamentos hidrelétricos, referentes ao período de 1934 a 1984, cadastrados na ferramenta LightBase e identificados nos livros de Manifestos e de Permissões (A1, A2, A3, E1, E2 e E3). Passa-se, a seguir, à descrição dos elementos que compõem a função do Acervo Técnico Informacional. Área de Especialização A área de especialização do CEDOC é a de energia elétrica e áreas afins às atribuições da Agência, com o objetivo de suprir às necessidades de informação técnica dos usuários da ANEEL, para o bom desenvolvimento de suas atividades, bem como servir de suporte bibliográfico para o público em geral. Assim, em linha com as diversas atribuições da Agência, como regulação e fiscalização de geração, transmissão, distribuição e comercialização de energia elétrica, mediação de conflitos, atos de concessão, permissão e autorização de serviços de energia, etc. o CEDOC orienta a definição de linhas temáticas, em torno das quais se dará a formação e a ampliação do acervo, bem como a criação de programas de ação e a definição de atividades. Essas linhas poderão sofrer um processo de transformação à medida que a área do conhecimento à qual o CEDOC está ligado se transforma, o que altera, assim, suas perspectivas e demandas de pesquisa, pois essas modificações implicam novas demandas de informação. 132

142 Usuários Os usuários descritos abaixo são os clientes identificados e categorizados pelo CEDOC, os quais representam os destinatários dos bens e serviços. Usuários Internos: Diretores, Procurador-Geral e Titulares das Unidades Organizacionais, Servidores, Procuradores federais e Funcionários terceirizados. Usuários Externos: Agências reguladoras, Concessionárias do setor elétrico, Empresas de consultoria, Escritórios de advocacia, Organismos internacionais, Ouvidorias, Órgãos públicos, Pessoas físicas, Pessoas jurídicas, Universidades etc. Acervo e classificação O acervo do CEDOC é composto de documentos e publicações, em especial os relacionados aos setores de energia elétrica e hidrologia. Classifica-se o Acervo em: Material não periódico: livros, folhetos, manuais, normas técnicas, dicionários, enciclopédias, guias, diretórios, anuários, almanaques e inventários hidrelétricos; Material periódico: revistas, relatórios, jornais, boletins e diários oficiais; e Material especial: mapas, fitas de vídeo, fitas cassetes, CD-ROM e outros tipos de material de consulta e informação em qualquer suporte físico, menos papel. O material não periódico está organizado por assunto, em conformidade com a Classificação Decimal Universal CDU, com o objetivo de facilitar o acesso aos documentos nas estantes. O acesso ao acervo é semi-aberto. O usuário interno pode consultar as estantes com o acompanhamento de funcionário do setor de atendimento aos usuários do CEDOC e proceder à consulta das publicações nas estantes deslizantes e acionadas por meio de mecanismo eletrônico. Pesquisa e Recuperação das Informações As informações sobre os acervos do CEDOC, produtos e serviços devem ser encontradas no portal da Agência, 55 em razão da elevada demanda e número visitantes 56. Deverão ser asseguradas ferramentas avançadas para recuperação de informações. 57 Produtos da Biblioteca Virtual: Como Marco Referencial, os produtos e atividades abaixo relacionados serão mantidos dentro do leque de oferta de serviços da área, a saber: 55 Atualmente é encontrado no link de Biblioteca Virtual 56 Registros de visitantes em 2008: Biblioteca Virtual , Pesquisa Legislativa << obs: atualizar esta informação para Ferramentas atualmente utilizadas: Sistema Thesaurus e Next Page On-line. 133

143 Produtos: Legislação básica (Legislação aplicável ao setor elétrico); Normas de organização; Ofícios; Súmulas (enunciados de caráter orientativo, com entendimento pacífico, reiterado e uniforme, provenientes das decisões da Diretoria da ANEEL); Pesquisa bibliográfica (fácil, livre e estruturada); Pesquisa legislativa (decretos, leis, portarias, resoluções, despachos etc.); Pesquisa Resoluções Normativas (Resoluções normativas do setor elétrico); Glossário (termos técnicos do setor elétrico); Trabalhos acadêmicos (teses, dissertações, artigos); Vocabulário Controlado (palavras-chaves controladas); Edições ANEEL (CDs, livros, relatórios, revistas e vídeos). Atividades: Constituição e ampliação do acervo; Recebimento e registro de documentos; Tratamento documental (catalogação, classificação e indexação); Pesquisa e produção de referências; Conservação de documentos e reprografia; Atendimento ao público; Divulgação e intercâmbio. CEDOC Gerência Atendimento Setor Legislativo Setor de Periódicos Setor Bibliográfico Setor de Multimeios Adm. de Dados e Bib. Virtual Terminologia Fig. 11. Estrutura Operacional do CEDOC 134

144 3.1.2 Gestão Arquivística de Documentos Marco Referencial A área de Gestão de Documentos de Arquivos exerce o papel de gestora e guardiã dos documentos oficiais da ANEEL, com a incumbência de mantê-los organizados e acessíveis, de forma a garantir ao usuário rapidez de acesso, localização, recuperação imediata, preservação e guarda permanente dentro dos padrões definidos pela legislação arquivística. Como decorrência de suas atividades e funções, a ANEEL produz, recebe e gera diariamente um volume elevado de documentos. Esses documentos, após cumprir sua finalidade devem ser preservados e disponibilizados para consultas posteriores. Assim, para que todo o processo funcione de forma eficaz, é necessário que haja uma política de gestão documental efetiva, no sentido de prover as diversas Unidades Organizacionais da Agência de procedimentos, recursos, sistemas e métodos de Gestão de Documentos que abrangem a geração, recebimento, produção, tramitação, uso, avaliação e destinação final (eliminação ou guarda permanente). Este Plano Diretor define os pontos a seguir considerados ideais, como Marco Referencial para Gestão de Documentos de Arquivos: Gestão Integrada Eficaz: deverá ser assegurada a preservação de um modelo eletrônico integrado de gestão, de forma a inibir a existência de documentos que estejam fora de um processo devidamente numerado e cadastrado pelo mesmo. As atualizações e manutenções evolutivas deste sistema devem ser estruturadas de forma a que a implementação e utilização contribuam efetivamente para o aumento da qualidade e da eficiência dos processos, serviços e produtos da Gestão de Documentos de Arquivos; Agilidade: definido como a característica de presteza e facilidade na localização e recuperação de documentos gerados, recebidos e mantidos pela ANEEL, nos termos da legislação sobre documentos públicos; Eliminação/Preservação de Documentos: deverá ser assegurada a eliminação dos documentos que não possuem valor primário e secundário, conforme os procedimentos e diretrizes da legislação brasileira sobre o assunto e regulação internacional. Além disso, deverá ser garantida a preservação e a guarda permanente de documentos de valor histórico, informativo e probatório, bem como seu acesso aos usuários e cidadãos, conforme regulamentações da legislação arquivística em vigor; Técnicas e métodos adequados: deverá ser assegurada a aplicação adequada das técnicas e métodos da Arquivologia, com apoio das tecnologias da informação e gestão de documentos; Atualização Permanente: deverão ser permanentemente atualizados o Plano de Classificação de Assuntos da Atividade Fim e a Tabela de Temporalidade Documental da ANEEL; Normatização: deverão ser propostas e mantidas atualizadas as normas e os procedimentos de gestão de documentos de arquivos; Disseminação do conhecimento: deverão ser promovidos treinamentos intensivos das normas e procedimentos de gestão de documentos de forma a garantir a disseminação do conhecimento; 135

145 Capacidade de Atendimento: definido como a preservação de profissionais técnicos e especializados em gestão de arquivos em número suficiente para atendimento das demandas; Infraestrutura sistêmica e de armazenamento: definido como a necessidade de se manter disponibilizados de modo compatível às necessidades: os meios físicos adequados para armazenamento e guarda de documentação; as técnicas de microfilmagem para documentação histórica e permanente; sistema corporativo de controle de tramitação de processos e documentos, com utilização da tecnologia de Gerenciamento Eletrônico de Documentos GED, com acesso simultâneo à imagem dos documentos a todos os servidores, respaldado por Normas Internas e Procedimentos e de acordo com legislação específica vigente. 136

146 3.2 Situação Atual Acervo Técnico Informacional De uma forma geral, a presente situação é muito próxima do Marco Referencial descrito no item Os pontos de divergência, a seguir descritos, não são suficientes para configurar um afastamento do modelo ideal discutido. O Centro de Documentação - CEDOC da Agência é uma unidade de informação especializada e originou-se da Biblioteca do Departamento Nacional de Águas e Energia Elétrica - DNAEE, implantada em setembro de 1984 e desativada em junho de 1990, com a criação do Ministério da Infraestrutura - MINFRA e a extinção do Ministério das Minas e Energia MME. Foi reativada em novembro de 1991 com o acervo remanescente da área de Recursos Hídricos. Com a criação da ANEEL, passou a denominar-se, de fato, CEDOC, integrante da Superintendência de Gestão Técnica da Informação SGI e que não se constitui unidade administrativa, mas sim núcleo de informação. Entre os aspectos positivos da condição atual, tem-se: Capacidade de atendimento a uma demanda elevada de informações (aproximadamente atendimentos de pesquisas, empréstimos e consultas às bases de dados por mês); Cultura corporativa direcionada para um bom nível de qualidade de atendimento e desempenho no cumprimento da missão da área; Tratamento e disponibilização na Biblioteca Virtual dos atos legais emanados pela ANEEL e os de interesse do Setor Elétrico Brasileiro, atualizados diariamente; Possui vários contratos vigentes para atender as necessidades da Agência, tais como: aquisição e manutenção de arquivos deslizantes mecânicos e eletromecânicos; aquisição de periódicos (jornais e revistas); duplicação de CDs; assinatura e encadernação de Diários Oficiais da União; aquisição de publicações e normas técnicas nacionais e internacionais; manutenção evolutiva e corretiva dos sistemas Thesaurus de Automação de Bibliotecas, NextPage NXT e LightBase/GoldenDoc; Referência Nacional no setor de energia elétrica, que presta consultoria a vários agentes do setor elétrico e bibliotecas especializadas; Interdisciplinaridade na absorção de demandas oriundas dos usuários internos e externos; Maior centro informacional do Brasil no setor de energia elétrica com o maior acervo catalogado voltado a este setor. 137

147 Por outro lado, a situação atual reflete limitações para continuidade da qualidade dos produtos e serviços oferecidos, a seguir relacionadas: Constantes substituições dos contratos de Terceirização de Serviços de Biblioteconomia com dificuldades para manutenção de uma equipe constante que detém o conhecimento (perda frequente de capital intelectual); Menor condição de incorporação de novos projetos e absorção de novos trabalhos, como reflexo das condições de instabilidade da equipe atual de trabalho e da rotatividade constante de profissionais experientes; Necessidade de definir uma política de desenvolvimento de coleções; Condições físicas, acústicas, ergonômicas e de segurança insatisfatórias e limitadas, em vista o crescimento do acervo e dos atendimentos presenciais; Pouca capacidade de armazenamento digital em servidor de dados, em vista do crescimento do acervo em torno de 20% ao ano; Ameaças de segurança de dados e instalações físicas: as presentes condições de segurança são insatisfatórias, com risco de incêndio e falta de treinamento preventivo e periódico contra acidentes. Como ações prioritárias para o período , tem-se: (obs: as marcações com (*) indicam ações em andamento) No tocante a software, manutenção e outras ações de ordem sistêmica: Aprimoramento e/ou substituição do software de automação e de gerenciamento de acervos; Incorporação de manutenção evolutiva nas Bases de Dados construídas na plataforma Light Base / GoldenDoc; (*) Criação de base de dados e implantação de ferramenta de busca de trabalhos acadêmicos e de informações referenciais sobre os inventários hidrelétricos; Aprimoramento do portal do CEDOC, através da difusão de novos produtos (Boletim de novas aquisições de livros e de periódicos, Boletim de alerta legislativo, Normas técnicas digitais etc.) para maximizar a utilização do acervo e otimizar o atendimento aos usuários; Digitalização de todos os trabalhos técnicos produzidos pela Agência e pelo extinto Departamento Nacional de Águas e Energia Elétrica DNAEE, os quais estão armazenados no acervo da Biblioteca Depositária, para formação da Biblioteca Depositária Digital; Automatização do controle de estoque das Edições ANEEL(*); Ampliação da capacidade de armazenamento do servidor de dados do CEDOC. 138

148 No tocante a normatização: Atualização da Norma Organizacional ANEEL 007 (Regulamento do CEDOC), a fim de aprimorar os procedimentos de empréstimo dos acervos; Elaboração da política de desenvolvimento de coleções para formalizar as atividades de seleção, aquisição, desbaste, descarte e avaliação dos acervos informacionais - documentos legislativos, bibliográficos (livros, folhetos, periódicos, teses, normas técnicas e relatórios), técnicos (inventários hidrelétricos), cartográficos (atlas e mapas), audiovisuais (cds, dvds, fitas cassetes e vídeos) e documentos eletrônicos. Revisão da responsabilidade e dos usuários administradores das bases de dados geridas pelo CEDOC; No tocante à oferta e qualidade de serviços oferecidos: Disponibilização das capas e sumários de materiais bibliográficos e fascículos de periódicos (revistas, relatórios e boletins) para otimizar o tempo de pesquisa do usuário por informação de qualidade (relevante, precisa, clara, consistente, oportuna); Realização de um novo estudo do perfil dos usuários do CEDOC para detectar os tipos de informação ou assuntos, gerais e/ou específicos, de interesse destes usuários; Mensuração, quantitativa e qualitativa, do grau de qualidade dos acervos informacionais e dos serviços em relação ao nível de atendimento das necessidades dos usuários; Divulgação do acervo, suas referências, seus produtos e serviços ao público especializado; Promoção do compartilhamento e intercâmbio de informações com outras entidades afins, com o objetivo de complementação, soma de esforços e não duplicação. No tocante ao aumento da capacidade e melhoria física das instalações: Alteração do layout e aumento das instalações físicas do CEDOC para proporcionar um ambiente de informação eficaz; Ampliação dos arquivos deslizantes. No tocante a Recursos Humanos: Seleção de número mínimo de profissionais bibliotecários efetivos por meio de concurso, para preservação do conhecimento e capital intelectual(*); Realização de treinamentos para utilização das bases de dados do CEDOC. 139

149 3.2.2 Gestão Arquivística de Documentos Com base nos indicadores quantitativos crescentes, feed back dos usuários e qualidade dos serviços prestados, pode-se dizer que o modelo de Gestão de Documentos de Arquivo da ANEEL, desde sua implantação há 10 anos, tem se demonstrado robusto, principalmente em razão da existência de práticas de trabalho que asseguram boa disciplina e que inibem a existência de documentos que estejam fora de um processo devidamente numerado e cadastrado no sistema de gestão integrado (SICNet). Deve-se ressaltar que o subprocesso Gestão de Documentos encerra uma gama diversificada de produtos e serviços prestados para a Agência, de cunho normativo e de procedimentos, e que envolve planejamento, controle e ações de apoio para solução das mais variadas demandas das Superintendências e áreas da ANEEL. Os principais aspectos positivos do quadro atual são: Capacidade: a atual capacidade de atendimento suporta uma demanda elevada de consultas; Cultura Corporativa: existência de uma cultura corporativa direcionada para um bom nível de qualidade de atendimento e desempenho no cumprimento da missão da área; Acesso a imagens: o atual sistema disponibiliza imagens de documentos e processos. Não obstante as virtudes e o bom funcionamento, há um quadro de muitas limitações para o presente modelo, e que poderiam colocar em risco seu desempenho satisfatório para os próximos anos, caso providências imediatas não tivessem sido tomadas. As principais limitações da condição atual encontram-se a seguir relacionadas: Defasagem tecnológica: refere-se à desatualização das ferramentas que dão suporte ao SICNet, cujas limitações estão associadas à pouca interação amigável em ambiente Web, à lentidão em menus de pesquisas e à ausência de funcionalidades avançadas, seja no campo da pesquisa, emprego de formulários eletrônicos e integração com sistemas de apoio à decisão. Ciente dessas limitações, a Diretoria da Agência aprovou a aquisição de nova solução sistêmica a qual, no presente momento, encontra-se em fase de customização; Limitações de Capacidade e Segurança: decorrente, por um lado das limitações de espaço físico adequado e seguro para acomodação de documentos e, de outro, da falta de projeto específico para microfilmagem de processos de áreas finalísticas da ANEEL e dos Acervos Legados de órgãos antecessores, avaliados como permanentes e / ou históricos, o que permitiria a eliminação física do que pode ser descartado. O risco de incêndio também existe; Limitações de Capital Humano: refere-se à excessiva predominância de funcionários terceirizados, à inexistência de servidores efetivos em número suficiente para assegurar a continuidade dos serviços e tenham condições de ter uma visão do todo, principalmente em situações de substituição contratual e também à falta de reciclagem e treinamento dos profissionais. Em decorrência disto, várias tarefas importantes de maior complexidade sofrem adiamento, por falta absoluta de pessoal; 140

150 As ações prioritárias abaixo identificadas que propiciam uma aproximação da situação atual para com o Marco Referencial ideal são as seguintes obs: os itens marcados com (*) indicam ações em andamento: Aprovação do projeto de atualização do Plano de Classificação de Assuntos da Atividade Fim da ANEEL, junto à Diretoria e o Conselho Nacional de Arquivos CONARQ; Avaliação de documentos e processos, em conformidade com a Tabela de Temporalidade de Documentos de Arquivo da Atividade Meio e Fim com vistas à guarda permanente ou descarte (*); Finalização da instalação e customização de novo sistema adquirido em substituição ao Sistema SICNet, o que resolve a questão da defasagem tecnológica e da falta de ferramentas identificadas (*); Aprovação da norma de uso da assinatura eletrônica na ANEEL; Implementação do projeto de integração do sistema de gestão de documentos com novas tecnologias, quecompreende: Protocolos digitais: recebimento de documentos eletrônicos; Termos eletrônicos com Assinatura digital gerados pelo sistema: geração dos termos de instrução processual por formulários eletrônicos integrados a solução da Assinatura Eletrônica; Gestão dos documentos digitais criados pelas Unidades Organizacionais: implementação do controle de minutas para todas as espécies de documentos gerados nas unidades organizacionais, com aplicação de assinatura eletrônica; Busca Textual em documento digital: implementação do projeto de busca textual para acesso rápido as informações realizadas no conteúdo do documento digital; Implementação de automação do fluxo ou trâmite de documentos: com vistas à simplificação e agilização na tramitação dos documentos de arquivos; Projetos específicos: elaboração e execução de projetos específicos para migração dos acervos digitais que estão armazenados em coleções de CDs, com objetivo de preservação e disseminação da Informação; Banco de Imagens: organização das informações registradas e melhorias da forma de trabalho do Banco de imagens Corporativo, no sentido de auxiliar as ações de descarte por meio da aplicação da Tabela de Temporalidade Documental. Fortalecimento Organizacional: promover programa de reciclagem de treinamentos aos servidores com vistas à capacitação de servidores no uso das ferramentas de gestão de documentos, para agregar eficiência e eficácia à aplicação das Normas e Procedimentos. Melhoria das instalações físicas do Arquivo Central: inclui a elaboração e execução de projetos específicos para migração dos acervos digitais que estão armazenados em coleções de CDs, com objetivo de preservação e disseminação da Informação (Sala de Arquivos), a exemplo têm os Boletins de Campo, Prestação Anual de Contas PAC, Processos de Licitações de concessões editais, Atos Legais da ANEEL, Fichas de Controle de Processos, entre muitos outros. 141

151 142

152 ANEXOS 143

153 144

154 ANEXO 1 PLANO DE AÇÕES PRIORITÁRIAS Conteúdo Relação de Estratégias de TI e Cronograma Fls 1-9 Posição da Execução Fls

155 PLANO DE AÇÕES PRIORITÁRIAS ETI 1 - Novo Modelo de Gestão Consolidado ANEXO 1 Fls 1 / 10 Cronograma de Implantação (nº meses) Descrição da Ação Nº Responsável ação I II III IV I II III IV I II III IV Contratar Fábrica de Software Resp: Superintendência SGI OK Serviços Especializados de Gestão da Infra-estrutura contratados Resp: Superintendência SGI OK Serv.Especializados Auditoria e Métricas de Qualidade contratados Resp: Superintendência SGI (18) Concurso e nomeação de novos servidores efetivados Resp: Superintendências SRH / SGI OK 146

156 PLANO DE AÇÕES PRIORITÁRIAS ETI 2- Infra-estrutura robusta e informação 100% integrada implantada ANEXO 1 Fls 2 / 10 Descrição da Ação Nº Responsável ação Cronograma de Implantação (nº meses) I II III IV I II III IV I II III IV Infra-estrutura aprimorada 1. Assegurar infra-estr.elétrica estável e redundante com capac operação por longos períodos de queda energia Resp: Superintendente SAF / Gerente Adm Rede OK 2. Implantar software para monitoramento dos ativos e serviços de TI Resp: Gerente Adm. Rede (16) 3. Treinamento específico da equipe de BD como forma de garantir a atualização tecnológica (SQL 2008 e BI). Resp: Gerente Adm.Bco de Dados OK 4. Investimentos em hardware que atenda a demanda atual de BD produção/garanta crescimento futuro. Resp: Gerente Adm.Bco de Dados OK 5. Definir a topologia de BD e arquitetura de alta disponibilidade Resp: Gerente Adm.Bco de Dados (18) 6. Migrar os bancos de dados para SQL Server 2008 para garantir a atualização tecnológica e o suporte do fabricante. Resp: Gerente Adm.Bco de Dados OK 7. Criação do Sistema S3A - Autenticação, Autorização e Auditoria como plataf.segurança única de sistema da ANEEL; Resp: Egp - Fábr.Software OK 8. Ampliar a capacidade de armazenamento do servidor de dados do Centro de Documentação; Resp: Gerente CEDOC / Gerente Adm. Rede OK 9. Atualização tecnológica dos Recursos de TI (área de Rede) Resp: Gerente Adm. Rede / Bco de Dados / Serviços (16) 10. Implantar contingenciamento da infra-estrutura em nível interno Resp: Gerente Adm. Rede / Bco de Dados / Serviços (6) 11. Implantar ações visando garantir a alta disponibilidae da Web (redundância) Resp: Gerente CEDOC / Gerente Adm. Rede (6) Cronograma consolidado ETI 2.1 (31) Redundância eliminada 1. Análise e Diagnóstico das Informações requeridas pela ANEEL (insumos - 1ª fase) Resp: Grupo GT Dados (8) 2. Implantação da Área de Administração de Dados Resp: Superintendência SGI (4) 3. Elaborar estudo de classificação da informação p/ permitir maior eficácia no uso e tratam dados corporativos Resp: Administrador de Dados (6) 4. Ajustes dos Sistemas para novas fontes de entrada Resp: Equipe de Sustentação / Adm. de Dados Cronograma consolidado ETI Banco de Dados único implantado 1. Criação de projeto para base de dados corporativa Resp: EGP (8) 2. Geração de camada de webservices Resp: EGP (7) Cronograma consolidado ETI 2.3 (14) 147

157 PLANO DE AÇÕES PRIORITÁRIAS ETI 2- Infra-estrutura robusta e informação 100% integrada implantada Descrição da Ação Nº Responsável ação Ambiente de Redundância em nível externo implantado Cronograma de Implantação (nº meses) I II III IV I II III IV I 1. Execução do plano de ações para Ambiente de Redundância, incl. articulação com órgãos externos Resp: Adm. Rede / Superintendente SGI (10) 2. Atualizar política de backup corporativo com base em novo robô e armazenamento externo Resp: Adm.Bco de Dados / Adm. Rede (8) 3. Criação de procedimentos para Gestão de Desastres - Plano de Contingência e Cont.Negócios ANEXO 1 Fls 3 / 10 Resp: Adm.Rede / Equipe de Segurança (2013) II III IV Cronograma consolidado ETI Outras Ações 1. Desvincular administração do cabeam.estruturado da rede da porção da SGI da SAF Resp: SAF OK 2. Estruturar a área de Serviços, adotando práticas do ITIL para aliar as particularidades de cada demanda Resp: SAF / SGI (17) 3. Reestruturação dos serviços de Mensageria Resp: Adm. Rede (11) 4. Atualizar/rever conteúdo da NT nº 6/2004 padronização de objetos da Base de Dados Corporativa da ANEEL. Resp: Adm.Bco de Dados (5) 5. Aprimorar a auditoria de alterações de dados críticos Resp: Gerente Adm.Bco de Dados / Eq.Sustentação (2013) 6. Disseminar nova cultura de usuários internos e externos quanto à nova realidade de atendimento Resp: Adm. Service Desk (OK) 7. Decidir a aquisição de software de gestão, atualização do softw existente ou contratação com softw proprietário Resp: Adm. Service Desk OK 8. Criar script atendimento de 1º nível Resp: Adm. Service Desk (OK) 9. Formação do Portal de Sistemas (com emprego do Sistema S3A) Resp: Gerente Adm. Rede OK Cronograma consolidado ETI

158 PLANO DE AÇÕES PRIORITÁRIAS ETI 3 - Inteligência de negócios e soluções inovadoras implantadas ANEXO 1 pág 4 / 10 Descrição da Ação Nº Responsável ação Cronograma de Implantação (nº meses) I II III IV I II III IV I II III IV BI: implantação da ferramenta e entrada em operação 1. Implantação da ferramenta de BI (SAS) Resp: Adm.Bco de Dados / EGP OK 2. Treinamento da equipe para atuação com a ferramenta Resp: EGP OK 3. Implantação e Entrada em Operação Resp: EGP (9) 4. Elaboração de Políticas Resp: EGP (3) Cronograma consolidado ETI 3.1 (17) Portal Web: remodelação do portal, atualização tecnológica e outros. 1. Realizar revisão do Portal e Atualização tecnológica Resp: SGI - Serviços / ACI (26) 2. Portais de Trabalho: disponibilizar ferramenta de organiz/centraliz dos trab nas UO, SharePoint, Blogs e Mini-portais Resp: SGI - EGP / Serviços Web (19) Cronograma consolidado ETI 3.2 (32) Portfólio: desenvolvimento de sistemas a) Sistema implantados 1. Sistema de Autenticação, Autorização e Auditoria de acesso - S3A (SGI) Resp: EGP / Fábr.SW (18) 2. Sistema de Atesto a Contas Telefônicas (SAF) Resp: EGP / Fábr.SW (18) 3. Sistema de Gestão da Fiscalização SIGEFIS Versão Sharepoint (SFF/SFG) Resp: EGP / Fábr.SW (14) a) Sistema em desenvolvimento / implantação 1. Sistema de Cadastro de Agentes do Setor Elétrico - CASE (Corp) Resp: EGP / Fábr.SW (8) 2. Sistema de Gestão de Documentos - SICNet Versão 2 (Corp) Resp: EGP / Gestão Docum / Fornecedor (18) 3. Sistema Coleta de Preços para Custo Padrão de LT e Subestações (SCT) Resp: EGP / Fábr.SW a definir pela SCT 4a. Sistema de Controle de Obras de Geração - SISMEEGE (SFG) Resp: EGP / Fábr.SW (19) 4b. BIG - Bco de Informações de Geração (incorporado ao SISMEGEE) - SCG/SFG Resp: EGP / Fábr.SW (19) 5. Sistema SIGECONT (SFE) Resp: EGP / Fábr.SW pendente de definições 6. Sistema de Acompanhamento do Relacionamento Institucional - SARI versão 4 (SRI/SGI) Resp: EGP / Fábr.SW (14) 7. Sistema de Gestão de Campos Eletromagnéticos (GCEM) Resp: EGP / Fábr.SW (18) 8. Sistema de Cálculo das Variações dos itens da Parcela A - CVA (SFF) Resp: EGP / Fábr.SW pendente de definições 9. Sistema para Acompanhamento de Mercado para Regulação Financeira - SAMP versão 4 (SRE/SEM) Resp: EGP / Fábr.SW 149

159 PLANO DE AÇÕES PRIORITÁRIAS ETI 3 - Inteligência de negócios e soluções inovadoras implantadas ANEXO 1 pág 5 / 10 Descrição da Ação Nº Responsável 10. Sistema de Apoio aos Procedim Distribuição PRODIST módulo 6 (proj Piloto) (SRD) ação Cronograma de Implantação (nº meses) Resp: EGP / Fábr.SW (11) 11. Sistema de Controle Reuniões da Diretoria - novo SICOR (Diretoria) Resp: EGP / Fábr.SW (11) 12. Sistema de Gestão da Transmissão SIGET - módulo adicional (SRT/SFE/SCT/SRE) Resp: EGP / Fábr.SW (12) 13. Sistema de Acompanhamento da Descentralização - SIAD (SRI) Resp: EGP / Fábr.SW (12) 14. Sistema Universalização Resp: EGP / Fábr.SW (12) 15. Sistema de Relatórios Trimestrais - RIT (SFF) Resp: EGP / Fábr.SW (12) 16. Sistema de Controle de Resultados de Atendim do Call Center das Agências SICRAM (SRC) Resp: EGP / Fábr.SW (12) 17. Sistema de Controle de Processos de Auditria (AIN) Resp: EGP / Fábr.SW (12) 18. Sistema de Cadastro de Inadimplentes (SFF) Resp: EGP / Fábr.SW 19. Sistema de Participação Financeira - SIPAF (SRC) Resp: EGP / Fábr.SW (12) 20. Sistema de Acompanhamento das Perturbações no Sist Elétrico - APSE (SFE) Resp: EGP / Fábr.SW 21. Sistema de Recursos Humanos (SRH) Resp: EGP / Fábr.SW 22. Sistema para Apoio a Eventos (SRI) Resp: EGP / Fábr.SW 23. Sistema de Ouvidoria - 2a Versão (SMA) Resp: EGP / Fábr.SW 24. Sistema de Controle dos Conselhos de Consumidores (SMA) Resp: EGP / Fábr.SW 25. Sistema de Controle de Mediações (SMA) Resp: EGP / Fábr.SW 26. Sistema de Compensação Financeira - melhoria SIGEC (SAF) Resp: EGP / Fábr.SW (12) Administração dos Processos de Negócio (BPM) 1. Elaboração de projeto para Administração dos Processos de Negócios (BPM) Resp: Gerente EGP (6) 2. Execução de Projeto-piloto I II III IV I II III IV I II III IV Resp: Gerente EGP / Superintendências envolvidas (12) (t.2013) (t.2013) (t.2013) (t.2013) (t.2013) (t.2013) Cronograma consolidado ETI 3.4 (18) 150

160 PLANO DE AÇÕES PRIORITÁRIAS ETI 4 - Uso de Geoprocessamento intensificado ANEXO 1 pág 6 / 10 Cronograma de Implantação (nº meses) Descrição da Ação Nº Responsável ação I II III IV I II III IV I II III IV Novo fornecedor contratado 1. Contratação de serviços técnicos especializados para atendimento às atividades finalísticas e de suporte Resp: Superintendente SGI (3) Webservice desenvolvida em padrão WFS p/ consumo do SIGEL e outros sist. georreferenciados 1. Projeto Piloto WFS implantado Resp: Equipe Geoprocessamento (4) 2. Projeto Piloto WFS integrando SIG com BI implantado Resp: Equipe Geoprocessamento / EGP - BI (4) Portfólio de Geoprocessamento intensificado 1. Divulgação de acervo de imagens via Web Resp: Equipe Geoprocessamento OK 2. Implantação de processo de espacialização seletiva de dados e informações do SAD/SAS; Resp: Equipe Geoprocessamento (15) 3. Suporte ao Programa Luz para Todos Resp: Equipe Geoprocessamento aguardando definições 4. Mapeamento das Linhas de Transmissão Resp: Equipe Geoprocessamento aguardando definições 5. Suporte ao Programa de Tarifa Subsidiada Resp: Equipe Geoprocessamento a definir 6. Mapeamento dos Conjuntos Elétricos e índices DEC/FEC Resp: Equipe Geoprocessamento a definir 7. Mapeamento e monitoram ocupações ilícitas em torno dos reservatórios das UHEs Resp: Equipe Geoprocessamento a definir 8. Mapeamento das Concessões Resp: Equipe Geoprocessamento (23) 9. Mapeamento das Bacias Hidrográficas com maior potencial p/implantação de PCH/CGHs Resp: Equipe Geoprocessamento a definir 10. Mapeamento das áreas de ocorrências de perdas não técnicas Resp: Equipe Geoprocessamento a definir 11. Análise Geográfica das reclamações recebidas pela Ouvidoria Resp: Equipe Geoprocessamento (24) PRODIST: módulo com funções de geoprocessamento implantado 1. Projeto piloto em empresa selecionada (Elektro) Resp: Equipe Geoprocessamento (11) 2. Extensão para outras empresas distribuidoras Resp: SRD / SGI a definir futuramente Cronograma consolidado ETI 4.4 (11) 151

161 PLANO DE AÇÕES PRIORITÁRIAS ETI 5 - Modernização da Gestão da Documentação implantada ANEXO 1 pág 7 / 10 Descrição da Ação Nº Cronograma de Implantação (nº meses) Responsável ação I II III IV I II III IV I II III IV Repositório único e novos procedimentos de administração de documentos implantado 1. Busca da documentação existente e da complementação armazenada nas bibliotecas Resp: Gerente EGP (6) 2. Projeto para criação de repositório único de docs (ECM) Resp: Gerente EGP (4) 3. Implantação do Repositório único de Documentos Resp: Gerente EGP (6) 4. Elaborar estudo de classificação da informação p/ permitir maior eficácia no uso e tratam dados corporativos Resp: Gerente Adm. Rede (5) Cronograma consolidado ETI 5.1 (8) Certificação Digital implantada 1. Elaboração de projeto para implantação da Certificação Digital Resp: Gerente EGP (6) 2. Implantação e Entrada em Operação Resp: Gerente EGP (6) 3. Inclusão de certificação digital para o DUTONET; Resp: Equipe de Sustentação (6) 4. Geração dos Termos de instrução processual por formulários eletrônicos integrados à Assinatura Eletrônica Resp: Equipe Gestão de Documentos / Fábr Softw (3) 5. Implem.controle de minutas para todas as espécies de documentos gerados aplicando a Assinatura Eletrônica Resp: Equipe Gestão de Documentos / Fábr Softw (1) 6. Implantação de Protocolização Digital para Recebimento de documentos eletrônicos Resp: Equipe Gestão de Documentos / Fábr Softw (8) 7. Aprovação da Norma de uso da Assinatura Eletrônica na ANEEL; Resp: Equipe Gestão de Documentos (16) Cronograma consolidado ETI 5.2 (16) Novos instrumentos para gestão de documentos implantados 1. Implantar nova Solução Corporativa de Gestão de Documentos e Fluxo de Trabalho (SICNet) Resp: Superintendente SGI / Gerente EGP (15) 2. Implantação de sistema de localização de protocolos por rádio frequência Resp: Equipe Gestão de Documentos / Fábr Softw (9) Cronograma consolidado ETI 5.3 (18) 152

162 PLANO DE AÇÕES PRIORITÁRIAS ETI 5 - Modernização da Gestão da Documentação implantada ANEXO 1 pág 8 / 10 Descrição da Ação Nº Cronograma de Implantação (nº meses) Responsável ação I II III IV I II III IV I II 4 - Outras Melhorias e Refinamento dos processos de documentação implantados a) Ações relativas à Gestão de Documentos de Arquivo 1. Tratamento do passivo de documentos históricos com vistas à preservação Resp: Equipe de Gestão Documentos de Arquivo (11) 2. Revisão dos Instrumentos de Gestão (Tab.Temporalidade e Código de Classif.Documental - atividade-fim) Resp: Equipe de Gestão Documentos de Arquivo (9) 3. Revisão da Norma Organizacional nº 11 (ref. Instrução processual após implantação do novo SICNet) Resp: Equipe de Gestão Documentos de Arquivo (4) 4. Elaboração do Manual de Cadastramento de Documentos Resp: Equipe de Gestão Documentos de Arquivo (5) b) Ações relativas à área de Acervo Técnico Informacional 5. Projeto REDINEE implantado Resp: Equipe Cedoc (26) 6. Padronização da forma de apresentação e de recuperação da Legislação Completa na Biblioteca Virtual implantada, conforme o modelo utilizado na Legislação Básica do Setor Elétrico Resp: Equipe CEDOC / Superintendente SGI (21) 7. Base de dados/mecanismos de busca criados para os atos administrativos da Agência na Biblioteca Virtual. Resp: Equipe CEDOC (17) 8. Software de automação e de gerenciamento de acervos substituído 10 Resp: Equipe CEDOC (6) 9. Projeto de Preservação da Memória da ANEEL implantado Resp: Equipe CEDOC (15) Página de Intranet do CEDOC revisada Resp: Equipe CEDOC / ACI Acesso para download na página do CEDOC disponibilizado Resp: Equipe CEDOC / Serviços - SGI (3) 12. Base de Dados para estudos acadêmicos implantada Resp: Planejamento / Finanças (3) c) Outras ações 13. Processos de Trabalho da SGI revisados Resp: Planejamento / Finanças (9) (3) III IV Cronograma consolidado ETI 5.4 (26) 153

163 PLANO DE AÇÕES PRIORITÁRIAS ETI 6 - Nível de maturidade de Gestão de TI aprimorado ANEXO 1 pág 9 / 10 Descrição da Ação Nº Cronograma de Implantação (nº meses) Responsável ação I II III IV I II III IV I II III IV Nível elevado de conformidade alcançado perante as melhores práticas de TI 1. Catálogo de serviços aprimorado Resp: Adm. Service Desk (OK) 2. TCO (Total Cost of Ownership) implantado Resp: Planejamento (3) 3. Aquisição de ferramental de monitoramento em tempo real da rede lógica Resp: Gerente Adm. Rede (6) 4. Definir a forma de relacionamento entre os subprocessos (3º nível) Resp: Adm. Service Desk (OK) 5. Avaliar com os subprocessos quais serviços poderão ser repassados ao Service Desk Resp: Adm. Service Desk (OK) 6. Melhorar administração do inventário de ativos tecnológicos Resp: Adm. Service Desk (2) 7. Aprimorar processo de Gerenciamento de Projetos (PO 10 - Cobit / PMBoK) Resp: EGP (6) 8. Avaliar a maturidade da Gestão de Projetos Resp: EGP (2) 9. Implantar e mapear processo de aquisições e contratações de TI em conformidade com a IN 04/2010 Resp: Administração de TI (5) 10. Implantar o Comitê de Gestão de Incidentes Resp: Segurança da Informação (2) Cronograma consolidado ETI 6.1 (31) Avaliação de Desempenho junto ao público interno realizada 1. Elaborar pesquisa interna de qualidade para apoio técnico às decisões sobre melhoria da TI. Resp: Superintendência SGI (3) (3) Gestão do Conhecimento Aprimorada 1. Implantar Plano de Capacitação e Treinamento específico para a área de TI da ANEEL Resp: Planejamento SGI / SRH (12) 2. Rever política de treinamento de usuários nos sistemas e aplicativos disponibilizados (de uso comum) Resp: Planejamento SGI / SRH (12) Cronograma consolidado ETI 6.3 (12) 154

164 PLANO DE AÇÕES PRIORITÁRIAS ETI 6 - Nível de maturidade de Gestão de TI aprimorado ANEXO 1 pág 10 / 10 Cronograma de Implantação (nº meses) Descrição da Ação Nº Responsável ação I II III IV I II III IV I II III Nível de Segurança da Informação aprimorado 1. Criação do Grupo de Segurança e Resposta a Incidentes em Redes Computacionais IV Resp: Superintendente SGI (2) 2. Inclusão de tópico de diretrizes de segurança para discussões na agenda da CGI Resp: Equipe de Segurança / SRH (2) 3. Alinhar ações às diretrizes da APF e demais decretos complementares com ref ao e-gov Resp: Equipe de Segurança (3) 4. Revisão das Normas Organizacionais ref Política de Segurança da Informação da ANEEL Resp: Equipe de Segurança (3) 5. Estabelecer políticas de acesso às informações para garantir interoperabilidade e disponib dados à sociedade Resp: Equipe de Segurança OK (3) 6. Substituir termo de responsabilidade por termo de confidencialidade, respeitando diferentes situações Resp: Equipe de Segurança (OK) 7. Disponibilizar proteção de confiabilidade, autenticidade e integridade por meios criptografados Resp: Equipe de Segurança (5) 8. Elaborar norma para Gestão de Risco em acordo com a IN 01/GSIPR Resp: Equipe de Segurança (4) 9. Elaborar norma para Gestão da continuidade do negócio, de acordo com a IN 01/GSIPR Resp: Equipe de Segurança / Rede / Banco de Dados (4) 10. Identificar e Mapear infraestrutura críticas da informação e interdependências Resp: Rede / Banco de Dados / Segurança da Informação (3) Cronograma consolidado ETI

165 156

166 POSIÇÃO DE IMPLANTAÇÃO DAS ESTRATÉGIAS DE TI (ETI) Junho de 2011 Posição da Execução: 30/06/2011 O total de Estratégias de TI (ETI) implantadas é de 33,8%. 157

167 ANEXO 2 INVENTÁRIO DE ATIVOS INFRAESTRUTURA Equipamentos e estrutura básica 1. Infraestrutura de Rede posição de 22/06/2011: EQUIPAMENTO MARCA MODELO QTD Servidor Físico HP BL460C G6 48 Power Edge R Servidor Virtual 61 C3G Enterasys N3 2 N7 1 Switch Ethernet E7 1 Cisco WS-CBS3120G-S 8 WS-CBS3120X-S 8 Foundry Fastlron Edge X424 1 Switch Fibra Ótica Brocade Silkworm Silkworm HP2 8 C2H Switch Ethernet de Borda Enterasys C2H124-48P 4 B2H Armazenamento SAN EMC² CX HP EVA Protocolador Digital - PDDE DELL Power Edge R Unidade Robotizada de Backup DELL Power Vault ML Fortigate 620B 4 FortiAnalyzer 400B 1 Ativos de Segurança Fortinet FortiAnalyzer 1000B 1 FortiMail FortiMail 2000A 1 FortiManager 400B 1 Ativos de Segurança SCM DELL Power Edge Climatizador de Precisão Diamont Vega 2 Liebert Challenger Windows 2003/2008 Microsoft Sistema Operacional (licenças) R2 Server 90 Red Hat Linux 3 158

168 2. Infraestrutura de Banco de Dados: Sistema SQL Server 2008 ; 3. Infraestrutura de Service Desk: Central de atendimento que opera externamente em single-point, com sistema de gerenciamento próprio; 4. Infraestrutura de Segurança: Ferramentas de Segurança: Risk Manager; Gerenciador do tokens; Antivírus; Antispyware; Antispam; Antimalware; Classificação e Bloqueio de Páginas Web; Firewall e VPN; Sistema de Detecção de Intrusão; Sistema de Prevenção de Intrusão; Analisador de Vulnerabilidades; Rotinas de Back-up; Inventário de Software e Dispositivos de Segurança: Firewall - Fortinet Antispam - Fortimail Análise de Vulnerabilidades Fortinet VTM Antivírus MCafee, que inclui DLP, HIPS, NAC Análise e Classificação das mensagens recebidas na Caixa "seginfo@aneel.gov.br": para reportar as mensagens recebidas que apresentam suspeitas de infecções por vírus, spams, além de sites e s bloqueados, com a indicação dos tipos de mensagens; Análise do Software de Gerenciamento de Antivírus da ANEEL: que reporta o total de tentativas de contaminação do ambiente corporativo da ANEEL (vide Figura 1). 159

169 160

170 Fig. 1. Relatório do Software de Gerenciamento na posição de 31/05/2011. Estatísticas de s analisados pela Ferramenta Antispam: indicam a quantidade e o percentual de mensagens eletrônicas recebidas e enviadas pela solução de antispam, com a descrição de cada mecanismo de defesa adotado, para o controle de malwares no fluxo de entrada e saída. Na Figura 2, tem-se a estatística referente ao primeiro trimestre de Fig. 2. Estatísticas de s analisados pela Ferramenta Antispam 161

171 Estatísticas de tentativas de ataques aos Sítios: indicam a quantidade de ataques, malsucedidos ou bem-sucedidos, com diversos níveis de criticidade, direcionados aos sites, sistemas e aplicações utilizadas pela ANEEL e disponibilizados através da internet e internamente (Fig. 3) Fig. 3. Relatório de ataques aos sistemas e aplicações da ANEEL posição de maio de 2011 Relatórios estatísticos sobre a utilização da internet com o objetivo de se fornecer à ANEEL a habilidade de se monitorar e controlar o seu uso (vide Figura 4). 162

172 Fig. 4. Relatório de risco corporativo sobre a utilização da internet baseado em métricas do fabricante (filtragem de conteúdo, Websense etc). Estatística sobre a utilização da internet com o objetivo de se fornecer à ANEEL a habilidade de se monitorar e controlar o seu uso. Fig. 5. Relatório de acesso à internet categorizado. Ref: maio de

173 5. Infraestrutura Web: Software SOFTWARE FABRICANTE DESCRIÇÃO VERSÃO Cold Fusion Adobe Serviço de Internet 8 (scorpion SO Microsoft Windows Server IIS Microsoft Serviço de Internet 3 6. Infraestrutura para Geoprocessamento: Hardware existente: Microcomputadores 03 micros da marca HP com 2 GB de memória RAM cada um; 09 micros da marca HP com 4 GB de memória RAM cada um. Servidores à disposição da unidade de Geoprocessamento: Servidor HAP100: Servidor de homologação que concentra as funções de servidor de serviços, utilizado para a publicação e teste do SIGEL e demais SIGs, além de repositório das bases de dados utilizadas pela equipe de geoprocessamento. Servidor SAP103: Servidor de produção que é a máquina principal para funcionamento do SIGEL por ser o servidor de serviços (ArcGis Server). Servidor SAP104: Servidor de produção que atua como servidor de dados e provê a maior parte das informações utilizadas pelos SIGs e 100% das informações do SIGEL. Servidor NOBELIO: Servidor virtual, de produção Web, que capta os acessos externos ao SIGEL e hospeda o site em Flex. Também atua como fronteira para o servidor de serviços de forma modular e que garante maior segurança do ambiente de rede da ANEEL. Servidor FERMIO: Servidor virtual, de homologação Web, que serve para validação e testes dos SIGs antes de serem transpostos para o ambiente de produção. Servidor LUTECIO: Servidor virtual, de homologação, que armazena espelho do banco de dados de produção (SAP104), utilizado para a validação e processamento dos dados em nível de desenvolvimento e homologação. Todos os Servidores se encontram fisicamente na sala-cofre sob administração da equipe de rede da ANEEL. Softwares de geoprocessamento, existentes: Pacote ArcGIS versão 10.0, que contém: 10 Licenças flutuantes do ArcGIS no modo ArcVIEW; 05 licença flutuante do ArcGIS no modo ArcEditor; 04 licenças flutuantes do ArcGIS no modo ArcInfo; 02 licença flutuante da extensão 3D Analyst; 02 licença flutuante da extensão Spatial Analyst; 01 licença de produção do ArcGIS Server Enterprise; 164

174 01 licença de desenvolvimento do ArcGIS Server Enterprise; ENVI IDL 4.8 (Software para processamento de imagens) 02 licenças flutuantes. Todos os servidores ESRI possuem, além da licença de instalação no servidor, duas licenças para desenvolvimento Software Básico: SQL Server 02 (duas) licenças distribuídas entre os servidores de Homologação e Produção. MS Windows Visual Studio (duas) licenças, Adobe Flash Builder 01 (uma) licença, versão Flex. 7. Equipamentos de Uso Comum Área Impressora Notebook Micro Computador Scanners AIN ACI ASS CGA 1 * 4 2 DIR PF SAF SCG SCT SEM SFE SFF SFG SGE SGH SGI SLC SMA SPE SPG SRC SRD SRE SRG SRH SRI SRT TOTAL

175 166

176 ANEXO 3 SUPERINTENDÊNCIA DE GESTÃO TÉCNICA DA INFORMAÇÃO FINANÇAS EFETIVO E PREVISÃO I Gastos da ANEEL alocados na SGI II Detalhamento dos Gastos da SGI III Previsão IV Pesquisa Comparativa 167

177 168

178 I - Gastos da ANEEL alocados na SGI 200,0 Total ANEEL 150,0 Custeio e Investimentos R$ Milhões 125,6 143,4 162,5 167,3 100,0 105,1 120,7 142,6 149,2 50,0 SGI 0,0 Fonte: SPG / SAF 15,9% 15,6% 11,9% 10,8% 20,0 22,3 19,3 18, Parcela SGI Total 15,9 > 10,8% do total Valores Efetivos Custo atual menor / (maior) que anterior x x 2009 absol. Pct absol. Pct [1] [2] [3] [4] [3] - [2] [4] - [3] Despesas Correntes e Investim. ANEEL (R$ 000) ,8% ,9% disto: Gastos classificados na SGI - Total (R$ 000) ,8% ,6% - percentual em relação ao total 15,9% 15,6% 11,9% 10,8% 3.7 pts 1.1 pt Composição dos Gastos da SGI Gastos de TI ,9% 195 1,5% disto: Infraestrutura ,5% 689 9,6% Equpamentos e Licenças de uso geral ,4% ,8% Desenvolvimento ,7% 322 7,3% Administração de TI ,3% ,3% Gastos do CEDOC / Gestão de Documentos / Outros ,4% ,6% Mão de Obra alocada em outras Superintendências - SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI ,9% -90-4,1% 169

179 II Detalhamento dos Gastos SGI Valores Efetivos Custo atual menor / (-)maior que anterior x x 2009 absol. Pct absol. Pct [1] [2] [3] [4] [3] - [2] [4] - [3] Gastos classificados na SGI - Total (R$ 000) ,8% ,6% disto: Gastos de TI - Total (R$ 000) ,4% 195 1,5% disto: Infraestrutura ,5% 689 9,6% disto: Software / Licenças associadas a Infraestrutura ,9% ,9% Equipamentos de Rede ,0% ,2% Manutenção de Rede / Servidores ,6% 19 3,5% Cabeamento Estruturado Infovia / Serpro ,8% 41 12,7% Contratação de Serviços Especializados - Infraestrutura de Rede ,8% 79 10,0% - Administração de Bancos de Dados ,9% ,1% - Segurança da Informação ,1% ,8% - Adm. Portal / Internet-Intranet / Serviços ,8% ,4% - Help Desk / Service Desk / Adm Ativos ,2% ,0% Equipamentos / Licenças de uso geral ,4% ,8% disto: Microcomputadores e Notebooks ,1% ,7% Impressoras e Scanners Software e Licenças ,5% ,4% Desenvolvimento ,7% 322 7,3% disto: Sustentação de Sistemas ,5% ,9% Fábrica de Software Geoprocessamento ,3% ,2% Licenças de Software de Geoprocessamento ,7% Administr.de TI: remuneração de servidores efetivos ,3% ,3% Gastos ref ao CEDOC e Gestão de Documentos ,4% ,6% disto: - Serviços Contratados - Mão de Obra especializada ,8% ,9% - Remuneração de servidores efetivos ,3% ,3% - Aquisição novo sist. Gestão de Docum (SICNet 2) Keyfile/Keyflow/LightBase/Goldendoc/Thesaurus ,2% 98 32,1% - Publicações e Periódicos ,2% ,2% - Arquivos Deslizantes ,0% - Outros, incl. reprografia e impressão ,2% ,1% Mão de Obra alocada em outras Superintendências (SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI) ,9% -90-4,1% 170

180 II Detalhamento dos Gastos SGI Composição Percentual por Biênio 18,9% ,8% 39,7% Infraestrutura e Sustentação de Serviços 12,0% Equipamentos / Licenças de Uso Geral 36,7% Desenvolvimento / Sustentação de Sistemas 3,3% 24,1% 4,3% 19,6% 6,4% 22,6% 2,7% Administração de TI (Servidores efetivos) CEDOC / Gestão de Documentos M.Obra em outras Superintendências Composição da Infraestrutura (R$ 000) Software e Licenças Equipamentos de Rede Manutenção da Rede Infovia / Serpro Infraestrutura de Rede Adm.Bco de Dados Segurança da Informação Adm.Portal / Serviços Service Desk

181 III Previsão de Gastos da SGI Valores Efetivos P R E V I S Ã O absol. %(Acrésc)/ absol. %(Acrésc)/ [1] [2] [3] [4] [5] Decrésc [6] Decrésc Gastos da SGI - Total (R$ 000) ,4% ,8% disto: Gastos de TI - Total (R$ 000) ,3% ,7% disto: Infraestrutura ,5% ,7% disto: Software / Licenças associadas a Infraestrutura ,4% ,5% Equipamentos de Rede ,3% 0-100,0% Manutenção de Rede / Servidores ,3% ,0% Cabeamento Estruturado Infovia / Serpro ,8% ,0% Contratação de Serviços Especializados ,0% ,1% disto: - Infraestrutura de Rede ,7% 464-0,3% - Administração de Bancos de Dados ,3% 714-0,3% - Segurança da Informação ,0% 501-0,3% - Adm. Portal / Internet-Intranet / Serviços ,0% 407-0,3% - Help Desk / Service Desk / Adm Ativos ,8% ,9% Equipamentos / Licenças de uso geral ,0% ,5% disto: Microcomputadores e Notebooks ,4% ,7% Impressoras e Scanners ,0% Software e Licenças ,0% 50 - Desenvolvimento ,7% ,8% disto: Sustentação de Sistemas ,1% ,7% Fábrica de Software ,5% ,2% Geoprocessamento ,3% ,1% Licenças de Software de Geoprocessamento ,0% 0 - Administr.de TI: remuneração de servidores efetivos ,5% ,4% Gastos ref ao CEDOC e Gestão de Documentos ,2% ,3% disto: - Serviços Contratados - Mão de Obra especializada ,1% ,3% - Remuneração de servidores efetivos ,5% ,4% - Aquisição novo sist. Gestão de Docum (SICNet 2) ,5% 0-100,0% - Keyfile/Keyflow/LightBase/Goldendoc/Thesaurus ,6% 90-72,9% - Publicações e Periódicos ,1% ,9% - Arquivos Deslizantes Outros, incl. reprografia e impressão ,7% ,1% Mão de Obra alocada em outras Superintendências (SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI) ,5% ,3% 172

182 III Previsão de Gastos da SGI Infraestrutura Desenvolvimento CEDOC / Gestão de Documentos Equpamentos e Licenças de uso geral Administração de TI Serviços em outras Superintendências 173

183 IV Pesquisa Comparativa Percentual de Gastos e Investimentos de TI sobre a Receita Líquida Empresas do Setor Privado ANEEL * Pesquisa anual efetuada pela Fundação Getúlio Vargas. A quantidade de empresas pesquisadas em 2010 foi de 2.148, sendo 60% das 500 maiores. Despesas de TI em relação às Receitas - ANEEL Taxa de Fiscalização - R$ Milhões 330,7 360,2 377, Despesas de TI - R$ Milhões 16,2 18,3 15,4 16,0 Relação 2./. 1 4,9% 5,1% 4,1% 4,1% 174

184 IV Pesquisa Comparativa Empresas do Setor Privado * ANEEL Gastos por usuário em US$ Empresas do Setor Privado * ANEEL * Pesquisa anual efetuada pela Fundação Getúlio Vargas. A quantidade de empresas pesquisadas em 2010 foi de 2.148, sendo 60% das 500 maiores. 175