Relatório do primeiro ano de atividade da CGOV

Transcrição

1 Relatório do primeiro ano de atividade da CGOV Thiarles Soares Medeiros Luciano Pereira de Vargas Luiz Mário Lopes Moraes Alegrete, 2017

2 1. Apresentação Instituída pela lei nº , de 11 de janeiro de 2008, a Universidade Federal do Pampa (UNIPAMPA) atende uma comunidade de aproximadamente pessoas, distribuídas entre alunos, professores, técnicos e fornecedores. Em virtude de sua estrutura multicampi, a UNIPAMPA é altamente dependente dos recursos de tecnologia da informação para manter a comunidade acadêmica conectada aos recursos institucionais. Isso se verifica através das reuniões em ambientes virtuais, aulas via EaD, ramais telefônicos através da internet (VoIP - Voice over IP ), processo eletrônico de pré-matrícula, aplicativo para dispositivos móveis, dentre outros serviços digitais de uso comum no dia a dia da universidade. O uso da tecnologia é fator determinante tanto para a redução dos custos operacionais quanto para a eficiência dos serviços prestados. Alterações no nível de disponibilidade desses serviços são rapidamente percebidos em toda a comunidade envolvida, exigindo planejamento cuidadoso e respostas adequadas a cada evento. Em função do papel estratégico que os recursos computacionais exercem sobre a instituição, é vital que se tenha um conhecimento detalhado dos ativos de informação para a definição de processos pró-ativos na prevenção de eventos indesejados. Com isso, somado à necessidade de ampliar o alinhamento da conformidade legal, iniciou-se o projeto da Gestão de Riscos de TI da UNIPAMPA. 2. Organização da TI A responsabilidade por garantir as condições de funcionamento da tecnologia da informação e comunicação da UNIPAMPA é atribuída à Diretoria de Tecnologia da Informação e Comunicação (DTIC), que deve apoiar as atividades da instituição. Recentemente, houve a adequação na estrutura organizacional da DTIC, sendo criada a Coordenadoria de Governança de Tecnologia da Informação (CGOV), com foco no alinhamento da TI aos objetivos finais da instituição. À CGOV cabe a Governança de TI, Gestão de Riscos e Compliance. 3. CGOV A CGOV foi concebida com o objetivo de fomentar o alinhamento da TI aos objetivos finais da instituição, oferecendo assim uma melhor compreensão e aproveitamento das atividades da TI no ambiente institucional. Para isso, atuará em três eixos: Governança de TI, Gestão de Riscos de TI e Compliance. O Tribunal de Contas da União (TCU) trata a Governança de TI sob a seguinte perspectiva: 1

3 Governança de TI se traduz em um conjunto de políticas, processos, papéis e responsabilidades associados a estruturas e pessoas da organização, de modo a se estabelecer claramente o processo de tomada de decisões e as diretrizes para o gerenciamento e uso da TI, tudo isso de forma alinhada com a visão, missão e metas estratégicas da organização. ( TCU, 2017). De forma geral, os órgãos de fiscalização do Governo Federal afirmam que não é suficiente simplesmente reconhecer a importância da TI. É necessário desenvolver mecanismos de governança de TI que adicionem valor ao negócio. Um dos desafios da CGOV é mapear os recursos existentes de TI e cientificar a alta direção sobre o status atual. Isso é necessário devido a fatores como a demanda crescente por informações, auditorias frequentes e pressão por resultados. A conjuntura sócio-econômica, por outro lado, nem sempre permite que essas demandas sejam atendidas como esperado. Diante de um cenário econômico adverso, os investimentos se tornaram seletivos, escassos e pontuais. A infraestrutura de processamento de informações não acompanhou a evolução das demandas, gerando inúmeros riscos que passaram a ameaçar a continuidade do negócio institucional. Outro fator é a complexidade do ambiente de TI que dificulta a priorização dos recursos e desenvolvimento de ações de maior eficácia. Para reverter essa situação e promover o alinhamento da TI ao negócio, a 1 2 CGOV pretende adotar boas práticas, como COBIT e ITIL promovendo ou indicando ações que tragam benefícios à DTIC. 4. Ações 4.1. Gestão de Riscos Apresentação A Gestão de Riscos é uma atividade que envolve avaliações dos riscos através de uma metodologia que forneça uma visão abrangente do seu perfil de risco, orientando as estratégias para os melhores resultados. O conceito atual de risco envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às perdas como aos ganhos, com relação ao rumo dos acontecimentos planejados seja por indivíduos ou organizações. A publicação da Instrução Normativa Conjunta MP/CGU n o 01, de 10 de Maio de 2016 introduziu novidades no cenário de Gestão de Riscos do serviço público federal. Dentre outras determinações, essa normativa responsabiliza o dirigente máximo de cada órgão pela sustentação da Gestão de Riscos, vincula a avaliação 1 Disponível em: 2 Disponível em: 2

4 de desempenho dos colaboradores aos controles internos e prestação de contas e determina a criação de comitês gestores de Governança, Risco e Controles (MP/CGU ) Metodologia A metodologia utilizada é uma adaptação da Metodologia de Gestão de Riscos de Segurança da Informação e Comunicações do Sistema de Administração dos Recursos de Tecnologia da Informação do Poder Executivo Federal em sua segunda versão, a MGR-SISP v 2.0. Trata-se de uma abordagem sistêmica para a gestão da Segurança da Informação e Comunicações (SIC), que serve como um guia para a implementação dessa prática de gestão, que será conduzida pela equipe interna da CGOV. A última versão (2.0) foi publicada em agosto de 2016, já compatível com a Instrução Normativa Conjunta CGU/MP nº 01, de 10 de maio de Foram realizados encontros com as equipes para o levantamento de dados e definição da abordagem em cada coordenadoria. A participação das equipes foi uma estratégia utilizada para aproximar os servidores ao processo de Gestão de Riscos, servindo ao mesmo tempo como ação para criar a cultura de Gestão de Riscos Resultados Foram identificados mais de 30 ativos. Após a identificação dos ativos as demais atividades foram realizadas para os ativos indicados pelas equipes para serem analisados neste primeiro ciclo. Por fim, foram propostas 35 ações de tratamento dos riscos identificados Questionário do TCU Apresentação A cada 2 anos o TCU encaminha aos órgão federais um questionário para levantamento da situação da governança de TI. Conforme o TCU, Com o objetivo de induzir a melhoria da governança de TI na APF, o TCU criou, no âmbito do levantamento de 2010, um índice que busca refletir, de forma geral, a situação de governança de TI de cada organização avaliada, denominado de índice de governança de TI (igovti) Metodologia Primeiramente foram levantados os dados dos questionários já respondidos pela UNIPAMPA. Foram obtidos os dados dos ano 2012, 2014 e Após obtenção dos dados os mesmos foram agrupados permitindo análise da evolução ao longo dos anos. 3

5 Em um segundo momento foram realizadas duas análises. A primeira observando os itens em que houve regressão no último questionário (2016) buscando ações corretivas. Após a análise foi dos itens cuja situação fosse igual ou inferior a Iniciou plano para adotar buscando ações que permitam verificar se as iniciativas permitiram evolução. Por fim está sendo elaborado documento com as justificativas de cada resposta, permitindo que em caso de auditoria as provas comprobatórias já estejam organizadas Resultados Para melhor acompanhamento da situação da UNIPAMPA foi elaborada planilha com o histórico da evolução do igovti para uso interno, permitindo identificar os pontos mais críticos. Algumas ações foram realizadas visando atender algumas recomendações, tais como: divulgação no site da DTIC os relatórios individuais do igovti, publicação de página para acompanhamento do PDTIC, divulgação de alguns processos internos, elaboração de política de governança (em edição), Estimativa de evolução em todas as dimensões passando do índice 0,59 para 0, Plataforma de Cidadania Digital Instituída pelo Decreto nº 8.936/2016, que deve ser obrigatoriamente adotada por todos os órgãos e entidades da administração pública federal. A partir do decreto foi emitido parecer sobre os principais entendimentos. Ainda, foram realizadas reuniões com o gabinete da reitoria para apresentação do tema do decreto além de auxiliar na definição das próximas atividades a serem realizadas Acompanhamento do PDTIC Em virtude do questionamento do TCU em seu levantamento do índice de governança de TI foi realizada análise do atendimento às metas estipuladas no Plano Diretor de TIC (PDTIC). Sugeriu-se ainda que a publicação do nível de atendimento ao PDTIC fosse publicizado no site da DTIC aumentando o grau de transparência das ações da DTIC bem como informar a comunidade acadêmica do atingimento das metas. 4

6 4.5. Análises Durante o ano de 2017 foram feitas algumas análises de legislação e de requisições externas. Abaixo serão apresentadas as principais análises Análise do Decreto nº 8.638/2016 Institui a Política de Governança DIgital Análise do Decreto nº 8.936/2016 Institui a Plataforma de Cidadania Digital Análise da Portaria MPDG/STI nº 19/2017 Implantação da Governança de TIC nos órgãos pertencentes ao SISP Análise do Formulário de Acompanhamento da EGD Análise das respostas fornecidas pela Direção, com alguns apontamentos Outras atividades Site de Governança Visando centralizar as informações sobre o tema Governança foi criado um site com as principais áreas. O site reúne informações sobre Governança de TI, índice de Governança de TI (TCU), Gestão de Riscos e conjunto de referências relacionadas à TI Política de Governança de TI Compilação de outras políticas de governança de TI (TCU, UFFS, TJDFT, etc.) e itens recomendados por outras referências (ex. COBIT 5) Gestão por Projetos Auxílio na elaboração do Termo de Abertura de Projetos (TAP) Dados Abertos Análise do atendimento aos princípios de Dados Abertos Governança Organizacional Auxílio no questionário sobre Governança Organizacional. 5

7 Relatório de Gestão Auxílio no preenchimento do Relatório de Gestão. Além disso, participação no ajuste solicitados pela AUDIN no relatório de Processos (Mapeamento) Elaboração do mapeamento dos processos da CGOV Registro de demandas Proposição de processo e de documento com as regras do processo. Visa aprimorar o planejamento e permitir melhor aproveitamento dos recursos institucionais Eventos º Seminário de Governança, Gestão de Riscos e Compliance da CGU-RS: Na qualidade de palestrante apresentando o Projeto de Gestão de Riscos de TI Diálogo Público - TI Transformadora: Como gerar resultados? Participação como ouvinte. 5. Considerações Finais Com a criação da CGOV foi possível trabalhar alguns temas de forma específica por uma equipe, permitindo iniciar um processo de aprimoramento da governança de TIC na UNIPAMPA. Foi possível observar quais pontos necessitam de atenção e definir novas ações que contribuam para a governança. Como trabalhos futuros pode-se citar a elaboração das regulamentações necessárias para o ambiente de TIC e constante gestão de riscos. Ainda há muito o que fazer, mas já foram dados os primeiros passos para uma governança de TIC eficiente. 6