Secretaria de Fiscalização de Tecnologia da Informação

Transcrição

1 Secretaria de Fiscalização de Tecnologia da Informação

2 Agenda Antes da Sefti Criação da Sefti O que já fizemos Trabalhos mais relevantes Resultados alcançados 2

3 Impacto da TI na gestão pública Criticidade Maturidade inicial Maturidade intermediária Maturidade aprimorada Total (Se o sistema parar, o negócio...)... para imediatamente %... para em uma semana %... para em um mês %... é afetado, mas não para %... não é afetado % Total % Fonte: dados da fiscalização do Acórdão 2.308/2010-TCU-Plenário

4 Antes da Sefti 4

5 Antes da Sefti Fiscalizações de TI ( ) 29 fiscalizações de TI Foco: auditorias de sistemas e dados Alguns exemplos: sistemas de arrecadação federal sistemas do Bacene CEF Siape, Siafie Sipia sistemas da previdência social Programa E-Gov governança no MTE governança na Infraero 5

6 Antes da Sefti Normatização ( ) Manual e procedimentos de auditoria de sistemas Orientações aos gestores (2003) Cartilha Boas práticas em segurança da informação Cursos de auditoria de TI ( ) Participação em comitês internacionais 6

7 Criação da Sefti 7

8 Criação da Sefti Criada em agosto de 2006 (Resolução TCU 193/2006) A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal. 8

9 Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação 9

10 Áreas de atuação Governança Programas e políticas Sistemas Dados Segurança Infra-estrutura Contratações Fiscalização operacional e/ou conformidade 10

11 Abordagens de auditorias de TI Políticas e programas Governança de TI (direção, mecanismos e controle) Segurança da Informação Dados Sistemas Contratações (SLA, OLA, UC) Fonte: TCU/Sefti 11

12 Integração de frameworks COSO ISO COBIT O quê ISO ITIL ISO 9000 Como Escopo 12

13 Leis Regulamentos Jurisprudência Normas técnicas Boas práticas Critérios Relatórios CERTO Clareza, convicção, concisão, evidência, relevância, tempestividade e objetividade. 13

14 Quantos somos 28 servidores: 26 auditores e 02 técnicos Estrutura 03 diretorias de fiscalização de governança de TI 02 assessorias 01 serviço de administração 14

15 Competência Profissional Formação em áreas de tecnologia Ciência da Computação, Engenharia e afins Certificações 11 auditores CISA (Certified Information Systems Auditor) 2 auditores CGEIT (Certified in the Governance of Enterprise) 2 auditorescgap (Certified Government Auditor Professional) 1 auditor CISSP (Certified Information Systems Security Professional) 1 auditor CIA (Certified Internal Auditor) Mestrados 6 servidores MBA 8 servidores 15

16 O que já fizemos 16

17 O que já fizemos ( ) Processos (188) Fiscalizações (59) Palestras ministradas (108) Treinamentos ministrados (26) Orientações Formais aos Gestores Cartilha de Boas Práticas em Segurança da Informação -3ª edição Base de Normas e Jurisprudência de TI

18 O que já fizemos ( ) Notas Técnicas 1 Termo de Referência 2 Uso do Pregão 3 Credenciamento de licitantes pelos fabricantes 4 Amostra 5 Certificação para qualidade de processo de software 6 Níveis de Serviço em Contratos de TI Divulgação

19 Benefícios das ações de controle Financeiros: R$ 7,5 bilhões ( ) Relação custo/benefício: R$ 502 para R$ 1 Débitos, multas, economias e ganhos Benefícios não financeiros melhorias na organização administrativa, nos controles internos e na forma de atuação dos órgãos fiscalizados; fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional; recomendações para aprimoramento de normas.

20 Trabalhos mais relevantes 20

21 Trabalhos mais relevantes Levantamentos

22 Trabalhos mais relevantes Auditorias

23 Trabalhos mais relevantes Orientação/Divulgação Manual de Auditoria de Tecnologia da Informação Cartilha Boas Práticas de Contratações em Tecnologia da Informação... de de 2012 Página da Sefti

24 Trabalhos mais relevantes Mais recentes...

25 Resultados

26 Diagnóstico daapf Levantamento GovTI2010 AS INSTITUIÇÕES... Possuem plano de continuidade de negócio em vigor Classificam a informação para o negócio Têm processo de contratação formalizado Têm processo de gestão de nível de serviço Analisam os riscos aos quais a informação está submetida Gerenciam os incidentes de segurança da informação Inventariam todos os ativos de informação Têm processo de gestão de contratos formalizado Possuem política corporativa de segurança da informação Aprovam e publicam PDTI interna ou externamente Têm processo de software ao menos "gerenciado" 3% 11% 16% 16% 17% 25% 26% 31% 35% 37% 47% 26

27 Diagnóstico da APF Levantamento GovTI2010 A Alta Administração... 76% 51% 48% 57% NÃO se responsabiliza pelas políticas de TI NÃO designou formalmente um comitê de TI NÃO estabeleceu objetivos de desempenho de gestão e uso de TI NÃO definiu indicadores de desempenho de gestão e uso de TI 27

28 Diagnóstico da APF Levantamento GovTI2010 INSTITUIÇÕES x ESTÁGIOS DO igovti Aprimorado Intermediário Inicial Í n d i c e igovti de 0,6 a 0,84 igovti de 0,4 a 0,59 igovti de 0,0 a 0,39 5% 38% 57% Quantidade de Instituições 28

29 Risco de TI em função de igovti e Orçamento de TI R$ ,00 Governança de TI x Orçamento de TI O r ç a m e n t o R$ ,00 R$ ,00 T I R$ , R$ ,00 R$ ,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti

30 Risco de TI em função de igovti, Orçamento de TI e sistemas críticos R$ ,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ ,00 R$ ,00 T I R$ , R$ ,00 R$ ,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

31 Risco de TI em função de igovti, na visão da Sefti R$ ,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ ,00 R$ ,00 T I R$ , R$ ,00 R$ ,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

32 Riscos de TI: IGovTI -Segurança da Informação Distribuição por igovti-seg 120 1/ Quantidade de Instituições % 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

33 Riscos de TI: IGovTI -Segurança da Informação Distribuição por igovti-seg % 80 Quantidade de Instituições % 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

34 Papel da liderança na Governança de TI Análise de correlação entre as dimensões avaliadas Dimensão Liderança Estratégias e Gestão de Planos Pessoas Liderança Estratégias e Planos 0, Gestão de Pessoas 0,32 0, Processos 0,60 0,46 0,29

35 Papel da liderança na Governança de TI Correlação entre governança em liderança e governança em processos de TI 100% 90% governança em processos de TI 80% 70% 60% 50% 40% 30% 20% 10% 0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% governança em liderança de TI

36 Judiciário Alguns Resultados CNJ Resolução70, de dispõe sobre o Planejamentoea Gestão Estratégica no âmbito do Poder Judiciário CNJ Resolução99, de dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário Executivo GSI/PR IN GSI/PR 01, de disciplina a Gestão de Segurança da Informação na APF GSI/PR 7 Notas Complementares (entre outubro de 2008 e maio de 2010)

37 Executivo Alguns Resultados MP IN/SLTI 04/2008, de dispõe sobre processo de trabalho para contratações de TI MP Portaria63, de e Portaria nº 107 de autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI MP Induçãoda previsão e execução das despesas de TI no OGU (Acórdão 371/2008 Plenário)

38 Sinais de evolução... Levantamento GovTI2010 Há Planejamento Estratégico Institucional 53% 79% 2007 Há Carreira de TI 43% 78%

39 Induzindo a mudança Governança de TI Implementação/Aprimoramento do modelo de governança Alta Administração (responsabilidade) Desgovernança de TI

40 Orientações (2) Situação de GestãoTI (1) TCU Gestores Orientações (2308/2010) (4) Informações consolidadas (6) Situação de GovTI Alta Administração Objetivos Indicadores Metas (3) (5)

41 Acórdãos estruturantes 1.603/ / /2008 OGS 2.471/ / / / / /2004 E outros que estão por vir...

42 Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal (Voto do Acórdão 1.145/2011-TCU-Plenário) Órgãos Governantes Superiores (OGS)

43 A TI é o coração da Administração Pública, podendo fazê-la avançar ou parar Ministro Augusto Sherman