Secretaria de Fiscalização de Tecnologia da Informação

Secretaria de Fiscalização de Tecnologia da Informação

Agenda Antes da Sefti Criação da Sefti O que já fizemos Trabalhos mais relevantes Resultados alcançados 2

Impacto da TI na gestão pública Criticidade Maturidade inicial Maturidade intermediária Maturidade aprimorada Total (Se o sistema parar, o negócio...)... para imediatamente. 82 63 9 154 51%... para em uma semana. 12 6 3 21 7%... para em um mês. 5 1-6 2%... é afetado, mas não para. 27 13 3 43 14%... não é afetado. 50 26 1 77 26% Total 176 109 16 301 100% Fonte: dados da fiscalização do Acórdão 2.308/2010-TCU-Plenário

Antes da Sefti 4

Antes da Sefti Fiscalizações de TI (1994-2006) 29 fiscalizações de TI Foco: auditorias de sistemas e dados Alguns exemplos: sistemas de arrecadação federal sistemas do Bacene CEF Siape, Siafie Sipia sistemas da previdência social Programa E-Gov governança no MTE governança na Infraero 5

Antes da Sefti Normatização (1997-1998) Manual e procedimentos de auditoria de sistemas Orientações aos gestores (2003) Cartilha Boas práticas em segurança da informação Cursos de auditoria de TI (1998-2006) Participação em comitês internacionais 6

Criação da Sefti 7

Criação da Sefti Criada em agosto de 2006 (Resolução TCU 193/2006) A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal. 8

Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação 9

Áreas de atuação Governança Programas e políticas Sistemas Dados Segurança Infra-estrutura Contratações Fiscalização operacional e/ou conformidade 10

Abordagens de auditorias de TI Políticas e programas Governança de TI (direção, mecanismos e controle) Segurança da Informação Dados Sistemas Contratações (SLA, OLA, UC) Fonte: TCU/Sefti 11

Integração de frameworks COSO ISO 38500 COBIT O quê ISO 27002 ITIL ISO 9000 Como Escopo 12

Leis Regulamentos Jurisprudência Normas técnicas Boas práticas Critérios Relatórios CERTO Clareza, convicção, concisão, evidência, relevância, tempestividade e objetividade. 13

Quantos somos 28 servidores: 26 auditores e 02 técnicos Estrutura 03 diretorias de fiscalização de governança de TI 02 assessorias 01 serviço de administração 14

Competência Profissional Formação em áreas de tecnologia Ciência da Computação, Engenharia e afins Certificações 11 auditores CISA (Certified Information Systems Auditor) 2 auditores CGEIT (Certified in the Governance of Enterprise) 2 auditorescgap (Certified Government Auditor Professional) 1 auditor CISSP (Certified Information Systems Security Professional) 1 auditor CIA (Certified Internal Auditor) Mestrados 6 servidores MBA 8 servidores 15

O que já fizemos 16

O que já fizemos (2007-2011) Processos (188) Fiscalizações (59) Palestras ministradas (108) Treinamentos ministrados (26) Orientações Formais aos Gestores Cartilha de Boas Práticas em Segurança da Informação -3ª edição Base de Normas e Jurisprudência de TI www.tcu.gov.br/fiscalizacaoti

O que já fizemos (2007-2011) Notas Técnicas 1 Termo de Referência 2 Uso do Pregão 3 Credenciamento de licitantes pelos fabricantes 4 Amostra 5 Certificação para qualidade de processo de software 6 Níveis de Serviço em Contratos de TI Divulgação

Benefícios das ações de controle Financeiros: R$ 7,5 bilhões (2007-2011) Relação custo/benefício: R$ 502 para R$ 1 Débitos, multas, economias e ganhos Benefícios não financeiros melhorias na organização administrativa, nos controles internos e na forma de atuação dos órgãos fiscalizados; fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional; recomendações para aprimoramento de normas.

Trabalhos mais relevantes 20

Trabalhos mais relevantes Levantamentos

Trabalhos mais relevantes Auditorias

Trabalhos mais relevantes Orientação/Divulgação Manual de Auditoria de Tecnologia da Informação Cartilha Boas Práticas de Contratações em Tecnologia da Informação... de 2012... de 2012 Página da Sefti

Trabalhos mais relevantes Mais recentes...

Resultados

Diagnóstico daapf Levantamento GovTI2010 AS INSTITUIÇÕES... Possuem plano de continuidade de negócio em vigor Classificam a informação para o negócio Têm processo de contratação formalizado Têm processo de gestão de nível de serviço Analisam os riscos aos quais a informação está submetida Gerenciam os incidentes de segurança da informação Inventariam todos os ativos de informação Têm processo de gestão de contratos formalizado Possuem política corporativa de segurança da informação Aprovam e publicam PDTI interna ou externamente Têm processo de software ao menos "gerenciado" 3% 11% 16% 16% 17% 25% 26% 31% 35% 37% 47% 26

Diagnóstico da APF Levantamento GovTI2010 A Alta Administração... 76% 51% 48% 57% NÃO se responsabiliza pelas políticas de TI NÃO designou formalmente um comitê de TI NÃO estabeleceu objetivos de desempenho de gestão e uso de TI NÃO definiu indicadores de desempenho de gestão e uso de TI 27

Diagnóstico da APF Levantamento GovTI2010 INSTITUIÇÕES x ESTÁGIOS DO igovti Aprimorado Intermediário Inicial Í n d i c e igovti de 0,6 a 0,84 igovti de 0,4 a 0,59 igovti de 0,0 a 0,39 5% 38% 57% 0 25 50 75 100 125 150 175 Quantidade de Instituições 28

Risco de TI em função de igovti e Orçamento de TI R$ 10.000.000.000,00 Governança de TI x Orçamento de TI O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti

Risco de TI em função de igovti, Orçamento de TI e sistemas críticos R$ 10.000.000.000,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

Risco de TI em função de igovti, na visão da Sefti R$ 10.000.000.000,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

Riscos de TI: IGovTI -Segurança da Informação Distribuição por igovti-seg 120 1/3 100 101 80 Quantidade de Instituições 60 40 56 40 44 23 20 0 12 7 9 7 2 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

Riscos de TI: IGovTI -Segurança da Informação Distribuição por igovti-seg 120 100 101 88% 80 Quantidade de Instituições 60 40 56 40 44 23 20 0 12 7 9 7 2 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

Papel da liderança na Governança de TI Análise de correlação entre as dimensões avaliadas Dimensão Liderança Estratégias e Gestão de Planos Pessoas Liderança --- --- --- Estratégias e Planos 0,48 --- --- Gestão de Pessoas 0,32 0,23 --- Processos 0,60 0,46 0,29

Papel da liderança na Governança de TI Correlação entre governança em liderança e governança em processos de TI 100% 90% governança em processos de TI 80% 70% 60% 50% 40% 30% 20% 10% 0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% governança em liderança de TI

Judiciário Alguns Resultados CNJ Resolução70, de 18.03.2009 dispõe sobre o Planejamentoea Gestão Estratégica no âmbito do Poder Judiciário CNJ Resolução99, de 24.11.2009 dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário Executivo GSI/PR IN GSI/PR 01, de 13.06.2008 disciplina a Gestão de Segurança da Informação na APF GSI/PR 7 Notas Complementares (entre outubro de 2008 e maio de 2010)

Executivo Alguns Resultados MP IN/SLTI 04/2008, de 19.05.2008 dispõe sobre processo de trabalho para contratações de TI MP Portaria63, de 27.03.2009 e Portaria nº 107 de 04.03.2010 autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI MP Induçãoda previsão e execução das despesas de TI no OGU (Acórdão 371/2008 Plenário)

Sinais de evolução... Levantamento GovTI2010 Há Planejamento Estratégico Institucional 53% 79% 2007 Há Carreira de TI 43% 78% 2010 38

Induzindo a mudança Governança de TI Implementação/Aprimoramento do modelo de governança Alta Administração (responsabilidade) Desgovernança de TI

Orientações (2) Situação de GestãoTI (1) TCU Gestores Orientações (2308/2010) (4) Informações consolidadas (6) Situação de GovTI Alta Administração Objetivos Indicadores Metas (3) (5)

Acórdãos estruturantes 1.603/2008 1.827/2008 371/2008 OGS 2.471/2008 353/2008 2.079/2009 786/2006 2.308/2010 2.094/2004 E outros que estão por vir...

Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal (Voto do Acórdão 1.145/2011-TCU-Plenário) Órgãos Governantes Superiores (OGS)

A TI é o coração da Administração Pública, podendo fazê-la avançar ou parar Ministro Augusto Sherman