Anexo V NT 2016/558 - bbtecno.com.br · Anexo V – NT 2016/558 PETI ... as iniciativas de TI a partir das quais deverão ser definidas ações no Plano Diretor de Tecnologia da Informação

#pública

Anexo V – NT 2016/558

PETI

PLANEJAMENTO ESTRATÉGICO DE

TECNOLOGIA DA INFORMAÇÃO

2017 – 2021

BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021

#pública

PETI 2017-2021 Página 2 de 77

Apresentação

A.1 O Planejamento Estratégico de Tecnologia da Informação (PETI) é um instrumento da BB

Tecnologia e Serviços, que traça a direção da Tecnologia da Informação (TI), definindo o plano

estratégico que visa promover a melhoria contínua da gestão e governança de TI alinhada à

Estratégia Corporativa.

A.2 Na atual conjuntura, a BB Tecnologia e Serviços se concentra na eficiência operacional

e inovação, com capacidade de atender em tempo hábil as demandas de seus clientes, em

especial do seu controlador, o Banco do Brasil.

A.3 Este documento apresenta o PETI da BB Tecnologia e Serviços para o período 2017-

2021, elaborado, sob a coordenação da DITEC, e com a participação de membros de todas as

diretorias da Empresa por meio da colaboração do Comitê de TI (ComTI) e da Diretoria Executiva

(DIREX).

A.4 O PETI 2017-2021 estabelece seis objetivos estratégicos de TI distribuídos em quatro

perspectivas: Contribuição para o Negócio (Financeira), Orientação ao Cliente (Cliente),

Excelência Operacional (Processos) e Orientação ao Futuro (Aprendizagem e Crescimento).

A.5 Alinhados ao COBIT 5 foram definidos objetivos e estabelecidos indicadores e suas

respectivas metas, de forma a mensurar objetivamente os resultados alcançados pela área de

TI da BB Tecnologia e Serviços. Sinalizadores foram atribuídos para auxiliar na medição e

controle da gestão de TI.

A.6 O documento é um instrumento efetivo de comunicação da estratégia de TI, justificando

as iniciativas de TI a partir das quais deverão ser definidas ações no Plano Diretor de Tecnologia

da Informação (PDTI), garantindo o alinhamento estratégico-tático.

A.7 Assim, a atual versão do PETI sinaliza para a busca contínua do amadurecimento da BB

Tecnologia e Serviços na gestão e governança de TI, conforme preconizado pelo COBIT 5, na

busca da integração da TI nos processos de negócios e demais atividades da BB Tecnologia e

Serviços.

A.8 Como resultado da execução desse plano, espera-se que os objetivos estratégicos sejam

alcançados, consolidando as conquistas dos últimos anos e construindo novos caminhos para

solidificar o papel da TI como um ativo integrador com poder de promover a excelência na

prestação de serviços, reconhecendo a TI como elemento estratégico para a BB Tecnologia e

Serviços.


#pública


APOIO

DIRETORIA EXECUTIVA da BB Tecnologia e Serviços

Luis Aniceto Silva Cavicchioli - Presidente - PRESI

Anderson Luís Cambraia Itaborahy - Diretor de Tecnologia da Informação - DITEC

Expedito Afonso Veloso - Diretor de Operações - DIDOP

Marcelo Cavalcante de Oliveira Lima - Diretor Financeiro e de Serviços Internos - DIFIS

Paulo Eduardo Rangel - Diretor de Serviços de Infraestrutura Bancária - DISIB

COMITÊ DE TI da BB Tecnologia e Serviços

Davidson Baptista Teixeira (DIDOP/GCC)

Rodrigo Bruschi Scanavachi (DISIB/GIS)

Jeferson José de Quadros (DIFIS/GFC)

Paulo Roberto Costa e Souza (PRESI/GPO)

Rodrigo Negrão de Almeida (DINEG/GRE I)

Manoel Enison Ramos Viana (DITEC/GPG)

Gerentes Executivos da DITEC

Jayran Bispo de Oliveira Nascimento (DITEC/GTI)

Manoel Enison Ramos Viana (DITEC/GPG)

Sérgio Camelo de Almeida (DITEC/GDM)


#pública


Sumário

Apresentação ............................................................................................................................................. 2

1 Histórico .............................................................................................................................................. 5

2 Metodologia de Trabalho .................................................................................................................. 7

3 Estrutura Organizacional de TI ........................................................................................................ 9

4 Referencial Estratégico ................................................................................................................... 10

4.1 Papel da TI ............................................................................................................................... 10

4.2 Objetivo Principal da TI ........................................................................................................... 10

4.3 Diretrizes Estratégicas da TI .................................................................................................. 10

5 Mapa Estratégico ............................................................................................................................. 11

6 Objetivos, Indicadores, Metas e Sinalizadores ........................................................................... 12

6.1 Perspectiva Contribuição para o Negócio ........................................................................... 12

6.2 Perspectiva Orientação ao Cliente ....................................................................................... 13

6.3 Perspectiva Excelência Operacional .................................................................................... 16

6.4 Perspectiva Orientação ao Futuro ........................................................................................ 18

7 Desafios Estratégicos e Inovações ............................................................................................... 20

8 Investimentos Orçados ................................................................................................................... 24

9 Riscos de TI ...................................................................................................................................... 25

10 Fatores Críticos de Sucesso ...................................................................................................... 26

11 Considerações Finais.................................................................................................................. 27

12 Anexos ........................................................................................................................................... 28

12.1 Alinhamento Estratégico (EC-BBTS 2017-2021 x PETI 2017-2021) .............................. 28

12.2 Indicadores ............................................................................................................................... 29

12.3 Sinalizadores ............................................................................................................................ 42

12.4 Matriz de Maturidade de SI da DITEC na ISO 27002 ........................................................ 48

12.5 Riscos de TI .............................................................................................................................. 70

12.6 Riscos de Segurança da Informação ................................................................................... 73


#pública


1 Histórico

1.1 O PETI alinhado ao planejamento estratégico da organização, visa garantir que as metas

e objetivos de TI alinhados aos preconizados pelo COBIT 5, estejam totalmente vinculados aos

objetivos de negócio e as metas da organização.

1.2 Em 2013 aprovou-se o primeiro PETI da BBTS com validade de 4 anos (o PETI 2013-

2016) e em 2014, já alinhado à Estratégia Corporativa (EC-BBTS 2014-2016), o mesmo foi

revisado para o período 2014-2016. Em 2015 foi feita a revisão para o período 2015-2017 e em

2016 foi feita a revisão para o período 2016-2018. Esta é a quinta versão do Planejamento

Estratégico de TI da BBTS, com foco nos próximos cinco anos (PETI 2017-2021), também

alinhado com a EC-BBTS para o mesmo período.

1.3 Assim, diante da definição da Estratégia Corporativa, foi possível definir os horizontes da

empresa e ajustar as expectativas da alta direção em relação à TI.

1.4 O papel previsto para a TI na BB Tecnologia e Serviços é o de prover soluções para apoio

a gestão e apoio aos negócios para os desafios de tecnologia de operações bancárias, fábrica

de soluções de software e de serviços de infraestrutura de TI, tanto para clientes externos como

internos.

1.5 O foco da BB Tecnologia e Serviços são os processos e serviços sensíveis ou essenciais

ao negócio do Banco do Brasil para os quais ele prefira deter governança, mas cuja execução

realizada pela controlada BB Tenologia e Serviços seja mais eficiente para o Conglomerado BB.

Hoje estes negócios e produtos são aqueles apresentados na EC-BBTS 2017-2021, conforme

reproduzido abaixo.

Quadro 1.1: Negócios da BBTS com os seus respectivos produtos

NEGÓCIO DESCRIÇÃO DO NEGÓCIO PRODUTOS

Assistência

Técnica

Instalação e manutenção para terminais de

autoatendimento (TAA), impressoras e outros

equipamentos essenciais ao negócio, além de suporte

presencial aos usuários destes e do serviço de

sustentação a Data Center.

Instalação e Manutenção de

Equipamentos; e Suporte e

Atendimento onsite.

Monitoramento

de

Equipamentos

e Serviços

Monitoramento, em tempo integral, de TAAs e salas de

ambiência de autoatendimento, identificando

rapidamente inoperâncias e outros problemas. Nosso

suporte logístico inclui o acionamento de técnicos e o

acompanhamento de chamados.

Gestão de Mantenedores; e

Monitoramento de

Equipamentos.

Segurança

Eletrônica

Instalação e manutenção de sistemas especializados de

segurança bancária em agências e ambientes de

valores que incluem circuito fechado de TV, no-breaks,

portas giratórias detectoras de metais (PGDM), controle

de acessos, alarmes e softwares para gestão da

Instalação e Manutenção de

Equipamentos de Segurança;

e Suporte em soluções de

segurança.


#pública


segurança.

Contact Center Com estrutura própria, o Contact Center atende mais de

4 milhões de chamados e realiza mais de um milhão de

operações de telecobrança por ano.

Suporte Técnico; e

Telemarketing.

Gerenciamento

de

Documentos e

Impressão

Execução de serviços de impressão de grande porte

com tratamento de arquivos, envelopamento,

acabamento, manuseio, auditagem e entrega de

documentos para o Banco do Brasil e empresas do

Conglomerado além dos serviços de Gestão Eletrônica

de Documentos (GED) por imagem digitalizada e

microfilmagem.

Gráfica e Serviços de

Impressão; e Gerenciamento

de Documentos.

Outsourcing

em Tecnologia

e Serviços

Um dos pilares de negócios da BBTS está nas soluções

de Outsourcing de Tecnologia e Serviços, oferecendo a

gestão completa em Business Process Outsourcing –

BPO, utilizando o que o mercado oferece de mais

moderno em Tecnologia da Informação e customizando

os negócios à necessidade de cada cliente.

Soluções de Conectividade;

Soluções em Terminais de

Autoatendimento;

Telecomunicações; Soluções

de Telefonia; e Soluções em

Impressão.

Suporte a

Negócios e

Serviços

Bancários

Oferecemos soluções completas que geram a eficiência

operacional necessária aos processos especializados

complementares ao negócio bancário, deixando o

cliente livre para trabalhar a estratégia e desenvolver

sua atividade principal.

Suporte a Operações de

Crédito; Abertura de Contas;

e Processamento de

Documentos e Numerário.

Soluções de TI

Atuamos permanentemente no desenvolvimento e

aperfeiçoamento de soluções de TI.

Os sistemas gerados recebem manutenção adaptativa e

preventiva, com medições e testes constantes para

garantir o melhor desempenho.

Fábrica de Software;

Infraestrutura de TI;

Mobilidade; e Suporte de

Software.

Fonte: Intranet BBTS – nov. 2016

1.6 Esta nova versão do PETI foi produzida alinhada à Estratégia Corporativa - EC-BBTS

2017-2021, como um anexo da mesma.

1.7 Quando da próxima revisão do Planejamento Estratégico Institucional, este PETI será

novamente revisado a fim de manter o seu alinhamento com a Estratégia Corporativa da BB

Tecnologia e Serviços.


#pública


2 Metodologia de Trabalho

2.1 O PETI é tratado pelo COBIT e pela ISO 38.500 como um dos processos

fundamentais para a evolução da governança de TI na instituição. Fundamentalmente o PETI

visa o essencial alinhamento da estratégia de TI (sua orientação, seus objetivos, suas metas e

iniciativas de investimentos) com a estratégia de negócio corporativa.

2.2 Desta forma, o PETI contribui para que as gerencias executivas e de divisões das

áreas de negócio e as gerencias executivas e de divisões da área de TI atuem juntos para

garantir que a estratégia de TI suporte e amplie a estratégia do negócio.

2.3 Enfatiza-se assim que o PETI direcione as metas e objetivos de TI para atender e

ampliar os objetivos do negócio e as metas da organização, ou seja, o Planejamento Estratégico

da TI deve estar alinhado com a Estratégia Corporativa da Organização e não substituí-la no que

tange aos negócios de TI.

2.4 Utilizou-se, para a construção conjunta do PETI da BB Tecnologia e serviços a

metodologia Balanced Scorecard – BSC para TI. O BSC de TI é um sistema de gestão

estratégica e avaliação de desempenho da área de TI cujo principal diferencial é reconhecer que

os indicadores econômico-financeiros, por si só, não são suficientes para mostrar a realidade

atual e as tendências do desenvolvimento de uma empresa, pois não contemplam os "drivers"

de rentabilidade em longo prazo.

2.5 Assim, o modelo complementa as questões econômico-financeiras com questões

que direcionam o desempenho futuro, de forma a traduzir a missão e a visão num conjunto

abrangente de objetivos e metas estratégicas, com iniciativas e medidas de desempenho que

servem de base para avaliar a situação atual e construir o futuro desejado da TI.

2.6 Os principais benefícios para a BB Tecnologia e Serviços oriundos do PETI são:

a) Alinhamento com a estratégia da BB Tecnologia e Serviços com visão atual e de futuro;

b) Contribuição efetiva com a transformação da BB Tecnologia e Serviços , preparando a

empresa para melhorar a gestão e governança de TI num business que é altamente

dependente de TI.

2.7 Nesta revisão do PETI para o período 2017-2021 os principais desafios para sua

execução são:

a) Integrar a estratégia de TI ao dia-a-dia operacional da empresa;

b) Manter o PETI no centro das decisões de TI e da BB Tecnologia e Serviços;


#pública


c) Tornar a formulação e a implementação da estratégia de TI um processo contínuo de

evolução e aprendizagem;

d) Traduzir e evoluir a estratégia de TI em um conjunto de indicadores de desempenho para

medir a eficiência e a eficácia para geração de valor.

2.8 Nesta versão do PETI buscou-se concentrar o foco nos temas mais estruturais e

internos da TI, evitando referências diretas a resultados do negócio ITO ou a projetos específicos

de BPO, os quais serão tratados, respectivamente, na Estratégia Corporativa da empresa e no

PDTI. Desta forma, o PETI reúne uma série de objetivos internos da TI que evidenciam as

capacidades necessárias ao cumprimento da estratégia de negócios e indica as iniciativas de TI

que viabilizam esses objetivos.

2.9 Este plano tem validade de cinco anos, segue a NI 681 e deverá ser revisto

periodicamente, no mínimo uma vez por ano, e nas revisões da Estratégia Corporativa, de modo

a atualizar as diretrizes, objetivos, metas, iniciativas financeiras estratégicas e subsidiar a

proposta orçamentária de TI para o exercício seguinte, previsto no PDTI.


#pública


3 Estrutura Organizacional de TI

3.1 A atual estrutura organizacional para a TI, refletida pela NI 025 pode ser representada

pelo organograma a seguir:

Quadro 3.1: Estrutura Organizacional DITEC

3.2 Esta estrutura é monitorada pela PRESI/GPO (Gerência de Planejamento

Organizacional) e Comitê de Administração (CADMI) da DITEC a fim de verificar se está

preparada e responde às expectativas da BB Tecnologia e Serviços e se ela tem a necessária

robustez e flexibilidade para responder aos desafios, objetivos e metas estratégicas que se

apresentam para o horizonte de cinco anos, proposto para este PETI.

Fonte: Intranet em 25.11.2016 (Institucional / Organograma e Centros de Custo / Organograma)


#pública


4 Referencial Estratégico

A BB Tecnologia e Serviços declara, em sua Estratégia Corporativa, sua Missão,

Visão e Valores, os quais orientam as decisões de TI e a atuação da DITEC. Além deles, no que

se refere particularmente à TI e à DITEC, são definidos um conjunto de direcionadores, tendo

em vista a responsabilidade da DITEC na gestão da TI corporativa, conforme a seguir:

4.1 Papel da TI

Ser o principal instrumento da BB Tecnologia e Serviços capaz de criar, desenvolver,

sustentar e aperfeiçoar processos tecnológicos para suportar as soluções de TI da BB Tecnologia

e Serviços oferecidas a seus clientes e usuários internos a fim de que percebam excelência nos

serviços internos de TI.

4.2 Objetivo Principal da TI

Garantir excelência na construção, integração, implantação, e manutenção dos

mecanismos que suportam soluções de TI para clientes internos da BB Tecnologia e Serviços.

4.3 Diretrizes Estratégicas da TI

Prover soluções de TI de excelência para os negócios e produtos da BB Tecnologia

e Serviços.

Contribuir com a criação de valor para a BB Tecnologia e Serviços por meio de

serviços de TI que otimizem recursos, gerenciem riscos e busquem benefícios.

Aprimorar o modelo de Governança Corporativa de TI na BB Tecnologia e Serviços.


#pública


Fonte: BBTS/DITEC.

5 Mapa Estratégico

Pa

pe

l d

a T

I

Ser o principal instrumento da BB Tecnologia e Serviços capaz de criar, desenvolver, sustentar e

aperfeiçoar processos tecnológicos para suportar as soluções de TI da

BB Tecnologia e Serviços oferecidas a seus clientes e usuários internos a fim de que percebam excelência nos

serviços internos de TI.

Ob

jeti

vo

da T

I

Garantir excelência na construção, integração, implantação, e

manutenção dos mecanismos que suportam soluções de TI para

clientes internos da BB Tecnologia e Serviços.

Co

ntr

ibu

içã

o p

ara

o

Neg

óc

io

Ori

en

taç

ão

ao

Cli

en

te

Ex

ce

lên

cia

Op

era

cio

na

l

Ori

en

taç

ão

ao

Fu

turo

O1. Reduzir custos e riscos de TI

O2. Prestar Serviços de TI de acordo com as

necessidades dos negócios

O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e

usuários

O4. Aprimorar os processos operacionais da Gestão de

TI

O5. Evoluir a maturidade dos mecanismos da

Governança de TI

O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia

corporativa


#pública


6 Objetivos, Indicadores, Metas e Sinalizadores

6.1 Perspectiva Contribuição para o Negócio

Objetivo O1

1. Reduzir custos e riscos de TI.

Descrição: Disponibilizar a informação para todas as partes interessadas, ajudando a empresa

a conduzir suas ações gerenciais e a gerar valor para o negócio. Como ganho secundário, a

transparência também colabora com o aumento do clima de confiança estabelecido entre a

DITEC e os seus clientes.

Alinhamento Estratégico:

Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021

constantes no quadro 6.1.1 abaixo, por meio da disponibilização de informações de TI que

possam ser úteis para as partes interessadas, contribuindo para o apoio à decisão e para o

melhor direcionamento do negócio, possibilitando gerar resultado sustentável e entrega de

produtos e serviços socioambientais responsáveis.

Quadro 6.1.1 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI

PERSPECTIVAS OBJETIVOS ESTRATÉGICOS

OBJETIVOS DE TI

Contribuição para o Negócio

O1- Reduzir custos e riscos de TI

Resultado

OE1. Gerar resultado sustentável P

OE2. Expandir o faturamento da empresa S

OE3. Melhorar a eficiência operacional S

Experiência do Cliente

OE4. Entregar produtos e serviços com excelência S

OE5. Elevar o nível de qualidade e eficiência dos processos S

OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa

S

Clima Organizacional

OE7. Impactar positivamente a comunidade onde a BBTS está inserida.

P

OE8. Fortalecer as competências técnicas e gerenciais N/A

OE9. Elevar a satisfação dos funcionários no trabalho N/A

LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.


#pública


Indicadores:

BSC de TI Objetivos de TI da

BBTS Indicadores (I) e Sinalizadores (S)

Meta 2017

Contribuição para o negócio

– Resultado

O1. Reduzir custos e riscos de TI

I1- Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento

da aquisição. I1 80%

I2- Percentual de projetos de TI que explicitam riscos de TI.

I2 70%

S1- Custo de manutenção das aplicações de TI em função do custo administrativo total de TI.

S1 -

S2- Quantidade de projetos aprovados na ferramenta vigente que tiveram parecer da área de TI em relação a custo.

S2 -

Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.

6.2 Perspectiva Orientação ao Cliente

Objetivo O2

2. Prestar Serviços de TI de acordo com as necessidades dos

negócios.

Descrição: Prover serviços de TI orientados ao negócio, ajudando a empresa a atingir os seus

objetivos, com prazos e custos dentro de um limite admissível.



constantes no quadro 6.2.1 abaixo, por meio da entrega de produtos e serviços de negócios com

excelência para possibilitar a percepção pelo Banco do Brasil e entidades ligadas da BB

Tecnologia e Serviços como parceiro estratégico.


#pública



PERSPECTIVAS

OBJETIVOS ESTRATÉGICOS

OBJETIVOS DE TI

Orientação ao Cliente

O2. Prestar Serviços de TI de acordo com as necessidades dos negócios

Resultado

OE1. Gerar resultado sustentável S




OE4. Entregar produtos e serviços com excelência P

OE5. Elevar o nível de qualidade e eficiência dos processos N/A


S


OE7. Impactar positivamente a comunidade onde a BBTS está inserida S

OE8. Fortalecer as competências técnicas e gerenciais S



Indicadores:



Meta 2017

Orientação ao Cliente –


O2. Prestar Serviços de

TI de acordo com as necessidades dos

negócios

I3- Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.

I3 70%

I4- Disponibilidade da Infraestrutura de TI. I4 99,74%

I5- Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.

I5 80%

I7-Nível de satisfação dos usuários, em relação à

qualidade das soluções disponibilizadas pela área de

TI I7 80%



#pública


Objetivo O3

3. Entregar Soluções de TI conforme expectativas de benefícios aos

clientes e usuários.

Descrição: Entregar soluções de TI no prazo preestabelecido, permitindo ótima relação custo x

benefício a fim de atender as expectativas dos clientes e usuários de TI.



constantes no quadro 6.2.2 abaixo, por meio da entrega de produtos e serviços de negócios com

excelência a fim de expandir o faturamento e melhorar a eficiência operacional da BBTS.


PERSPECTIVAS


OBJETIVOS DE TI


O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e usuários

Resultado


OE2. Expandir o faturamento da empresa P

OE3. Melhorar a eficiência operacional P


OE4. Entregar produtos e serviços com excelência P

OE5. Elevar o nível de qualidade e eficiência dos processos N/A


N/A







#pública


Indicadores:

Objetivos de TI da


Meta 2017

Orientação ao Cliente -

Resultado

O3. Entregar Soluções de TI conforme expectativas de

benefícios aos clientes e usuários

I6- Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS.

I6 80%

S3- Tempo médio (minutos) para atender a incidentes de TI.

S3 -


6.3 Perspectiva Excelência Operacional

Objetivo O4

4. Aprimorar os processos operacionais da Gestão de TI.

Descrição: Assegurar que os processos internos de TI estejam em conformidade com as

orientações do Planejamento Estratégico da Empresa, com as orientações dos Órgãos

Reguladores Externos, da Auditoria Interna e da Gerência de Controles Internos.



constantes no quadro 6.3.1 abaixo, por meio da busca em elevar o nível de qualidade e eficiência

operacional dos processos de TI.


PERSPECTIVAS


OBJETIVOS DE TI


O4. Aprimorar os processos operacionais de Gestão de TI

Resultado



OE3. Melhorar a eficiência operacional P



OE5. Elevar o nível de qualidade e eficiência dos processos P


S




OE9. Elevar a satisfação dos funcionários no trabalho S


#pública



Indicador(es):



Meta 2017

Excelência Operacional -


O4. Aprimorar os processos

operacionais de Gestão de TI

I8- Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de

sistemas da BBTS. I8 75%

I9- Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.

I9 18hrs

S4- Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por

infraestrutura e aplicações de TI. S4 -


Objetivo O5

5. Evoluir a maturidade dos mecanismos da Governança de TI.

Descrição: Melhorar os níveis de maturidade em governança de TI com foco em gerência de

projetos de TI, desenvolvimento de softwares, segurança da informação, operação, suporte e

continuidade do negócio.



constantes no quadro 6.3.2 abaixo, por meio da entrega de produtos e serviços socioambientais

responsáveis com evolução do nível de qualidade e eficiência dos processos de TI.


PERSPECTIVAS


OBJETIVOS DE TI


O5. Evoluir a maturidade dos mecanismos da Governança de TI

Resultado








P


OE7. Impactar positivamente a comunidade onde a BBTS está inserida P


OE9. Elevar a satisfação dos funcionários no trabalho S


#pública



Indicador(es):


BBTS Indicadores (I) e Sinalizadores (S) Meta 2017

Excelência Operacional – Experiência do

Cliente

O5. Evoluir a maturidade dos mecanismos da

Governança de TI

I10- Maturidade dos Processos de TI do iGovTI 2016.

I10 97%

I11- Maturidade da Segurança da Informação. I11 Nivel5 22,5%

S5- Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.

S5 -


6.4 Perspectiva Orientação ao Futuro

Objetivo O6

6. Desenvolver competências técnicas e gerenciais para a realização

da estratégia corporativa.

Descrição: Capacitar à equipe por meio de treinamento e certificação, buscando a valorização

profissional, motivação, comprometimento e relacionamento pessoal, assim como os usuários

envolvidos nos processos de tecnologia.



constantes no quadro 6.4.1 abaixo, por meio do Fortalecimento das competências técnicas e

gerenciais e da elevação da satisfação dos funcionários no trabalho, promovendo inovação nos

negócios, processos, produtos e serviços da empresa.


#pública



PERSPECTIVAS


OBJETIVOS DE TI

Orientação ao Futuro

O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa

Resultado








P


OE7. Impactar positivamente a comunidade onde a BBTS está inserida

S

OE8. Fortalecer as competências técnicas e gerenciais P

OE9. Elevar a satisfação dos funcionários no trabalho P

Indicador(es):



Meta 2017

Orientação ao Futuro – Clima Organizacional

O6. Desenvolver competências

técnicas e gerenciais para a

realização da estratégia

corporativa

I12- Nível de satisfação dos funcionários da DITEC com as atividades que desempenham na área de TI.

I12 70%

I13- Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano

de capacitação formalizado. I13 80%

S6- Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.

S6 -


Para o sinalizador (S6) “Número de iniciativas aprovadas resultantes de ideias

inovadoras propostas pela área de TI”, dedicamos o capítulo 7 abaixo para explorar iniciativas

de inovações como desafios estratégicos para a DITEC.


#pública


7 Desafios Estratégicos e Inovações

7.1 Historicamente o sucesso com a exploração de novas ideias sempre proporcionou

oportunidades para que a empresa inovadora se destaque no seu mercado de atuação, obtendo

maior visibilidade e tornando-se única e superior aos seus principais concorrentes. Dessa forma,

a empresa cria um diferencial competitivo e oferece aos seus clientes vantagens e benefícios

que o mercado ainda não havia conseguido disponibilizar.

7.2 Na prestação de serviços em tecnologia da informação, mesmo que considerado em

um nível de maturidade satisfatório, novos desafios estratégicos e de inovações devem ser

lançados. Assim, como proposta de evolução, deve ser estudada a possibilidade de

implementação de novos recursos e soluções de TI que possam auxiliar ainda mais na

alavancagem dos negócios da BB Tecnologia e Serviços.

7.3 O Quadro 7.1 abaixo relaciona um conjunto sugerido de desafios de inovação, para

os quais a DITEC poderá realizar conforme seu apetite de inovação e capacidade produtiva

estudos de viabilidade, considerando aspectos técnicos (incluindo a análise de riscos),

funcionais, operacionais, geográficos, econômicos, financeiros, temporais, jurídicos, de

segurança da informação e de responsabilidade social, cujo produto entregue será um

documento que sintetizará as possíveis soluções cabíveis no cenário da BBTS para possível

execução via futuros PDTI.

Id Assunto Conceito Algumas utilidades Alguns riscos

1 BI - Business Intelligence

Refere-se ao processo de coleta, organização, análise, compartilhamento e monitoramento de informações que são utilizadas como orientação para auxiliar na gestão de negócio. Transforma dados brutos de origens variadas em informações úteis para tomadas de decisões.

Base para tomada de decisões. Ajuda a conhecer os processos de informações; ajuda a controlar as receitas e despesas; proporciona maior rapidez na análise de informações; ajuda a planejar e simular com maior segurança; proporciona maior velocidade na análise de informações; e retorno rápido do investimento.

Barreira cultural; falta de visão estratégica; inexistência ou má qualidade dos dados; centralização da solução; escolha incorreta da ferramenta; e vazamento de informações sensíveis.

2 Big Data

“Definido genericamente como a captura, gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. (SIEWERT, 2013)

Base para tomada de decisões. Grandes volumes de dados podem ser tratados mais rapidamente, permitindo que informações possam ser encontradas, analisadas e utilizadas, de acordo com a demanda; ajuda a identificar tendências de fraudes em operações financeiras; ajuda a identificar o público alvo; ajuda no direcionamento de produtos e serviços; e auxilia na resolução de problemas e na implementação de melhorias.

Violação das leis de privacidade, através de acessos não autorizados às mídias sociais. Compartilhamento de fotos, e-mails e pesquisas em buscadores, por exemplo, permitem a geração de dados sobre o perfil do usuário na Internet.


#pública


3

BYOD (Bring Your Own Device - traga seu próprio dispositivo) e variações

Utilização de dispositivos pessoais no ambiente de trabalho.

Aumento da produtividade com mobilidade. Para os funcionários que trabalham em trânsito e que utilizam o seu próprio equipamento, é observada uma significativa redução de custos.

Perda de controle de hardware software e de suas atualizações; vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; dificuldade para recuperação de informações quando o funcionário se desliga da empresa e o equipamento é próprio; infecção por vírus; e aplicativos maliciosos. Também ficar atento para as questões de RH, como por exemplo, a discussão de horas extras e sobreaviso.

4

Computação em Nuvem (Cloud computing)

“um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. (NIST, 2011)

IaaS: Infrastructure as a Service ou Infraestrutura como Serviço - quando se utiliza uma percentagem de um servidor, geralmente com configuração que se adeque às necessidades do cliente (nuvem da Softlayer, Locaweb, Amazon); PaaS: Platform as a Service ou Plataforma como Serviço - utilização de apenas uma plataforma, como um banco de dados ou um web-service (nuvem da Microsoft Azure); SaaS: Software as a Service ou Software como Serviço - uso de um software em regime de utilização web (nuvem Google Docs , nuvem Microsoft SharePoint Online); outros tipos: DevaaS, CaaS, EaaS, DBaas. Existem as opções de nuvem pública, híbrida e privada.

Desafios de conformidade; perda de reputação da empresa; intrusão maliciosa ou papéis com altos privilégios de acesso; intimação; encerramento do serviço do provedor (CSP); aquisição do CSP por um concorrente; exaustão de recursos; interceptação de dados; perda de dados; mudanças de jurisdição do PSC com requisitos legais diferentes; falha nas condições de licenciamento; roubo de equipamentos nas instalações do CSP e desastres naturais.

5 Data Mining

Agregação e organização de dados que permitem encontrar padrões, associações, mudanças e anomalias consideradas relevantes para o negócio.

Descoberta de associações (exemplo: cervejas e fraldas); classificação (exemplo: clientes adimplentes e inadimplentes); regressão (exemplo: predição do risco de determinados investimentos); agrupamento ou clusterização (exemplo: agrupar clientes com comportamento de contas-correntes similares); sumarização; detecção de desvios (exemplo: comportamento do cliente no cartão de crédito); descoberta de sequências; e previsão de séries temporais.

Vazamento das informações obtidas após a aplicação da técnica.

6 Gamefication

Gamification é a estratégia de interação entre pessoas e empresas com base no oferecimento de incentivos que estimulem o engajamento do público com as marcas de maneira lúdica.

Melhorar o marketing da Empresa e clientes através do desenvolvimento de aplicativos gamificados, ou seja, um programa de recompensas para os clientes que realizarem tarefas relacionadas a recomendação, divulgação ou capitação de novos clientes.

A sazonalidade do uso de gamificação ou até mesmo a saturação do conceito, visto que existem muitas empresas querendo adicionar conceitos de gamification em suas plataformas de contato com os clientes.

7 GEO processing

Tratamento das informações geográficas ou de dados georreferenciados, através de softwares.

Sensoriamento remoto - SR (exemplo: obtenção de imagens e outros dados da superfície terrestre); sistema de informação geográfica - SIG (exemplo: estudo de mapas); e sistema de posicionamento global - GPS (exemplo: localização através das coordenadas longitude, latitude e altitude).

Ações realizadas a partir de informações erradas.


#pública


8 Home Office (Tele-trabalho)

Trata-se de um tipo de trabalho realizado em um local que se encontra afastado da empresa e que se caracteriza pela separação física e por uma tecnologia que possa sustentar a comunicação entre as partes envolvidas em uma determinada atividade.

Aumento de produtividade. Empresa: redução de custos fixos; redução do absenteísmo; redução de custos de acidente de trabalho; contratação de colaboradores em locais distantes, sem custos adicionais e podendo ampliar o raio de operações; e a empresa passa a ser percebida pela sociedade como uma empresa inovadora. Trabalhador: horário flexível; aumento da motivação e da satisfação com o emprego; nítida percepção na melhoria de qualidade de vida; fortalecimento das relações familiares; melhor equilíbrio físico e mental, melhorando a saúde; redução dos custos pessoais. Sociedade e meio ambiente: diminuição do trânsito; redução do nível de poluição; desaquecimento global; aumento da oportunidade de trabalho para as pessoas com dificuldade de locomoção.

Defeitos nos equipamentos do trabalhador; falta de disponibilidade do link de comunicação; falta de controle da duração do serviço; efeito rebote, com o uso dos recursos por outros integrantes da família e elevação do consumo de energia; esgotamento cognitivo devido ao aumento do fluxo de informações; e síndrome da fadiga visual.

9 IoT (Internet of Things)

Conectar à Internet os recursos que são utilizados no dia a dia.

Conectar o mundo físico ao mundo digital. Design e marketing de produto (exemplo: utilização de sensores para informar onde, quando e como um produto é utilizado).

Ataques contra dispositivos inteligentes; e questões legais.

10

Li-FI - Light-Fi (previsão de mercado 2018-2021)

Li-Fi, do inglês Light Fidelity, refere-se a sistemas de comunicação que empregam a luz LED para transmitir em alta velocidade, sendo apontado como uma especie de evolução do Wi-Fi.

A pesquisar. A pesquisar.

11

Métodos ágeis, Manager 3.0 e Design Thinking

Métodos ágeis trata-se de um framework para desenvolvimento de software que tenta minimizar o risco através curtos períodos ou ciclos de desenvolvimento que entregam valor ao criar versões incrementais do software que realmente funcionam (MVP). Design Thinking trata-se de um framework para abordar problemas que utiliza análise de conhecimento, aquisição de informações e proposta de soluções.

Usar o desenvolvimento ágil em projetos complexos onde, apesar do tamanho, entende-se (ou dispõe-se de alguém que entenda) o que deve ser construído, ganhando-se em produtividade. Por outro lado, o design thinking deve ser utilizado quando não se conhece o que deve ser feito e uma solução deve ser proposta, de preferência quando a inovação é desejada.

Adaptação da equipe com novo processo de desenvolvimento, o que pode ser minimizado com treinamentos. Quanto ao uso de Design Thinking, assim como todo projeto de P&D, existem riscos de o projeto mostrar-se inviável ao final e os custos da pesquisa serem realizados. Esse é o ônus de toda pesquisa.

12 Midias sociais Espaços virtuais de interação entre pessoas.

As interações nesses espaços passaram a influenciar bastante a decisão de compra dos consumidores, fato que acabou despertando o interesse das organizações e consequentemente fazendo com que elas passassem a considerar as mídias sociais presentes na Internet nas suas estratégias de negócio.

Vazamento de informação; furto de identidade; dano a imagem ou a reputação da empresa; perda de dados; e perda de capacidade operacional.

13

Mobile Computing (Computação Móvel)

Sistemas computacionais que possuem como característica a

total mobilidade do usuário. Pode-se acessar a informação de

qualquer lugar e a qualquer momento.

Aumento da produtividade com mobilidade. Acesso à informação de qualquer lugar e a qualquer momento; comodidade; necessidade; criação de novas soluções; redução de custos; e otimização do tempo.

Vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; infecção por vírus; e aplicativos maliciosos.


#pública


14 MultiBiometria

Conjunto de métricas do corpo, medidas que se transcrevem em assinaturas biológicas, que associadas a outras, se tornam por composição em chave única na identificação de indivíduos, ou o seu perfil biométrico (face + íris + voz).

Métodos de autenticação - Em substituição aos métodos convencionais (senhas, tokens, cartões magnéticos ou com 'chip'. Reconhecimento de suspeitos - Em sistemas de vigilância em vídeo, é possível a identificação de 'suspeitos' mediante aplicação de regras de reconhecimento de indivíduos. Exemplo, indivíduo não identificado (não-correntista) faz visitas sistemáticas em horários suspeitos às instalações do BB. Atendimento personalizado - Em substituição ao método atual, onde ocorre uma pre-identificação do cliente em totem na entrada da agência. Poderia ser uma câmera de reconhecimento facial logo após a porta magnética, indicando ao gerente a presença do cliente na agência. Prova de vida - Em substituição às visitas obrigatórias de clientes à agências, através do uso de soluções biométricas via web ou app o cliente poderia realizar prova de vida à distância, por face + alguma outra biometria (íris ou voz).

Spoofing - algumas soluções ainda são carentes de mecanismos de excelência na detecção de fraudes, no reconhecimento facial, não há garantias de anti-spoofing para imagens impressas de alta definição (4K). Porém, este risco é dirimido quando adotada a utilização de segunda biometria na composição de um score biométrico composto. Jurídico - Por falta de precedentes, as soluções que envolvem uso de biometria, podem ser alvo de especulações de ordem jurídica, como por exemplo, violação de privacidade ou mesmo falsidade ideológica.

15 Shadow IT

Consumo de aplicações e

recursos de tecnologia sem o

conhecimento do departamento

de TI.

Área de Negócios: Agilidade e independência da área de TI. Área de TI: CIO se posicionar de forma estratégica, investindo na criatividade e estimulando a inovação.

Perda de controle. Crescimento significativo de tecnologias de consumo relacionadas com a computação em nuvem (cloud); segundo o Gartner, 35% das despesas empresariais com TI ultrapassarão o orçamento da área de TI já em 2015 (há 10 anos eram 10%); demanda represada proporcionando novos aplicativos desenvolvidos fora da área de TI; utilização de tecnologia não aprovada pela área de TI; serviços desintegrados; e vulnerabilidades relacionadas com a segurança da informação.

Quadro 7.1 – Desafios Estratégicos e Inovações de TI.

7.4 A constante evolução da tecnologia vem alterando a forma como nos comunicamos,

permitindo um ambiente de troca de informações mais fluido e dinâmico, capaz de compartilhar

a informação de maneira mais rápida e intuitiva. A implementação de um ambiente colaborativo,

por meio da utilização de várias ferramentas que conversam entre si de maneira transparente

para o usuário, facilita ao colaborador, e a empresa por sua extensão, captar e divulgar ideias,

solucionar problemas e atender demandas de maneira rápida e funcional. A criação de um

ambiente colaborativo requer um novo paradigma que integre ferramentas antigas, como e-mail

e telefone, com "novas" ferramentas como wikis, blogs, ferramentas de mensagens instantâneas

e recursos de áudio e video-conferência, dentre outras. A criação de um ambiente colaborativo

na BB Tecnologia e Serviços deverá ser planejada de forma a implementar adequadamente cada

ferramenta, indicando como cada uma se integra com as demais e como melhor tirar proveito

desse conjunto.


#pública


8 Investimentos Orçados

8.1 A fim de viabilizar a implementação dos objetivos de TI associados aos objetivos

estratégicos foram orçados para a DITEC e submetidos para a aprovação os investimentos fixos

para ativos de informática em 2017, apresentados na tabela 8.1 abaixo.

Diretoria Demandante

Descrição

Verba

Orçamentária

Descrição do

Investimento Necessidade/Motivo 2017

DITEC Equip. Proc. Dados Outsorcing Telefonia Ampliação de negócios

(12.310)

DITEC Equip. Proc. Dados Investimento Data Center Ampliação de negócios

(5.000)

DITEC Equip. Proc. Dados Modernização de rede Substituição de equipamentos antigos

(1.000)

DITEC Equip. Proc. Dados Atualização

microinformatica

Modernização/ampliação de parque

de equipamentos

(635)

DITEC Equip. Proc. Dados Servidores Locais Substituição de equipamentos antigos

(300)

DITEC Equip. Proc. Dados Videoconferencia Ampliação de rede vedeoconferencia

(200)

TOTAL

(19.445)

Tabela 8.1 – Investimentos Orçados 2017-2018 (Valores em milhares de Reais).

Pela primeira vez, o PETI 2017 - 2021 está sendo submetido para aprovação à DIREX e ao

CONAD em conjunto com a Estratégia Corporativa, com o orçamento também em aprovação.

8.2 O orçamento de custos e despesas serão tratados no Plano Diretor de TI - PDTI.


#pública


9 Riscos de TI

9.1 O processo de Gestão de Riscos de TI da BB Tecnologia e Serviços deve

estar alinhado ao planejamento estratégico da empresa, Política de Gestão de Riscos, à

Política de Segurança da Informação e as recomendações do Banco do Brasil e Órgãos

Reguladores.

9.2 A Gestão de Riscos de TI não está limitada ao escopo das ações de

segurança da informação, as quais se restringem às medidas de proteção dos ativos de

informação, independentemente do meio ou da tecnologia utilizados.

9.3 O termo Risco é utilizado para designar o resultado objetivo da combinação

entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que

independa da vontade humana, e o impacto resultante caso ele ocorra.

9.4 O Risco Operacional relacionado a TI é a possibilidade de perdas resultantes

de falha, deficiência ou inadequação de Sistemas. São fatores abrangentes de falhas,

deficiências ou inadequação dos sistemas da BBTS: Hardware; Software; Rede de

comunicação; Segurança lógica; Análise e Programação. São categoria de eventos de

Risco Operacional em TI: Fraudes Internas; Fraudes e Roubos Externos; Problemas

Trabalhistas; Falhas nos Negócios; Danos ao Patrimônio Físico; Interrupção das

Atividades; Falhas de Sistemas e Falhas em Processos.

9.5 O processo de gestão de riscos de TI segue as normas NI 629 (Gestão de

Risco em Segurança da Informação), NI 904 (Política de Gestão de Risco) e NI905

(Gestão de Risco Operacional).

9.6 Os riscos identificados para a DITEC estão relacionados no anexo 12.4

(Maturidade da Segurança da Informação na DITEC), 12.5 (Matriz de Risco Operacional

de TI) e 12.6 (Matriz de Risco de Segurança da Informação) e identificados nas Matrizes

de Risco Operacional e Plano de Continuidade de Negócios (PCN) de cada gerencia

executiva da diretoria acompanhada pela GCI (área de controles internos).


#pública


10 Fatores Críticos de Sucesso

10.1 Os fatores críticos de sucesso traduzem as principais variáveis relacionadas ao

sucesso da execução do PETI da BB Tecnologia e Serviços, que se não presentes, ou não

suficientemente trabalhadas podem trazer dificuldades no alcance dos desafios e objetivos a

serem alcançados.

10.2 Para execução deste PETI 2017-2021, considera-se os seguintes fatores críticos de

sucesso:

a) Patrocínio da Alta Direção – Necessário o envolvimento da Alta Direção no

acompanhamento da execução do PETI.

b) Orçamento – Compatível com as necessidades de infraestrutura e recursos necessários

a execução do PETI.

c) Priorização de projetos – Tem por objetivo o foco no desenvolvimento de projetos

prioritários em razão dos recursos disponíveis.

d) Controle e acompanhamento – Suprir a organização com informações gerenciais

corporativas sistematizadas para controle e acompanhamento eficiente dos planos de

ação e indicadores de desempenho do PETI.


#pública


11 Considerações Finais

11.1 Mesmo compreendendo os conceitos, as decisões e as escolhas que resultaram

neste PETI da BB Tecnologia e Serviços, não se deve perder nunca de vista que se trata de uma

estrutura cognitiva para entender, simplificar e explicar a percepção da realidade atual e a

concepção ou imaginação sobre a realidade futura, e com isso facilitar a ação coordenada,

necessária à execução do PETI que foi construído de forma colaborativa.

11.2 A realidade e sua percepção têm seu próprio dinamismo e estão sempre em evolução.

Por um lado, a execução do PETI exige foco para realizar aquilo que foi decidido, e por outro,

exige visão periférica e percepção aguçada, para não deixar de olhar ao redor e se adaptar às

susceptibilidades do contexto e do ambiente.

11.3 Ser guardião da própria identidade institucional da BB Tecnologia e Serviços

continuará exigindo estar atento à missão, visão, valores, desafios e objetivos que constituem a

estratégia de TI materializada neste PETI.

11.4 Todos os envolvidos com a construção desta quarta revisão deste PETI, baseado

nos novos rumos que a empresa está visando, e nas expectativas de seus dirigentes, têm

convicção de que este trabalho simboliza e significa a manutenção de uma jornada para a criação

do futuro almejado, e de um fórum permanente de pensar e agir que possibilitará a BB Tecnologia

e Serviços ser cada vez mais competitiva e eficiente para ajudar nossos clientes e usuários a

obterem melhores resultados, entregando-lhes produtos e serviços de TI de alto valor agregado.


#pública


12 Anexos

12.1 Alinhamento Estratégico (EC-BBTS 2017-2021 x PETI 2017-2021)

PE

RS

PE

CT

IVA

S


OBJETIVOS DE TI

Contribuição para o

Negócio Orientação ao Cliente Excelência Operacional

Orientação ao Futuro

O1- Reduzir custos e

riscos de TI

O2. Prestar Serviços de TI de acordo

com as necessidades dos negócios

O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e

usuários

O4. Aprimorar os processos operacionais de Gestão de

TI

O5. Evoluir a

maturidade dos

mecanismos da

Governança de TI

O6. Desenvolve

r competências técnicas e gerenciais

para a realização

da estratégia

corporativa

Resu

lta

do

OE1. Gerar resultado sustentável

P S S S S S

OE2. Expandir faturamento da empresa

S S P S S S

OE3. Melhorar a eficiência operacional

S S P P S S

Exp

eriê

ncia

do

Clie

nte

OE4. Entregar produtos e serviços com excelência

S P P S S S

OE5. Elevar o nível de qualidade e eficiência dos processos

S N/A N/A P P P


S S N/A S P P

Clim

a O

rga

niz

acio

na

l

OE7. Impactar positivamente a comunidade onde a BBTS está inserida

P S S S P S

OE8. Fortalecer as competências técnicas e gerenciais

N/A S S S S P

OE9. Elevar a satisfação dos funcionários no trabalho

N/A N/A N/A S S P

LEGENDA: P - Primário; S – Secundário; N/A – Não se

aplica


#pública


12.2 Indicadores

I1 - Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento da aquisição.

Contribuição para o negócio – Resultado

Nome do Indicador I1

Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento da aquisição.

Definição Este indicador verifica se o processo de planejamento de aquisição de serviços ou produtos de TI foram realizados de acordo com a NI640 (Make or Buy) e NI 642 e respectivos PRO e FQ.

Objetivo Estratégico de TI O1. Reduzir custos e riscos de TI

Alinhamento estratégico

OE1. Gerar resultado sustentável; OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência

Fórmula de cálculo

Quantidade total de serviços de TI contratados e renovados pela DITEC/Gerência no período, de acordo com a NI640 e NI642 (AP) DIVIDIDO pela quantidade total de serviços de TI contratados e renovados pela DITEC/Gerência no período (TT) MULTIPLICADO por 100

Representação da fórmula de apuração

I1 = 𝐴𝑃

𝑇𝑇 x100

Representação da fórmula de consolidação

-

Unidade de medida Percentual (%)

Critérios de acompanhamento Acumulado no ano

Polaridade Positiva (Quanto maior o valor, melhor)

Periodicidade Anual (com visões trimestrais)

Responsável pela disponibilização do dado

Sintético: DIFIS/GLC; analítico: DITEC/GPG, DITEC/GTI, DITEC/PET, DITEC/GDM

Responsável pela gestão do dado DITEC/GPG/DGTI

Status Disponível

Frequência de atualização Até o 5º dia útil do mês subsequente.

Histórico do Resultado

2012 2013 2014 2015 2016

- - n/a

90% na GPG

n/a nas demais

73,14%

Proposta de Meta

2017 80%

2018 82%

2021 85%

2020 87%

2021 90%

Obs: 2016 - Dados obtidos até outubro


#pública


I2 - Percentual de projetos de TI que explicitam riscos de TI


Nome do Indicador I2 Percentual de projetos de TI que explicitam riscos de TI

Definição Este indicador avalia a quantidade de projetos de TI que estão sendo realizados e que consideraram o Plano de Gerenciamento do Riscos de Projetos de TI (FQ635-006).



OE1. Gerar resultado sustentável; OE5. Impactar positivamente a comunidade onde a BBTS está inserida OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa


Quantidade total de projetos de TI da DITEC/Gerência que estão sendo realizados ou encerrados no período e que consideraram os riscos de TI

FQ635-006 (AP) DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência que estão sendo realizados ou encerrados no período (TT) MULTIPLICADO por 100


I2 = 𝐴𝑃

𝑇𝑇 x100


-




Periodicidade Trimestral


DITEC/GDM, DITEC/GPG, DITEC/GTI, DITEC/PET


Status Disponível


Histórico do Resultado 2012 2013 2014 2015 2016

- - - n/a 27,40%

Proposta de Meta

2017 70%

2018 72,5%

2021 75%

2020 77,5%

2021 80%

Obs: 2016 - Dados obtidos até setembro/2016


#pública


I3- Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.

Orientação ao Cliente – Experiência do Cliente

Nome do Indicador I3 Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.

Definição

Este indicador é obtido através de uma pesquisa de satisfação que deverá ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Respondido apenas por gerentes executivos e de divisão.

Objetivo Estratégico de TI O2. Prestar Serviços de TI de acordo com as necessidades dos negócios

Alinhamento estratégico OE1. Gerar resultado sustentável; e OE5. Impactar positivamente a comunidade onde a BBTS está inserida


Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questoes A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100




Critérios de acompanhamento Pesquisa semestral

Polaridade Positiva (Quanto maior o percentual, melhor)

Periodicidade Semestral


DITEC/GPG/DSPD


Status Disponível



- - - n/a 63,00%

Proposta de Meta

2017 70%

2018 72,5%

2021 75%

2020 77,5%

2021 80%

Obs: 2016 - Dados obtidos até junho

I3 (𝑝𝑟𝑎𝑧𝑜 "𝑃") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I3 (𝐶𝑢𝑠𝑡𝑜 "𝐶") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I3 (𝑅𝑖𝑠𝑐𝑜 "𝑅") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I3 = 𝑃+𝐶+𝑅

3


#pública


I4 - Disponibilidade da Infraestrutura de TI


Nome do Indicador I4 Disponibilidade da Infraestrutura de TI

Definição Este indicador verifica a disponibilidade da infraestrutura de TI para os sistemas de apoio a gestão e apoio a negócios definidos como críticos na TAB630-003.


Alinhamento estratégico OE4. Entregar produtos e serviços com excelência

Fórmula de cálculo Soma do percentual total de disponibilidade máxima dos sistemas críticos da TAB630-003 (AP), DIVIDIDO pela soma do percentual total de disponibilidade dos sistemas críticos da TAB630-003 apurado pelo sistema GDD no período (TT) MULTIPLICADO por 100



-


Critérios de acompanhamento Acumulado no mês


Periodicidade Mensal


DITEC/GTI- SISTEMA DE GESTÃO DE TI


Status Disponível



n/a 98,53% 99,70% 99,94% 99,63%

Proposta de Meta

2017 99,74% (~23hrs/ano de indisponibilidade)

2018 99,75%

2021 99,76%

2020 99,77%

2021 99,78%


I4 = 𝐴𝑃

𝑇𝑇 x100


#pública


I5- Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.


Nome do Indicador I5 Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.

Definição

Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Respondido apenas por Gerentes Executivos.

Objetivo Estratégico de TI O2. O2. Prestar Serviços de TI de acordo com as necessidades dos negócios

Alinhamento estratégico OE4. Entregar produtos e serviços com excelência


Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questões A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.

NOTA: Informar a quantidade de possíveis respondentes para a qual foi enviada a pesquisa.








DITEC/GPG/DSPD


Status Disponível



- - - - 93,18

Proposta de Meta

2017 80%

2018 81%

2021 82%

2020 83%

2021 84%

Obs: 2016 – Dados obtidos até junho

I5 (𝑁𝑜𝑣𝑎𝑠 𝐷𝑒𝑚𝑎𝑛𝑑𝑎𝑠 "𝑁") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I5 (𝐶𝑜𝑟𝑟𝑒çõ𝑒𝑠 𝑑𝑒 𝑒𝑟𝑟𝑜𝑠 "𝐶") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5I x100

I5 (𝑆𝑢𝑝𝑜𝑟𝑡𝑒 "𝑆") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I5 (𝐶𝑜𝑛𝑠𝑢𝑙𝑡𝑎𝑠 "𝐶𝑂") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I5 = 𝑁+𝐶+𝑆+𝐶𝑂

4


#pública


I6 - Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS


Nome do Indicador I6 Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS.

Definição Este indicador verifica o percentual de projetos de TI entregues no prazo e de acordo com os artefatos obrigatórios do anexo I da NI635 (MGP).

Objetivo Estratégico de TI O3. O3. Entregar Soluções de TI conforme expectativas de benefícios aos

clientes e usuários


OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência;


Quantidade total de projetos de TI da DITEC/Gerência, entregues no prazo, no período, e que possuem todas as FQ's do anexo I da NI635 (AP), DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência previstos para serem entregues no período (TT) MULTIPLICADO por 100



-






DITEC/GPG/DGTI


Status Disponível



n/a - - - 35,90%

Proposta de Meta

2017 80%

2018 81%

2021 82%

2020 83%

2021 84%


I6 = 𝐴𝑃

𝑇𝑇 x100


#pública


I7-Nível de satisfação dos usuários, em relação à qualidade das soluções disponibilizadas pela área de TI


Nome do Indicador I7 Nível de satisfação dos usuários, em relação à qualidade das soluções disponibilizadas pela área de TI.

Definição

Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. Qualificar a solução pela TAB630-003, ou em relação à usabilidade das soluções disponibilizadas pela área de TI – Informando o (s) aplicativo (s) em referência (quantos forem necessários da TAB630-003) ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito


Alinhamento estratégico OE4. Entregar produtos e serviços com excelência;


Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questoes A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.








DITEC/GPG/DSPD


Status Disponível



- - - n/a 78,08%

Proposta de Meta

2017 80%

2018 81%

2021 82 %

2020 83%

2021 84%

I7 (𝑅𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠 "𝑅") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I7 (𝑈𝑠𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 "𝑈") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I7 (𝐷𝑒𝑠𝑒𝑚𝑝𝑒𝑛ℎ𝑜 "𝐷") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I7 = 𝑅 + 𝑈 + 𝐷

3


#pública


I8 – Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de sistemas da BBTS.

Excelência Operacional – Experiência do Cliente

Nome do Indicador I8 Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de sistemas da BBTS.

Definição Este indicador informa o percentual de uso dos artefatos FQ obrigatórios nos projetos de desenvolvimento de software conforme anexo I da NI641 (MDS).

Objetivo Estratégico de TI O4. Aprimorar os processos operacionais de Gestão de TI

Alinhamento estratégico OE3. Melhorar a eficiência operacional

OE6. Elevar o nível de qualidade e eficiência dos processos.


Quantidade total de projetos de TI da DITEC/Gerência, para Desenvolvimento de Software, entregues no período, e que possuem todas as FQ's obrigatórias do anexo I da NI641 (AP) DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência, para Desenvolvimento de Software, entregues no período (TT) MULTIPLICADO por 100



-






SINTÉTICO: DITEC/GPG/DGTI; ANALÍTICO: DITEC/GPG/DCSI, DITEC/GPG/DSPD, DITEC/PET, DITEC/GTI.


Status Disponível



- - 80% 87,5% 66,67%

Proposta de Meta

2017 75%

2018 76%

2021 77 %

2020 78%

2021 79%

Obs: 2016 - Dados obtidos até setembro

I8 = 𝐴𝑃

𝑇𝑇 x100


#pública


I9 - Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.


Nome do Indicador I9 Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.

Definição Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.





Tempo útil total (horas) transcorridos das aberturas (open) de chamados de privilégios de acesso até seus respectivos atendimentos (close), acumulado até o período do ano corrente (AP) DIVIDIDO pela quantidade total de chamados de privilégios de acesso atendidos (close), acumulado até o período do ano corrente (TT)



-

Unidade de medida horas

Critérios de acompanhamento Mensal

Polaridade Negativa (Quanto menor o valor, melhor)



DITEC/GTI/DPOP


Status Disponível



- - n/a 56h35min 18h36min

Proposta de Meta

2017 18 hrs (média)






I9 (Tempo médi𝑜 𝑒𝑚 ℎ𝑜𝑟𝑎𝑠) = 𝐴𝑃

𝑇𝑇


#pública


I10- Maturidade dos Processos de TI do iGovTI 2016 sob responsabilidade da DITEC


Nome do Indicador I10 Maturidade dos Processos de TI do iGovTI 2016 sob responsabilidade da DITEC.

Definição Este indicador busca acompanhar a evolução dos processos de governança de TI do levantamento iGovTI 2016 do TCU sob papel e responsabilidade exclusiva da própria DITEC conforme NI025.

Objetivo Estratégico de TI O5. Evoluir a maturidade dos mecanismos da Governança de TI


OE5. Impactar positivamente a comunidade onde a BBTS está inserida. OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa


Quantidade total de práticas recomendadas no iGovTI do TCU sob responsabilidade exclusiva da DITEC plenamente e parcialmente adotadas (AP) DIVIDIDO quantidade total de práticas recomendadas no iGovTI do TCU sob responsabilidade exclusiva da Ditec (TT) MULTIPLICADO por 100



-






DITEC/GPG/DGTI


Status Disponível



- n/a 90,82% 94,12% 96,65%

Proposta de Meta

2017 97%

2018 97,5%

2021 98%

2020 98,5%

2021 99%

Obs: 2016 - Dados obtidos até setembro

I10 = 𝐴𝑃

𝑇𝑇 x100


#pública


I11 - Maturidade da Segurança da Informação


Nome do Indicador I11 Maturidade da Segurança da Informação.

Definição Este indicador verifica o nível de maturidade da segurança da informação na BBTS, em relação aos controles estabelecidos pela ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.




Fórmula de cálculo Percentual por nível otimizado N5


Níveis apurados N5 na planilha da matriz de maturidade da Segurança da Informação BBTS


-



Polaridade Quanto maior o nível otimizado melhor

Periodicidade semestral


DITEC/GPG/DGTI


Status Disponível



2012 2013 2014 2015 2016

- - N5 = 11,54%

N5 = 16,15%

N5 = 22%

Proposta de Meta

2017 N5 = 22,5%

2018 N5 = 23 %

2021 N5 = 23,5%

2020 N5 = 24%

2021 N5 = 24,5%



#pública


I12 - Nível de satisfação dos funcionários com as funções que desempenham na área de TI.


Nome do Indicador I12 Nível de satisfação dos funcionários da DITEC com as atividades que desempenham na área de TI.

Definição

Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. PERGUNTA: Qual é o nível de satisfação com a sua atividade executada na área de TI? ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Esta pergunta deve ser respondida apenas pelos funcionários da área de TI

Objetivo Estratégico de TI O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa


OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho.


Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta, DIVIDIDO pela quantidade total de respondentes das questões A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.








DITEC/GPG/DSPD


Status Disponível



- - - n/a 67,35%

Proposta de Meta

2017 70%

2018 72%

2021 75%

2020 77%

2021 80%


I12 (𝐶𝑜𝑛ℎ𝑒𝑐𝑖𝑚𝑒𝑛𝑡𝑜 "𝐶") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I12 (𝐻𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 "𝐻") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I12 (𝐴𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒 "𝐴") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I12(𝐷𝑖𝑣𝑒𝑟𝑠𝑖𝑓𝑖𝑐𝑎çã𝑜 "𝐷") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I12 (𝐼𝑛𝑠𝑝𝑖𝑟𝑎çã𝑜 "𝐼") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I11 = 𝐴+𝐶+𝐻+𝐶𝐼+𝐷+𝐼

6

I12 (𝐶𝑟𝑖𝑎𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒 "𝐶𝐼") = 𝐴1+𝐴2+𝐴3

𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100

I12 = 𝐴+𝐶+𝐻+𝐶𝐼+𝐷+𝐼

6


#pública


I13 - Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano de

capacitação formalizado.


Nome do Indicador I13 Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano de capacitação formalizado.

Definição

Este indicador contabiliza o percentual de funcionários da área de TI que possuem identificação de competência para o desempenho de sua atividade e respectivo plano de capacitação pelo gestor para atuar de acordo com seu perfil.



OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho.


Quantidade total de funcionários de TI da DITEC com lacunas (GAP) de competências identificadas e plano de capacitação formalizado (AP) DIVIDIDO pela quantidade total de funcionários de TI Lotados na DITEC (TT) MULTIPLICADO por 100



-






Sintético: DIFIS/GGP, Analítico: DITEC (todas as gerências)


Status Disponível



2012 2013 2014 2015 2016

- - -

90% na GPG

n/a nas demais

55,91%

Proposta de Meta

2017 80%

2018 82%

2021 85%

2020 87%

2021 90%

Obs: Dados obtidos até junho /2016

I13 = 𝐴𝑃

𝑇𝑇 x100


#pública


12.3 Sinalizadores

S1 - Custo de manutenção das aplicações de TI em função do custo administrativo total de TI


Nome do indicador S1 Custo de manutenção das aplicações de TI em função do custo administrativo total de TI.

Definição do indicador

Este indicador considera a soma dos custos de todas as manutenções corretivas e preventivas das aplicações de TI e contabiliza quanto esse custo representa percentualmente, quando comparado com o custo administrativo total, representado por todas as despesas administrativas das áreas envolvidas, como por exemplo, GPG e PET/FSB.

Objetivo Estratégico de TI 01-Reduzir custos e riscos de TI

Alinhamento estratégico OE1. Gerar resultado sustentável; e


Fórmula de cálculo (Custo total com Manutenção Preventiva/Evolutiva e Corretiva/Incidente (AP) DIVIDIDO pelo custo administrativo total de TI (TT)) MULTIPLICADO por 100


S1(Preventiva/Evolutiva “P” )= 𝐴𝑃

𝑇𝑇 x1 00

𝑆1(𝐶𝑜𝑟𝑟𝑒𝑡𝑖𝑣𝑎/𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒 "𝐶") = 𝐴𝑃

𝑇𝑇 x 100



Critérios de acompanhamento Acumulado no mês, independente do fechamento do chamado.

Polaridade Negativa (Quanto menor o percentual, melhor)



DITEC/GPG/DSPD


Status Disponível



- - - - 8,35%

Obs: custo médio da manutenção das aplicações, em relação ao custo administrativo da GPG em outubro 2016

S1 = 𝑃 + 𝐶

2


#pública


S2 - Quantidade de Notas Técnicas de Investimentos de Negócios que tiveram parecer da área de TI em relação a custo.


Nome do Sinalizador S2 Quantidade de projetos aprovados na ferramenta vigente que tiveram parecer da área de TI em relação a custo.

Definição Quantidade de projetos aprovados no Supravizio que tiveram parecer da área de TI em relação a custo.


Alinhamento estratégico OE1. Gerar resultado sustentável; e



Quantidade de projetos aprovados no Portal de Projetos de Negócios que tiveram parecer da área de TI em relação a custo (AP) DIVIDIDO quantidade total de Projetos aprovados no Portal de Negócios (TT) MULTIPLICADO por 100

Representação da fórmula de

apuração

Representação da fórmula de

consolidação -





Responsável pela disponibilização do

dado DITEC/GPG/DSPD


Status Disponível



2012 2013 2014 2015 2016

- - - n/a n/a

𝑆2 = 𝐴𝑃

𝑇𝑇 x100


#pública


S3- Tempo médio (minutos) para atender a incidentes de TI.


Nome do Sinalizador S3 Tempo médio (minutos) para atender a incidentes de TI.

Definição Tempo médio para atender a incidentes.

Objetivo Estratégico de TI O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e usuários


OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência


Tempo útil total (horas) transcorridos das aberturas (open) de chamados de Incidente de TI até seus respectivos atendimentos (close), no período do ano corrente (AP) DIVIDIDO pela quantidade total de chamados de Incidente de TI atendidos (close), no período do ano corrente (TT)



-

Unidade de medida Minutos

Critérios de acompanhamento Mensal

Polaridade Negativa (Quanto menor o valor, melhor)



DITEC/GPG/DSPD (SUPRAVIZIO) DITEC/GTI /DERP(OTRS)


Status Disponível



- - - n/a 137:56:13

Obs: Tempo médio apurado até outubro /2016

S3 (Tempo médi𝑜 𝑒𝑚 ℎ𝑜𝑟𝑎𝑠) = 𝐴𝑃

𝑇𝑇


#pública


S4- Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI.


Nome do Sinalizador S4 Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI.

Definição Este indicador verifica o percentual de processos críticos de negócio que está sendo suportado por infraestrutura e aplicações de TI.





Quantidade de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI (AP), DIVIDIDO pela quantidade de processos críticos de negócios ou serviços, essenciais para a BBTS (TT) MULTIPLICADO por 100



-






PRESI/GPO


Status Disponível



- - - n/a n/a

𝑆4 = 𝐴𝑃

𝑇𝑇 x100


#pública


S5 - Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.


Nome do Sinalizador S5 Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.

Definição Projetos aprovados no Portal de Negócios que tiveram parecer da área de TI em relação a risco de TI.





Quantidade de Projetos aprovados no Portal de Negócios que tiveram parecer da área de TI em relação a risco (AP) DIVIDIDO quantidade total de Projetos aprovados no Portal de Negócios (TT) MULTIPLICADO por 100



-

Unidade de medida Percentual %

Critérios de acompanhamento Notes ou Supravizio




DITEC/GPG/DSPD


Status Disponível



- - - n/a n/a

𝑆5 = 𝐴𝑃

𝑇𝑇 x100


#pública


S6 - Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.


Nome do Sinalizador S6 Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.

Definição Este indicador informa o percentual de iniciativas propostas resultantes de ideias inovadoras pela área de TI.



OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho

Fórmula de cálculo (Número de iniciativas propostas resultantes de ideias inovadoras pela área de TI)



-

Unidade de medida Quantidade





DITEC


Status Disponível



- - - n/a n/a

𝑆6 (𝑄𝑢𝑎𝑛𝑡𝑖𝑑𝑎𝑑𝑒)


#pública


12.4 Matriz de Maturidade de SI da DITEC na ISO 27002

MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013

Seções Objetivo Objetivo de Controle Controle Descrição Controle

aplicável? Controle

implementado? Escala de

maturidade Situação Observada

5 -

Po

líti

ca d

e s

eg

ura

nça

5.1 - Orientação da direção para segurança da informação

Prover uma orientação e apoio da direção para a

segurança da informação, de acordo com os

requisitos do negócio e com as leis e

regulamentações relevantes.

5.1.1 Políticas para segurança da informação

Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

SIM SIM N5 –

Otimizado

NI 600 à NI 629 em conjunto compõe a PSI aprovada pela NT 2015/526.

5.1.2 Análise crítica das políticas para segurança da informação

Convém que as políticas para a segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

SIM SIM N5 –

Otimizado

PAINT? Todas as normas de segurança são revistas anualmente ou reativamente a qualquer momento quando necessário.

6 -

O

rga

niz

an

do

a s

eg

ura

nça d

a i

nfo

rmação

6.1 - Organização interna

Estabelecer uma estrutura de gerenciamento, para

iniciar e controlar a implementação da

segurança da informação dentro da organização.

6.1.1 Responsabilidades e papéis pela segurança da informação

Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas. SIM SIM

N5 – Otimizado

A matriz RACI indica a responsabilidades de cada divisão acerca da segurança da informação. NI 629 v.05 - Gestão de risco em segurança da informação.

6.1.2 Segregação de funções

Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.

SIM SIM N5 –

Otimizado

A segregação dos responsáveis pelo mantenimento dos sistemas da BBTS é definida pelas normas 650 v.00, 651 v.00, 652 v.00, 653 v.00, 655 v.00 e 656 v.01. A segregação dos responsáveis pela integridade dos dados dos sistemas da BBTS, pela concessão de acesso e sua manutenção é definida pela TAB 630-003 v.06.


#pública







6.1.3 Contato com autoridades

Convém que contatos apropriados com autoridades relevantes sejam mantidos. SIM NÃO

N4 – Gerenciado

Existe o registro dos contatos relevantes, como corpo de bombeiros, Light, Embratel, Polícia e defesa civil entre outros.

6.1.4 Contato com grupos especiais

Convém que contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos. SIM NÃO

N4 – Gerenciado

Os grupos são entre outros: fórum de segurança da informação, fórum das empresas coligadas do BB onde temos discussões de gestão de risco e segurança da informação. (ELBB - Entidades Ligadas Banco do Brasil) CSIRT-UNICAMP lista de discursão.

6.1.5 Segurança da informação no gerenciamento de projetos

Convém que a segurança da informação seja considerada no gerenciamento de projetos, independentemente do tipo do projeto.

SIM SIM N4 –

Gerenciado

O item 6.5 da PRO 635-001 v.03 informa que todos os artefatos dos projetos devem seguir a NI600 v.06.

6.2 - Dispositivos móveis e trabalho

remoto

Garantir a segurança das informações no trabalho

remoto e no uso de dispositivos móveis.

6.2.1 Política para o uso de dispositivo móvel

Convém que uma política e medidas que apoiam a segurança da informação sejam adotadas para gerenciar os riscos decorrentes do uso de dispositivos móveis.

SIM SIM N4 –

Gerenciado

Item 4.39 da NI 603 v.05.

6.2.2 Trabalho remoto Convém que uma política e medidas que apoiam a segurança da informação sejam implementadas para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto.

SIM SIM N3 –

Organizado

Não existe procedimento formal para monitoramento de acesso via VPN, mas é possível identificar este acesso. Não existe monitoração do que é acessado.

7 -

Seg

ura

nç

a

em

recu

rso

s

hu

man

os

7.1 - Antes da contratação

Assegurar que funcionários e partes

externas entendam suas responsabilidades e

estejam em conformidade com os papéis para os

7.1.1 Seleção Convém que verificações do histórico sejam realizadas para todos os candidatos a emprego, de acordo com a ética, regulamentações e leis relevantes, e seja proporcional

SIM NÃO N4 –

Gerenciado

Item 12.1.28 da NI 137 v.09 solicita a apresentação de histórico de bons antecedentes por parte do candidato.


#pública







quais eles foram selecionados.

aos requisitos do negócio, aos riscos percebidos e à classificação das informações a serem acessadas.

7.1.2 Termos e condições de contratação

Convém que as obrigações contratuais com funcionários e partes externas, declarem as suas responsabilidades e a da organização para a segurança da informação.

SIM NÃO N4 –

Gerenciado

Item 12.1.28 da NI 137 v.09 solicita a apresentação de histórico de bons antecedentes por parte do candidato.

7.2 - Durante a contratação

Assegurar que os funcionários e partes

externas estão conscientes e cumprem

as suas responsabilidades pela

segurança da informação.

7.2.1 Responsabilidades da direção

Convém que a Direção solicite a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.

SIM SIM N4 –

Gerenciado

Termo de aceite de login/senha FQ602-001 com suas obrigações deve ser confirmado por todos os colaboradores para acesso aos sistemas da BBTS. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.

7.2.2 Conscientização, educação e treinamento em segurança da informação

Convém que todos os funcionários da organização e, onde pertinente, partes externas devem recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.

SIM SIM N3 –

Organizado

Há divulgação de tempos em tempos sobre assuntos relativos a segurança na Intranet, mas não há monitoramento sobre sua leitura. Para os terceiros e contratados sugiro enviar digitalmente a cartilha institucional de segurnaça da informação disponível na Intranet com termo de confirmação de leitura.

7.2.3 Processo disciplinar

Convém que exista um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação.

SIM SIM N5 –

Otimizado

Item 4 da PSI e item 2.1.4.3 da NI 116 pune a quebra de sigilo de informações.


#pública







7.3 - Encerramento e mudança da contratação

Proteger os interesses da organização como parte

do processo de mudança ou encerramento da

contratação.

7.3.1 Responsabilidades pelo encerramento ou mudança da contratação

Convém que as responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação, sejam definidas, comunicadas aos funcionários ou partes externas e cumpridas.

SIM SIM N5 –

Otimizado

Item 4.2 da NI 602.

8 -

Gestã

o d

e a

tivo

s

8.1 - Responsabilidade

pelos ativos

Identificar os ativos da organização e definir as

responsabilidades apropriadas para a

proteção dos ativos.

8.1.1 Inventário dos ativos

Convém que os ativos associados com informação e com os recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido.

SIM SIM N4 –

Gerenciado

NI 623 - Inventário e mapeamento de ativos da Informação. Realizado na GTI/DPOP por meio de software de inventário eletrônico.

8.1.2 Proprietário dos ativos

Convém que os ativos mantidos no inventário tenham um proprietário.

SIM NÃO N3 –

Organizado

FQ 603-001 informado no item 4.36 da NI 603 para equipamentos. O proprietário dos dados seria o da TAB 630-003 v.06?

8.1.3 Uso aceitável dos ativos

Convém que regras para o uso aceitável das informações, dos ativos associados com a informação e dos recursos de processamento da informação, sejam identificadas, documentadas e implementadas.

SIM N3 –

Organizado

NI 600 para informações e NI 603 para os demais recursos.

8.1.4 Devolução de ativos

Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.

SIM SIM N3 –

Organizado

Não há especificamente item sobre devolução de ativos.

8.2 - Classificação da informação

Assegurar que a informação receba um

nível adequado de proteção, de acordo com

8.2.1 Classificação da informação

Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para

SIM SIM N4 –

Gerenciado

Segundo a NI 612 todos os documentos devem ser classificados de #pública,


#pública







a sua importância para a organização.

evitar modificação ou divulgação não autorizada.

#interna, #confidencial e #ultraconfidencial.

8.2.2 Rótulos e tratamento da informação

Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.

SIM SIM N4 –

Gerenciado

NI 612 - Classificação e Tratamento da Informação.

8.2.3 Tratamento dos ativos

Convém que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.

SIM SIM N4 –

Gerenciado

NI 612 - Classificação e Tratamento da Informação.

8.3 - Tratamento de mídias

Prevenir a divulgação não autorizada, modificação,

remoção ou destruição da informação armazenada

nas mídias.

8.3.1 Gerenciamento de mídias removíveis

Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis, de acordo com o esquema de classificação adotado pela organização.

SIM SIM N4 –

Gerenciado

Item 4.18.4 da NI 612 v.04

8.3.2 Descarte de mídias

Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.

SIM SIM N3 –

Organizado

Item 4.20.5 da NI 612 v.04. Não há formulário ou documento que comprove a destruição, embora esta ocorra.

8.3.3 Transferência física de mídias

Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou corrupção, durante o transporte.

SIM SIM N4 –

Gerenciado

Item 4.21.6 da NI 612 v.04 - Criptografia antes do transporte.

9 -

Co

ntr

ole

de

acesso

9.1 - Requisitos do negócio para

controle de acesso

Limitar o acesso à informação e aos

recursos de processamento da

informação.

9.1.1 Política de controle de acesso

Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.

SIM SIM N4 –

Gerenciado

Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função


#pública







do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.

9.1.2 Acesso às redes e aos serviços de rede

Convém que os usuários somente recebam acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar. SIM SIM

N4 – Gerenciado

Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.

9.2 - Gerenciamento de acesso do

usuário

Assegurar acesso de usuário autorizado e prevenir acesso não

autorizado a sistemas e serviços.

9.2.1 Registro e cancelamento de usuário

Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.

SIM SIM N4 –

Gerenciado

Item 4.2 da Ni 602 v.04.

9.2.2 Provisionamento para acesso de usuário

Convém que um processo formal de provisionamento de acesso do usuário seja implementado para conceder ou revogar os direitos de acesso do usuário para todos os tipos de usuários em todos os tipos de sistemas e serviços.

SIM SIM N4 –

Gerenciado

Item 4.1 da NI 602 v.04.

9.2.3 Gerenciamento de direitos de acesso privilegiados

Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.

SIM SIM N4 –

Gerenciado



#pública







9.2.4 Gerenciamento da informação de autenticação secreta de usuários

Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal.

SIM SIM N4 –

Gerenciado

Item 4.1 da NI 602 v.04. Considerando-se que informação de autenticação secreta seja o par login/senha.

9.2.5 Análise crítica dos direitos de acesso de usuário

Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares.

SIM SIM N4 –

Gerenciado


9.2.6 Retirada ou ajuste de direitos de acesso

Convém que os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação sejam retirados logo após o encerramento de suas atividades, contratos ou acordos, ou ajustados após a mudança destas atividades.

SIM SIM N5 –

Otimizado

Item 4.2 da NI 602 v.04.

9.3 - Responsabilidades

dos usuários

Tornar os usuários responsáveis pela proteção das suas

informações de autenticação.

9.3.1 Uso da informação de autenticação secreta

Convém que os usuários sejam orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta.

SIM SIM N5 –

Otimizado

Termo de aceite de login/senha FQ602-001 com suas obrigações deve ser confirmado por todos os colaboradores para acesso aos sistemas da BBTS.

9.4 Controle de acesso ao sistema e

à aplicação

Prevenir o acesso não autorizado aos sistemas e

aplicações.

9.4.1 Restrição de acesso à informação

Convém que o acesso à informação e às funções dos sistemas de aplicações seja restrito, de acordo com a política de controle de acesso.

SIM SIM N4 –

Gerenciado

Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um


#pública







documento que a SI possui com os acessos básicos que cada função pode ter.

9.4.2 Procedimentos seguros de entrada no sistema (log-on)

Convém que, onde aplicável pela política de controle de acesso, o acesso aos sistemas e aplicações sejam controlados por um procedimento seguro de entrada no sistema (log-on).

SIM SIM N5 –

Otimizado

NI 602 v.04 - Logins e senhas

9.4.3 Sistema de gerenciamento de senha

Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.

SIM SIM N5 –

Otimizado

Item 4.20 da Ni 602 v.04.

9.4.4 Uso de programas utilitários privilegiados

Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações sejam restrito e estritamente controlado.

SIM SIM N4 –

Gerenciado

Não há uso de programas utilitários na BBTS com as funcionalidades descritas na isso 27002:2013. Item 4.1 da NI 607 v.03 restringe o acesso aos servidores dos sistemas da BBTS.

9.4.5 Controle de acesso ao código-fonte de programas

Convém que o acesso ao código-fonte de programa seja restrito.

SIM SIM N3 –

Organizado

O acesso é restrito aos desenvolvedores, mas a classificação da NI 612 v.04. ainda não é aplicada.

10 C

rip

tog

rafi

a

10.1 Controles criptográficos

Assegurar o uso efetivo e adequado da criptografia

para proteger a confidencialidade,

autenticidade e/ou a integridade da

informação.

10.1.1 Política para o uso de controles criptográficos

Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.

SIM SIM N4 –

Gerenciado

Item 4.21 da NI 612 v.04.

10.1.2 Gerenciamento de chaves

Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.

SIM SIM N3 –

Organizado

NI612 - Classificação e tratamento da Informação item 4.21


#pública







11 S

eg

ura

nç

a f

ísic

a e

do

am

bie

nte

11.1 Áreas seguras

Prevenir o acesso físico não autorizado, danos e interferências com os

recursos de processamento das

informações e as informações da

organização.

11.1.1 Perímetro de segurança física

Convém que perímetros de segurança sejam definidos e usados para proteger tanto as áreas que contenham as instalações de processamento da informação como as informações críticas ou sensíveis.

SIM SIM N4 –

Gerenciado

As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa.

11.1.2 Controles de entrada física

Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.

SIM SIM N4 –

Gerenciado


11.1.3 Segurança em escritórios, salas e instalações.

Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações.

SIM SIM N4 –

Gerenciado


11.1.4 Proteção contra ameaças externas e do meio-ambiente

Convém que sejam projetadas e aplicadas proteção física contra desastres naturais, ataques maliciosos ou acidentes.

SIM NÃO N3 –

Organizado

Implementação do PRN nos sites SPO, RIO e BSN em andamento.

11.1.5 Trabalhando em áreas seguras

Convém que sejam projetados e aplicados procedimentos para o trabalho em áreas seguras.

SIM SIM N4 –

Gerenciado

As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa e PCN das áreas.


#pública







11.1.6 Áreas de entrega e de carregamento

Convém que pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, sejam controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado. Diretrizes para implementação.

SIM SIM N4 –

Gerenciado

Item 4.9.4 da NI 306 e NI619.

11.2 Equipamento

Impedir perdas, danos, furto ou roubo, ou

comprometimento de ativos e interrupção das

operações da organização.

11.2.1 Localização e proteção do equipamento

Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio-ambiente, bem como as oportunidades de acesso não autorizado.

SIM SIM N4 –

Gerenciado

Item 4.1.1 da Ni 603.

11.2.2 Utilidades Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.

SIM SIM N4 –

Gerenciado

Item 4.1.18.i da NI 607 v.03.

11.2.3 Segurança do cabeamento

Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação, interferência ou danos.

SIM SIM N4 –

Gerenciado

NI619 (Segurança física em data center e controle de acesso ao ambiente de TI) itens 4.3.15 e 4.5.3, PCO da DPOP.

11.2.4 Manutenção dos equipamentos

Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanente.

SIM SIM N2 –

Informal (Inicial)

Item 4.1.21 da NI 607 v.03 para servidores. Não há formalização da manutenção para equipamentos de usuários, embora esta seja feita.

11.2.5 Remoção de ativos

Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.

SIM SIM N5 –

Otimizado

Necessário FQ301-001 para movimentar bens físicos. Aplicar a NI 612 v.04 para informações.


#pública







11.2.6 Segurança de equipamentos e ativos fora das dependências da organização

Convém que sejam tomadas medidas de segurança para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

SIM SIM N5 –

Otimizado

Item 4.39.3 e 4.39.7 da NI 603 v.05.

11.2.7 Reutilização e alienação segura de equipamentos

Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes da reutilização, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança.

SIM SIM N5 –

Otimizado

Item 4.35 da NI 603 v.05.

11.2.8 Equipamento de usuário sem monitoração

Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada.

SIM SIM N4 –

Gerenciado

Item 4.39 da NI 603 v.05.

11.2.9 Política de mesa limpa e tela limpa

Convém que sejam adotadas uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.

SIM SIM N4 –

Gerenciado

Artigos e palestras de conscientização de segurança da informação, NI603 (equipamento de trabalho) e NI612 (Classificação e tratamento da informação).

12 S

eg

ura

nç

a n

as o

pe

raçõ

es

12.1 Responsabilidades e

procedimentos operacionais

Garantir a operação segura e correta dos


informação.

12.1.1 Documentação dos procedimentos de operação

Convém que os procedimentos de operação sejam documentados e disponibilizados a todos os usuários que necessitem deles.

SIM SIM N5 –

Otimizado

NI 650 v.00 e NI 651 v.00.

12.1.2 Gestão de mudanças

Convém que mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação, sejam controladas.

SIM SIM N4 –

Gerenciado

NI652 Gerenciamento de Mudanças e liberação.


#pública







12.1.3 Gestão de capacidade

Convém que a utilização dos recursos seja monitorada e ajustada e as projeções sejam feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema.

SIM SIM N5 –

Otimizado

NI 655 v.00.

12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção Controle

Convém que ambientes de desenvolvimento, teste e produção sejam separados para reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção.

SIM SIM N2 –

Informal (Inicial)

Não há normatização sobre a segregação de ambientes, embora seja aplicado na prática.

12.2 Proteção contra malware

Assegurar que as informações e os

recursos de processamento da informação estão

protegidos contra códigos maliciosos.

12.2.1 Controles contra códigos maliciosos

Convém que sejam implementados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, combinado com um adequado programa de conscientização do usuário.

SIM SIM N5 –

Otimizado

Item 4.1.27 da NI 607 v.03 para servidores e item 4.9 da NI 603 v.05.

12.3 Cópias de segurança

Proteger contra a perda de dados.

12.3.1 Cópias de segurança das informações

Convém que cópias de segurança das informações, dos software e das imagens do sistema, sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.

SIM SIM N5 –

Otimizado

NI 627

12.4 Registros e monitoramento

Registrar eventos e gerar evidências.

12.4.1 Registros de eventos

Convém que registros (log) de eventos das atividades do usuário, exceções, falhas e eventos de segurança da informação sejam produzidos, mantidos e analisados criticamente, a intervalos regulares.

SIM SIM N4 –

Gerenciado

NI606 - Registros de Eventos

12.4.2 Proteção das informações dos registros de eventos (logs)

Convém que as informações dos registros de eventos (log) e seus recursos sejam protegidos

SIM SIM N4 –

Gerenciado

Itens 4.8 e 4.9 da NI 606


#pública







contra acesso não autorizado e adulteração.

12.4.3 Registros de eventos (log) de administrador e operador

Convém que as atividades dos administradores e operadores do sistema sejam registradas e os registros (logs) protegidos e analisados criticamente, a intervalos regulares.

SIM SIM N4 –

Gerenciado

NI606 - Registros de Eventos

12.4.4 Sincronização dos relógios

Convém que os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, sejam sincronizados com uma única fonte de tempo precisa.

SIM SIM N4 –

Gerenciado

Item 4.10 da NI 606

12.5 Controle de software operacional

Assegurar a integridade dos sistemas operacionais.

12.5.1 Instalação de software nos sistemas operacionais

Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados.

SIM SIM N4 –

Gerenciado

Incluir item 4.15 da NI 603 e excluir NI 650, 651, 652, 655 e 656.

12.6 Gestão de vulnerabilidades

técnicas

Prevenir a exploração de vulnerabilidades técnicas.

12.6.1 Gestão de vulnerabilidades técnicas

Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas em tempo hábil; convém com a exposição da organização a estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para lidar com os riscos associados.

SIM SIM N4 –

Gerenciado

NI 629 - Gestão de Risco em Segurança da Informação

12.6.2 Restrições quanto à instalação de software

Convém que sejam estabelecidas e implementadas regras definindo critérios para a instalação de software pelos usuários.

SIM SIM N4 –

Gerenciado

Item 4.15 da NI 603.


#pública







12.7 Considerações quanto à auditoria

de sistemas de informação

Minimizar o impacto das atividades de auditoria

nos sistemas operacionais.

12.7.1 Controles de auditoria de sistemas de informação

Convém que as atividades e requisitos de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio.

SIM SIM N2 –

Informal (Inicial)

Há uma preparação prévia e avisos com antecedência por parte da auditoria, mas não existe normatização a respeito.

13 S

eg

ura

nç

a n

as c

om

un

icaçõ

es

13.1 Gerenciamento da segurança em

redes

Garantir a proteção das informações em redes e

dos recursos de processamento da informação que os

apoiam.

13.1.1 Controles de redes

Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações.

SIM SIM N4 –

Gerenciado

NI609 Gerenciamento de Rede.

13.1.2 Segurança dos serviços de rede

Convém que mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.

SIM SIM N4 –

Gerenciado


13.1.3 Segregação de redes

Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes.

SIM SIM N4 –

Gerenciado


13.2 Transferência de informação

Manter a segurança da informação transferida

dentro da organização e com quaisquer entidades

externas.

13.2.1 Políticas e procedimentos para transferência de informações

Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação.

SIM SIM N4 –

Gerenciado

NI612 - Classificação e tratamento da Informação

13.2.2 Acordos para transferência de informações

Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.

SIM SIM N4 –

Gerenciado

NI612 - Classificação e tratamento da Informação

13.2.3 Mensagens eletrônicas

Convém que as informações que trafegam em mensagens

SIM SIM N4 –

Gerenciado NI 604 - Uso do correio eletrônico e NI 612 -


#pública







eletrônicas sejam adequadamente protegidas.

Classificação e tratamento da informação.

13.2.4 Acordos de confidencialidade e não divulgação

Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados.

SIM SIM N5 –

Otimizado

NI 600 v.06 para colaboradores BBTS. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.

14 A

qu

isiç

ão

, d

esen

vo

lvim

en

to e

man

ute

nç

ão

de s

iste

mas

14.1 Requisitos de segurança de sistemas de informação

Garantir que a segurança da informação é parte

integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços

sobre as redes públicas.

14.1.1 Análise e especificação dos requisitos de segurança da informação

Convém que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes.

SIM SIM N4 –

Gerenciado

NI 652 e NI 653 somente.

14.1.2 Serviços de aplicação seguros em redes públicas

Convém que as informações envolvidas nos serviços de aplicação que transitam sobre redes públicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas.

SIM SIM N4 –

Gerenciado

NI 603, NI 612 somente.

14.1.3 Protegendo as transações nos aplicativos de serviços

Convém que informações envolvidas em transações nos aplicativos de serviços sejam protegidas para prevenir transmissões incompletas, erros de roteamento, alteração não autorizada da mensagem, divulgação não autorizada, duplicação ou reapresentação da mensagem não autorizada.

SIM SIM N4 –

Gerenciado

NI 607 e NI 609.

14.2 Segurança em processos de

desenvolvimento e de suporte

Garantir que a segurança da informação está

projetada e implementada no desenvolvimento do

14.2.1 Política de desenvolvimento seguro

Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos

SIM SIM N4 –

Gerenciado

NI 641 e NI 645.


#pública







ciclo de vida dos sistemas de informação.

realizados dentro da organização.

14.2.2 Procedimentos para controle de mudanças de sistemas

Convém que as mudanças em sistemas no ciclo de vida de desenvolvimento sejam controladas utilizando procedimentos formais de controle de mudanças.

SIM SIM N4 –

Gerenciado

NI 652 v.00

14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais

Quando plataformas operacionais forem modificadas, convém que as aplicações críticas de negócio sejam analisadas criticamente e testadas para assegurar que não ocorreu nenhum impacto adverso nas operações da organização ou na segurança.

SIM SIM N4 –

Gerenciado

NI 652 v.00

14.2.4 Restrições sobre mudanças em pacotes de Software

Convém que modificações em pacotes de software sejam desencorajadas e estejam limitadas às mudanças necessárias, e todas as mudanças sejam estritamente controladas.

SIM SIM N4 –

Gerenciado

NI 652 v.00

14.2.5 Princípios para projetar sistemas seguros

Convém que princípios para projetar sistemas seguros sejam estabelecidos, documentados, mantidos e aplicados para qualquer implementação de sistemas de informação.

SIM SIM N4 –

Gerenciado

NI 641 v.00, NI 642 v.11 e NI 645 v.00

14.2.6 Ambiente seguro para desenvolvimento

Convém que as organizações estabeleçam e protejam adequadamente ambientes de desenvolvimento seguros para os esforços de desenvolvimento e integração de sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema.

SIM SIM N4 –

Gerenciado

NI 641 v.00, NI 642 v.11 e NI 645 v.00 NI 306?


#pública







14.2.7 Desenvolvimento terceirizado

Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado.

SIM SIM N4 –

Gerenciado

NI 642 v.11

14.2.8 Teste de segurança do sistema

Convém que os testes de funcionalidades de segurança sejam realizados durante o desenvolvimento de sistemas.

SIM SIM N4 –

Gerenciado

NI 641 v.05

14.2.9 Teste de aceitação de sistemas

Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos sistemas de informação, atualizações e novas versões.

SIM SIM N4 –

Gerenciado

NI 641 v.05

14.3 Dados para teste

Assegurar a proteção dos dados usados para teste.

14.3.1 Proteção dos dados para teste

Convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados.

SIM SIM N4 –

Gerenciado

NI 675 v.03

15 R

ela

cio

nam

en

to n

a c

ad

eia

de

su

pri

men

to

15.1 Segurança da informação na

cadeia de suprimento.

Garantir a proteção dos ativos da organização que

são acessíveis pelos fornecedores

15.1.1 Política de segurança da informação no relacionamento com os fornecedores

Convém que os requisitos de segurança da informação para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organização sejam acordados com o fornecedor e documentados.

SIM SIM N4 –

Gerenciado

NI 612 v.04. NI 619 v.05 Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.

15.1.2 Identificando segurança da informação nos acordos com fornecedores

Convém que todos os requisitos de segurança da informação relevantes sejam estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover componentes de infraestrutura de TI para as informações da organização.

SIM SIM N4 –

Gerenciado

NI 612 v.04. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.


#pública







15.1.3 Cadeia de suprimento na tecnologia da comunicação e informação

Convém que acordos com fornecedores incluam requisitos para contemplar os riscos de segurança da informação associados com a cadeia de suprimento de produtos e serviços de tecnologia das comunicações e informação.

SIM SIM N4 –

Gerenciado

NI 612 v.04. NI 642 v.11 Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.

15.2 Gerenciamento da entrega do

serviço do fornecedor

Manter um nível acordado de segurança da

informação e de entrega de serviços em

consonância com os acordos com fornecedores.

15.2.1 Monitoramento e análise crítica de serviços com fornecedores

Convém que a organização monitore, analise criticamente e audite a intervalos regulares, a entrega dos serviços executados pelos fornecedores.

SIM SIM N4 –

Gerenciado

NI642, NI408, NI412, PRO412-008 e PRO413-001.

15.2.2 Gerenciamento de mudanças para serviços com fornecedores

Convém que mudanças no provisionamento dos serviços pelos fornecedores, incluindo manutenção e melhoria das políticas de segurança da informação, dos procedimentos e controles existentes, sejam gerenciadas, levando-se em conta a criticidade das informações do negócio, dos sistemas e processos envolvidos, e a reavaliação de riscos.

SIM SIM N4 –

Gerenciado

NI642, NI408, NI412, PRO412-008 e PRO413-001.

16 G

estã

o d

e in

cid

en

tes d

e

seg

ura

nça d

a i

nfo

rmação

16.1 Gestão de incidentes de segurança da informação e

melhorias

Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação

sobre fragilidades e eventos de segurança da

informação.

16.1.1 Responsabilidades e procedimentos

Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.

SIM SIM N4 –

Gerenciado

Grupo ETIR-BBTS definido na NI 625 v.04 é o responsável pela avaliação dos riscos de SI.

16.1.2 Notificação de eventos de segurança da informação

Convém que os eventos de segurança da informação sejam relatados através dos canais apropriados da direção, o mais rapidamente possível.

SIM SIM N4 –

Gerenciado

Item 4.4.5.3 da NI 625 v.04


#pública







16.1.3 Notificando fragilidades de segurança da informação

Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização, sejam instruídos a notificar e registrar quaisquer fragilidades de segurança da informação, observada ou suspeita, nos sistemas ou serviços.

SIM SIM N3 –

Organizado

Orientar os colaboradores a comunicar fragilidades de SI e qual canal utilizar.

16.1.4 Avaliação e decisão dos eventos de segurança da informação

Convém que os eventos de segurança da informação sejam avaliados e seja decidido se eles são classificados como incidentes de segurança da informação.

SIM SIM N4 –

Gerenciado

Grupo ETIR-BBTS definido na NI 625 v.04 avalia e define a criticidade do evento.

16.1.5 Resposta aos incidentes de segurança da informação

Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos documentados.

SIM SIM N4 –

Gerenciado

Grupo ETIR-BBTS definido na NI 625 v.04 avalia e reporta incidentes de SI.

16.1.6 Aprendendo com os incidentes de segurança da informação

Convém que os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros.

SIM SIM N4 –

Gerenciado

Grupo ETIR-BBTS definido na NI 625 v.04 documenta e divulga os relatórios advindos de um incidente de SI.

16.1.7 Coleta de evidências

Convém que a organização defina e aplique procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.

SIM SIM N4 –

Gerenciado

Grupo ETIR-BBTS definido na NI 625 v.04 tem responsabilidade sobre todo o ciclo de vida de um incidente de SI.

17 A

sp

ecto

s d

a

seg

ura

nça d

a

info

rmação

na

ge

stã

o d

a

co

nti

nu

ida

de d

o

ne

gó

cio

17.1 Continuidade da segurança da

informação

Convém que a continuidade da

segurança da informação seja contemplada nos sistemas de gestão da

continuidade do negócio da organização.

17.1.1 Planejando a continuidade da segurança da informação

Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.

SIM SIM N5 –

Otimizado

NI 905 v.04 NI 629 v.05


#pública







17.1.2 Implementando a continuidade da segurança da informação

Convém que a organização estabeleça, documente, implemente e mantenha processos, procedimentos e controles para assegurar o nível requerido de continuidade para a segurança da informação, durante uma situação adversa.

SIM SIM N5 –

Otimizado

NI 905 v.04 NI 629 v.05

17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação

Convém que a organização verifique os controles de continuidade da segurança da informação, estabelecidos e implementados, a intervalos regulares, para garantir que eles são válidos e eficazes em situações adversas.

SIM SIM N5 –

Otimizado

NI 905 v.04 NI 629 v.05 Revisão das normas internas anualmente.

17.2 Redundâncias

Assegurar a disponibilidade dos


informação.

17.2.1 Disponibilidade dos recursos de processamento da informação

Convém que os recursos de processamento da informação sejam implementados com redundância suficiente para atender aos requisitos de disponibilidade.

SIM SIM N5 –

Otimizado

NI 607 v.03 e NI 627 v.02

18 C

on

form

idad

e

18.1 Conformidade com requisitos

legais e contratuais

Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou

contratuais relacionadas à segurança da informação e de quaisquer requisitos

de segurança.

18.1.1 Identificação da legislação aplicável e de requisitos contratuais

Convém que todos os requisitos legislativos estatutários, regulamentares e contratuais pertinentes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.

SIM SIM N4 –

Gerenciado

Para a criação e revisão da Política de Segurança da Informação e seus documentos são utilizados os requisitos legais da ABNT, DSIC (Departamento de Segurança da Informação e Comunicações) e Banco do Brasil.

18.1.2 Direitos de propriedade intelectual

Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade intelectual, e sobre o uso de

SIM SIM N4 –

Gerenciado

Política de Segurança da Informação, NI627 (Gerenciamento de Backup e Armazenamento das Informações).


#pública







produtos de software proprietários.

18.1.3 Proteção de registros

Convém que registros sejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.

SIM SIM N5 –

Otimizado

NI 627 v.03.

18.1.4 Proteção e privacidade de informações de identificação pessoal

Convém que a privacidade e proteção das informações de identificação pessoal sejam asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável.

SIM SIM N5 –

Otimizado

NI 612 v.05

18.1.5 Regulamentação de controles de criptografia

Convém que controles de criptografia sejam usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.

SIM SIM N5 –

Otimizado

NI 612 v.05

18.2 Análise crítica da segurança da

informação

Assegurar que a segurança da informação

esteja implementada e operada de acordo com

as políticas e procedimentos da

organização.

18.2.1 Análise crítica independente da segurança da informação

Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, objetivo dos controles, controles, políticas, processos e procedimentos para a segurança da informação) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas.

SIM SIM N4 –

Gerenciado

A periodicidade de revisão da Política de Segurança é de um ano, onde são revisados todos os seus documentos, quando da existência de fatos relevantes a revisão é realizada prontamente.


#pública







18.2.2 Conformidade com as políticas e procedimentos de segurança da informação

Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informação, dentro das suas áreas de responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação.

SIM SIM N4 –

Gerenciado

A Política de Segurança da Informação, e o Check list de Segurança da Informação.

18.2.3 Análise crítica da conformidade técnica

Convém que os sistemas de informação sejam analisados criticamente, a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação da organização.

SIM SIM N5 –

Otimizado

Definido na PSI que as revisões devem ocorrer pelo menos uma vez ao ano.

N1 – Inexistente Não existe nenhum processo relativo ao item.

N2 – Informal (Inicial) Existe um processo relativo ao item, porém não existe a formalização do processo, mas os envolvidos demonstram conhecer o processo.

N3 – Organizado Existe a formalização do processo e este é conhecido e disponibilizado a todos os envolvidos no processo.

N4 – Gerenciado Existe um processo formal e conhecido por todos os envolvidos. Além disso, o processo é controlado por indicadores de avaliação.

N5 – Otimizado

Existe um processo formal e com indicadores de acompanhamento. Além disso, o processo é submetido periodicamente à reavaliação para melhoria contínua.


#pública


12.5 Riscos de TI

1- REMOTO 1 - INSIGNIFICANTE

2- IMPROVÁVEL 2 - BAIXO

3 - POSSÍVEL 3 - MODERADO

4 - PROVÁVEL 4 - ELEVADO

5 - QUASE CERTO 5 - CRÍTICO

Habilidade e

conhecimentos

específicos

necessários à

realização de tarefas

PESSOAS 1 2

Compatibilização das

demandas de trabalho

à capacidade

operacional e à

jornada de trabalho

PESSOAS 2 3

Indisponibilidade de

equipamentos de

trabalho tais como:

Computadores,

periféricos, sistemas

operacionais -

software básico,

programas de

escritório - software de

apoio - e programas

aplicativos de

provedores externos .

SISTEMAS 2 3

Impossibilidade de

acesso ao local de

trabalho (Ex.: greve de

funcionários,

enchentes na cidade,

acidentes nas vias de

trânsito, grandes

eventos bloqueando

acessos nas vias de

trânsito)

EVENTOS

EXTERNOS3 3

Ris

co

s G

en

éri

co

s

SU

BP

RO

CE

SS

O

OBJETIVO DO

SUBPROCESSO

PRINCIPAIS RISCOS

OPERACIONAISCAUSA DO RISCO

FONTE DO

RISCO

AVALIAÇÃO DO RISCO

PROBABILIDADE IMPACTO


#pública







Atu

ali

za

çã

o e

Co

bra

nç

a d

as

Aç

õe

s d

o P

DT

I

Acompanhar o

progresso das

ações e

indicadores do

PDTI.

Transmitir uma

informação errada para

a Administração

Dar uma ação como

concluída sem

evidência

/confirmação.

PROCESSOS 3 3

No

va

s C

on

tra

taç

õe

s

Contratar Novas

Soluções de TI

necessários às

atividades

desenvolvidas

pelas áreas da

BBTS

Atrasar ou impedir o

desenvolvimento das

atividades que

dependem da nova

solução de TI

Demora no

procedimento de

aquisição da

contratação.

PROCESSOS 2 3

No

rma

tiza

çã

o d

a S

eg

ura

nç

a d

a I

nfo

rma

çã

o n

a

Em

pre

sa

.

Documentação

das Orientações /

Legislações /

Recomendações

de Segurança da

Informação na

Empresa.

Descumprimento das

leis e normas

regulamentares

- Não cumprimentos

das Orientações /

Legislações /

Recomendações

estabelecidas

- Não cumprimento dos

prazos estabelecidos

para a criação e

publicação das

normas.

PROCESSOS 1 4

Fo

rmu

lar

Es

tra

tég

ia d

a D

ITE

C

Alinhar a

Estratégia de TI à

Estratégia

Corporativa

Estratégia de TI

apresenta desvios em

relação a Estratégia

Corporativa

Falha na Definição dos

Objetivos de TI ou

Objetivos de TI estão

incompletos ou não

relacionados com

alguma Iniciativa

Estratégica

PROCESSOS 1 5

FONTE DO

RISCO



SU

BP

RO

CE

SS

O

OBJETIVO DO

SUBPROCESSO

PRINCIPAIS RISCOS



#pública







Ge

stã

o d

o P

ET

I

Acompanhar a

execução do

Planejamento e

sua

transformação

até o próximo

ciclo de revisão,

informar os

gestores, e,

tomar medidas

corretivas quando

necessário

Objetivos estratégicos

de TI não atingem suas

metas

Recursos insuficientes

para atendimento das

demandas

PESSOAS 3 4

Ge

stã

o d

o P

DT

I

Acompanhar a

execução do

Planejamento e

sua

transformação

até o próximo

ciclo de revisão,

informar os

gestores, e,

tomar medidas

corretivas quando

necessário

Planejamento

tático/operacional de TI

apresenta desvios do

planejamento

estratégico de TI.

Falha no alinhamento

estratégico

operacional entre PETI

e PDTI

PROCESSOS 1 5

Ca

pa

cit

aç

ão

de

pe

ss

oa

l

Desenvolvimento

profissional

Falta de

conhecimentos /

habilidades

necessários no projeto

Recursos não

capacitados ou sem

competência para

atendimento das

demandas

PESSOAS 4 1

Pa

dro

niz

aç

ão

/ M

eto

do

log

ia

Utilização de

melhores práticas

Falta de metodologia

efetiva de

gerenciamento de

projetos

Falta de maturidade

para desenvolvimento

do processo

PROCESSOS 2 3

Re

cu

rso

s

Dimensionamento

dos recursos

Ferramentas impróprias

para o

desenvolvimento

Não aquisição de

ferramenta apropriadaSISTEMAS 2 2


SU

BP

RO

CE

SS

O

OBJETIVO DO

SUBPROCESSO

PRINCIPAIS RISCOS


FONTE DO

RISCO



#pública


12.6 Riscos de Segurança da Informação

PR

OC

ES

SO

SU

BP

RO

CE

SS

O

OBJETIVO DO SUBPROCESSO

12.6- Matriz de Risco de segurança da Informação (FQ629) APETITE AO

RISCO

CA

TE

GO

RIA

S D

E

AM

EA

ÇA

S

PRINCIPAIS AMEAÇAS

VULNERABILIDADES CONHECIDAS

CONSEQUÊNCIAS

AVALIAÇÃO DE RISCOS

RESPOSTA AO RISCO

IMPACTO PROBABILIDADE

NÍVEL DO

RISCO

AVALIAÇÃO

RB -RISCO BAIXO 1 - INSIGNIFICANTE 1- REMOTO

2 - BAIXO 2- IMPROVÁVEL RM - RISCO MODERADO

ACEITAR

3 - MODERADO 3 - POSSÍVEL TRANSFERIR

4 - ELEVADO 4 - PROVÁVEL RA - RISCO ALTO

MINIMIZAR

5 - CRÍTICO 5 - QUASE CERTO EVITAR

Gestã

o d

e C

on

trato

s

Gestã

o d

e C

on

trato

s

Realizar a gestão de contratos no que tange: o

acompanhamento da validade e da qualidade

dos contratos de TI, mantendo em execução os serviços contratados

pela GPG e assegurando o cumprimento do que foi

estabelecido contratualmente;

assessoria às áreas da BBTS na contratação de

novas soluções de TI.

Fa

lha

Hum

ana

Problemas com fornecedores e terceiros (que

causem impacto à

confidencialidade, integridade ou disponibilidade

dos dados e informações da

empresa)

Renovação de serviços que no momento não atendam aos normativos internos de

segurança

Vazamento de informações

sensíveis

4 4 44 RA MINIMIZAR

Quebra unilateral de contrato por parte do fornecedor

(Impacto na disponibilidade dos serviços prestados)

Paralização parcial ou total dos

serviços prestados, causando impacto na disponibilidade ou integridade das

informações e sistemas da

empresa ou de terceiros

Interrupção dos serviços prestados devido ao atraso

na resposta das áreas usuárias sobre a necessidade da manutenção dos contratos

próximos ao vencimento

Contratação de serviços que possuam histórico de

ocorrência de falhas de segurança

Perda de dados

Defi

niç

ão

da

s d

iretr

izes d

e

Seg

ura

nça d

a In

form

ação

No

rmati

zação

da

Seg

ura

nça d

a

Info

rmação

na E

mp

resa

Elaboração da Documentação das

Orientações / Legislações / Recomendações de

Segurança da Informação na Empresa.

Deficiê

ncia

s

Org

aniz

acio

nais

Conhecimento insuficiente das

políticas, normas e procedimentos

de segurança

Usuários não cumprem os preceitos observados nos

normativos de SIC, levando à perda dos preceitos de

confidencialidade, integridade e disponibilidade de

Segurança da Informação

Perda dos preceitos de

confidencialidade, integridade e

disponibilidade de Segurança da

Informação

4 4 44 RA MINIMIZAR

Falta de Pessoal Taxa de turnover elevada

Não cumprimento dos prazos

estabelecidos para a criação e

publicação das normas

4 4 44 RA MINIMIZAR

Falta de expertise dos colaboradores

Falta de conhecimento da


#pública


legislação vigente na qual a norma se

baseia

Falha na execução de procedimentos

relacionados à segurança da

informação

Pla

neja

men

to E

str

até

gic

o d

e T

I

Gestã

o d

o P

ET

I (p

lan

eja

men

to e

str

até

gic

o

de

TI)

e d

o P

DT

I (p

lan

o d

ireto

r d

e T

I)

Colher subsídios para o Alinhamento entre a

Estratégia Corporativa e o PETI. Traduzir o

conjunto de elementos estratégicos formulados

em produtos mensuráveis (objetivos) e nas

condições (necessidades) para

obtê-los. Acompanhar a execução do

Planejamento e sua transformação até o

próximo ciclo de revisão, informar os gestores, e,

tomar medidas corretivas quando necessário.

Deficiê

ncia

s

Org

aniz

acio

nais

Falta de Pessoal Falta de conhecimento dos

colaboradores em SIC




Informação relacionados ao

processo

4 4 44 RA MINIMIZAR

Gerê

nc

ia d

e P

roje

tos

Le

van

tam

en

to d

as

ne

cessid

ad

es

Identificação das necessidades de informações para

construção do projeto - Análise de Requisitos

Deficiê

ncia

sO

rganiz

aci

onais







processo

4 4 44 RA MINIMIZAR

Esp

ecif

icação

Especificação do software a ser desenvolvido,

preferencialmente de uma forma

matematicamente rigorosa

Deficiê

ncia

s

Org

aniz

acio

nais







processo

4 4 44 RA MINIMIZAR


políticas, normas

Falta de conhecimento dos colaboradores


confidencialidade, 4 4 44 RA MINIMIZAR


#pública


e procedimentos de segurança

integridade e disponibilidade de

Segurança da Informação

relacionados ao processo

Arq

uit

etu

ra Construção das

especificações detalhadas para o projeto selecionado (interfaces,

banco de dados, hardware, etc)

Danos

Inte

ncio

nais

Malware

Ausência de controle sobre uso de dispositivos de

armazenamento removível nas estações


sensíveis 5 3 53 RA MINIMIZAR

Gerê

nc

ia d

e P

roje

tos

Arq

uit

etu

ra Construção das


banco de dados, hardware, etc) F

alh

a H

um

ana

Descumprimento das políticas de

segurança

Falta de conhecimento dos colaboradores





processo

5 3 53 RA MINIMIZAR

Uso imprórpio dos recursos de

TI

Falta de expertise dos colaboradores

Perda de dados

5 3 53 RA MINIMIZAR

Danos à integridade dos

dados


sensíveis

Problemas com fornecedores e

terceiros

Falta de conhecimento das políticas de segurança da informação e regras de conduta por parte dos

fornecedores e terceiros que atuam na área

Perda de dados

5 3 53 RA MINIMIZAR


dados


sensíveis

Administração imprópria de

sistemas

Falta de documentação nos sistemas desenvolvidos

internos e externos

Atraso nas saídas do processo devido

aos erros de integração durante manutenções ou

melhorias, devido à falta de

informações

5 3 53 RA MINIMIZAR

Manipulação imprópria dos

dados e informações de

Concessão indevida de acessos aos sistemas e

bases de dados.

Perda de confidencialidade

dos dados do projeto ou processo

5 3 53 RA MINIMIZAR


#pública


sistemas e processos

Deficiê

ncia

s

Org

aniz

acio

nais

Acesso não autorizado a

ambiente restrito

Medidas de controle de acesso insuficientes

Presença de funcionarios e terceiros não autorizados e

desacompanhados fora do horário do

expediente

5 3 53 RA MINIMIZAR

Uso não autorizado de

direitos

Não remoção permissão de acessos dos colaboradores

ao mudar de função

Perda de confidencialidade

dos dados do projeto ou processo

5 3 53 RA MINIMIZAR

Falha na gestão de processos

Falta de procedimentos e conhecimento

Impacto na entrega dos produtos

5 3 53 RA MINIMIZAR







processo

5 4 54 RA MINIMIZAR


políticas, normas e procedimentos

de segurança

Não realização de treinamentos em segurança da informação por parte dos

colaboradores





processo

5 4 54 RA MINIMIZAR

Gerê

nc

ia d

e P

roje

tos

Arq

uit

etu

ra Construção das


banco de dados, hardware, etc) Fa

lhas T

écnic

as

Falha da infraestrutura de

rede e comunicações

Pontos de rede ativos expostos em baias vazias,

permitindo que colaboradores ou terceiros utilizem

equipamentos infectados na rede

Perda de dados

5 4 54 RA MINIMIZAR


dados


sensíveis

Falha na infraestrutura

elétrica

Colaboradores da área trabalhando em locais que não possuem infraestrutura elétrica adequada (falta de nobreak, gerador e rede

estabilizada)

Perda de dados

5 4 54 RA MINIMIZAR


dados

Atraso nas saídas do processo


#pública


Falha de hardware

Falta de manutenção e atualização periódica de

hardware das estações de trabalho

Perda de dados

5 3 53 RA MINIMIZAR Configuração de hardware insuficiente ou incompatível com as tarefas realizadas

pela equipe


dados

Paralização parcial ou total do processo

Vulnerabilidade de hardware

Firmware desatualizado (roteadores e switches)

Perda de dados

5 3 53 RA MINIMIZAR

Firmware desatualizado (hardware de servidores)


dados

Falha de software

Configuração inadequada do serviço de atualização do sistema operacional das estações, que as reinicia automaticamente ao após

aplicar patches, sem qualquer aviso ou interação do usuário

Perda de dados

5 3 53 RA MINIMIZAR Danos à

integridade dos dados

Vulnerabilidade de software

Uso de ferramentas não homologadas ou não

licenciadas adequadamente

Perda de dados 5 3 53 RA MINIMIZAR Atraso nas saídas

do processo

Documents

Anexo V NT 2016/558 - bbtecno.com.br · Anexo V – NT 2016/558 PETI ... as iniciativas de TI a partir das quais deverão ser definidas ações no Plano Diretor de Tecnologia da Informação