PLANO DIRETOR DE TI - 2009-13 – RELATÓRIO FINAL 1ª, 2ª E ... Final_JBRJ.pdf · (CMMI, MPS-Br, PMI, ISO’s, COBIT e ITIL), bem como as Instruções Normativas e Recomendações

PLANO DIRETOR DE TI - 2009-13 – RELATÓRIO FINAL 1ª, 2ª E 3ª ONDAS – CONFIDENCIAL PLANO DIRETOR DE TI - 2009-13 – RELATÓRIO FINAL 1ª, 2ª E 3ª ONDAS – CONFIDENCIAL

DOCUMENTO PARA DISCUSSÃO Página 2 de 93

VERSÃO FINAL08-04-2009


ÍNDICE

1 – APRESENTAÇÃO .............................................................................................................................................. 5

1.1PREMISSAS ...................................................................................................................................................... 6

1.2DIAGNÓSTICO DE TI ........................................................................................................................................ 6

2 – IMPLEMENTAÇÃO DO PDI EM 3 ONDAS .......................................................................................................... 8

3 – AÇÕES RECOMENDADAS PARA AS 1ª, 2ª e 3ª ONDAS ................................................................................. 10

3.1 GOVERNANÇA .............................................................................................................................................. 10

3.2 GESTÃO E PROCESSOS DE TI ....................................................................................................................... 15

3.3 ESTRUTURA ORGANIZACIONAL E RECURSOS HUMANOS ...................................................................... 21

3.4 SERVIÇOS PRESTADOS ................................................................................................................................ 25

3.5 RECURSOS TECNOLÓGICOS & SEGURANÇA DA INFORMAÇÃO .................................................................. 37

4 – RESUMO DOS CUSTOS DOS PROJETOS DO PDI ........................................................................................... 49

5 – RESUMO DAS AÇÕES PRIORITÁRIAS ............................................................................................................ 51

ANEXO 1 - DIAGNÓSTICO DA MATURIDADE DOS PROCESSOS DE GERENCIAMENTO DE SERVIÇOS DE TI ( ITILV2) ............................................................................................................................................................... 52

ANEXO 2- DIAGNÓSTICO DA MATURIDADE DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO(ISO/IEC 27001) ............................................................................................................................. 59

ANEXO 3 - ANÁLISE DE VULNERABILIDADES DOS SERVIDORES .............................. 64

ANEXO 4 - MACRO-PROCESSOS DE TIC ............................................................................... 74

ANEXO 5 – TREINAMENTOS DOS USUÁRIOS DE TI ............................................................................................ 80

ANEXO 6– PALESTRA PARA A ALTA ADMINISTRAÇÃO ...................................................................................... 81

ANEXO 7 – COMITÊ EXECUTIVO DE TI (CETI) ................................................................................................... 82

ANEXO 8 – USUÁRIO “GESTOR DE SISTEMAS” ................................................................................................. 83



ANEXO 9 – PROPOSTA DE ESTRUTURA ORGANIZACIONAL PARA TIC ............................................................. 84

ANEXO 10 – PROPOSTA DE ESTRUTURA ORGANIZACIONAL PARA TIC ........................................................... 85

............................................................................................................................................................................. 85

ANEXO 11 – OS 5 PRINCÍPIOS BÁSICOS PARA ATUAÇÃO DE TI (CLÁUSULAS PÉTREAS) ............................... 86

ANEXO 12 – CRONOGRAMA DOS PROJETOS ..................................................................................................... 88

ANEXO 13 – CUSTOS ANUAIS DE TI (PROJETOS + MANUTENÇÃO DE SISTEMAS) ........................................... 89

ANEXO 14 – PRIORIDADE DOS PROJETOS - SISTEMAS ..................................................................................... 90

ANEXO 15 – GRUPO DE GESTÃO DE MUDANÇAS ............................................................................................... 91

ANEXO 16 – TREINAMENTO DOS USUÁRIOS E TI - SISTEMAS .............................................................. 92

ANEXO 17– ESPECIFICAÇÃO DOS PROJETOS ......................................................................................... 93

ANEXO 18 – POLITICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO ............................................ 93



1 – APRESENTAÇÃO

Este relatório encaminha JBRJ, proposta de Plano de Ação para as 1ª., 2ª. e 3ª. Ondas do Plano Diretor de TI (PDTI) para o período 2009-13/14.

O Plano de Ação proposto abrange os seguintes aspectos de TI:

a. Modelo de Governança – exercida pela alta administração e usuários – define o que fazer - envolve as questões referentes aos Objetivos de TI e ao processo decisório para aprovação, pela direção do JBRJ, de recursos, priorização e acompanhamento de planos e projetos relevantes.

b. Modelo de Gestão – exercida pela gerência de TI – define como fazer - abrange aspectos referentes aos padrões, ferramentas e metodologias utilizadas por TI no desenvolvimento, manutenção e operação dos sistemas, assim como na prestação dos demais serviços de TI.

c. Estrutura Organizacional/ Recursos Humanos – abrange questões relativas à adequação da estrutura organizacional de TI às necessidades do negócio e trata de aspectos relativos à capacitação, motivação e perfil dos profissionais de TI e principais usuários.

d. Serviços Prestados – envolve a adequação tecnológica e às necessidades do negócio de todos os serviços prestados por TI à organização, incluindo Sistemas de Aplicações, Ferramentas de Escritório, etc.

e. Recursos Tecnológicos - trata de questões referentes à arquitetura tecnológica (hardware e software) para atendimento às necessidades da empresa.

f. Segurança da Informação – abrange a segurança das informações e dos recursos tecnológicos pela empresa. Inclui aspectos relativos à confidencialidade e integridade das informações, assim como integridade dos recursos tecnológicos e garantia de continuidade das operações da empresa (Plano de Contingência).



1.1 PREMISSASNa elaboração do PDTI para o JBRJ foi considerado os principais “frameworks” adotados pelas organizações de TI (CMMI, MPS-Br, PMI, ISO’s, COBIT e ITIL), bem como as Instruções Normativas e Recomendações para a Administração Pública Federal, relativas à atividade da Tecnologia da Informação (TI).

1.2 DIAGNÓSTICO DE TI

O Diagnóstico de TI foi apresentado em dois relatórios separados e entregues à TI anteriormente, entretanto, para permitir a associação dos diversos tópicos abordados com o Plano de Ação proposto, o diagnóstico de cada dimensão é repetido no atual documento, antecedendo o correspondente plano de ação..

O Diagnóstico de TI pode ser sumarizado em dois pontos:

PONTOS FORTES

Corpo gerencial com bom conhecimento do negócio e comprometido com os objetivos empresariais; Usuários reconhecem a importância de TI para o alcance dos objetivos do JBRJ; O empenho dos profissionais de TI na busca do atendimento das demandas dos usuários.

PONTOS FRACOS

Falta alinhamento entre os objetivos e metas do JBRJ com a de TI; Falta de Modelo de Governança e Gestão de TI, agravada pela cultura de gestão do Serviço Público; Iniciativas de prestação de serviços de TI (internamente e por terceiros) , em nível das áreas, sem existência

de Políticas, Procedimentos, Métodos e Padrões de TI; Sistemas implementados de forma incompleta e sem integração, gerando re-trabalho e ineficácia operacional;



Falta a prática de Planejamento, Gestão de Projetos, Padrões, Métodos e Procedimentos em TI; Estrutura de TI e localização física da área de TI inadequada para o atendimento ao JBRJ; Rotatividade expressiva da alta administração; Infraestrutura subdimensionada para as atuais e futuras demandas de TI; Falhas na Segurança da Informação.



2 – IMPLEMENTAÇÃO DO PDI EM 3 ONDASConsiderando o volume e a complexidade dos problemas identificados, as ações propostas foram ordenadas em 3 ondas:

1ª. Onda – duração 12 meses - ações emergenciais e as de curto prazo (até Março/2010) visando criar condições básicas para o início da implementação do PDTI

2ª. Onda – duração 24 meses - ações que deverão ser deflagradas de Abril/2010 até Março/2012, visando reforçar as condições para maior eficiência / eficácia de TI

3ª. Onda – duração 24 meses - ações que deverão ser deflagradas de Abril/2012 a Março2014, visando melhorar nível de serviços aos clientes internos e externos e da segurança



OBJETIVOS DAS 3 ONDAS

1ª Criar condições mínimas para o início da implementação do PDI

3ª Melhorar nível de serviços aos clientes internos e externos e da segurança

2ª Reforçar as condi-ções para maior efici-ência / eficácia de TI

Abr’ 2010

Abr’2012

Mar’2014

1. Solução dos problemas críticos de Governança, Gestão, RH/Estrutura, Segurança e Infra-estrutura

2. Priorização da demanda3. Inicio da implementação da Política de Segurança4. Atingir resultados em curto prazo para fortalecer o senso de realização

1. Melhoria nos sistemas atuais2. Implementação de ferramentas de produtividade 3. Ampliação da Política de Segurança4. Otimização da infra-estrutura atual5. Ampliação da metodologia de desenvolvimento de sistemas, gestão de projetos e

contratação de produtos & serviços visando se preparar para o novo modelo de terceirização

6. Inicio do novo modelo de terceirização7. Inicio dos novos projetos de sistemas

1. Estabelecimento de indicadores e metas de desempenho para TI2. Fortalecimento da Gestão de Projetos3. Ampliação dos projetos de sistemas4. Ampliação do modelo de terceirização (introdução de SLA’s)5. Plano de Continuidade de Negócios pleno

1ª ONDA2ª ONDA

3ª ONDA

Abr’2009

NOSSO FUTURO:• BOAS PRÁTICAS EM

GOVERNANÇA & GESTÃO• PLATAFORMA WEB• RETENÇÃO DA

INTELIGÊNCIA• TERCEIRIZAÇÃO

“COMMODITIES”



3 – AÇÕES RECOMENDADAS PARA AS 1ª, 2ª e 3ª ONDAS

3.1 GOVERNANÇA

A Governança de TI tem como objetivo primordial definir, com base nas necessidades do negócio, o que TI deve fazer. A adequada Governança permite a alta administração tomar as melhores decisões, assegurar serviços e funcionalidades e proteger os recursos de TI.

Diagnóstico

FOCO DIAGNÓSTICO DETERMINANTES (causas) IMPACTOS (efeitos)

PARTICIPAÇÃO DA ALTA ADMINISTRAÇÃO NA GOVERNANÇA DE TI

Pouco envolvimento da alta administração na seleção, priorização, aprovação, planejamento e acompanhamento dos projetos relevantes de TI da instituição.

• Baixo entendimento da Alta Administração na forma de atuação e gestão de TI numa organização;

• Ausência de processo institucional que formalize o envolvimento conjunto da alta administração na seleção, priorização, aprovação, planejamento, estudos de viabilidade e acompanhamento dos projetos da organização.

• Propicia iniciativas de solução isoladas das áreas, sem considerar as necessidades das outras áreas, implicando a utilização de recursos de forma não otimizada, redundância de trabalho e o não atendimento dos objetivos institucionais;

• Propicia um distanciamento entre as expectativas das áreas e as entregas de produtos e serviços por TI;

• Dificulta a implementação dos projetos pela falta de envolvimento da alta administração e de percepção pelos interessados da importância dos resultados para a instituição (Licitaweb).

Inexiste Políticas de TI, aprovadas pela Alta Administração, que definam

• Baixo entendimento da Alta Administração na forma de atuação e gestão de TI numa

• Propicia a iniciativa desordenada das áreas com relação a projetos e serviços de TI,



claramente a atuação de TI na instituição e o papel e responsabilidade dos usuários no processo.

organização;• Ausência de cultura no

estabelecimento de Políticas de TI.

criando condições para potencial insatisfação, prejuízos financeiros e despadronização institucional, em todos os aspectos.


PARTICIPAÇÃO DOS USUÁRIOS NA

GOVERNANÇA DE TI

• A priorização das necessidades das áreas é realizada de forma independente, sem consideração das metas e objetivos institucionais;

• Pouco envolvimento dos usuários no planejamento, na execução e no acompanhamento dos projetos e serviços de TI.

• Baixo entendimento da Gerência das principais áreas usuárias na forma de atuação e gestão de TI numa organização;

• Gerência das principais áreas usuárias não tem conhecimento suficiente dos objetivos e metas institucionais;

• Cada área prioriza suas próprias necessidades sem considerar as das outras áreas;

• A iniciativa de execução dos serviços, na prática, termina sendo realizada por TI;

• Ausência de processo formal que preveja o envolvimento dos gestores das principais áreas no planejamento, execução e acompanhamento dos serviços solicitados a TI;

• Baixa prática na instituição de trabalho em grupo e de colaboração inter-áreas;

• Inexiste um grupo composto pelos principais gestores usuários de TI para:o Recomendar à Diretoria

• Comprometimento dos usuários apenas com os projetos departamentais, propiciando a utilização de recursos de forma não otimizada, redundância de trabalho e o não atendimento de metas institucionais;

• Recursos de TI são alocados em serviços e projetos não prioritários pela ótica institucional;

• Prejuízo à eficiência/eficácia operacional e administrativa institucional pela implementação de funcionalidades com visão departamental;

• Controles fragilizados;• Perdas financeiras;• Falha de integração entre sistemas com

perda de produtividade e retrabalho entre departamentos.



políticas, projetos, aquisições, prioridades e alocação de recursos e investimentos;

o Avaliar as solicitações de serviços a TI e priorizá-las pela ótica corporativa;

o Acompanhar os serviços solicitados a TI, os planos aprovados pela Diretoria, os projetos relevantes e as recomendações para os desvios identificados.


AVALIAÇÃO DOS IMPACTOS DAS

MUDANÇAS NOS SISTEMAS

Embora exista, por iniciativa de TI, a avaliação dos impactos nas mudanças nos sistemas, não existe um processo formal e institucional para esse fim.

• Inexistência de um grupo composto nomeado pelos principais usuários dos sistemas, para avaliar e recomendar mudanças;

• Inexistência de um processo formal, aprovado pela alta administração.

• Ocorrência de erros e retrabalhos, pela não avaliação das mudanças solicitadas nos sistemas pelas áreas interessadas;

• Perda de eficácia nas operações das áreas afetadas pelos serviços / projetos solicitados;

• Não aproveitamento do potencial de utilização dos sistemas e dos dados por todas as áreas;

• Falha na integração.


GESTOR DOS SISTEMAS

Não existe a figura do “GESTOR DE SISTEMAS”, ou seja, usuário responsável por cada sistema em

• Inexistência de Política na instituição que defina o papel e as responsabilidades de TI e dos Usuários;

• A eficácia de atuação é dependente do estilo individual, podendo produzir resultados heterogêneos para o



desenvolvimento ou operação, visando o estabelecimento dos requerimentos, apoio aos projetos e serviços, homologação dos produtos elaborados por TI.

• Ausência de processo formal que preveja o envolvimento dos Usuários nas atividades de TI.

atendimento das necessidades empresariais;

• Alto risco dos produtos e serviços de TI não atenderem às expectativas dos usuários e de desperdício de recursos caros e raros.

APRECIAÇÃO DE TI PELOS USUÁRIOS

Existem muitos usuários com baixo conhecimento para definir e especificar aplicações e serviços para TI, bem como gerenciar a execução dos mesmos pela área usuária.

• Baixo entendimento dos usuários na forma participar nos projetos e serviços de TI;

• Falta de processos formais de TI;• Falta de treinamento dos usuários

sobre a definição, especificação e gestão da execução de aplicativos e serviços;

• Falta de cobrança de resultados relacionados com os objetivos das áreas usuárias dependentes de TI.

• Baixo aproveitamento do potencial dos serviços prestados por TI e o conseqüente desperdício de recursos da instituição;

• Aplicativos desenvolvidos sem o adequado atendimento das necessidades dos usuários.

Ações Propostas

GOVERNANÇATIPO

DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANT

AÇÃONo. DE HORAS

CUSTO (R$ mil)PROJETOS

1ª. O

ND

A GRUPO EXECUTIVO DE TI – CRIAR O COMITÊ EXECUTIVO DE TI (CETI) E NOMEAR OS SEUS MEMBROS, VISANDO ESTABELECER AS CONDIÇÕES PARA O ENVOLVIMENTO DA ALTA ADMINISTRAÇÃO E USUÁRIOS NA SELEÇÃO, PRIORIZAÇÃO, APROVAÇÃO, EXECUÇÃO E ACOMPANHAMENTO DOS PROJETOS E SERVIÇOS DE TI (vide ANEXO 7) .

Rotina Operacional Diretoria - 05/2009 - -

GESTOR DE SISTEMAS – CRIAR A FUNÇÃO DE GESTOR DE SISTEMAS E NOMEAR OS SEUS MEMBROS, VISANDO ESTABELER OS REQUERIMENTOS DOS SISTEMAS, APOIAR OS PROJETOS E SERVIÇOS E A HOMOLOGAÇÃO DOS PRODUTOS ELABORADOS POR TI (vide ANEXO 8).


POLITICAS DE TI – CRIAR, APROVAR E DIVULGAR AS POLITICAS DE TI: PAPEL E REPONSABILIDADES DE TI E USUÁRIOS, TERCEIRIZAÇÃO DE PROJETOS E SERVIÇOS, SEGURANÇA.

Rotina Operacional

TI recomenda

Diretoria aprova

- 07/2009 - -



GOVERNANÇA TIPO DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANT

No. DE HORAS

CUSTO (R$ mil)

APRECIAÇÃO DE TI II – EFETUAR PALESTRAS PARA A ALTA ADMINISTRAÇÃO VISANDO MELHORAR O ENTENDIMENTO SOBRE A GESTÃO E GOVERNANÇA DE TI(vide ANEXO 6).

Projeto TI 07/2009 08/2009 - 4,0

PROCESSO PARA SOLICITAÇÃO DE SERVIÇOS – IMPLEMENTAR PROCESSO BÁSICO PARA A SOLICITAÇÃO, PLANEJAMENTO, EXECUÇÃO, ACEITAÇÃO E ACOMPANHAMENTO DOS SERVIÇOS DE MANUTENÇÃO DE SISTEMAS E DE HARDWARE SOLICITADAS A TI PELOS USUÁRIOS.

Projeto TI 07/2009 09/2009 352 32,9

APRECIAÇÃO DE TI I – EFETUAR PALESTRAS E PROGRAMAS DE TREINAMENTO PARA TI E USUÁRIOS VISANDO MELHORAR: A COMUNICAÇÃO, A APRECIAÇÃO DE TI E A DIVULGAÇÃO DAS METAS INSTITUCIONAIS (vide ANEXO 5).

Projeto TI 10/2009 12/2009 -12,0(4

turmas)

GRUPO DE GESTÃO DE MUDANÇAS – CRIAR O GRUPO DE GESTÃO DE MUDANÇAS E NOMEAR OS SEUS MEMBROS VISANDO AVALIAR O IMPACTO DAS MUDANÇAS EM SISTEMAS APLICATIVOS, RECOMENDAR A SUA EFETIVAÇÃO E A PRIORIDADE. (vide ANEXO 15)


2ª. O

ND

A

PROCESSO PARA SOLICITAÇÃO DE SERVIÇOS – AMPLIAR O PROCESSO BÁSICO IMPLANTADO NA 1ª. ONDA, IMPLEMENTANDO INDICADORES DE DESEMPENHO E SLA’s .

Projeto TI 08/2010 10/2010 352 32,9

APRECIAÇÃO DE TI I – CONTINUAR A REALIZAÇÃO DE PALESTRAS E PROGRAMAS DE TREINAMENTO PARA TI E USUÁRIOS VISANDO MELHORAR: A COMUNICAÇÃO, A APRECIAÇÃO DE TI E A DIVULGAÇÃO D AS METAS INSTITUCIONAIS (vide ANEXO 5).

Projeto TI - 01/2011 - 12,0

PLANEJAMENTO DE TI –- REVER O PDTI VISANDO ADAPTÁ-LO AS MUDANÇAS DO NEGÓCIO E TECNOLÓGICAS

Rotina Operacional

Diretoria/ GETI - 07/2011 - -

3ª. O

ND

A

PROCESSO PARA SOLICITAÇÃO DE SERVIÇOS – AMPLIAR O PROCESSO IMPLANTADO NA 2ª. ONDA, IMPLEMENTANDO METAS DE DESEMPENHO E SLA’s . Projeto TI 11/2012 12/2012 352 32,9

DIAGNÓSTICO DE TIC – REALIZAR DIAGNÓSTICO DE TIC COM BASE NO FRAMEWORK DE GOVERNANÇA COBIT 4.1 Projeto

Diretoria/TI 01/2013 02/2013 739,2 69,2

APRECIAÇÃO DE TI I – CONTINUAR A REALIZAÇÃO DE PALESTRAS E PROGRAMAS DE TREINAMENTO PARA TI E USUÁRIOS VISANDO MELHORAR: A COMUNICAÇÃO, A APRECIAÇÃO DE TI E A DIVULGAÇÃO D AS METAS INSTITUCIONAIS (vide ANEXO 5).

Projeto TI - 04/2013 - 12,0

PLANEJAMENTO DE TI – REVER O PDI VISANDO ADAPTÁ-LO AS MUDANÇAS DO NEGÓCIO E TECNOLÓGICAS

Rotina Operacional

Diretoria/TI - 07/2013 - -

NOVO PDTI – FORMULAR NOVO PDI 2014-2018. ProjetoDiretoria/

TI 07/2013 09/2013 1060 99



3.2 GESTÃO E PROCESSOS DE TI

A Gestão de TI tem como objetivo primordial a gestão dos recursos humanos, tecnológicos e os processos necessários para implementar e operar projetos aprovados – basicamente decide como fazer. A boa gestão cria condições para que TI ofereça soluções de qualidade e com cumprimento dos prazos e custos acordados.

Diagnóstico


GESTÃO DE PROJETOS Os projetos de TI são:• Selecionados e priorizados

sem considerar critérios institucionais;

• Executados sem os adequados procedimentos de iniciação, planejamento, execução, controle e finalização;

• Executados sem o adequado envolvimento de todos os interessados internos e externos da instituição (stakeholders);

• Falta de cultura institucional em gestão de projetos;

• Não existe processo formal de gestão de projetos e que contemple:o Seleção dos projetos que

estejam alinhados ao planejamento estratégico;

o Priorização dos projetos de acordo com critérios estabelecidos;

o Preparação de estudos de viabilidade (business case) que subsidie o processo de aprovação dos projetos;

o Planejamento anual e aprovação individual dos projetos;

o Execução, controle e finalização dos projetos;

o Definição do modelo de

• Risco de não atendimento aos objetivos e metas da instituição pelos projetos;

• Risco de execução de projetos sem viabilidade técnica e financeira;

• Frustração institucional com os resultados dos projetos;

• Não comprometimento com escopos, custos e prazos.



gestão de projetos e do papel e responsabilidades de TI e dos interessados no processo;

o Atendimento dos projetos aos objetivos estabelecidos.


METODOLOGIA PARA SUPORTE AO CICLO DE

VIDA DOS PROJETOS DE DESENVOLVIMENTO

/ MANUTENÇÃO DE APLICATIVOS.

O processo de desenvolvimento de aplicativos (PHP, Fox, etc.) e a documentação não é padronizada, completa e atualizada.

• Inexistência de metodologia de apoio ao ciclo de vida do projeto que defina:o Quais as fases, etapas e

atividades do ciclo de desenvolvimento de sistemas;

o Quais os produtos obrigatórios para cada tipo de aplicativo;

o Qual o padrão dos produtos produzidos pelo processo;

o Qual o processo de testes e de aceitação dos produtos pelos usuários;

• Falta de recursos suficientes em TI;

• Falta de Padrões Técnicos para nortear o desenvolvimento de sistemas.

• Sistemas não atendem integralmente as necessidades dos usuários;

• Sistemas são implementados com problemas de qualidade, que impactam a eficiência operacional dos usuários;

• Risco institucional devido a dificuldades na manutenção dos sistemas, no prazo e na qualidade esperada.

FERRAMENTAS PARA GESTÃO DE PROJETOS,

APOIO AO DESENVOLVIMENTO DE

SISTEMAS E PARA A GESTÃO DA

MANUTENÇÃO DE

Não existem ferramentas para gestão de projetos, apoio ao desenvolvimento de sistemas e para gestão de manutenção

• Falta de recursos financeiros para adquirir, instalar e treinar os profissionais de TI;

• Falta de oportunidade de TI de recomendar, justificar e “vender” essas necessidades aos níveis

• Risco de não atendimento às necessidades da organização, aos prazos, custos e qualidade dos projetos e serviços de manutenção;

• Fragilidade na gestão das



SISTEMAS

mais altos da instituição. solicitações de serviços de manutenção, criando focos de insatisfação e perda de eficiência operacional dos usuários.

PADRONIZAÇÃO DE FERRAMENTAS LIVRE

Embora exista orientação para o uso de ferramentas livre pelos usuários (BrOffice), a sua utilização é baixa, prevalecendo o uso de MS-Office

• Falta de Política de uso de ferramentas e de envolvimento da alta administração no cumprimento da orientação;

• Falta de orientação e capacitação adequada por parte de TI para os usuários, cobrindo os principais aspectos de interesse dos usuários, incluindo os casos em a orientação poderá ser descumprida.

• Descumprimento de orientação governamental;

• Perda de recursos financeiros do JBRJ na aquisição de ferramentas.


TERCEIRIZAÇÃODE SERVIÇOS

Terceirização do desenvolvimento de aplicativos é utilizada, porém com processos deficientes de especificação de serviços, contratação, acompanhamento dos serviços e gestão das entregas.

• Inexistência de Política de Terceirização de Serviços;

• Inexistência de métodos e padrões para: especificação, contratação, métricas, gestão do projeto, aceitação dos serviços prestados e SLA (metas de desempenho e processo de monitoramento) para serviços terceirizados;

• Freqüente exposição dos usuários com fornecedores sem o adequado apoio de TI;

• Pouco envolvimento de TI na contratação e acompanhamento dos trabalhos.

• Qualidade dos serviços de terceiros comprometida pela falta de formalização do escopo e aprovação das especificações;

• Dependência do fornecedor, com riscos às atividades operacionais da empresa;

• Alto risco de que os serviços prestados não atendam as expectativas da instituição.




GERENCIAMENTO DE SERVIÇOS DE TI

O Gerenciamento dos serviços de TI sobre a ótica da ITIL v2, não possui visão integrada dos processos e seus relacionamentos.

• Detalhamento no Anexo 1-Diagnóstico da maturidade dos processos de gerenciamento de serviços de TI.

• Detalhamento no Anexo 1-Diagnóstico da maturidade dos processos de gerenciamento de serviços de TI.


GESTÃO DOS RECURSOS

• Utilização dos recursos de TI em outras áreas (dois recursos) sem a adequada gestão;

• Utilização de recurso (um recurso) de outra área em atividade relevante de TI

• Áreas usuárias se sentem mal atendidas por TI.

• Regras de movimentação do serviço publico favorecem as transferências de pessoal sem o adequado planejamento;

• Ausência de políticas e padrões de atuação de recurso de TI em outras áreas;

• Carência de recursos financeiros para atender as necessidades de TI.

• Criação de núcleos independentes de TI em outras áreas, com perda de sinergia institucional;

• Função relevante em TI ocupada por funcionário de outra área, com risco de ruptura eventual na continuidade dos serviços de suporte técnico.



Ações Propostas

As ações proposta se baseiam nos PRINCÍPIOS BASICOS PARA A ATUAÇÃO DE TI (Cláusulas Pétreas) constantes do Anexo 11.

GESTÃO & PROCESSOS DE TITIPO

DEPTO.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS


1ª. O

ND

A

UTILIZAÇÃO DE SOFTWARE LIVRE – CRIAR CRITÉRIOS DE UTILIZAÇÃO E OS PADRÕES PARA SOFTWARE LIVRE. CAPACITAR E APOIAR USUÁRIOS NA SUA UTILIZAÇÃO.

Rotina Operacional TI - 06/2009 - -

GERÊNCIA DE PROJETOS – CRIAR METODOLOGIA BÁSICA, IMPLANTAR E CAPACITAR TI E USUÁRIOS EM GERÊNCIA DE PROJETOS DE TI, VISANDO INICIAR A SUA PRÁTICA.

ProjetoTI 07/2009 12/2009 792 74,1

METODOLOGIA E PADRÕES TÉCNICOS DE DESENVOLVIMENTO DE SISTEMAS – CRIAR METODOLOGIA BÁSICA E PADRÕES TÉCNICOS MÍNIMOS PARA DESENVOLVIMENTO DE SISTEMAS, IMPLANTAR E CAPACITAR TI, VISANDO INICIAR A SUA PRÁTICA.

Projeto TI 07/2009 12/2009 1232 165,4

PORTFÓLIO DE PROJETOS E PROGRAMAS – CRIAR METODOLOGIA, IMPLANTAR E CAPACITAR TI E USUÁRIOS EM PORTFÓLIO DE PROJETOS DE TI, VISANDO INICIAR A SUA PRÁTICA.

ProjetoTI 01/2010 03/2010 1056 98,8

TERCEIRIZAÇÃO DE SERVIÇOS – CRIAR PROCEDIMENTOS BÁSICOS PARA PERMITIR INICIAR A TERCEIRIZAÇÃO DE PROJETOS E SERVIÇOS DE TI. Projeto

TI 01/2010 03/2010 352 32,9

GERENCIAMENTO DE SERVIÇOS DE TIC – IMPLANTAR OS PROCESSOS BÁSICOS DE GERENCIAMENTO DE INCIDENTES, REQUISIÇÃO DE SERVIÇOS, PROBLEMAS,MUDANÇAS , CONFIGURAÇÃO E NIVEL DE SERVIÇOS COM APOIO DE FERRAMENTA ESPECIALISTA.

Projeto TI 01/2010 06/2010 1478 138,4

2ª. O

ND

A ESCRITÓRIO DE PROJETOS – ESTRUTURAR E IMPLANTAR ESCRITORIO DE PROJETOS DE TIC VISANDO APOIAR A IMPLEMENTAÇÃO E UTILIZAÇÃO EFICIENTE DOS PROCESSOS DE GESTÃO EM TI

Projeto TI 04/2010 09/2010 1584 148,3

FERRAMENTA PARA GERÊNCIA DE PROJETOS – IMPLANTAR FERRAMENTA DE GERENCIAMENTO DE PORTFOLIO, PROGRAMAS E PROJETOS VISANDO APOIAR A OPERACIONALIZAÇÃO DOS PROCESSOS IMPLANTADOS

Projeto TI 10/2010 03/2011 1056 98,8

GERÊNCIA DE PROJETOS – AMPLIAR METODOLOGIA E USO DE GERÊNCIA DE PROJETOS Projeto

TI 01/2011 03/2011 352 32,9

TERCEIRIZAÇÃO DE SERVIÇOS – AMPLIAR OS PROCEDIMENTOS CRIADOS NA 1ª. ONDA, ESTABELECENDO PROCESSO DE ACEITAÇÃO, DE CONTROLE DE QUALIDADE E DE GARANTIA DA QUALIDADE DE PRODUTOS E SERVIÇOS DE TI.

Projeto TI 04/2011 05/2011 176 16,4

GERENCIAMENTO DE SERVIÇOS DE TIC – AMPLIAR A IMPLANTAÇÃO DA 1ª ONDA INCLUINDO OS PROCESSOS DE GERENCIAMENTO DE EVENTOS E DISPONIBILIDADE, COM APOIO DE FERRAMENTA ESPECÍFICA.

Projeto TI

07/2011 12/2011 1074 93,3



GESTÃO & PROCESSOS DE TI TIPO DEPTO.GESTOR

DATA INÍCIO

DATA IMPLAN

No. DE HORAS

CUSTO (R$ mil)

METODOLOGIA E PADRÕES TÉCNICOS DE DESENVOLVIMENTO DE SISTEMAS - AMPLIAR METODOLOGIA DE DESENVOLVIMENTO DE SISTEMAS, ESTABELECENDO OS PROCEDIMENTOS, MÉTODOS E PADRÕES DE DESENVOLVIMENTO E SELECIONAR, INSTALAR E TREINAR OS DESENVOLVEDORES NAS FERRAMENTAS ADOTADAS (MODELAGEM, DESENVOLVIMENTO, LIBERAÇÃO E DISTRIBUIÇÃO E TESTES)

ProjetoTI

10/2011 12/2011 528 101,4

3ª. O

ND

A

METODOLOGIA E PADRÕES TÉCNICOS DE DESENVOLVIMENTO DE SISTEMAS - AMPLIAR METODOLOGIA DE DESENVOLVIMENTO DE SISTEMAS, ESTABELECENDO OS PROCEDIMENTOS, MÉTODOS E PADRÕES DE DESENVOLVIMENTO E SELECIONAR, INSTALAR E TREINAR OS DESENVOLVEDORES NAS FERRAMENTAS ADOTADAS (MODELAGEM, DESENVOLVIMENTO, LIBERAÇÃO E DISTRIBUIÇÃO E TESTES)

ProjetoTI

01/2013 03/2013 528 101,4

GERENCIAMENTO DE SERVIÇOS DE TIC – AMPLIAR A IMPLANTAÇÃO DA 2ª ONDA, INCLUINDO OS PROCESSOS DE GERENCIAMENTO DE CAPACIDADE, LIBERAÇÃO E DISTRIBUIÇAO, TESTE E VALIDAÇAO, COM APOIO DE FERRAMENTA ESPECÍFICA.

Projeto TI 01/2013 06/2013 1074 93,2

GERÊNCIA DE PROJETOS – AMPLIAR METODOLOGIA E USO DE GERÊNCIA DE PROJETOS Projeto

TI 04/2013 06/2013 352 32,9

TERCEIRIZAÇÃO DE SERVIÇOS – AMPLIAR OS PROCEDIMENTOS CRIADOS NA 1ª. ONDA, ESTABELECENDO NÍVEIS DE SERVIÇOS PARA OS CONTRATOS DE TI

Projeto TI 07/2013 08/2013 176 16,4

MÉTRICAS E INDICADORES DE DESEMPENHO – IMPLANTAR PROCESSO E FERRAMENTA DE AVALIAÇÃO DE DESEMPENHO DE TI BASEADO NO BSC Projeto TI 01/2014 03/2014 352 82.9



3.3 ESTRUTURA ORGANIZACIONAL E RECURSOS HUMANOS

Trata da adequação da atual estrutura organizacional de TI, assim como do perfil dos profissionais de TI, à tecnologia utilizada e às necessidades do negócio do JBRJ.

Diagnóstico


ESTRUTURA ORGANIZACIONAL DE

TI

Estrutura de TI incompatível com a demanda organizacional.

• Excessiva concentração de funções operacionais nos gestores de TI;

• Faltam especialistas na equipe para atendimento de atividades importantes em TI, tais como: administração de dados e administração de componentes, Webmaster, apoio a ferramentas de computação pessoal;

• Desenvolvedores sem suficiente conhecimento das atividades operacionais da instituição;

• Grande demanda de serviços que dificulta a elaboração de um planejamento adequado de TI.

• Prejuízo no atendimento aos usuários;

• Perda de qualidade na avaliação de problemas e no estabelecimento das soluções;

• Prejuízo ao negócio pela falta de segregação de funções;

• Riscos na segurança da informação;

• Criação de barreira para a propagação da cultura de utilização de TI na instituição;

• Estimulo para a criação de serviços próprios de TI pelas áreas, sem políticas, procedimentos, métodos e padrões.

Distribuição heterogênea de esforço dos recursos de TI entre as áreas usuárias.

• Carência de recursos de TI “vis-a-vis” a atual demanda de serviços das áreas usuárias.

• Descontentamento com os serviços prestados por TI, criando barreiras para a propagação da cultura de utilização de TI na instituição;

• De uma forma geral, as áreas usuárias deixam de aproveitar



os benefícios dos recursos tecnológicos disponíveis;

• Estimulo para a criação de serviços próprios de TI pelas áreas, sem políticas, procedimentos, métodos e padrões.

Inexistência de especialistas para atender necessidades específicas das áreas usuárias, tais como: geoprocessamento, aplicações científicas, tratamento de imagens.

• Falta de alinhamento de TI com os objetivos e metas das áreas usuárias;

• Carência de recursos de TI para atender a variedade de necessidades das áreas.

• Estimulo para a criação de serviços próprios de TI pelas áreas, sem políticas, procedimentos, métodos e padrões;

• Descontentamento com os serviços prestados por TI, criando barreiras para a propagação da cultura de utilização de TI na instituição.

ADEQUAÇÃO DO PERFIL DOS GESTORES

AOS CARGOS

Perfil dos gestores de TI é orientado para funções técnicas e não gerenciais.

• Foco em atividades técnicas;• Programa de desenvolvimento

gerencial insuficiente;• Falta de evidências de planos

setoriais de TI de curto, médio e longo prazo, para nortear as atividades de prestação de serviços, gestão e governança de TI;

• Falta de evidências de avaliação de desempenho e potencial dos profissionais visando identificar necessidades de treinamento de TI;

• Inexistência de recomendações de Políticas, Procedimentos, Métodos e Padrões de TI para aprovação pela Alta Direção da instituição.

• Prejuízo na qualidade do gerenciamento de equipes, com implicação no atendimento aos usuários;

• Risco de perda do capital intelectual para a concorrência.




CONDIÇÕES DE TRABALHO

Condições de trabalho inadequadas para o desempenho das funções dos profissionais de TI.

• Falta de espaço adequado;• Instalações inadequadas.

• Impacto na atuação da equipe;• Perda de produtividade dos

profissionais de TI no exercício das suas atividades.


ROTATIVIDADE DE PESSOAL

Ocorrem mudanças freqüentes de pessoas no atendimento às áreas usuárias.

• Cultura existente na administração de pessoal no Serviço Público que favorece a rotatividade de pessoal;

• Falta de estimulo profissional para segurar os profissionais em TI.

• Falta de continuidade no apoio às áreas, gerando interrupção de serviços e perda na produtividade das áreas.

• Descontentamento com os serviços prestados por TI, criando barreiras para a propagação da cultura de utilização de TI na instituição.



Ações Propostas

RECURSOS HUMANOS E ESTRUTURA ORGANIZACIONALTIPO

DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS


1ª. O

ND

A

ESTRUTURA ORGANIZACIONAL I – TRANSFERIR AS FUNÇÕES OPERACIONAIS DOS GESTORES DE TI PARA OUTROS NÍVEIS DE TI OU PARA TERCEIROS.


ESTRUTURA ORGANIZACIONAL II - IMPLEMENTAR OS AJUSTES PLANEJADOS CONFORME ANEXO 9 E 10).


CAPACITAÇÃO GERENCIAL DOS GESTORES DE TI – PARTICIPAÇÃO DOS GESTORES EM PROGRAMAS DE DESENVOLVIMENTO GERENCIAL GESTÃO / GOVERNANÇA DE SERVIÇOS DE TI, COM FOCO EM PLANEJAMENTO DAS ATIVIDADES DA ÁREA.


TERCEIRIZAÇÃO DE SERVIÇOS – INICIAR O PROCESSO DE TERCEIRIZAÇÃO DE SERVIÇOS DE TI: DESENVOLVIMENTO DE SISTEMAS, MANUTENÇÃO DE HARDWARE E SUPORTE .


MELHORIA DAS CONDIÇÕES DE TRABALHO – AUMENTAR O ESPAÇO DISPONÍVEL PARA OS TRABALHOS DE TI E MELHORAR AS CONDIÇÕES AMBIENTAIS.


2ª. O

ND

A

ESTRUTURA ORGANIZACIONAL II - CONTINUAR A IMPLEMENTAÇÃO DOS AJUSTES PLANEJADOS CONFORME ANEXO 9 E 10)..


AVALIAÇÃO DE DESEMPENHO – CRIAR E EXECUTAR PROCESSO DE AVALIAÇÃO DE DESEMPENHO DOS PROFISSIONAIS DA ÁREA, VISANDO SUBSIDIAR PREMIAÇÕES E NECESSIDADES DE TREINAMENTO.


CAPACITAÇÃO TÉCNICA DOS PROFISSIONAIS DE TI – IDENTIFICAR NECESSIDADES E REALIZAR PROGRAMAS DE APERFEIÇOAMENTO/ ATUALIZAÇÃO TÉCNICA DOS TÉCNICOS DE TI.


3ª. O

ND

A

ESTRUTURA ORGANIZACIONAL II - CONTINUAR A IMPLEMENTAÇÃO DOS AJUSTES PLANEJADOS CONFORME ANEXO 9 E 10).


AVALIAÇÃO DE DESEMPENHO – CONTINUAR A EXECUTAÇÃO DO PROCESSO DE AVALIAÇÃO DE DESEMPENHO DOS PROFISSIONAIS DA ÁREA, VISANDO SUBSIDIAR PREMIAÇÕES E NECESSIDADES DE TREINAMENTO.


CAPACITAÇÃO TÉCNICA DOS PROFISSIONAIS DE TI – CONTINUAR A IDENTIFICAÇÃO DAS NECESSIDADE E REALIZAR PROGRAMAS DE APERFEIÇOAMENTO/ ATUALIZAÇÃO TÉCNICA DOS TÉCNICOS DE TI.




3.4 SERVIÇOS PRESTADOS

Escopo do Trabalho

Serviços Prestados atende os clientes internos e externos, englobando o desenvolvimento / utilização / manutenção de sistemas aplicativos e dos sites Internet/Intranet, utilização dos serviços de correio eletrônico (Lotus Notes), das ferramentas de colaboração (GED, Workflow, escritório) e das específicas (Estatística, Engenharia, Geoprocessamento, Data Warehouse, Data Mart).

Diagnóstico Geral


SOLICITAÇÕES NÃO ATENDIDAS NOS

SISTEMAS DE APLICAÇÃO

Não existe controle das demandas • Desbalanceamento entre a demanda

e a capacidade de atendimento de TI;

• Necessidades solicitadas pelas áreas sem a adequada seleção de importância e prioridade;

• Inexistência de um plano estratégico de TI que contemple as necessidades atuais e futuras da organização.

• Não atendimento das necessidades do negócio;

• Prejuízo à eficiência/eficácia operacional da instituição;

• Controles fragilizados;• Insatisfação dos usuários;

• Risco de comprometimento da imagem da instituição;

• Criação de aplicativos departamentais e sem integração;

• Nenhuma gestão de TI para os aplicativos criados nos departamentos.



SOLUÇÕES DEPARTAMENTAIS

Excesso de soluções e controles elaborados pelas

áreas com utilização de planilhas e softwares não

homologados por TI

Não atendimento das demandas das áreas por TI.

• Criação de aplicativos departamentais e sem integração;

• Prejuízo à eficiência/eficácia operacional da instituição;

• Controles fragilizados;• Insatisfação dos usuários;

• Prejuízo na qualidade das soluções.

SISTEMAS EM DESENVOLVIMENTO E

EM PRODUÇÃO

Os sistemas em desenvolvimento e em

produção não estão integrados .

• Foco na redução dos prazos;• Foco em soluções departamentais;• Inexistência de mapeamento das

integrações;• Inexistência de processo estruturado

e padrões de desenvolvimento de sistemas.

• Prejuízo na qualidade das soluções;

• Não atendimento das expectativas dos usuários;

• Risco de re-trabalho e de perda de eficiência / eficácia operacional.

LINGUAGEM E FERRAMENTAS DE

DESENVOLVIMENTO DE SISTEMAS

Os sistemas são desenvolvidos em diversas linguagens e não existe um padrão institucional

de uso de ferramentas de desenvolvimento de sistemas e

linguagens

• Inexistência de padrões de desenvolvimento de sistemas;

• Cultura de desenvolver sistemas sem padrões;

• Desenvolvimento de alguns sistemas comandado pelos usuários.

• Despadronização;• Dificuldade na manutenção de

sistemas;• Perda de produtividades dos

profissionais de TI;• Atraso nas soluções para os

usuários.

MAPEAMENTO DAS INTEGRAÇÕES

Inexiste um mapeamento que demonstre as integrações entre

sistemas e módulos dos sistemas.

• Foco no atendimento das atividades departamentais;

• Grande demanda de serviços que dificulta a sua elaboração.

• Prejuízo na qualidade das soluções;

• Risco de re-trabalho;• Maior esforço na produção

das soluções.MODELO DE DADOS Inexiste um modelo de dados

corporativos e o mapeamentos das aplicações x dados

• Aplicações são desenvolvidas com visão departamental;

• Redundância de dados;• Re-trabalho em TI e nas



• Pouca ênfase na modelagem de dados no desenvolvimento das aplicações.

áreas;• Prejuízo na qualidade das

soluções.

DOCUMENTAÇÃO Documentação precária e desatualizada.

• Falta de gerenciamento de conhecimento.

• Atendimento ao Cliente comprometido;

• Perda de conhecimento.

CAPACITAÇÃO DOS USUÁRIOS

Existe nos aplicativos em operação um potencial muito

grande de aproveitamento das informações e dados pelos usuários não diretamente ligado a eles, porém não

atendida por falta de conhecimento.

• Treinamento precário para os usuários não diretamente ligados à aplicação.

• Potencial prejuízo à eficiência / eficácia operacional da instituição;

• Maior dificuldade para necessidades setoriais;

• Insatisfação dos usuários.

USO DE FERRAMENTAS DE COLABORAÇÃO

Existem necessidades não atendidas com relação a

aplicações de colaboração.

• E-mail com constantes problemas de capacidade das Caixas de Entrada;

• Inexistência de ferramenta para Agenda integrada com Correio Eletrônico;

• Treinamento insuficiente para apoio ao uso das ferramentas livres;

• Carência de softwares especializados, tais como Photoshop, Autocad, etc

• Grande numero de usuários que usam ferramentas do MS-Office.

• Perda de produtividade nas áreas;

• Potencial prejuízo à eficiência / eficácia operacional da instituição;

• Insatisfação dos usuários.

Diagnóstico de Sistemas Específicos


LICITAWEB - SISTEMA DE GERENCIAMENTO

DE COMPRAS E

Não atende as necessidades da instituição

• Está em processo de implantação com grandes dificuldades,

• Prejuízo à eficiência/eficácia operacional;



CONTRATAÇÕES

decorrentes de: Não houve a “venda” do

produto para as áreas; Não houve participação das

áreas durante o desenvolvimento;

O treinamento das áreas para a implantação foi insuficiente;

Faltou apoio da alta administração para todo o processo (des. + implantação).

• Não possui documentação;• Existe treinamento do fornecedor

(Trigger) mais é interativo, sem documentação;

• Manutenção evolutiva foi contratada e suspensa;

• É dependente de um único fornecedor para resolver problemas no sistema;

• A auditoria é contrária a implantação do sistema

• Insatisfação do cliente interno;• Perda de recursos

financeiros;• Perda do conhecimento.

BILHETERIA VENDAS - SISTEMA DE BILHETERIA ELETRÔNICA

Não atende as necessidades da instituição

• Não possui documentação;• O sistema tem diversos problemas

ainda não resolvidos;• Falta relatório detalhado das

vendas diárias;• Não possui contingência para o

caso da rede ficar indisponível;• Não possui integração prevista com

Contas a Pagar e Fluxo de Caixa;• Imprime ingressos com

numerações repetidas;


• Insatisfação do cliente externo;

• Perda de informações;

• Potencial para fraudes;• Perda do conhecimento.



• Necessidade de desvincular a Tabela de usuário da Tabela do Jardim Botânico;

• Necessidade do controle do cadastro de senhas ( controle de acesso não atende os requisitos de segurança).

JABOT Atende precariamente as necessidades da instituição, principalmente do ponto de

vista da pesquisa.

• Demora na consulta das informações;

• O usuário não confia na segurança do sistema e no conteúdo da informação (informações duplicadas);

• Acervo incompleto;• Documentação precária;• Duplicidade na base de dados

sobre uma mesma espécie e pesquisador (problema de atualização de nome cientifica na lista);

• Ausência de padronização da nomenclatura;

• Interface pobre com o usuário;• Formulários pouco formatados

segundo as necessidades do usuário;

• Consulta externa (para quen não se loga no sistema) está desatualizada devida a impossibilidade de resposta do banco - (função que pega campos de várias tabelas num tabelão para agilizar consulta externa);

• Importação de dados em diferentes


• Gestão inadequada das informações;

• Risco de fidedignidade e perda de dados corporativos;

• Risco de prestação de informações incorretas;

• Comprometimento da imagem da instituição;

• Perda do conhecimento.



formatos (excel) com erros de preenchimento;

• Entrada Excel sem críticas;• Entrada de dados dependente de

Crítica "manual";• Necessidade de banco de imagens. • Necessidade de software de apoio

(Geoprocessamento).

SISHORTO - SISTEMA DE ADMINISTRAÇÃO

DO HORTO

Atende precariamente as necessidades da instituição.

• Não está integrado com o sistema de arrecadação, exigindo transcrição de dados Não possui documentação;

• Base de dados (Access) não se encontra no servidor.

• Perda de conhecimento;• Segurança dos dados

comprometida;• Perda da informação.

SISAGGAB - SISTEMA DE AGENDA DO

GABINETE

Atende somente as necessidades do usuário

• Sistema Departamental atendendo somente as necessidades do usuário;

• Não possui documentação.



SISDOCGAB - SISTEMA DE DOCUMENTAÇÃO

DO GABINETE

Atende somente as necessidades do usuário

• Sistema Departamental atendendo somente as necessidades do usuário;




SISRH - SISTEMA DE ADMINISTRAÇÃO DE

RECURSOS HUMANOS


• Dependente de TI para atualização dos dados do SIAPE – hoje atualizado parcialmente de forma manual e está perdendo a integridade dos dados;



• Risco de fidedignidade e perda de dados corporativos;

• Risco de prestação de informações incorretas;

• Perda de conhecimento;• Perda da informação.



SISP – SISTEMA DE PATRIMÔNIO

Não atende as funcionalidades necessárias

• O sistema apresenta um erro mensal dependendo da TI para sua operacionalização;

• Não consegue redirecionar a impressão e gera esporadicamente data de baixa errada;

• O usuário não confia na segurança do sistema;



• Segurança dos dados comprometida;


SISTRANSP – SISTEMA DE ADMINISTRAÇÃO

DO AUXILIO-TRANSPORTE


• Tem problemas de ser acessado por algumas máquinas (30%);


• Prejuízo à eficiência/eficácia da administração;


SISALMOX - SISTEMA DE CONSULTA E SOLICITAÇÃO DE

MATERIAL

Não atende as funcionalidades necessárias

• Não tem documentação.

• Integração parcial com o SAM- Sistema de Almoxarifado;.

• Informações não precisas. Não aparecem itens para os quais não há disponibilidade em estoque.

• Perda do conhecimento;• Prejuízo à eficiência/eficácia

na manutenção da aplicação.

SAM - SISTEMA DE ALMOXARIFADO Exposição ao risco

• Não tem documentação.;

• Embora a base de dados tenha sido migrada para Postgresql, o Access ainda é utilizado como ponte entre o banco e o código fonte, com tabelas vinculadas ao Postgres.


• Perda do conhecimento;• Perda das Informações;• Prejuízo à eficiência/eficácia




SISPROT - SISTEMA DE PROTOCOLO DE

PROCESSOS

Atende parcialmente as necessidades do usuário

• Tem algumas deficiências tanto no web qto no desktop;

• Demora na consulta das informações;

• Não possui integração com os outras esferas do governo;

• Não consegue interagir com os outros sistemas do governo;

• O usuário não possui documentação do sistema;

• Baixa integração com outros sistemas (Patrimônio, Almoxarifado).


• Perda do conhecimento;• Perda das Informações.• Prejuízo à eficiência/eficácia


INFOSERV - SISTEMA DE CONSULTA DE

TELEFONE E EMAIL DE SERVIDORES JBRJ

Atende as necessidades do usuário

• Não tem documentação;• Informações incorretas. • Perda do conhecimento.

SISPÓS - SISTEMA DE ADMISTRAÇÃO

ACADÊMICA DA ENBT


• Não tem documentação;• Base de dados em Access.


• Perda do conhecimento;• Perda das Informações;• Prejuízo à eficiência/eficácia


SISCONVPARC - SISTEMA DE

ADMINISTRAÇÃO DE CONVÊNIOS E PARCERIAS

Não atende às necessidades para a função de administração

de convênios e parcerias.• Não tem documentação;• Sistema requer ajustes e melhorias;• Faltam relatórios gerenciais, • Faltam filtros para seleção de


• Perda do conhecimento;• Perda das Informações.



informações e inclusão de alertas;• Não emite alertas; • Inflexível na customização dos

relatórios;• Não aceita upload de arquivos;• Não customiza os filtros de

pesquisa;

INTERNET JBRJ Atende parcialmente as necessidades do usuário

• Atualização de conteúdo pouco ágil, devido aos trâmites pela área de comunicação e o uso do Coordenador de TI como Webmaster;

• Não tem documentação;• Informações erradas e não

atualizadas;• Não são divulgados os trabalhos e

pesquisas do JBRJ;• Interface gráfica não é agradável• Navegação pouco atraente;

• Imagem comprometida da instituição;

• Perda do conhecimento;

• Insatisfação dos clientes interno e externo.

INTRANET JBRJ Atende parcialmente as necessidades do usuário

• Não são divulgados os trabalhos e pesquisas do JBRJ;

• Interface gráfica não é agradável;• Não tem documentação;• Navegação pouco atraente.

• Insatisfação do cliente interno;• Perda do conhecimento..

SISDOCINFO - SISTEMA DE DOCUMENTAÇÃO

DA INFORMÁTICA


• Documentação desatualizada ( atualmente sendo migrado para a wiki).

• Perda do conhecimento;• Perda das Informações.



SISINFO - SISTEMA PARA SOLICITAÇÃO DE

SERVIÇOS DE INFORMÁTICA


• Sem documentação, • Sistema desenvolvido em caráter

emergencial;• Falta módulo de relatórios.• Não apresenta status de

acompanhamento para o usuário.• Não se pode saber qual é a pessoa

afetada quando o pedido é feito para outro.

• A classificação da solicitação não é muito confiável.

• A priorização não é confiável.

• Prejuízo à eficiência/eficácia operacional da TIC;

• Insatisfação do cliente;• Perda do conhecimento.

Ações Propostas

Geral

SERVIÇOS PRESTADOS TIPO

DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS


1ª. O

ND

A

PROCESSO PARA SOLICITAÇÃO DE SERVIÇOS – IMPLEMENTAR PROCESSO BÁSICO PARA A SOLICITAÇÃO, PLANEJAMENTO, EXECUÇÃO, ACEITAÇÃO E ACOMPANHAMENTO DOS SERVIÇOS DE MANUTENÇÃO DE SISTEMAS SOLICITADAS A TI PELOS USUÁRIOS.OBS. VIDE PROJETO EM GOVERNANÇA – 1ª. ONDA

- - - - - -

DOCUMENTAÇÃO DOS SISTEMAS – ELABORAR A DOCUMENTAÇÃO TÉCNICA E DOS USUÁRIOS E O MAPEAMENTO DAS INTEGRAÇÕES PARA OS APLICATIVOS CHAVES. Projeto TI 07/2009 12/2009 1056 31,6

MODELO DE DADOS CORPORATIVO – ELABORAR O MODELO DE DADOS CORPORATIVO DOS ATUAIS APLICATIVOS (EM DESENVOLVIMENTO E OPERAÇÃO) E DAQUELES A SEREM DESENVOLVIDOS.

Projeto TI 10/2009 03/2010 528 15,8

TREINAMENTO DOS USUÁRIOS - EFETUAR PROGRAMAS DE TREINAMENTO PARA OS USUÁRIOS VISANDO MELHORAR O CONHECIMENTO SOBRE OS PRINCIPAIS SISTEMAS (INTERNOS E OS DO GOVERNO) E APROVEITAR MELHOR AS SUAS POTENCIALIDADES (vide ANEXO 16).

Projeto TI 01/2010 06/2010 528 15,8




DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS

CUSTO (R$ mil)

2ª. O

ND

ABROFFICE - EFETUAR PROGRAMAS DE TREINAMENTO PARA OS USUÁRIOS VISANDO MELHORAR O CONHECIMENTO SOBRE AS FERRAMENTAS DO BROFFICE E APROVEITAR MELHOR AS SUAS POTENCIALIDADES E A CONVIVÊNCIA COM O MS-OFFICE

Projeto TI 04/2010 09/2010 528 15,8

SOFTWARES ESPECIALISTAS - AVALIAR, SELECIONAR E IMPLEMENTAR FERRAMENTAS ESPECIALISTAS PARA TRATAMENTO DE IMAGEM, FOTO, MODELAGEM DE ENGENHARIA (AUTOCAD) E GEOPROCESSAMENTO

Projeto TI 04/2010 09/2010 704 121,2

FERRAMENTA DE AGENDA ELETRÔNICA – AVALIAR, SELECIONAR E IMPLEMENTAR FERRAMENTA DE AGENDA ELETRÔNICA INTEGRADA COM O CORREIO ELETRÔNICO Projeto TI 01/2011 08/2011 704 41,1

3ª. O

ND

A

Sistemas Específicos

A lista de projetos que segue foi priorizada com base na percepção da Path e dos usuários (Anexo 14), devendo ser submetida ao GETI para confirmação dos projetos e re-priorização. Os detalhes dos projetos estão contidos no documento ESPECIFICAÇÃO DOS PROJETOS, incluído no PDTI (Anexo 17).


DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS


1ª. O

ND

A LICITAWEB – REALIZAR AS MELHORIAS PREVISTAS (VIDE ESPECIFICAÇÃO DO PROJETO – ANEXO 17) E COMPLETAR A IMPLANTAÇÃO DO SISTEMA. Projeto

Área Gestora/

TI04/2009 09/2009 924 40,5

JABOT – REALIZAR AS MELHORIAS PREVISTAS (VIDE ESPECIFICAÇÃO DO PROJETO – ANEXO 17). Projeto DIPEQ/ TI 07/2009 04/2010 3180 140,2

INTERNET ( NOVO PORTAL) - CRIAR NOVO PORTAL CORPORATIVO. ProjetoÁrea

Gestora/ TI

10/2009 03/2010 737 31,7

INTERNET- PORTAL DO MUSEU MEIO AMBIENTE - CRIAR PORTAL . Projeto MMA / TI 10/2009 03/2010 737 31,7

SCP - SISTEMA DE CONTROLE DE PROJETOS - COMPLETAR O DESENVOLVIMENTO POR TERCEIROS E IMPLANTAR O SISTEMA.

Projeto DIPEQ / TI

- 09/2009 528 25,8



SERVIÇOS PRESTADOS TIPO DEPTo.GESTOR

DATA INÍCIO

DATA IMPLAN

No. DE HORAS

CUSTO (R$ mil)

BASE DE DADOS DE GESTÃO, MONITORAMENTO E CONTROLE DAS ESPÉCIES AMEAÇADAS – COMPLETAR O DESENVOLVIMENTO PELO CRIA E IMPLANTAR O SISTEMA.

Projeto DIPEQ/ TI - 06/2010 280 209,2

2ª. O

ND

A

CONTAS A PAGAR – DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 04/2010 06/2010 308 59,2

SISTEMA DE CONVÊNIO - REALIZAR AS MELHORIAS PREVISTAS. Projeto DG / TI 04/2010 07/2010 721 21,6SISTEMA DE GESTÃO DE ALUNOS – DESENVOLVER E IMPLANTAR SISTEMA.

Projeto ENBT / TI 04/2010 11/2010 1408 65,4

GESTÃO DE OBRAS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 07/2010 12/2010 998 48,3

GESTÃO DAS MANUTENÇÕES PREDIAIS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 07/2010 12/2010 998 48,3

SISTEMA DE ARRECADAÇÃO E BILHETAGEM – REALIZAR AS MELHORIAS NO ATUAL SISTEMA DE BILHETAGEM E DESENVOLVER SISTEMA DE ARRECADAÇÃO. Projeto DG / TI 07/2010 11/2010 924 40,5

SISTEMA DE PROGRAMAÇÃO DE VIAGENS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DIPEQ / TI 10/2010 03/2011 998 48,3

FLUXO DE CAIXA - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 01/2011 08/2011 1521 67,7SISTEMA DE ACOMPANHAMENTO DE CONTRATOS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 01/2011 06/2011 998 48,3

SISP - REALIZAR AS MELHORIAS PREVISTAS NO SISTEMA DE PATRIMÔNIO. Projeto DG / TI 07/2011 09/2011 539 16,2

GESTÃO DE RH - REALIZAR AS MELHORIAS PREVISTAS NO SISTEMA DE RH. Projeto DG / TI 07/2011 09/2011 539 16,2ESPECIFICAR SISTEMAS DE APOIO À OPERAÇÃO DO MUSEU – IDENTIFICAR NECESSIDADES E DEFINIR APLICAÇÕES PARA APOIO AO MUSEU DE MEIO AMBIENTE. Projeto MMA / TI 10/2011 12/2011 572 17,2

INFORMATIZAÇÃO DE COLEÇÕES - DESENVOLVER E IMPLANTAR SISTEMA PARA AS COLEÇÕES DO MMA. Projeto MMA / TI 01/2012 05/2012 1276 49,7

BASE DE TALENTOS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 01/2012 05/2012 924 40,5

3ª. O

ND

A

SISTEMA DE GESTÃO DO ACERVO ARTISTICO - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DAT / TI 04/2012 08/2012 924 40,5

SISTEMA DE GESTÃO DE TREINAMENTO - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 10/2012 03/2013 1078 48,3SISTEMA DE INFORMAÇÃO PARA VISITANTES - ESTUDAR E IMPLEMENTAR, SE VIÁVEL, SISTEMA DE INFORMAÇÕES PARA APOIAR AS VISITAS ÀS INSTALAÇÕES DO JBRJ.

Projeto DAT / TI 01/201303/201308/2013

3698 155,7

SISTEMA DE CUSTEIO DE ASSISTÊNCIA A SAUDE - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DG / TI 04/2013 08/2013 924 40,5

SISTEMA DE GESTÃO DE DISPUTAS DOS IMÓVEIS - DESENVOLVER E IMPLANTAR SISTEMA. Projeto DAT / TI 04/2013 08/2013 924 40,5

DIGITALIZAÇÃO DE DOCUMENTOS E PLANTAS - AVALIAR VIABILIDADE DE CRIAR PROCESSO VISANDO DIGITALIZAR, ARMAZENAR, MANTER, E BUSCAR DADOS DIGITALIZADOS.

Projeto DG / TI 10/2013 12/2013 528 15,8



3.5 RECURSOS TECNOLÓGICOS & SEGURANÇA DA INFORMAÇÃO

Escopo do Trabalho

O Dimensão de Recursos Tecnológicos e Segurança da Informação trata de questões relativas à arquitetura de recursos de TI, que abrange todos os equipamentos de informática, os programas que permitem operar os equipamentos de informática e desenvolver sistemas, os programas de uso geral (ex.: editores de texto, planilhas eletrônicas, correio eletrônico, etc.), estrutura de telecomunicações e rede de computadores, bem como as questões relativas à Segurança da Informação, segundo uma ótica de continuidade de negócios, considerando não somente o aspecto de confidencialidade das informações como também de sua integridade e disponibilidade.

Diagnóstico


REDE

• Controles de segurança deficientes;

• LINK de comunicação JBRJ não atende as necessidades das áreas.

• Ausência de restrição de acesso entre os departamentos (Vlans);

• Ausência de VLANS departamentais no ambiente de JBRJ;

• Ineficiência no controle para detecção sniffing da rede;

• Necessidades das áreas impactadas pela capacidade insuficiente do link contratado Ex: Transferência de imagens

• Indisponibilidade dos recursos;

• Perda de Produtividade;• Perda de

Confidencialidade;• Perda de informações.

SERVIDORES WINDOWS Configuração de segurança dos

servidores inadequada

• Sistema Operacional desatualizado (hot-fixes);

• Ausência de controle de acesso ao modo de gerenciamento remoto (Terminal Service);

• Serviços desnecessários habilitados, conforme analise de vulnerabilidades dos servidores apresentada no anexo 2 deste relatório;

• Acesso a serviços de rede sem criptografia

• Ataques;• Invasões;• Perda de Informações;• Perda de Performance.



(Serviço de FTP).• Falta de padronização nas versões dos

Sistemas Operacionais (2000, XP)

SERVIDORES UNIXConfiguração de segurança dos

servidores inadequada

• Administração remota permitida de qualquer ponto da rede;

• Serviços desnecessários habilitados, conforme analise de vulnerabilidades dos servidores apresentada no anexo 2 deste relatório;

• Sistema Operacional desatualizado (sistema básico e Kernel) e sem suporte (não disponibilizam atualizações)

• Ataques;• Invasões;• Perda de Informações;• Perda de Performance.

AMBIENTES

Inexiste ambientes segregados para

desenvolvimento, testes e produção

• Falta de servidores suficientes;• Prioridade para outras demandas.

• Alto risco para a segurança e continuidade das operações;

• Alto risco de danos aos dados de produção;

• Alto potencial de impacto na eficiência dos aplicativos.

INTERNET (ACESSO)Deficiência na política de acesso à internet

• Carência no controle de bloqueio de sites indevidos (O processo é feito de forma manual pelo administrador do servidor. Não existe uma ferramenta ou serviço contratado para o gerenciamento de sites impróprios);

• Ausência de política de horário de acesso à internet.

• Perda de produtividade;• Vírus;• Cavalos de tróia;• Ataques.

EXTRANETPossibilidade de

engenharia social para descobrir nomes de

usuários válidos

• Ausência de campos adicionais (Matrícula, E-mail, Data de nascimento, Identidade, CPF).

• Perda de informações;• Ataques;• Espionagem;• Invasão.

INTRANET Ausência de documentação/

informação sobre segurança

• Ausência de informações sobre atualizações de antivírus, sistema operacional, softwares, etc;

• Ausência de informações sobre novas

• Perda de informação;• Ausência de controle;• Não conscientização sobre



vulnerabilidades;• Ausência de formulários para contato com a

gerência de segurança;• Ausência de textos com práticas básicas

sobre segurança da informação;• Ausência de cartilha sobre a política de

segurança;• Ausência de textos sobre o uso adequado

da estação de trabalho.

segurança da informação;

ESTAÇÕES DE TRABALHO

Configurações de segurança deficientes

• Ausência de software para checagem de arquivos desnecessários (MP3, Arquivos pornográficos, Jogos);

• Ausência de uma definição formal de normas e procedimentos relacionados à segurança da informação;

• Sistemas operacionais desatualizados (hot - fixes);

• Deficiência na identificação de alterações no ambiente (Modificação de hardware e software).

• Controle deficiente de Licenças• Ausência de padronização das estações

(softwares não homologados e possibilidade de instalações piratas)

• Perda de Produtividade;• Cavalos de Tróia;• Ataques;• Vírus;• Multas por uso indevido de

licenças;• Uso não autorizado de

informações por acesso indevido;

• Presença de softwares não homologados;

• Perda de informações• Invasões.

FIREWALL Deficiência no controle e manutenção

• Deficiência nas permissões de acesso a diferentes departamentos (ausência de uma política de segmentação através de VLAN’s);

• Livre acesso aos diferentes departamentos;

• Não adequação de regras em tempo hábil.

ROTEADORES Deficiência no controle e manutenção

• Ausência de política de atualização;• Falta de padronização (dificuldade de

gerenciamento).

• Ataques;• Invasão;• Indisponibilidade de

recursos;• Perda de informações.



E-MAILAusência de uma

política de utilização do e-mail

• Ausência de assinatura digital;

• Ausência de criptografia;

• Falta de capacidade da caixa de entrada para alguns usuários.

• Perda de informações;• Ataques;• Invasão;• Indisponibilidade de

recursos;• Roubo;• Espionagem.

DETECÇÃO DE ATAQUES E ANÁLISE

DE SENHAS E LOG

Deficiência das ferramentas de análises e detecção de ataques

• Ausência de ferramentas para detecção de ataques do tipo sniffing;

• Ausência de procedimentos para análise de logs;

• Ausência de ferramentas de análise (cracking) de senhas.

• Perda de informações;• Ataques;• Espionagem;• Invasão;• Ausência de controle;• Perda de rastreamento;• Roubo.

POLÍTICA DE SEGURANÇA

Deficiência na manutenção da Política

de Segurança

• Política altamente resumida;• Ausência de revisões periódicas,

programadas, quanto à eficácia da política, demonstrada pela natureza e pelo número e impacto dos incidentes de segurança registrados, custo dos controles e seu impacto sobre a eficiência da empresa e efeitos das mudanças tecnológicas;

• Ausência de definição de responsabilidades gerais e específicas pelo gerenciamento da segurança das informações, incluindo a comunicação de incidentes de segurança

• Ausência de referências à documentação que poderá apoiar a política, como por exemplo políticas e procedimentos de segurança mais detalhados para determinados sistemas de informações ou normas de segurança às quais os usuários

• Indisponibilidade de recursos;

Perdas de informação;Falta de conscientização.



deveriam obedecer

ORGANIZAÇÃO DA INFRA-ESTRUTURA DA

SEGURANÇA DA INFORMAÇÃO

Falta de foco na gestão de segurança da

informação

• Ausência de uma coordenação da segurança da informação;

• Ausência de atribuição de responsabilidades para a segurança da informação;

• Ausência de contato com grupos especiais;• Ausência de análise crítica independente de

segurança da informação.

• Indisponibilidade dos recursos;

• Ataques;• Uso não autorizado de

informações por acesso indevido;

• Perda de informações.

CLASSIFICAÇÃO E CONTROLE DOS

ATIVOS

Identificação deficiente dos ativos e a sua importância para a

Organização

• Manutenção do Inventário dos ativos deficiente;

• Ausência de classificação dos ativos em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização;

• Ausência de procedimentos para rotular e tratar a informação, de acordo com a sua classificação;

• Ausência de proteção apropriada dos ativos da organização;

• Ausência de definição dos gestores de todos os ativos relevantes e atribuída a responsabilidade pela manutenção de controles apropriados;

• Níveis de proteção incompatíveis com o valor e a importância dos ativo.

• Dificuldade na tomada de decisões;

• Perda de Controle;• Perda de informações.

SEGURANÇA EM RECURSOS HUMANOS

Deficiência documentacional e de

capacitação

• Ausência de medidas para reduzir os riscos de falha humana, furto, fraude ou uso indevido das instalações;

• Ausência de definição de responsabilidades gerais pela implementação e manutenção da política de segurança;

• Não conscientização sobre segurança da informação;

• Riscos de fraudes;• Perda de Controle;• Perda de informações.



• Ausência de definição de responsabilidades específicas pela proteção de determinados ativos ou responsabilidades pela execução de determinados procedimentos ou atividades de segurança;

• Ausência de termo de confidencialidade ou não-revelação para indicar que determinadas informações são confidenciais ou secretas;

• Ausência de termo de confidencialidade para pessoal temporário e os usuários externos antes de terem acesso a instalações de processamento de informações;

• Ausência de treinamento sobre procedimentos de segurança e sobre o uso correto das instalações de processamento de informações, a fim de minimizar os possíveis riscos de segurança;

• Ausência de procedimentos adequados de feedback, para assegurar que as pessoas que comunicaram incidentes sejam informadas dos resultados, depois que o incidente foi atendido e encerrado;

• Ausência de mecanismos para permitir a quantificação e monitoração dos tipos, volumes e custos de incidentes e falhas de funcionamento;

• Ausência de um processo disciplinar formal para empregados que violarem as políticas e procedimentos de segurança da organização e para a coleta de provas;

• Ausência de treinamento em situações de emergência, primeiros socorros, planos de abandono, procedimento fora de expediente.etc;



• Ausência de treinamento a cerca de salvamento de ativos (documentos, meios magnéticos);

• Ausência de treinamento de evacuação do edifício;

• Ausência de treinamento para combater incêndios que possam ocorrer na área do computador;

• Ausência de treinamento para todos os funcionários instruindo quanto a medidas de segurança adotadas.

SEGURANÇA ORGANIZACIONAL

Deficiência documentacional e de

capacitação

• Ausência de comitês de administração de segurança da informação com líderes gerenciais;

• Ausência de metodologias e processos específicos de segurança das informações, como por exemplo a avaliação de riscos e sistema de classificação das informações;

• Ausência de uma política definida para terceiros que ficam localizados no site durante um determinado tempo, definido em contrato como: pessoal de manutenção e suporte de hardware e software; pessoal de limpeza, fornecimento de refeições, guarda de segurança e outros serviços de suporte terceirizados, estagiários e outras nomeações ocasionais em curto prazo e consultores.

• Não conscientização sobre segurança da informação;

• Riscos de fraudes;• Perda de Controle;• Perda de informações.

SEGURANÇA FÍSICA E DO AMBIENTE

Deficiência nos controles de segurança

física do CPD

• Ausência de política de mesa vazia e tela vazia para reduzir o risco de acesso não autorizado ou danos a documentos, mídia e instalações de processamento de informações;

• Falhas;

• Desastres;• Riscos de fraudes;• Perda de Controle;



• Os equipamentos e mídia de backup não são localizados a uma distância segura, para que não sejam danificados em caso de um acidente no site principal;

• Ausência de área de armazenagem provisória é projetada de tal maneira que os suprimentos possam ser descarregados sem que o pessoal de entrega tenha acesso a outras partes do edifício;

• Ausência de controles especiais para proteção contra perigos ou acesso não autorizado e para preservar os equipamentos de apoio, como o suprimento de corrente e a infraestrutura de cabeamento;

• Ausência de São adotados controles para minimizar o risco de ameaças potenciais, incluindo furto; incêndio; explosivos; fumaça; água (ou falha no abastecimento); poeira; vibração; efeitos químicos; interferência no suprimento de força; radiação eletromagnética;

• As linhas de força e as linhas de telecomunicações que entram nos

• Os equipamentos de processamento de informações nem sempre são subterrâneas ou têm proteção alternativa adequada;

• Os equipamentos não recebem manutenção correta para assegurar sua disponibilidade e integridade permanente;

• O cabeamento das redes não é protegido contra interceptação não autorizada ou danos (pelo uso de conduítes ou evitando trajetos que passem por áreas públicas).

• Perda de informações.

GERENCIAMENTO DAS OPERAÇÕES E

Deficiência nos processos de

• Documentação dos procedimentos da • Perda de informação;



COMUNICAÇÕES planejamento, execução e controle

dos sistemas em produção.

operação deficiente;• Deficiência no controle das modificações

dos recursos de processamento da informação;

• Ausência de controle das modificações nos recursos de sistemas;

• Ausência de um processo de entrega de serviços terceirizados;

• Ausência de gestão da capacidade;• Ausência de um processo para

planejamento e aceitação dos sistemas;• Ausência de proteção de dados de

produção ;• Ausência de Procedimento para validação

das cópias de segurança das informações;• Deficiência no controle e gerenciamento da

rede e seus serviços;• Ausência de processos formais de

planejamento e levantamento de possíveis interseções de processos e utilização de recursos (Ex.: Banco de Dados);

• Ausência de procedimentos formais de passagem de jobs para o ambiente de produção;

• Ausência de acordos de nível de serviço (SLA) entre as áreas;

• Ausência de recursos voltados para a criação, manutenção e otimização dos documentos da área;

• Ausência de procedimentos de homologação (Ex.: norma para execução de rotinas batch, etc.);

• Ausência de uma base de conhecimento;

• Ataques;• Invasões;• Indisponibilidade de

recursos;• Perda da

integridade/confiabilidade dos sistemas;

• Cumprimento de prazos;• Perda de Produtividade;• Retrabalho;• Integridade de dados

comprometida;• Comunicação de eventos

deficiente.



• Inexistência de um processo formal de comunicação de eventos críticos;

• Deficiência no estabelecimento de procedimentos para o manuseio de mídias;

• Deficiência no controle de troca de informações;

• Ausência no controle de registro de auditoria das informações;

• Deficiência do monitoramento do uso do sistema;

CONTROLE DE ACESSO

Deficiência no controles de acesso

• Deficiência na política de acesso e ausência de processo de revisão;

• Deficiência no gerenciamento de privilégios;• Ausência de procedimentos para revogação

de acesso dos sistemas de informação e serviços;

• Ausência de padronização do tamanho de senhas;

• Ausência de política definindo a complexidade dos caracteres das senhas;

• Ausência procedimentos para auditoria de senhas.

• Ausência de procedimento para análises regulares dos direitos de acesso do usuário;

• Ausência de política de mesa e tela limpa;• Inexistência de VLANS departamentais no

ambiente de JBRJ;• Ausência de limitação de horário de

conexão nas aplicações de alto risco;• Ausência de isolamento de sistemas

sensíveis;

• Perda de confidencialidade;• Perda de informações;• Uso não autorizado de

informações por acesso indevido.


recursos;• Retrabalho.

AQUISIÇÃO, DESENVOLVIMENTO E • Deficiência na análise e especificação dos • Perda de confidencialidade;



MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO

requisitos de segurança;• Ausência de criptografia;• Ausência de assinatura digital;• Gerenciamento (padrões, procedimentos

e métodos) de chaves/certificados somente para WEB;

• Ausência de softwares e / ou hardwares para execução de funções criptográficas

• Ausência de procedimentos formais de controle de mudanças;

• Ausência no controle de vazamento de informações;

• Ausência no controle de vulnerabilidade técnica;

• Perda de informações;

• Uso não autorizado de informações por acesso indevido.


recursos;• Roubo;• Espionagem;• Spoofing;• Sniffing.

GESTÃO DE INCIDENTES DE SEGURANÇA DA

INFORMAÇÃO

Deficiência no processo

informativo

• Deficiência no processo de informação para funcionários e terceiros quanto ao registro e notificação de fragilidades de segurança da informação;

• Os incidentes de segurança não são investigados para apuração da causa e tomada de ação corretiva;

• Não são tomadas medidas visando minimizar os prejuízos causados por incidentes de segurança e falhas e monitorados tais incidentes;

• Não são implementados mecanismos para permitir a quantificação e monitoração dos tipos, volumes e custos de incidentes e falhas de funcionamento;

• Os incidentes não são utilizados no

• Perda de confidencialidade;• Perda de informações;• Uso não autorizado de

informações por acesso indevido.

• Ataques;• Invasão;

• Indisponibilidade de recursos.



treinamento de conscientização dos usuários, sobre o que poderia acontecer, como reagir a tais incidentes e como evitá-los no futuro.

GESTÃO DA CONTINUIDADE DO

NEGÓCIO

Deficiência do processo de gestão de

continuidade do negócio

• Ausência de um processo de gestão da continuidade do negócio.

• Ausência de análise/avaliação de riscos;

• Ausência de desenvolvimento e implementação de plano de continuidade;

• Ausência de formalização de política de backup;

• Ausência de área de armazenamento localizada à uma distância segura.

• Interrupção das atividades do negócio;

• Indisponibilidade de recursos;

• Perda de produtividade;

• Cumprimento de prazos;• Perda de informações.

Ações Propostas

1ª. O

ND

A

RECURSOS TECNOLÓGICOS & SEGURANÇA DA INFORMAÇÃOTIPO

DEPTo.GESTOR

DATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS


AVALIAÇÃO DA CAPACIDADE E AQUISIÇÃO DE INFRAESTRUTURA – AVALIAR E ADQUIRIR INFRAESTRUTURA COM CAPACIDADE PARA SUPORTAR O NEGÓCIO E ADEQUADOS PARA VIRTUALIZAÇÃO.

Projeto TI 07/2009 12/2009 (*) (*)

POLITICAS DE SEGURANÇA (ANEXO 18) - IMPLANTAR A POLÍTICA DE SEGURANÇA COM ENFASE NO ITEM SEGURANÇA LÓGICA DA INFORMAÇÃO (CONTROLE DE ACESSO, SENHAS, ESTAÇÕES, ACESSO A INTERNET, SEGURANÇA PERIMETRAL, MONITORAÇÃO DE ACESSO A SISTEMAS, CRIPTOGRAFIA, ANTI-VIRUS, GERENCIAMENTO DE ACESSO, CONTROLE DE MUDANÇAS OPERACIONAIS), E CAPACITAÇÃO DOS ENVOLVIDOS (PROGRAMA DE CONSCIENTIZAÇÃO).


GESTÃO DA CONTINUIDADE DO NEGÓCIO – IMPLANTAR POLITICA BÁSICA DE BACKUP DEFINIDA NA POLITICA DE SEGURANÇA. Projeto TI 10/2009 03/2010 924 86,5

CLASSIFICAÇÃO E CONTROLE DOS ATIVOS - AVALIAR E IMPLANTAR SOLUÇÃO DE CONTROLE DE ATIVOS (HARDWARE E SOFTWARE)


RECOMENDAÇÕES DE SEGURANÇA - IMPLANTAR CONTROLES RECOMENDADOS NO ANEXO 3 – VULNERABILIDADE.




1ª. O

ND

ARECURSOS TECNOLÓGICOS & SEGURANÇA DA INFORMAÇÃO

TIPODEPTo.

GESTORDATA INÍCIO

DATA IMPLANTAÇÃO

No. DE HORAS

CUSTO (R$ mil)

2ª. O

ND

ACORREIO CORPORATIVO – IMPLANTAR NOVA SOLUÇÃO DE CORREIO ELETRÔNICO CORPORATIVO QUE PERMITA A INTEGRAÇÃO COM FERRAMENTA DE AGENDAMENTO ELETRONICO.

Projeto TI 07/2010 12/2010 880 76,4

POLITICAS DE SEGURANÇA – AMPLIAR A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CAPACITAÇÃO DOS ENVOLVIDOS (PROGRAMA DE CONSCIENTIZAÇÃO) COMO EXTENSÃO DAS IMPLEMENTADAS NA 1ª. ONDA COM ENFASE NA UTILIZAÇÃO DE FERRAMENTAS DE APOIO (GERENCIAMENTO DE ACESSO E IDENTIDADE, SOFTWARE PARA ANÁLISE DE LOG, CRIPTOGRAFIA, ETC).


GESTÃO DA CONTINUIDADE DO NEGÓCIO – AMPLIAR A IMPLANTAÇÃO DO PROCESSO DE GERENCIAMENTO DE CONTINUIDADE DO NEGÓCIO COM A UTILIZAÇÃO DE FERRAMENTAS DE APOIO (BACKUP, ETC).

Projeto TI 10/2011 02/2012 924 86,5

SEGURANÇA FÍSICA E DO AMBIENTE – INSTALAR A EQUIPE DE TI, SERVIDORES E MIDIAS EM NOVA ÁREA MAIS ADEQUADA Projeto TI - 12/2010 (*) (*)

AQUISIÇÃO DE INFRAESTRUTURA – AMPLIAR A AQUISIÇÃO DE INFRAESTRUTURA: SWITCHS, FIREWALLS, IDS, LINKS E ETC. INICIADA NA 1ª ONDA, COM BASE NA AVALIAÇÃO DE CAPACIDADE REALIZADA

Projeto TI 01/2011 06/2011 (*) (*)

3ª. O

ND

A POLITICAS DE SEGURANÇA – COMPLETAR A IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CAPACITAÇÃO DOS ENVOLVIDOS (PROGRAMA DE CONSCIENTIZAÇÃO) COMO EXTENSÃO DAS IMPLEMENTADAS NA 2ª. ONDA.


GESTÃO DA CONTINUIDADE DO NEGÓCIO – AMPLIAR A IMPLANTAÇÃO DO PROCESSO DE CONTINUIDADE DE NEGÓCIOS (PLANO DE CONTINUIDADE). Projeto TI 07/2013 12/2013 924 86,5

(*) VALORES NÃO POSSÍVEIS DE ESTIMAR DURANTE A ELABORAÇÃO DO PDTI

4 – RESUMO DOS CUSTOS DOS PROJETOS DO PDI

Os custos abaixo foram estimados com base nos seguintes critérios:1. Quantidade de horas estimadas para a conclusão de cada projeto2. Custo da hora dos recursos humanos JBRJ informado (R$ 30,00 / hora) 3. Custo da hora de desenvolvedor externo (de terceiros) estimado (R$ 50,00 / hora)4. Custo da hora de recurso de consultoria externa (R$ 100,00 / hora)5. Os custos dos projetos individualizados constam do ANEXO 13



2009 2010 2011 2012 2013 2014

GOVERNANÇA 86,96 44,90 12,00 32,90 180,22 356,98GESTÃO & PROCESSOS DE TI 74,16 608,66 293,44 117,80 126,20 82,96 1.303,22REC. HUMANOS & ESTRUTURA ORGANIZACIONALSERVIÇOS PRESTADOS 409,09 644,65 337,65 196,00 268,87 37,32 1.893,58REC TECNOLÓGICOS & SEGURANÇA DA INFORMAÇÃO 43,26 119,66 43,26 43,26 86,52 335,96

TOTAL ANUAL - PROJETOS (A) 613,47 1.417,87 686,35 389,96 661,81 120,28 3.889,74

TOTAL ANUAL - MANUTENÇÃO DE SISTEMAS (B) 12,96 31,68 60,48 119,52 149,76 38,88 413,28

TOTAL ANUAL - TI (A + B) 626,43 1.449,55 746,83 509,48 811,57 159,16 4.303,02

DIMENSÕESCUSTOS ANUAIS DOS PROJETOS (M R$)

CUSTO TOTAL (M $)



5 – RESUMO DAS AÇÕES PRIORITÁRIAS

AÇÕES PRIORITÁRIAS DATA

1. Reduzir a distância entre TI e as áreas de negócio:• Criação do GETI e a nomeação dos seus componentes• Iniciar o envolvimento de TI nos projetos em desenvolvimento na

DIPEQ• Criar a estrutura de Gestor de Sistemas para a DIPEQ e DIAT • Iniciar a revisão e melhoria do JABOT • Iniciar palestras de apreciação de TI para a Alta Administração• Implantar LICITAWEB• Iniciar palestra de apreciação de TI para usuários

05/200905/2009

06/200907/200908/200909/200912/2009

2. Iniciar a documentação dos principais sistemas 07/2009

3. Criar e implantar as Políticas básicas de TI 07/2009

4. Reduzir as vulnerabilidades de segurança, iniciando a implantação da Política de Segurança (ênfase nos itens de segurança lógica e backup)

10/2009

5. Iniciar a modelagem da Base de Dados corporativa 10/2009

6. Realizar imediato estudo de avaliação das necessidades de infraestrutura para suportar prioritariamente aos sistemas em desenvolvimento externo para a DIPEQ (Controle de Projetos e Base de Dados de Gestão, Monitoramento e Controle das Espécies Ameaçadas) e o JABOT

12/2009

7. Implementar a versão simplificada dos processos: Gerência de Projetos e Solicitação de Serviços a TI

12/2009

8. Criar a área de Administração de Dados (AD) / Administração de Banco de Dados (DBA)

12/2009



ANEXO 1 - DIAGNÓSTICO DA MATURIDADE DOS PROCESSOS DE GERENCIAMENTO DE SERVIÇOS DE TI ( ITILV2)

Neste anexo será apresentado o diagnóstico dos processos existentes na área de informática sob a ótica da ITIL V2. Os 10 processos e função Central de Serviços foram analisados individualmente, onde cada um recebeu individualmente um grau de maturidade demonstrada na matriz e gráfico abaixo :


GERENICAMENTO DE SERVIÇOS DE TI

O Gerenciamento dos serviços de TI sobre a ótica da ITIL V2 não possui visão integrada dos processos e seus relacionamentos.Processos avaliados :: Gerenciamento de

Incidentes; Gerenciamento de

Problemas; Gerenciamento de Configu-

ração; Gerenciamento de

Mudanças ; Gerenciamento de

Liberação; Gerenciamento do Nível de

Serviço; Gerenciamento Financeiro; Gerenciamento da

Disponibilidade do Serviço; Gerenciamento da

Capacidade;

Central de Serviços: Os chamados dos clientes de TI,

que reportam dificuldades, não são recebidos em um ponto único de contato;

Não foram definidos o escopo e o objetivo da função Central de Serviços.

Gerenciamento de Incidentes: Não são atribuídos aos

incidentes códigos de classificação que podem indicar uma possível causa do incidente;

Antes de esforços para solucionar um novo incidente, não é verificado se o mesmo incidente já foi solucionado no passado;

Os procedimentos não são apropriados para avaliar os níveis de satisfação do usuário quanto à solução de incidente;

Não existe um bom fluxo de informação da Gerência de

Não é possível fornecer um ponto único de contato para os usuários e Clientes;

Não é possível Entregar suporte de alta qualidade para alcançar as metas do negócio;

Não é possível Ajudar a identificar e baixar o custo de propriedade para os serviços de TI como um todo;

Suportar as Mudanças através do negócio, da tecnologia e limites do processo;

Não é possível obter soluções de contorno mais rápidas;

Não é possível identificar se as chamadas são encaminhadas para o suporte de segundo nível dentro de X minutos;

Não é possível identificar se o serviço é restaurado dentro de um tempo aceitável e de acordo com o Acordo de Nível de Serviço;



Gerenciamento da Continuidade do Serviço;

Incidentes para o processo de Gerenciamento de Problema;

Não existe um procedimento apropriado para tratar incidente de alto impacto.

Gerenciamento de Problemas: Não existe uma lista de trabalhos

preventivos, que é mantida e usada enquanto uma análise mais detalhada é feita;

O dono do processo não assume uma gerência pró-ativa de problemas (buscando prováveis áreas de falha, antes que ocorram);

Não existe um procedimento através do qual os prováveis problemas podem ser classificados por categoria, urgência, prioridade e impacto, e designados para investigação;

A infra-estrutura não é monitorada após a solução do problema através de um procedimento formal;

Não existem revisões regulares sobre o desempenho dessa área de processo comparado com os Indicadores-chave de desempenho documentados.

Gerenciamento de Configuração: Não existe uma lista publicada

sobre o que deve ser considerado como componentes da mais alta prioridade da infra-estrutura;

Não é possível identificar o percentual de incidentes que escalados para o segundo e terceiro níveis;

Não é possível identificar o número de chamados tratados por estação de trabalho/usuário de acordo com o impacto;

Com relação ao PABX, não é possível identificar o tempo médio de resposta;número de chamadas abandonadas pelos usuários, duração média das chamadas e métrica relativa por atendente;

Não é possível identificar disponibilidade e indisponibilidade do serviço durante um período específico;

Não é possível identificar o custo do serviço fornecido;

Não é possível identificar a proporção da capacidade de serviço usada;

Não é possível identificar a qualidade dos componentes afetados por falhas freqüentes;

Não é possível identificar planos de ação para problemas em aberto, identificando o que foi feito até o momento e o que será feito posteriormente;

Não é possível identificar Acordos de Níveis de serviço estabelecidos e respaldados por acordos de nível



Não existe uma Biblioteca Definitiva de Software e um Depósito Definitivo de Hardware dentro da organização (local para armazenagem física de software e hardware);

Não existe um programa de atividade de auditoria que seja seguido para verificar a exatidão do Banco de Dados do Gerenciamento de Configuração.

Gerenciamento de Liberação: A Base de Dados do

Gerenciamento de Configuração (CMDB) é atualizada com novos detalhes quando uma liberação é distribuída;

Não existe um programa das liberações esperadas e das datas previstas para as mesmas.

Gerenciamento de Mudança: Não existe um processo de

conferência e verificação dos pedidos de mudança para que estejam perfeitos antes de serem submetidos;

Não existe um procedimento apropriado para lidar com Mudanças Emergenciais;

Não existe uma clara distinção entre um pedido de mudança (ex. upgrade application) e um pedido de serviço (ex. restabelecer uma password);

As mudanças não são classificadas por categoria, de

operacional; Não é possível apresentar uma

análise de custo-benefício dos serviços de TI fornecidos;

Não é possível diminuir o impacto adverso de Mudanças na qualidade dos serviços de TI e nos ANS’s;

Não é possível aumentar a produtividade do pessoal chave com menor necessidade de desvio das obrigações para implementar Mudanças Urgentes ou fazer o retorno de Mudanças sem sucesso na execução.



acordo com o impacto e urgência das mesmas.

Gerenciamento do Nível de Serviço: Não existem Acordos de Nível de

Serviço (SLA) apropriados para acompanhamento da estrutura definida;

Os acordos com fornecedores externos (contratos de sustentação) não são documentados e mostrados nos SLA’s;

Não existe um Catálogo de Serviço que descreva os serviços oferecidos por TI para empresa.

Gerenciamento da Disponibilidade e Continuidade do Serviço: Não existe um plano de

recuperação documentado e conhecido, apropriado para cada área de serviço, na eventualidade de um imprevisto;

Não existe um Plano de Disponibilidade e Continuidade do Serviço;

O custo das falhas do sistema não podem ser calculado.

Não existem relatórios históricos usados como inputs para futuros aperfeiçoamentos;

Não são distribuídos relatórios pró-ativos, em ocasiões oportunas, que permitam que o pessoal se prepare para eventos futuros.



Não existe um Plano de Segurança de TI apropriado, que é constantemente revisto e atualizado;

Não existem medidas apropriadas para tratar de violação de segurança;

A Gerência não é provida de relatórios de segurança apontando as áreas afetadas por ataque, com sugestões de estratégias;

As mudanças no perfil de segurança da organização não são tratadas através do processo formal de gerenciamento de mudança;

O custo do provimento de segurança não é conhecido e comparado ao valor da informação que está sendo protegida.

Gerenciamento Financeiro: As ferramentas eletrônicas não

são bem utilizadas nesta área de processo;

Gerenciamento da Capacidade: As ferramentas eletrônicas não

são bem utilizadas nesta área de processo;

Não existe um claro entendimento das diferenças entre Capacidade da Empresa, Capacidade do Serviço e Gerenciamento da Capacidade do Recurso;



O processo não é capaz de simular os efeitos que novos serviços, ou de mudanças nos serviços existentes, virão a causar na capacidade;

Dados relacionados à capacidade não estão armazenados no banco de dados de Capacidade (CDB) – levando em conta uma análise profunda/ investigação.





ANEXO 2- DIAGNÓSTICO DA MATURIDADE DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO(ISO/IEC 27001)

Neste anexo será apresentado o diagnóstico de segurança da informação existentes na área de informática sob a ótica da ISO/IEC 27001:



ESTATÍSTICAS :

Algumas estatísticas serão apresentadas para um melhor entendimento sobre a importância da segurança física no contexto da segurança da informação e estão baseados na 10a Pesquisa de Segurança da Informação – Módulo (2006). A décima edição da Pesquisa Nacional de Segurança da Informação traz uma visão atualizada sobre as tendências do mercado brasileiro, com seus indicadores e melhores práticas.

Esta pesquisa contou com a resposta de 600 profissionais atuantes nas áreas de Segurança e Tecnologia da Informação de organizaçõesprivadas, públicas e de economia mista, nos seguintes setores: Governo (21%), Financeiro (15%), Informática (14%), Indústria (9%), Prestação de Serviços (8%), Telecomunicações (5%), Comércio (4%), Educação (3%), Energia Elétrica (3%), Saúde (2%), Mineração (0,5%), outros (15%).





b




• O setor Governo é o único onde a maioria das organizações declarou que a maior parte de seus funcionários precisam ser mais conscientizados sobre a importância da Segurança da Informação;

• O segmento Financeiro é o que mais realiza campanha de sensibilização sobre Segurança da Informação entre seus funcionários. Já no setor de Telecomunicações, a maioria das empresas nunca realizou tal campanha;

• Na maioria das companhias dos setores Financeiro e de Serviços as campanhas de sensibilização são preparadas pelas áreas de segurança, RH e comunicação em conjunto;

• Empresas do segmento Indústria possuem o valor do investimento da área de TI dedicado à Segurança da Informação acima de 20%, seguido pelas companhias do setor de Telecomunicações;

• É no segmento Financeiro que a maioria das empresas possui seus investimentos em Segurança da Informação plenamente alinhados com os objetivos de negócio. No setor Comércio, a maioria das companhias ou não tem seus investimentos alinhados ou informa estar pouco alinhados com os objetivos de negócios.

• Três principais medidas de segurança planejadas para os próximos 12 meses por segmento (citadas pela maioria das empresas):

o Comércio: Política de segurança; Análise de riscos no ambiente de TI; Capacitação da equipe técnica.

o Financeiro: Adequação às Normas, Regulamentações e Legislação; Análise de riscos no ambiente de TI;Certificado digital.

o Governo: Campanha de sensibilização e responsabilização de funcionários; Análise de riscos no ambiente de TI; Adequação a Normas, Regulamentações e Legislação.

o Indústria: Análise de vulnerabilidades; Análise de riscos no ambiente de TI; Campanha de sensibilização e responsabilização de funcionários.

o Serviços: Análise de riscos no ambiente de TI; Análise de vulnerabilidades; Política de segurança.

o Telecomunicações: Adequação às Normas, Regulamentações e Legislação; Análise de riscos no ambiente de TI; Plano de continuidade.


ANEXO 3 - ANÁLISE DE VULNERABILIDADES DOS SERVIDORES

Em um levantamento identificamos servidores como críticos, foram realizados vários testes de vulnerabilidade. Foi utilizado o software NESSUS, Lan Guard, RETINA onde podemos obter as seguintes informações dos servidores analisados.

Nomeclatura: CAESEALPINIASistema Operacional.: Linux Kernel 2.4 em Debian 3.1 (sarge)IP: 10.20.168.51

AtivoCrítico

VulnerabilidadesEncontradas

AmeaçasPotenciais

Recomendações De Segurança

ServidorWeb Server10.20.168.51

Serviço http(80/tcp)

⇒ Perda de informações

⇒ Denial Of Service

⇒ Atualizar versões de: Apache, PHP, MapServer.

⇒ Desabilitar a função Trace e/ou Track

⇒ Limitar informações sobre WebServer e negar listagem de diretórios


Serviço FTP(21/tcp)

⇒ Ataques⇒ Acesso não

autorizado⇒ Perda de

informaçõe

⇒ Upgrade de versão⇒ Desabilitar/Filtrar

o acesso ao serviço ou a utilização alternativa com criptografia


Serviço SMTP(25/tcp)

⇒ Ataques⇒ Invasões⇒ Perda de

Informações⇒ Denial Of

Service

Desabilitar/Filtrar o acesso ao serviço



Nomeclatura: SUMAUMASistema Operacional.: Linux Kernel 2.4 em Debian 3.1 (sarge)IP: 10.20.168.50

AtivoCrítico


AmeaçasPotenciais


Servidor WebMail, POP, SMTP, IMAP10.20.168.50

Serviço SunRPC(111/tcp)


⇒ Restringir o acesso ao serviço

Servidor WebMail, POP, SMTP, IMAP10.20.168.50




⇒ Atualizar versões de: Apache, PHP, MapServer.



Nomeclatura: MULUNGUSistema Operacional.: Microsoft Windows XP Service Pack 2IP: 10.20.168.24

AtivoCrítico


AmeaçasPotenciais


Servidor Produtividade10.20.168.24


⇒ Perda de Informações

⇒ Ataques

⇒ Filtrar acesso ao serviço

⇒ Desabilitar serviço



AtivoCrítico


AmeaçasPotenciais



Serviço RDP (3389/tcp) ⇒ Perda de Informações

⇒ Ataques⇒ Invasão

⇒ Desabilitar/Filtrar o acesso ao serviço ou a utilização alternativa com criptografia


Serviço PostgreSQL (5432/tcp)

⇒ Perda de Informação


⇒ AtualizaçãoServidor Produtividade10.20.168.24

Serviço VNC-HTTP(5800/tcp)

⇒ Obter acesso remotamente.


⇒ Desabilitar o serviçoServidor Produtividade10.20.168.24

Serviço microsoft-ds(445/tcp)

⇒ Ataques⇒ Invasão⇒ Perda de

Informação⇒ Acesso não

autorizado⇒ Denial Of Service


⇒ Atualização


Serviço MySQL (3306/tcp)



⇒ AtualizaçãoServidor Produtividade10.20.168.24

Serviço VNC (5900/tcp) ⇒ Obter acesso remotamente


⇒ Desabilitar o serviçoServidor Produtividade10.20.168.24

Serviço netbios-ssn (139/tcp)

⇒ Ataques⇒ Invasões⇒ Perda de

Informações



Serviço MS-sql-s (1433/tcp)

⇒ Invasões⇒ Perda de

Informações










Nomeclatura: FSJBRJSistema Operacional.: Microsoft Windows 2000IP: 10.20.168.34

AtivoCrítico


AmeaçasPotenciais


Servidor Netware 10.20.168.34

Serviço ldaps (636/tcp) ⇒ Perda de Informações

⇒ Renovar certificado SSL


Serviço Novell Netware (524/tcp)


⇒ Filtrar acesso ao serviço em diretórios públicos

⇒ Desabilitar serviçoServidor Netware 10.20.168.34


⇒ Ataques⇒ Perda de

Informação


⇒ Desabilitar contas do tipo “guest”


Serviço portmapper (111/tcp)


Informação



Serviço ldap (389/tcp) ⇒ Ataques⇒ Perda de

Informação


⇒ Desabilitar serviço para acesso anônimo


Serviço snmp (161/udp) ⇒ Perda de Informação


⇒ Desabilitar serviçoServidor Netware 10.20.168.34

Serviço router (520/udp) ⇒ Ataques ⇒ Atualizar RIP-1 para RIP-2

Nomeclatura: GANGORRASistema Operacional.: Linux Kernel 2.4 em Debian 3.1 (sarge)



IP: 10.20.168.70

AtivoCrítico


AmeaçasPotenciais


Servidor Firewall, Proxy, DNS 10.20.168.70

Serviço SSH(22/tcp)

⇒ Perda de Produtividade

⇒ Obter acesso remotamente

⇒ Atualizar para OpenSSH mais recente


Serviço HTTP (gopher)(80/tcp)

⇒ Ataques⇒ Invasão

⇒ Recusar requisições do tipo gopher


Serviço hosts2-ns(81/tcp)


informação

⇒ Utilização alternativa com criptografia (HTTPS).

Nomeclatura: vm001Sistema Operacional.: Kernel 2.6 em Debian 4.0 (etch)IP: 10.20.168.1

AtivoCrítico


AmeaçasPotenciais


Servidor Newsletter10.20.168.1


⇒ Perda de Informações

⇒ Ataques

⇒ Omitir divulgação de versão do serviço






Serviço ident(113/tcp)


informação

⇒ Comentar a linha “auth” ou “ident” no arquivo /etc/inetd.conf e reiniciar o serviço



AtivoCrítico


AmeaçasPotenciais



Serviço NTP(123/udp)

⇒ Ataques ⇒ Desabilitar o serviço


Serviço portmapper(111/tcp)

⇒ Ataques ⇒ Restringir o acesso ao serviço


AtivoCrítico


AmeaçasPotenciais


Servidor PHP10.20.168.2







informação









Serviço HTTP(80/tcp)




Nomeclatura: vm003



Sistema Operacional.: Kernel 2.6 em Debian 4.0 (etch)IP: 10.20.168.3

AtivoCrítico


AmeaçasPotenciais


Servidor MySQLserver10.20.168.3







⇒ Gerar novamente todas as chaves (SSL, SSH, OpenVPN)





informação



Serviço mysql(3306/tcp)


informação

⇒ Atualização









⇒




AtivoCrítico


AmeaçasPotenciais


Servidor OCS-Inventory, Nagios10.20.168.4













Serviço ftp(21/tcp)


informações

⇒ Filtrar o acesso ao serviço ou a utilização alternativa com criptografia.







AtivoCrítico


AmeaçasPotenciais


Servidor WEB (desenvolvimento)10.20.168.5













Serviço ftp(21/tcp)


informações

⇒ Filtrar o acesso ao serviço ou a utilização alternativa com criptografia.


AtivoCrítico


AmeaçasPotenciais


Servidor Intranet (desenvolvimento)10.20.168.6








Serviço bootps(67/udp)





AtivoCrítico


AmeaçasPotenciais


Servidor Samba (desenvolvimento) 10.20.168.7





Serviço ldaps (636/tcp) ⇒ Perda de Informações

⇒ Renovar certificado SSL




Informação


⇒ Desabilitar contas do tipo “guest”


Serviço microsoft-ds (139/tcp)


Informação



Serviço portmapper (111/tcp)


Informação



Serviço ldap (389/tcp) ⇒ Ataques⇒ Perda de

Informação


⇒ Desabilitar serviço para acesso anônimo



ANEXO 4 - MACRO-PROCESSOS DE TIC

Conforme apresentado no diagnóstico dos processos de gerenciamento de serviços de TIC, não existe visão integrada dos processos e seus relacionamentos apresentando desta forma, um nível de maturidade extremamente baixo. Apresentamos a seguir a visão proposta para implementação dos processos de governança de TIC, identificando quando for o caso, os processos existentes no JBRJ.

ITIL® V3 Ciclo de Vida do Serviço

i

Processo do Cliente

i

Estratégia de Negócio

i

Requerimentos do Serviço

i

Processo dos Fornecedores

Externosi

Relatório de Nível de Serviços

+ i

Estratégia do Serviço

i

Estratégia do Serviço

i

Portfolio de Serviços

+ i

Desenho do Serviço

i

Requisição de mudança (RDM)

i

Pacote de Desenho de

Serviço (PDS)

+ i

Transição do Serviço

i

Acordo de Nível de Serviços ( ANS )

i

Acordo de Nível Operacional (ANO)

+ i

Operação do Serviço

i

Sugestão de Mudanças nos

ANSs, ANOs e Cas

i

Sugestões de Melhorias no

processo

+ i

Melhoria Continua do

Serviçoi

Plano de Melhoria do Serviço (PMS)

i

Relatório de Nível de Serviços

i

Processo do Cliente

i

Processo dos Fornecedores

Externosi

Contrato de Apoio (CA)

© 2008 PATH ITTS®. Todos os direitos reservados




DETALHES DO PROCESSO CHAVE : ESTRATÉGIA DE SERVIÇO - NÍVEL 0

+ i

Gerenciamento do Portfólio de

Serviços

+ i

Gerenciamento Financeiro de Serviços de TI

+ i

Geração da Estratégia

+ i

Gerenciamento da Demanda


i

Requisição de orçamento

i

Portfólio de Serviços

i

Análise Financeria

i

Orçamento

i

Estratégia de Serviço

i

Plano diretor de Informática

i

Requiasição de Mudança na

Estratégia de Serviço

i

Requisitos de Serviçoi

Portfólio de Serviços

i

Orçamento

i

Análise de Impacto noNegócio (AIN)e análise de Risco

i

Análise de Impacto noNegócio (AIN) e análise de Risco

i

Retorno do investimento(RDI)

i

Retorno do investimento(RDI)

i

Requisições de mudanças no

Catalogo de Serviços

i

Pacote de Serviço



DETALHES DO PROCESSO CHAVE : DESENHO DE SERVIÇO - NÍVEL 0



DETALHES DO PROCESSO CHAVE : TRANSIÇÃO DE SERVIÇO - NÍVEL 0



DETALHES DO PROCESSO CHAVE : OPERAÇÃO DE SERVIÇO - NÍVEL 0



DETALHES DO PROCESSO CHAVE : MELHORIA CONTINUA DE SERVIÇO - NÍVEL 0


+ i

Melhoria do Serviço

+ i

Medição do Serviço

+ i

Relatório do Serviço


i

Relatório de Melhoria Processo / Tecnologia

i

Plano de Melhoria de Serviço (PMS)

i

Arquiteutra de Processo

i

Relatório de Medição do Serviço /

Processo / Tecnologia

i

Relatório de Melhoria do Serviço

i

Relatório de Avaliação do Serviço

i

Log de Reclamações


ANEXO 5 – TREINAMENTOS DOS USUÁRIOS DE TI

TREINAMENTO DOS USUÁRIOS E TI

OBJETIVO Preparar e realizar programa de treinamento para melhorar a comunicação, a apreciação de TI e a divulgação das metas e objetivos institucionais para Usuários e TI.

ATIVIDADES

1. Definir o conteudo final do treinamento – TI / RH / Áreas;2. Preparar o Plano de Treinamento – TI / RH / Áreas3. Aprovar o conteúdo e Plano de Treinamento – TI / RH / Áreas4. Preparar os recursos para o treinamento – TI ou Terceiro5. Execução do treinamento – TI ou Terceiro

CONTEUDOBÁSICO

1. TI no contexto de uma organização moderna2. O planejamento de TI no contexto das metas e objetivos da organização3. Premissas básicas para o sucesso de TI4. Papel de TI e dos Usuários (Politicas de TI)5. Importância da comunicação6. Conceitos de Projetos e Serviços de TI7. Gestão e Governança de TI8. TI no contexto do JBRJ9. Principais metas e objetivos do JBRJ de TI (curto/médio e longo prazo)

DURAÇÃO DO TREINAMENTO

6 – 8 horas por programa de treinamento

AVALIAÇÃO DO TREINAMENTO

Avaliação deve ser feita pelos Participantes, ao término do treinamento.

PLANO DE TREINAMENTO

TI deve preparar Plano de Treinamento contendo:• Publico alvo, numero de turmas e cronograma de preparação e execução;• Infra-estrutura e materiais requeridos;• Metodologia de treinamento e equipe designada para o treinamento;• Atividades, responsabilidades e prazos.



ANEXO 6– PALESTRA PARA A ALTA ADMINISTRAÇÃO

PALESTRA PARA A ALTA ADMINISTRAÇÃO

OBJETIVO Preparar e realizar palestras visando melhorar a apreciação de TI e o entendimento sobre a gestão e governança de TI.

ATIVIDADES

1. Definir o conteudo final das palestras – TI / RH / Áreas;2. Preparar o Plano de Palestras – TI / RH / Áreas3. Aprovar o conteúdo e Plano de Palestras – TI / RH / Áreas4. Preparar os recursos para as palestras – Terceiro 5. Execução do treinamento –Terceiro

CONTEUDOBÁSICO

1. TI no contexto de uma organização moderna2. O planejamento de TI no contexto das metas e objetivos da organização3. Premissas básicas para o sucesso de TI4. Papel de TI e dos Usuários (Politicas de TI)5. Conceitos de Projetos e Serviços de TI6. Gestão e Governança de TI


2 - 3 horas por programa de treinamento


N/A


TI deve preparar Plano de Palestras contendo:• Publico alvo, numero de palestras e cronograma de preparação e execução;• Infra-estrutura e materiais requeridos;• Metodologia de treinamento e equipe designada para o treinamento;• Atividades, responsabilidades e prazos.



ANEXO 7 – COMITÊ EXECUTIVO DE TI (CETI)

COMITÊ EXECUTIVO DE TI (CETI)

OBJETIVOAssessorar a Diretoria em assuntos específicos de Informática.

RESPONSABILIDADESDO GRUPO

1. Avaliar e recomendar à Diretoria a aprovação e priorização de projetos1 de TI 2. Avaliar e priorizar a demanda de serviços de manutenção de sistemas3. Acompanhar os projetos e serviços em andamento4. Avaliar os projetos após sua conclusão5. Confirmar padrões de TI (software, hardware e metodologias)6. Confirmar Políticas de TI (papéis, segurança, terceirização, treinamento, etc.)

COMPOSIÇÃO Pessoa indicada por cada Diretor para representar um ou mais setores que compõem a sua estrutura + o Nº 1 de Informática.

COORDENAÇÃO Nº 1 de Informática

FREQÜÊNCIA DAS REUNIÕES

Mensal. Sob convocação em casos especiais.

CONTROLES SOBRE O GRUPO

As atas das reuniões contendo a relação dos presentes e ausentes, assim como as recomendações do grupo, devem circular pelos Gerentes dos setores e Diretoria. A participação ativa de cada membro do grupo deve ser incluída nos seus Objetivos Anuais e na sua Avaliação de Desempenho.

INDICADOR DE RESULTADOS DO

GRUPO

Melhoria no atendimento às necessidades do negócio - satisfação dos usuários – eficácia de custos de TI

1 Devem ser tratadas como “projeto” todas as atividades de TI envolvendo: (1) desenvolvimento/ contratação de novos sistemas, (2) manutenções adaptativas acima de valor pré-estabelecido (3) contratação / implementação de ferramentas e metodologias (4) modificação na infra-estrutura tecnológica



ANEXO 8 – USUÁRIO “GESTOR DE SISTEMAS”

USUÁRIO “GESTOR DE SISTEMAS”

OBJETIVO Acompanhar todo ciclo de vida do sistema aplicativo assegurando que as necessidades da área usuária sejam atendidas por TI

RESPONSABILIDADESDO GESTOR

1. Gerir todos os aspectos relativos ao sistema sob sua responsabilidade, incluindo a definição de necessidades, aprovação de especificação funcional (ou protótipos), acompanhamento dos trabalhos e aceitação dos produtos e serviços

2. Ser o interlocutor da área usuária junto à TI – centralizando todas as reivindicações relativas ao sistema pelo qual é responsável

3. Definir o escopo e os requerimentos do projeto e sistema sob sua responsabilidade4. Assessorar o seu superior e/ou o gerente do seu setor em assuntos relacionados ao

sistema sob sua responsabilidade

CONTROLES SOBRE O GESTOR

A participação ativa do gestor deve ser incluída nos seus Objetivos Anuais e na sua Avaliação de Desempenho.


GRUPO

Melhoria no nível de serviços de TI – maior satisfação do usuário - usuário gestor atua como “dono do sistema”, orientando e cobrando melhores serviços.

TIUSUÁRIO GESTORSISTEMA

COMITÊ EXECUTIVO DE

TIDIRETORIA

Plano Diretor de TI Propõe - Confirma Aprova

Projetos Propõe Recomenda Confirma Aprova

Manutenções em sistemas Recomenda Propõe Prioriza/Aprova -

Políticas de TI (segurança, terceirização, alocação de custos, treinamento, etc.) Propõe - Confirma Aprova

Padrões e metodologias de TI Propõe - Confirma Aprova



ANEXO 9 – PROPOSTA DE ESTRUTURA ORGANIZACIONAL PARA TIC

SISTEMAS (DIPEQ)

SERVIÇOS DE TI

PRINCIPAL EXECUTIVO DE TI

SEGURANÇADA

INFORMAÇÃO

SISTEMAS (DIAT)

SISTEMAS (ADMINISTRATIVOS/

MMA/EBT)

ESCRITÓRIO DE PROJETOS

SISTEMAS

• Identificação de áreas de oportunidade• Ligação com empresas fornecedoras (terceiros)• Homologação de produtos elaborados por terceiros• Desenvolvimento / Manutenção de aplicativos• Avaliação de soluções técnico/funcionais dos

projetos, apresentados por terceiros• Comprometimento via SLAs• Busca da satisfação dos usuários• Preservação da inteligência das soluções• Gestão da terceirização de desenvolvimento /

manutenção

SERVIÇOS DE TI

• Operação dos Sistemas Aplicativos• Controle de Qualidade da operação• Planejamento e Operação da Infraestrutura• Central Única de Atendimento ao Cliente

Interno (Help Desk - telefone)• Terceirizações de serviços tipo

“commodities” (ex.: instalações, atualizações, etc.)

• Gestão dos modelos e das bases de dados• Gestão e suporte aos softtwares instalados

OPERAÇÕES TELECOM /REDE

HELP DESK

ESCRITÓRIO DE PROJETOS• Gestão de Projetos• Padrões e Metodologias• Treinamentos• Planejamento de Infra-estrutura para gestão de

projetos• Gestão de Qualidade e Desempenho

(métricas)• Gestão dos contratos de TI

SEGURANÇA DA INFORMAÇÃOAssessorar o principal executivo de TI

em:• Políticas, Normas e Padrões de

Segurança• Classificação das informações e

conformidade legal• Plano de Continuidade do Negócio• Treinamento e difusão da cultura de

segurança da informação

PRESIDÊNCIA

SUPORTE BANCO DE DADOS

SUPORTE

• Suporte aos softwares dos Servidores, Redes, micros, Bco. de Dados, Office, Etc.

• Avaliação de novas tecnologia/ homologação

TESTE DESISTEMAS(a avaliar)

TESTE DE SISTEMAS (AVALIAR NO FUTURO)

• Realizar testes independentes do desenvolvimento

• Definir o processo de teste de aceitação pelos usuários



ANEXO 10 – PROPOSTA DE ESTRUTURA ORGANIZACIONAL PARA TIC

ATUAL 2009 2010 2011 2012 2013

PRINCIPAL EXECUTIVO DE TI 1 1 1 1 1 1SEGURANÇA DA INFORMAÇÃO 0 1 1 1 1 1SISTEMAS - DIPEQ 1 3 3 3 3 3SISTEMAS - DAT 1 2 2 2 2 2SISTEMAS - ADM / MMA / EBT 0 2 2 2 2 2SERVIÇOS DE TI

OPERAÇÕES 1 1 1 1 1 1TELECOM/REDE 1 1 1 1 1 1

SUPORTE TÉCNICO 1 1 1 1 1 1 TERCEIRIZADOBANCO DE DADOS 0 1 2 2 2 2 DBA - TERCEIRIZADO

CENTRAL DE SERVIÇOS 3 4 6 6 6 6

1) ATUAL - 2 TERCEIRIZADOS 2) FUTURO - TAMBÉM ATENDER DEMANDAS DE SISTEMAS - 5 TERCEIRIZADOS 3) INCLUI SUPORTE AOS USUÁRIOS

TESTES DE SISTEMAS ( A SER AVALIADO) 0 0 2 2 2 2 TERCEIRIZADOESCRITÓRIO DE PROJETOS 0 0 1 2 2 2 2011/12/13 - 1 TERCEIRIZADO

TOTAL DE PESSOAS 9 17 23 24 24 24

SISTEMAS DIPEQ ATUAL 2009 2010 2011 2012 2013 OBSERVAÇÕES

GESTOR 0 1 1 1 1 1 DESENVOLVEDORES 1 2 2 2 2 2

TOTAL 1 3 3 3 3 3

SISTEMAS DAT ATUAL 2009 2010 2011 2012 2013

GESTOR 0 1 1 1 1 1DESENVOLVEDORES 1 1 1 1 1 1

TOTAL 1 2 2 2 2 2

SISTEMAS ADM / MMA / EBT ATUAL 2009 2010 2011 2012 2013


TOTAL 0 2 2 2 2 2

TOTAL ATUAL 2009 2010 2011 2012 2013


TOTAL 2 7 7 7 7 7

ÁREAS EM TINÚMERO DE RECURSOS POR ANO

OBSERVAÇÕES



ANEXO 11 – OS 5 PRINCÍPIOS BÁSICOS PARA ATUAÇÃO DE TI (CLÁUSULAS PÉTREAS)

OS 5 PRINCÍPIOS BÁSICOS PARA ATUAÇÃO DE TI (CLÁUSULAS PÉTREAS)

1. DEVEM SER TRATADAS COMO “PROJETO” TODAS AS ATIVIDADES DE TI ENVOLVENDO:

• DESENVOLVIMENTO/ CONTRATAÇÃO DE NOVOS SISTEMAS

• MANUTENÇÕES ADAPTATIVAS NOS SISTEMAS EXISTENTES

• CONTRATAÇÃO / IMPLEMENTAÇÃO DE FERRAMENTAS E METODOLOGIAS

• MODIFICAÇÃO NA INFRA-ESTRUTURA TECNOLÓGICA

2. TODO PROJETO DE TI DEVE TER UM GESTOR[1] E SER PRECEDIDO DE UM ESTUDO DE VIABILIDADE [2] PREPARADO POR TI E A ÁREA PATROCINADORA[5], RECOMENDADO PELO CETI E APROVADO PELA DIRETORIA

3. NENHUM PROJETO DEVE SER EXECUTADO SEM A APROVAÇÃO FORMAL DA SUA ESPECIFICAÇÃO E PLANEJAMENTO PELAS ÁREAS AFETADAS

4. TODO PROJETO DEVE SER ACOMPANHADO PERIODICAMENTE [4] PELA GERÊNCIA DE TI, USUÁRIO PATROCINADOR, GETI E/OU DIRETORIA

5. AO TÉRMINO, TODO PROJETO DEVE SER FORMALMENTE AVALIADO, POR TI, PELO SEU GESTOR, ÁREA PATROCINADORA E GETI, EM RELAÇÃO AO CUMPRIMENTO DE SUAS METAS DE PRAZO/CUSTO, RESULTADOS E IMPACTOS

[1] Responsável por todas as suas etapas, incluindo sua coordenação[2] Estudo de Viabilidade ou Business Case[3] CETI – Comitê Executivo de Informática[4] Frequencia mensal ou menor[5] Área usuária que propõe, justifica e acompanha o projeto





ANEXO 12 – CRONOGRAMA DOS PROJETOS2014

2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T

SISTEMA DE CONTROLE DE PROJETOS - em desenvolvimento SISTEMA NOVO 0,7 0,7 LICITAWEB SISTEMA ADAP 1 1BASE DE DADOS DE GESTÃO, MONITORAMENTO E CONTROLE DAS ESPÉCIES AMEAÇADAS -em desenvolvimento SISTEMA NOVO 0,5 0,5 0,5JABOT - MELHORIAS SISTEMA ADAP 1 0,5 0,5 0,5DOCUMENTAÇÃO DOS SISTEMAS PROCESSO NOVO

TREINAMENTO: APRECIAÇÃO DE TI II TREINAMENTO NOVO

PROCESSO PARA SOLICITAÇÃO DE SERVIÇO PROCESSO NOVO

PROCESSO GERÊNCIA DE PROJETOS PROCESSO NOVOAVALIAÇÃO DA CAPACIDADE E AQUISIÇÃO DE INFRAESTRUTURA INFRA NOVOINTERNET-NOVO PORTAL DO JBRJ SISTEMA SUBST 0,5 0,5INTERNET-SITE DO MUSEU SISTEMA NOVO 0,5 0,4GESTÃO DE CONTINUIDADE DO NEGÓCIO SEGURANÇA NOVO

METODOLOGIA E PADRÕES DE DESENVOLVIMENTO DE SISTEMAS PROCESSO NOVOMODELO DE DADOS CORPORATIVO PROCESSO NOVOTREINAMENTO: APRECIAÇÃO DE TI I TREINAMENTO NOVOTREINAMENTO DOS USUÁRIOS - SISTEMAS TREINAMENTO NOVO 1 0,5PROCESSO DE PORTFÓLIO DE PROJETOS E PROGRAMAS PROCESSO NOVOPROCESSO PARA TERCEIRIZAÇÃO DE SERVIÇOS DE TI PROCESSO NOVOGERENCIAMENTO DE SERVIÇOS DE TIC PROCESSO NOVOCONTAS A PAGAR SISTEMA NOVO 0,5 0,5SISTEMA DE CONVÊNIO - MELHORIAS SISTEMA ADAP 1SOFTWARES ESPECIALISTAS FERRAMENTA NOVOBROFFICE FERRAMENTA NOVOESCRITÓRIO DE PROJETOS PROCESSO NOVOSISTEMA DE ARRECADAÇÃO SISTEMA NOVO 0,5 0,5SISTEMA DE GESTÃO DE ALUNOS SISTEMA NOVO 0,6 0,5 0,5TFERRAMENTA DE GERÊNCIA DE PROJETOS, PROGRAMA E PORTFÓLIO FERRAMENTA NOVOCORREIO CORPORATIVO FERRAMENTA NOVOSEGURANÇA FISICA DO AMBIENTE SEGURANÇA NOVOGESTÃO DAS MANUTENÇÕES PREDIAIS SISTEMA NOVO

GESTÃO DE OBRAS SISTEMA NOVOSISTEMA DE PROGRAMAÇÃO DE VIAGENS SISTEMA NOVO 0,6 1 1SISTEMA DE ACOMPANHAMENTO DE CONTRATOS SISTEMA NOVO 1 1FLUXO DE CAIXA SISTEMA NOVO 1 1 0,9 1SISTEMA DE PATRIMÔNIO - MELHORIAS SISTEMA ADAP 1GESTÃO DE RECURSOS HUMANOS - MELHORIAS SISTEMA ADAP 1 0,8ESPECIFICAR SISTEMAS DE APOIO À OPERAÇÃO DO MUSEU SISTEMA NOVO 1FERRAMENTA DE AGENDA ELETRÔNICA FERRAMENTA NOVOINFORMATIZAÇÃO DE COLEÇÕES SISTEMA NOVO 1,3 0,7BASE DE TALENTOS SISTEMA NOVO 1 0,6SISTEMA DE GESTÃO DO ACERVO ARTISTICO SISTEMA NOVO 1 1,6SISTEMA DE GESTÃO DE TREINAMENTO SISTEMA NOVO 1,5 1SISTEMA DE INFORMAÇÃO PARA VISITANTES SISTEMA NOVO 0,5 0,9 0,5DIAGNÓSTICO DE TIC - COBIT PROCESSO NOVOMÉTRICAS E INDICADORES DE DESEMPENHO PROCESSO NOVOSISTEMA DE CUSTEIO DE ASSISTÊNCIA A SAUDE SISTEMA NOVO 0,8 0,,5TSISTEMA DE GESTÃO DE DISPUTAS DOS IMÓVEIS SISTEMA NOVO 0,5 0,5NOVO PDTI PROCESSO NOVODIGITALIZAÇÃO DE DOCUMENTOS E PLANTAS SISTEMA NOVOINTRANET SISTEMA ADAP

2010 2011 2012CRONOGRAMA DOS PROJETOS

2013

1a. Onda 2a. Onda 3a. OndaCLASSTIPO

2009



ANEXO 13 – CUSTOS ANUAIS DE TI (PROJETOS + MANUTENÇÃO DE SISTEMAS)CUSTO

2009 2010 2011 2012 20132014 (3 MESES) TOTAL (M R$)

SISTEMA DE CONTROLE DE PROJETOS - em desenvolvimento (*) SERV.PREST. SISTEMA NOVO 25,84 25,84LICITAWEB SERV.PREST. SISTEMA ADAP 40,52 40,52BASE DE DADOS DE GESTÃO, MONITORAMENTO E CONTROLE DAS ESPÉCIES AMEAÇADAS -em desenvolvimento (*) SERV.PREST. SISTEMA NOVO 209,24 209,24 418,48JABOT - MELHORIAS SERV.PREST. SISTEMA ADAP 70,10 70,10 140,20DOCUMENTAÇÃO DOS SISTEMAS SERV.PREST. PROCESSO NOVO 31,68 31,68TREINAMENTO: APRECIAÇÃO DE TI II GOVERNANÇA TREINAMENTO NOVO 4,00 4,00METODOLOGIA E PADRÕES DE DESENVOLVIMENTO DE SISTEMAS GEST&PROC. PROCESSO NOVO 165,36 101,40 101,40 368,16PROCESSO PARA SOLICITAÇÃO DE SERVIÇO GOVERNANÇA PROCESSO NOVO 82,96 32,90 32,90 148,76PROCESSO GERÊNCIA DE PROJETOS GEST&PROC. PROCESSO NOVO 74,16 32,90 32,90 139,96INTERNET-NOVO PORTAL DO JBRJ SERV.PREST. SISTEMA SUBST 15,86 15,86 31,71INTERNET-SITE DO MUSEU SERV.PREST. SISTEMA NOVO 15,86 15,86 31,71MODELO DE DADOS CORPORATIVO SERV.PREST. PROCESSO NOVO 15,84 15,84TREINAMENTO: APRECIAÇÃO DE TI I GOVERNANÇA TREINAMENTO NOVO 12,00 12,00 12,00 36,00TREINAMENTO DOS USUÁRIOS SERV.PREST. TREINAMENTO NOVO 15,84 15,84PROCESSO DE PORTFÓLIO DE PROJETOS E PROGRAMAS GEST&PROC. PROCESSO NOVO 74,16 74,16PROCESSO PARA TERCEIRIZAÇÃO DE SERVIÇOS DE TI GEST&PROC. PROCESSO NOVO 32,96 16,40 16,40 65,76CONTAS A PAGAR SERV.PREST. SISTEMA NOVO 59,24 59,24SISTEMA DE CONVÊNIO - MELHORIAS SERV.PREST. SISTEMA ADAP 21,60 21,60SOFTWARES ESPECIALISTAS SERV.PREST. FERRAMENTA NOVO 121,12 121,12BROFFICE SERV.PREST. FERRAMENTA NOVO 15,84 15,84SISTEMA DE ARRECADAÇÃO SERV.PREST. SISTEMA NOVO 40,52 40,52SISTEMA DE GESTÃO DE ALUNOS SERV.PREST. SISTEMA NOVO 43,60 21,80 65,40GESTÃO DAS MANUTENÇÕES PREDIAIS SERV.PREST. SISTEMA NOVO 48,34 48,34GESTÃO DE OBRAS SERV.PREST. SISTEMA NOVO 48,34 48,34SISTEMA DE PROGRAMAÇÃO DE VIAGENS SERV.PREST. SISTEMA NOVO 48,34 48,34SISTEMA DE ACOMPANHAMENTO DE CONTRATOS SERV.PREST. SISTEMA NOVO 48,34 48,34FLUXO DE CAIXA SERV.PREST. SISTEMA NOVO 67,71 67,71FERRAMENTA DE AGENDA ELETRÔNICA SERV.PREST. FERRAMENTA NOVO 41,12 41,12SISTEMA DE PATRIMÔNIO - MELHORIAS SERV.PREST. SISTEMA ADAP 21,45 21,45GESTÃO DE RECURSOS HUMANOS - MELHORIAS SERV.PREST. SISTEMA ADAP 16,17 16,17ESPECIFICAR SISTEMAS DE APOIO À OPERAÇÃO DO MUSEU SERV.PREST. SISTEMA NOVO 17,16 17,16INFORMATIZAÇÃO DE COLEÇÕES SERV.PREST. SISTEMA NOVO 49,67 49,67BASE DE TALENTOS SERV.PREST. SISTEMA NOVO 40,52 40,52SISTEMA DE GESTÃO DO ACERVO ARTISTICO SERV.PREST. SISTEMA NOVO 40,52 40,52SISTEMA DE GESTÃO DE TREINAMENTO SERV.PREST. SISTEMA NOVO 24,17 24,17 48,34SISTEMA DE INFORMAÇÃO PARA VISITANTES SERV.PREST. SISTEMA NOVO 155,74 155,74SISTEMA DE CUSTEIO DE ASSISTÊNCIA A SAUDE SERV.PREST. SISTEMA NOVO 40,52 40,52SISTEMA DE GESTÃO DE DISPUTAS DOS IMÓVEIS SERV.PREST. SISTEMA NOVO 40,52 40,52DIGITALIZAÇÃO DE DOCUMENTOS E PLANTAS SERV.PREST. SISTEMA NOVO 7,92 7,92 15,84MÉTRICAS E INDICADORES DE DESEMPENHO GEST&PROC. PROCESSO NOVO 82,96 82,96INTRANET SERV.PREST. SISTEMA ADAP 29,40 29,40ESCRITÓRIO DE PROJETOS GEST&PROC. PROCESSO NOVO 148,32 148,32FERRMENTA DE GERÊNCIA DE PROJETOS GEST&PROC. FERRAMENTA NOVO 49,44 49,44 98,88NOVO PDTI GOVERNANÇA PROCESSO NOVO 99,00 99,00DIAGNÓSTICO DE TIC - COBIT GOVERNANÇA PROCESSO NOVO 69,22 69,22AVALIAÇÃO DA CAPACIDADE E AQUISIÇÃO DE INFRAESTRUTURA (**) REC.TEC&SEGUR. INFRA NOVO 0,00 0,00 0,00GERENCIAMENTO DE SERVIÇOS DE TIC GEST&PROC. PROCESSO NOVO 138,42 93,30 93,30 325,02CORREIO CORPORATIVO REC.TEC&SEGUR. FERRAMENTA NOVO 76,40 76,40SEGURANÇA FISICA DO AMBIENTE (**) REC.TEC&SEGUR. SEGURANÇA NOVO 0,00 0,00GESTÃO DE CONTINUIDADE DO NEGÓCIO REC.TEC&SEGUR. SEGURANÇA NOVO 43,26 43,26 43,26 43,26 86,52 259,56

613,47 1.417,87 686,35 389,96 661,81 120,28 3.889,74

12,96 31,68 60,48 119,52 149,76 38,88 413,28

626,43 1.449,55 746,83 509,48 811,57 159,16 4.303,02

(*) INCLUI VALOR NO ORÇAMENTO DA DIPEQ(**) VALORES NÃO POSSIVEIS DE ESTIMAR DURANTE A ELABORAÇÃO DO PDTI

PROJETOS TIPO CLASSDIMENSÃO

CUSTOS ANUAIS (M R$)

TOTAL ANUAL - PROJETOS (A)

TOTAL ANUAL - MANUTENÇÃO DE SISTEMAS (B)

TOTAL ANUAL - PROJETOS (A + B)



ANEXO 14 – PRIORIDADE DOS PROJETOS - SISTEMAS

PRIORIDADE DOS PROJETOS

PROJETOS ÁREA DE NEGÓCIO

TIPO DO PROJETO

RESULTADOS OPERACIONAIS

USUÁRIOS. CIDADÃO E SOCIEDADE

EFICÁCIA

ALINHAMENTO

ESTRATÉGICO

VIABILIDADE TÉCNICA RISCO

PESO --> 30% 25% 15% 0% 15% 15% 100%JABOT - MELHORIAS DPQ ADAP 10 10 7 8 3 8,8 1BASE DE DADOS DE GESTÃO, MONITORAMENTO E CONTROLE DAS ESPÉCIES AMEAÇADAS -em desenvolvimento DPQ NOVO 10 10 5 5 5 7,8 2SISTEMA DE CONTROLE DE PROJETOS - em desenvolvimento DPQ NOVO 9 9 5 8 5 7,7 3INTERNET-NOVO PORTAL DO JBRJ ASSCOM SUBST 7 9 3 7 3 6,9 4INTERNET-SITE DO MUSEU MMA NOVO 7 9 3 7 3 6,9 5CONTAS A PAGAR DG NOVO 8 5 8 7 5 6,7 6SISTEMA DE ARRECADAÇÃO DG NOVO 9 3 7 5 5 6,0 7SISTEMA DE CONVÊNIO - MELHORIAS DG ADAP 5 7 3 8 3 6,0 8SISTEMA DE GESTÃO DE ALUNOS EBT NOVO 7 5 3 7 3 5,9 9LICITAWEB DG ADAP 7 3 7 8 5 5,9 10GESTÃO DAS MANUTENÇÕES PREDIAIS DG NOVO 7 3 5 8 3 5,9 11GESTÃO DE OBRAS DG NOVO 7 3 7 7 5 5,7 12SISTEMA DE PROGRAMAÇÃO DE VIAGENS DPQ NOVO 7 3 3 8 3 5,6 13SISTEMA DE ACOMPANHAMENTO DE CONTRATOS DG NOVO 7 3 8 8 8 5,6 14SISTEMA DE PATRIMÔNIO - MELHORIAS DG ADAP 5 3 8 8 5 5,4 15FLUXO DE CAIXA DG NOVO 7 3 5 7 5 5,4 16GESTÃO DE RECURSOS HUMANOS - MELHORIAS DPQ ADAP 5 3 5 8 3 5,3 17ESPECIFICAR SISTEMAS DE APOIO À OPERAÇÃO DO MUSEU MMA NOVO 5 7 5 5 7 5,2 18INFORMATIZAÇÃO DE COLEÇÕES MMA NOVO 3 5 3 8 5 4,6 19BASE DE TALENTOS DG NOVO 3 5 2 7 3 4,6 20SISTEMA DE GESTÃO DO ACERVO ARTISTICO DAT NOVO 3 5 3 7 5 4,4 21SISTEMA DE GESTÃO DE TREINAMENTO DG NOVO 3 3 2 8 3 4,2 22SISTEMA DE INFORMAÇÃO PARA VISITANTES DAT NOVO 3 8 1 3 7 4,0 23SISTEMA DE CUSTEIO DE ASSISTÊNCIA A SAUDE DG NOVO 3 1 1 8 3 3,6 24SISTEMA DE GESTÃO DE DISPUTAS DOS IMÓVEIS DAT NOVO 3 3 3 5 7 3,3 25DIGITALIZAÇÃO DE DOCUMENTOS E PLANTAS DG NOVO 1 5 1 5 7 2,9 26

PRIORIDADETOTAL

IMPACTO CRITÉRIOS



ANEXO 15 – GRUPO DE GESTÃO DE MUDANÇAS

GRUPO DE GESTÃO DE MUDANÇAS

OBJETIVO Avaliar o impacto de mudanças em sistemas aplicativos, recomendando ao GETI a aprovação ou não de manutenções evolutivas (novas funcionalidades).

RESPONSABILIDADESDO GRUPO

1. Avaliar o impacto de novos projetos nos sistemas já implantados2. Avaliar o impacto de todas as mudanças em sistemas 3. Recomendar ao GETI a aprovação e priorização das mudanças evolutivas e novos

sistemas

COMPOSIÇÃO

Usuários - Funcionários das áreas usuárias diretamente envolvidos com a operação dos sistemas aplicativos – indicados pelos Gerentes da áreas usuárias – normalmente é o usuário gestor do sistemaTI - Gestor de Sistemas Aplicativos de TI TI – Gestor de Serviços de TI, caso existam aspectos técnicos relevantes

COORDENAÇÃO E SECRETÁRIO

Gestor de Sistemas Aplicativos de TI responsável pelo sistema a ser modificado

FREQÜÊNCIA DAS REUNIÕES

Sob convocação do Gestor de Sistemas Aplicativos de TI

CONTROLES SOBRE O GRUPO

As atas das reuniões contendo a relação dos presentes e ausentes, assim como as recomendações do grupo, devem circular GETI e pelos Gerentes das áreas diretamente envolvidas. A participação ativa de cada membro do grupo deve ser incluída nos seus Objetivos Anuais e na sua Avaliação de Desempenho.


GRUPO

Nenhuma alteração de sistema é feita sem aprovação do grupo - Redução de erros e re-trabalho devido à mudanças em sistemas.

OBS.: Num primeiro momento, o papel deste Grupo pode ser exercido pelo Grupo Executivo de TI (GETI) .



ANEXO 16 – TREINAMENTO DOS USUÁRIOS E TI - SISTEMAS

TREINAMENTO DOS USUÁRIOS E TI - SISTEMAS

OBJETIVO Efetuar programas de treinamento para os usuários visando melhorar o conhecimento sobre os principais sistemas (internos e os do govêrno) e aproveitar melhor as suas potencialidades.

ATIVIDADES

6. Definir o conteudo final do treinamento – TI / RH / Áreas/Órgãos do Govêrno;7. Preparar o Plano de Treinamento – TI / RH / Áreas/ Órgãos do Govêrno;8. Aprovar o conteúdo e Plano de Treinamento – TI / RH / Áreas/ Órgãos do Govêrno;9. Preparar os recursos para o treinamento – TI ou Terceiro10. Execução do treinamento – TI ou Terceiro

CONTEUDOBÁSICO

1. O sistema no contexto dos demais2. Descrição do sistema e suas interfaces3. Descrição das bases de dados associada4. Principais funcionalidades5. Navegação (se pertinente)6. Principais problemas e forma de contorno7. Acesso e segurança8. Extração de dados e pesquisas9. Importação e exportação de dados10. Impressão de relatórios (se pertinente)


6 – 8 horas por programa de treinamento


Avaliação deve ser feita pelos Participantes, ao término do treinamento.


TI deve preparar Plano de Treinamento contendo:• Publico alvo, numero de turmas e cronograma de preparação e execução;• Infraestrutura e materiais requeridos;• Metodologia de treinamento e equipe designada para o treinamento;• Atividades, responsabilidades e prazos.



ANEXO 17– ESPECIFICAÇÃO DOS PROJETOS

ENTREGUE EM DOCUMENTO A PARTE

ANEXO 18 – POLITICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

ENTREGUE EM DOCUMENTO A PARTE


Documents

PLANO DIRETOR DE TI - 2009-13 – RELATÓRIO FINAL 1ª, 2ª E ... Final_JBRJ.pdf · (CMMI, MPS-Br, PMI, ISO’s, COBIT e ITIL), bem como as Instruções Normativas e Recomendações