Embed Size (px)
Citation preview
Porto Alegre - RS, Julho de 2018
SUMÁRIO
INTRODUÇÃO 4
OBJETIVO 5
METODOLOGIA 5
CONTEXTO DA ÁREA DE TECNOLOGIA DA INFORMAÇÃO 5
Posição da CGTIC no organograma da Diretoria Executiva 6
Organograma interno da CGTIC 7
Missão CGTIC 7
Visão CGTIC 7
Comitê de Governança Digital 7
Composição da Força de Trabalho e Descrição sumária das atividades e funções das áreas que compõem a CGTIC (Funcionograma) 8
Coordenadoria de Gestão da Tecnologia da Informação e Comunicação - CGTIC 8
Supervisão de Gestão de Portfólio, Projetos e Inovação 9
Supervisão de Gestão de Contratos e Aquisições 10
Serviço de Gestão de Tecnologia 10
Seção de Desenvolvimento e Operações 10
Supervisão de Monitoramento e Controle 11
Seção de Infraestrutura e Segurança 11
Supervisão de Gestão de Datacenter 11
1
Serviço de Sustentação e Relacionamento 12
Seção de Sustentação e Relacionamento Interno 12
Supervisão de Gestão de Ativos 12
Supervisão de Sustentação e Relacionamento Externo (Comunidade AGHUse) 13
Serviço de Gestão de Negócio 13
Seção de Sistemas Assistenciais 13
Seção de Sistemas Administrativos 13
Indicadores estratégicos, táticos e operacionais 14
Indicadores que integram o PEI e o PETIC (Estratégicos): 14
Indicadores que integram o PETIC (Táticos): 14
Indicadores definidos no PDTIC (Operacionais): 15
SITUAÇÃO ATUAL DA TIC NO HCPA 17
SISTEMAS 17
Sistemas externos 17
Sistemas internos (desenvolvidos pelo HCPA) 18
Apoio externo para o desenvolvimento de sistemas 23
Posicionamento atual do desenvolvimento 23
Processo de priorização e gestão de demandas de sistemas 26
IDENTIFICAÇÃO DAS NECESSIDADES ATUAIS 31
Necessidades de Desenvolvimento de Sistemas 31
Necessidades de aporte de recursos em Infraestrutura de TIC 37
Projetos em andamento, priorizados pelo Comitê de Governança Digital 39
SEGURANÇA DAS INFORMAÇÕES E INSTALAÇÕES 39
ANEXOS 42
ANEXO 1 - MATRIZ DE RISCOS DE TI 42
2
ANEXO 2 - POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - POL-AC-072 55
ANEXO 3 - PLANO DE SEGURANÇA DA INFORMAÇÃO - PLA-AC-175 56
ANEXO 4 - PLANO DE SEGURANÇA DA TECNOLOGIA DA COMUNICAÇÃO E COMUNICAÇÕES - PLA-AC-176 60
ANEXO 5 - PLANO DE SEGURANÇA CIBERNÉTICA - PLA-AC-177 65
ANEXO 6 - MATRIZ DE CAPACITAÇÃO DA ÁREA DE TIC 71
Capacitações para a equipe interna 71
Capacitações conduzidas pela CGTIC para equipes externas 79
3
1. INTRODUÇÃO A Tecnologia da Informação e Comunicação (TIC) tem assumido o papel de agregar
valor e qualidade aos processos, produtos e serviços das organizações. Soluções de
TIC são implementadas em busca de processos mais eficientes, com flexibilidade das
rotinas e desenvolvimento de serviços mais inovadores, principalmente, para uma
orientação estratégica.
A visão estratégica de TIC permite não apenas a sustentação dos objetivos
organizacionais, mas, também, por meio da otimização de atividades, eliminação de
barreiras de comunicação e melhoria do processo decisório, viabiliza novas
oportunidades para ampliação e evolução dos serviços oferecidos. Assim, o
planejamento torna-se indispensável para que haja uma maior eficiência e um melhor
aproveitamento dos recursos.
No Hospital de Clínicas de Porto Alegre (HCPA) as orientações estratégicas de TIC
definidas pela Diretoria Executiva estão documentadas no Planejamento Estratégico de
Tecnologia da Informação e Comunicação (PETIC) e devem ser desdobradas no Plano
Diretor de Tecnologia da Informação e Comunicação (PDTIC). O PETIC atual tem
vigência de 2017 a 2020 e foi elaborado sob coordenação do Comitê de Governança
Digital (CGD) e aprovado pela Diretoria Executiva em 23-08-2017.
Foram utilizados como referência para elaboração do presente PDTIC o Guia de
Governança de TIC V2.0 e o Guia de PDTIC V2.0 elaborados pela Secretaria de
Tecnologia da Informação e Comunicação do Ministério do Planejamento,
Desenvolvimento e Gestão (SETIC/MP), na condição de órgão central do Sistema de
Administração dos Recursos de Tecnologia da Informação (SISP).
4
2. OBJETIVO O presente instrumento, Plano Diretor de Tecnologia da Informação e Comunicação
(PDTIC), possui por objetivo desdobrar as políticas, estratégias, procedimentos,
estrutura e recursos necessários para elevar o nível de governança e otimização do uso
da TIC no HCPA definidas no PETIC, em alinhamento pleno como o Planejamento
Estratégico Institucional (PEI).
3. METODOLOGIA
O processo de desenvolvimento do PDTIC contou com a participação de lideranças e
funcionários da Coordenadoria de Gestão da Tecnologia da Informação e
Comunicação (CGTIC), bem como contribuições das áreas de negócio representadas
no CGD do HCPA. Através de reuniões periódicas, realizou-se o planejamento,
diagnóstico do ambiente e necessidades de TI, análise das estratégias formuladas no
PETIC, aplicação de conhecimentos técnicos e apoio em guias referenciais de boas
práticas de mercado.
O quadro abaixo apresenta as principais etapas.
FASE Descrição Status
1 Recebimento do PETIC 2017-2020 aprovado pela AC Concluída
2 Diagnóstico da situação de TIC Concluída
3 Elaboração do PDTIC Concluída
4 Apresentação e aprovação do PDTIC pela Diretoria Executiva Concluída 05/07/2018
5
4. CONTEXTO DA ÁREA DE TECNOLOGIA DA INFORMAÇÃO O HCPA possui longo histórico de produção e reconhecimentos na área de Tecnologia
da Informação e Comunicação. O primeiro registro na estrutura do Hospital data do
ano de 1977 com a criação do Serviço de Processamento de Dados, atualmente
Coordenadoria de Gestão da Tecnologia da Informação e Comunicação (CGTIC),
vinculada à Presidência.
4.1. Posição da CGTIC no organograma da Diretoria Executiva
6
4.2. Organograma interno da CGTIC
4.3. Missão CGTIC ‘Prover TIC com segurança, agilidade e inovação, apoiando as demais áreas para a
realização da Missão Institucional.’
4.4. Visão CGTIC ‘Ser um referencial de TIC para a área de saúde promovendo a transformação
digital com reconhecimento externo.’
4.5. Comitê de Governança Digital O HCPA, com fulcro no Decreto 8.638/2016 que instituiu a política de Governança
Digital no âmbito da Administração Pública Federal, criou em 17 de Janeiro de
2017 o Comitê de Governança Digital (CGD-HCPA), com composição representativa
das diversas áreas da Instituição. O CGD-HCPA representa estrategicamente a
7
Diretoria Executiva do HCPA e tem por objetivo elaborar, propor e acompanhar as
políticas relativas à Governança Digital que representem as necessidades de TIC da
Instituição e que sejam fonte geradora de benefícios à sociedade.
4.6. Composição da Força de Trabalho e Descrição sumária das atividades e funções das áreas que compõem a CGTIC (Funcionograma)
O quadro de pessoal da CGTIC está composto por 100 profissionais: 1
coordenador, 1 técnico em secretariado, 1 auxiliar enfermagem reabilitado, 77
analistas de sistemas e 20 técnicos de informática. Abaixo, o funcionograma da
área, com respectivos Objetivos.
4.6.1. Coordenadoria de Gestão da Tecnologia da Informação e Comunicação - CGTIC
A CGTIC tem como objetivo prover os serviços de Tecnologia da
Informação e Comunicação (TIC) às áreas do HCPA para potencialização
das atividades de assistência, ensino e pesquisa, em consonância com o
PETIC e o PEI. Compete à CGTIC:
● Garantir o alinhamento de TIC com o negócio do Hospital;
● Conceber, especificar, desenvolver, integrar e aperfeiçoar as
soluções de TIC;
● Gerenciar e executar projetos de TIC;
● Projetar, implantar e prestar suporte técnico à infraestrutura de
TIC;
● Gerenciar os contratos com empresas prestadoras de serviços em
TIC e fornecedoras de hardwares e softwares;
● Propor e gerir normas para segurança da informação e utilização
dos ativos de TIC;
8
● Gerenciar o parque de ativos de TIC;
● Garantir agilidade, confidencialidade, integridade e disponibilidade
dos aplicativos, dos serviços e das informações institucionais
armazenadas no âmbito da TIC do HCPA;
● Fomentar iniciativas de Inovação e acompanhar as tendências do
mercado de TIC;
● Apoiar as áreas clientes, na definição dos recursos de TIC, no uso
dos aplicativos (softwares) e no gerenciamento de projetos;
● Elaborar memoriais descritivos, pareceres, aceites e outros
documentos técnicos da área de TIC;
● Preservar a integridade técnica dos equipamentos de TIC;
● Atuar no relacionamento externo com parceiros da Comunidade
AGHUse, bem como apoiar tecnicamente a implantação do
sistema nos parceiros do HCPA;
● Representar institucionalmente o HCPA em atividades
relacionadas a TIC.
4.6.1.1. Supervisão de Gestão de Portfólio, Projetos e Inovação
Compete à Supervisão de Gestão de Portfólio, Projetos e Inovação
o planejamento, acompanhamento e atuação permanente na
execução dos projetos de TIC, adotando metodologias e práticas
em gerenciamento de projetos, visando garantir o atendimento
pleno, com qualidade, escopo, prazo e orçamento definido. Cabe,
também, a proposição de iniciativas e programas que incentivem e
premiem a prática da inovação nas equipes de TIC.
9
4.6.1.2. Supervisão de Gestão de Contratos e Aquisições
Compete à Supervisão de Gestão de Contratos e Aquisições as
atividades relacionadas ao processo de aquisições e contratações,
tais como: condução ou apoio à elaboração de editais,
especificações técnicas, orçamentação, relacionamento técnico
com fornecedores etc., bem como apoiar os gestores e fiscais de
contratos no acompanhamento permanente da boa execução,
vigência, medições, aplicação de penalidades etc.
4.6.1.3. Serviço de Gestão de Tecnologia Compete ao Serviço de Gestão de Tecnologia realizar atividades
técnicas de desenvolvimento de aplicativos, a operação e o
monitoramento dos serviços de TIC, a gestão de banco de dados, a
atualização e segurança da infraestrutura de TIC e a gestão do
datacenter.
4.6.1.3.1. Seção de Desenvolvimento e Operações
Compete à Seção de Desenvolvimento e Operações a gestão da
equipe técnica de desenvolvedores e arquitetura de software,
garantindo as boas práticas, metodologia e integração com a
operação de sistemas (DEVOPS), assegurando que as atividades
multiprofissionais (desenvolvimento, bancos de dados,
infraestrutura etc.) atuem de forma harmônica para a otimização
de resultados.
10
4.6.1.3.1.1. Supervisão de Monitoramento e Controle
Compete à Supervisão de Monitoramento e Controle a realização
de atividades de automação e otimização dos processos de
atualização de software, gerência de configuração, testes
automatizados e garantia da qualidade do desenvolvimento
(Quality Assurance).
4.6.1.3.2. Seção de Infraestrutura e Segurança Compete à Seção de Infraestrutura e Segurança de TIC prestar
suporte técnico, projetar e implantar infraestrutura, visando
garantir a operacionalidade dos serviços de TIC da Instituição com
segurança, qualidade e alta disponibilidade. Responsável pela
proposição, gestão e monitoramento de normas e políticas,
visando garantir a confidencialidade, integridade e disponibilidade
das informações no âmbito da TIC.
4.6.1.3.2.1. Supervisão de Gestão de Datacenter
Compete à Supervisão de Gestão de Datacenter a monitoração da
disponibilidade dos serviços de TIC em regime de 24x7x365, a
execução de rotinas operacionais, a responsabilidade pela
segurança física do datacenter e da CGTIC e pela integridade e
manutenção da rede física de TIC.
11
4.6.1.4. Serviço de Sustentação e Relacionamento
Compete ao Serviço de Sustentação e Relacionamento ser a
entrada principal da CGTIC para contatos oriundos dos clientes,
usuários e parceiros internos e externos, garantindo a sustentação
dos serviços de TIC com qualidade, alta disponibilidade e
satisfação dos usuários. Deverá conduzir proativamente ações de
divulgação, capacitação, medição dos níveis de satisfação e
utilização adequada dos serviços, realizando a gestão e correção
de incidentes e linha rápida de melhorias, de forma alinhada com
as definições e orientações estratégicas. Responsável pela gestão
e atendimento de chamados fim-a-fim, acionando pontualmente as
demais áreas da CGTIC quando necessário.
4.6.1.4.1. Seção de Sustentação e Relacionamento Interno
Compete à Seção de Sustentação e Relacionamento Interno a
condução das atividades do Serviço no âmbito interno do HCPA
com conhecimento negocial e resolutividade, buscando a
satisfação da comunidade interna.
4.6.1.4.1.1. Supervisão de Gestão de Ativos Compete à Supervisão de Gestão de Ativos a garantia do
funcionamento pleno da infraestrutura de usuários finais
(microinformática, impressoras, aplicativos, desktop etc.), com
controle, suporte e manutenção de qualidade.
12
4.6.1.4.2. Supervisão de Sustentação e Relacionamento Externo (Comunidade AGHUse)
Compete à Supervisão de Sustentação e Relacionamento Externo a
garantia da saúde da Comunidade AGHUse realizando ações
proativas de relacionamento em busca da satisfação dos parceiros
externos, servindo como elo de ligação com todas as áreas
internas multidisciplinares do HCPA.
4.6.1.5. Serviço de Gestão de Negócio Compete ao Serviço de Gestão de Negócio a concepção,
desenvolvimento, integração e aperfeiçoamento das soluções de
TI, utilizando metodologias e boas práticas de qualidade e
produtividade, visando dotar o HCPA de sistemas otimizados,
atualizados e de alta diferenciação no atendimento às exigências
negociais.
4.6.1.5.1. Seção de Sistemas Assistenciais Compete à Seção de Sistemas Assistenciais a realização das
atividades do Serviço na abrangência de sistemas assistenciais e
de apoio assistencial. Deverá primar pela transferência de
conhecimento negocial para as equipes de sustentação e
relacionamento, bem como prestar apoio a estas quando
necessário.
4.6.1.5.2. Seção de Sistemas Administrativos Compete à Seção de Sistemas Administrativos a realização das
atividades do Serviço na abrangência de sistemas administrativos.
13
Deverá primar pela transferência de conhecimento negocial para
as equipes de sustentação e relacionamento, bem como prestar
apoio a estas quando necessário.
4.7. Indicadores estratégicos, táticos e operacionais A seguir estão apresentados os indicadores a serem acompanhados pela CGTIC
ao longo da vigência do presente PDTIC, em alinhamento com o PETIC 2017-2020
4.7.1. Indicadores que integram o PEI e o PETIC (Estratégicos):
Indicador Periodicidade Meta
Taxa de contribuição dos parceiros da comunidade para o AGHUse
TRIMESTRAL
5%
Taxa de funcionalidades novas no AGHUse (macropontos) MENSAL 40% >=< 50%
4.7.2. Indicadores que integram o PETIC (Táticos):
Indicador Periodicidade Meta
Utilização no HCPA das funcionalidades desenvolvidas pela
Comunidade AGHUse TRIMESTRAL 10%
Inserção acadêmica na CGTIC SEMESTRAL 20%
Taxa de projetos entregues conforme planejados
TRIMESTRAL 2018 - 65% 2019 - 75% 2020 - 80%
Incidentes (somente aplicação AGHUse) por macropontos
produzidos MENSAL <=1
14
Entrada de documentos de prontuário em papel no SAMIS
MENSAL Reduzir 20%
Comprometimento das despesas diretas de TIC em relação ao total
das despesas diretas do HCPA MENSAL Entre 2,0% e 3,5%
4.7.3. Indicadores definidos no PDTIC (Operacionais):
Categoria Indicador Periodicidade Meta Área CGTIC
Financeiro Atingir o orçamento anual da Área de TI (+-10%) Anual 30 milhões SGT
Crescimento
Taxa de desligamento do sistema legado Anual 50% SGN
Melhorias entregues Mensal >=20 SSR
Parceiros capacitados tecnicamente Semestral >=80% SSR
Número de Hospitais utilizando o AGHUse Anual >=8 SSR
Taxa de desenvolvimento por parceiros, demandada pelo HCPA
Mensal >=5% SSR
Operações
Taxa de satisfação do PO com o analista do projeto Trimestral 85% SGN
Taxa de Satisfação dos usuários de TIC Anual >=70% CGTIC
Taxa de análise dentro do planejado Trimestral 85% SGN
Taxa de retornos de análise por macropontos produzidos
Trimestral <=1 SGN
15
Percentual de "bate e volta" de incidentes Mensal <=20% SGT
Aumentar a cobertura de aplicações monitoradas Anual 95% SGT
Taxa de resolução de incidentes Trimestral >100% SSR
Número total de incidentes abertos (backlog) Mensal 250 em 2018
30 em 2019 SSR
Taxa de retrabalho em incidentes Mensal <=20% SSR
Taxa de editais concluídos em até 30 dias do encerramento do contrato anterior
Anual 90% SuCon
Taxa de contratos prorrogados em até 30 dias antes do vencimento
Anual 100% SuCon
Projetos especiais
Taxa de projetos com redução de documentos de prontuário em papel
Trimestral 10% SGN
Simulações de chaveamento de Disaster/Recovery
Anual 4 SGT
Participação de profissionais do SGT em projetos
Trimestral 66% SGT
Taxa de satisfação geral com projetos (público interno)
Anual >=75% SuGePPI
Taxa de satisfação geral com projetos (público externo)
Anual >=75% SuGePPI
Pessoas
Taxa de satisfação dos analistas com os projetos Semestral 85% SGN
Taxa de profissionais do SGT com participação em atividades de capacitação
Semestral 90% SGT
Taxa de profissionais do com atividade acadêmica Semestral 20% SGN - SSR
16
Iniciativas de inovação apresentadas por pessoa da SuGePPI ao público CGTIC
Semestral >=1 SuGePPI
5. SITUAÇÃO ATUAL DA TIC NO HCPA 5.1. SISTEMAS
5.1.1. Sistemas externos Abaixo, a relação dos principais sistemas contratados de fornecedores externos.
Sistema Fornecedor
Sistema IG (Informações Gerenciais) Processor Informática
PACS (Sistema de Imagens Médicas) AGFA Healthcare Brasil
Gestão de RH Starh Management Tools do HCPA DATASYS Sistemas em Informática SC Ltda
Hospedagem de resultados de exames na Internet DEFFERRARI Sistemas Informática Ltda
Strategic Advisor (SA) INTERACT Solutions (ENTERPRISE)
GED REDE IMAGEM - Tecnol, Consul Sistemas Ltda
Sênior Ronda - ponto e acesso RUÁ Sistemas Automatizados Ltda.
SAPIENS - gestão empresarial SÊNIOR Sistemas S/A
Contas a Receber SISPRO
Banco de Sangue TDSA Comércio de Software Ltda.
Jurídico I-Pensare Informática Ltda
Interfaceamento de Exames VFR Indústria Comércio e Serviços Sistemas
Dispensário Eletrônico Grifols Brasil Ltda
Supply Station Grifols Brasil Ltda
SEI - Sistema Eletrônico de Informações Software Livre
17
Certificados da Semana Científica Software Livre
Fonte: Coordenadoria de Gestão da Tecnologia da Informação
5.1.2. Sistemas internos (desenvolvidos pelo HCPA) O Sistema AGHUse é o principal ativo de software do HCPA. Foi
registrado como propriedade intelectual no Instituto Nacional da
Propriedade Industrial - INPI, na modalidade "Programa de Computador"
através do processo BR 51 2016 000359-6, publicado na revista INPI No
2378 de 02 de Agosto de 2016 (pág. 366).
O AGHUse é também disponibilizado para utilização por outras
instituições como Software Livre, sem custos de licenciamento.
Atividades prestadas pelo HCPA para outras instituições, tais como
treinamentos técnicos ou negociais, apoio na implantação etc., são objeto
de cobrança, tendo por pré-requisito a assinatura de instrumentos
específicos como contrato ou termo de cooperação.
Em termos de funcionalidades, o AGHUse começou a ser desenvolvido
ainda nas décadas de 70/80, com tecnologia mainframe (computador de
grande porte). Com o passar do tempo foi sendo necessária a
incorporação de novas tecnologias e atualizações. Por volta do ano 2000
foi realizada uma grande atualização técnica do sistema, tirando-o da
tecnologia mainframe, passando para baixa plataforma (downsizing).
Nessa época o sistema passou a ser denominado Aplicativos para Gestão
Hospitalar (AGH).
No ano de 2009, por solicitação do Ministério da Educação (MEC), foi
iniciado o projeto Aplicativo de Gestão para Hospitais Universitários
(AGHU), tendo por objetivo disseminar em todos os Hospitais
Universitários Federais ligados ao MEC o Modelo de Gestão utilizado no
HCPA, tendo por base o então sistema AGH.
18
No âmbito do projeto AGHU foi então iniciada a migração tecnológica do
sistema AGH para Software Livre (Linguagem de programação JAVA e
compatibilidade com Banco de Dados PostgreSQL). Atualmente, o
sistema, em suas várias versões, encontra-se instalado em cerca de 50
instituições de saúde em todo o país.
O HCPA tem desenvolvido esforços no sentido da consolidação de uma
comunidade de desenvolvimento colaborativo, com a participação das
instituições que optam pela adoção do AGHUse. Ao integrarem a
comunidade e terem acesso aos códigos fontes e ao ecossistema de
desenvolvimento, comprometem-se, como contrapartida, desenvolver
conjuntamente novas funcionalidades e incorporá-las no sistema para
que fique disponível para utilização de todos. A Comunidade AGHUse foi
formalmente instituída em 08 de Agosto de 2017, através de Ato da
Presidência do HCPA e conta atualmente com 6 (seis) Instituições: HCPA,
Hospital de Clínicas da UNICAMP, Complexo Hospitalar da Universidade
Federal do Rio de Janeiro, Hospital Odontológico da Universidade Federal
do Rio Grande do Sul, Força Aérea Brasileira e Exército Brasileiro.
O quadro abaixo apresenta as principais funcionalidades presentes no
sistema AGHUse:
Vertical Sistema Função
Gestão Hospitalar
Pacientes Registro das informações cadastrais necessárias para atendimento no hospital
Prontuário Online Versão eletrônica do prontuário do paciente onde são visualizados os dados da assistência obtidos através do sistema corporativo e de documentos manuais digitalizados
Consultas Gerenciamento do processo administrativo de atendimento ambulatorial aos pacientes do hospital
19
Farmácia Gerenciamento e controle da dispensação medicamentos de acordo com as prescrições ao paciente
Internação Gerenciamento do atendimento aos pacientes internados de maneira eletiva ou de urgência/emergência
Checagem Eletrônica / Beira
do Leito
Suporte ao processo de aprazamento e administração de prescrições médicas e de cuidados de enfermagem
Controles do Paciente
Registro e visualização de informações dos processos de monitorização do paciente
Faturamento SUS e Convênios
Realização da cobrança dos procedimentos de internação e ambulatoriais realizados
Novo Faturamento
Implementação de melhorias no processo de faturamento de internação abrangendo telas e otimização das rotinas de processamento
TISS Integração entre o sistema corporativo e as operadoras de saúde através do padrão TISS da ANS
Custo a nível do Paciente
Processamento e análise do custo do tratamento do paciente confrontado com a receita obtida
Portal da Internação
Visualização e registro de anamnese, evolução, prescrições, diagnóstico, alergias e sinais vitais para pacientes internados
Emergência Prover suporte ao atendimento do paciente desde a triagem e classificação de risco até a saída da emergência
Portal do Ambulatório
Prestar suporte ao profissional no atendimento ambulatorial ao paciente
Cirurgias Agendamento e acompanhamento da realização de procedimentos cirúrgicos
Portal de Cirurgias
Administração da agenda, escala e lista de espera de cirurgias
OPME Gerenciamento do fluxo de autorização / utilização de órteses/próteses
Controle de Infecção
Controle e acompanhamento das notificações de infecções hospitalares
Perinatologia Registro e acompanhamento de gestações, nascimento, recém-nascido e intercorrências
20
Prescrição Médica
Determinar o conjunto das ordens médicas para pacientes internados, de emergência e ambulatoriais
Prescrição de Enfermagem
Determinar o conjunto das ordens de cuidados de enfermagem para pacientes internados e de emergência
Movimentação de Prontuários
Controle de movimentação de prontuários nas áreas do hospital que necessitam de manuseio em papel
Dispensário Eletrônico
Integração com o sistema corporativo para provisão e dispensação de medicamentos e materiais nas unidades de internação
Painel de Pacientes
Painel eletrônico que mostra o mapa da unidade de internação em tempo real: situação dos leitos, dados da internação, alertas da situação da prescrição, evolução, resultado de exames alarmantes e pacientes GMR
Apoio Assistencial
Fisiatria Prescrever, agendar e acompanhar a execução das modalidades e equipes necessárias ao paciente para tratamento fisiátrico
Prescrição de Diálise
Prestar suporte ao tratamento de diálise desde o atendimento ambulatorial até a internação
Quimioterapia Prestar suporte ao tratamento de quimioterapia desde o atendimento ambulatorial até a internação
Farmácia CMIV Informatização do processo da produção de quimioterapia desde a rotulagem até o registro de saída das bolsas
Agendamento de Sessões
Terapêuticas
Controle informatizado dos mapas de alocação de horários conforme especificidade de cada tipo de sessão terapêutica
Exames Compreende todo o processo desde a solicitação de exames, agendamento, coleta, execução até a liberação do resultado
Patologia Cirúrgica
Informatização do processo de realização e liberação de resultados através de laudo único
Nutrição Prover assistência nutricional de acordo com as prescrições ao paciente através de prescrição dietética, emissão de mapas, avaliação nutricional, estatísticas e etiquetas
Transplantes Apoiar a gestão dos programas de transplantes possibilitando controle da oferta de órgãos e gerenciamento da lista
21
Radioterapia Prestar suporte para gerar a prescrição de radioterapia
Protocolos Assistenciais
Gestão de protocolos assistenciais para auxílio no atendimento ao paciente
Administrativo
Registro do Colaborador
Registro das informações institucionais de servidores e colaboradores do hospital
Gestão de Desempenho
Avaliação, retorno, acompanhamento, registro e planejamento de medidas estabelecidas entre a liderança e colaborador
Compras e Estoque
Gerenciamento do suprimento de materiais e serviços desde o processo de compra até o consumo
SICON Gerenciamento dos contratos firmados com empresas terceiras para fornecimento de equipamentos, materiais de consumo ou prestação de serviços
Supply Station Integração com o sistema corporativo para provisão e registro dos materiais consumidos em procedimentos cirúrgicos
Papelaria Integração entre o sistema corporativo de suprimentos e do fornecedor de material de escritório
Custos Contábeis Efetua os cálculos na ótica contábil para realizar a distribuição de despesas na forma de custeio por absorção
Contas a Pagar Gerenciamento e controle dos pagamentos dos fornecedores de materiais e serviços
Títulos Avulsos Gerenciamento e controle dos pagamentos de títulos avulsos
Investimentos Gerenciamento dos investimentos desde o projeto até a conclusão com o acompanhamento dos custos
Ordens de Manutenção
Gerenciamento e controle das ordens de manutenção de bens patrimoniais e serviços integrado ao sistema corporativo
Planejamento de Compras
Planejamento de compras das áreas com base na série histórica de consumo
Patrimônio Controle integrado ao sistema corporativo de todos os bens que ingressam no hospital com relação à quantidade, informação e localização
22
Certificação Digital
Gerenciamento do processo de certificação dos documentos do prontuário gerados pelo médico
Pesquisa Processo de submissão, avaliação e gestão de projetos de pesquisa
Fonte: Coordenadoria de Gestão da Tecnologia da Informação e Comunicação
5.1.3. Apoio externo para o desenvolvimento de sistemas
Para fazer frente à grande demanda de desenvolvimento no sistema
AGHUse, o HCPA conta, além da equipe própria, com apoio de uma
Fábrica de Software externa. No quadro abaixo está identificada a Fábrica
atual, bem como a empresa que realiza a mensuração das atividades em
Pontos de Função.
Atividade Fornecedor Contrato Data de
assinatura Vigência máxima
Fábrica de Software Capgemini do Brasil
LTDA. PAC 129780
Contrato 14015 26/06/2014 26/06/2019
Mensuração do desenvolvimento em Pontos
de Função
TI Métricas Serviços LTDA.
PAC 129666 Contrato 12771
08/11/2013 08/11/2018
5.1.4. Posicionamento atual do desenvolvimento As atividades de desenvolvimento realizadas no HCPA são mensuradas
em macropontos (MP). O MP representa funcionalidades do sistema que
podem ser percebidas pelo usuário. Exemplo: Uma tela cadastral com
alguns campos e acesso a uma tabela é classificada como 1 MP.
Funcionalidades complexas com muitos cálculos e acesso a várias
tabelas podem ser dimensionadas como 3 ou 5 MPs.
23
O quadro e os gráficos abaixo representam a posição atual do
desenvolvimento, detalhando as novas funcionalidades já desenvolvidas e
a desenvolver, bem como as funcionalidades que foram migradas do
sistema antigo AGHWeb.
24
25
Fonte (quadro e gráficos): Sistema Redmine CGTIC.
5.1.5. Processo de priorização e gestão de demandas de sistemas
No HCPA, tendo em vista seu tamanho e complexidade da informação, é
grande a busca pela otimização dos processos de trabalho à procura de
maior rapidez, praticidade e eficiência, o que vem exigindo cada vez maior
envolvimento da TIC. A quantidade de solicitações por melhorias e novos
módulos do sistema AGHUse, além de outros serviços, afeta
significativamente o fluxo de demandas de TI, dificultando a seleção e
priorização. Para que a qualidade dos serviços oferecidos às áreas de
26
negócio seja mantida, o Comitê de Governança Digital (CGD-HCPA)
elaborou um processo de priorização e gestão de demandas de TIC
considerando critérios de classificação e priorização claros, como tempo
de esforço, custo envolvido, relação com metas estratégicas e quantidade
de recursos críticos, cujo mapeamento encontra-se abaixo:
Como se pode observar, o mapeamento descreve o passo a passo do
processo de priorização e gestão de demandas de TIC conforme
detalhamento abaixo:
Solicitação da área de negócio: área de negócio do HCPA realiza a
solicitação através do Portal de TI disponível na Intranet ou diretamente
em contato com a Central de Relacionamento;
Análise e encaminhamento pela Central: a solicitação é recebida pela
Central de Relacionamento para classificação, emissão de parecer e
encaminhamento conforme o tipo de demanda identificado, projeto (novo
ou de melhoria), melhoria ou incidente e registra/atualiza no sistema de
gestão de projetos do HCPA (Redmine).
27
1. De acordo com o tipo de demanda são seguidos os seguintes
passos:
a. Incidente: Central de Relacionamento (ou equipe de operação
quando plantão) realiza o primeiro atendimento (nível 1) para
análise e encaminhamento.
i. Se existe mensagem de erro de processamento (ticket) na
execução do AGHUse, é gerado vídeo com os passos para
auxílio na identificação do problema e encaminhado
incidente para o time de desenvolvimento para correção.
Após correção o incidente é encaminhado para o time de
sustentação de Sistemas Administrativos ou de Sistemas
Assistenciais (nível 2) para homologação da solução e
disponibilização em produção;
ii. Se erro em função de regra de negócio ou sem mensagem e
registro no log, incidente é encaminhado para time de
sustentação de Sistemas Administrativos ou de Sistemas
Assistenciais (nível 2) para análise. Após identificar a causa
do problema, o analista responsável encaminha para
correção para o time de desenvolvimento que após ajuste
retorna para o analista para homologação e liberação em
produção.
b. Projeto ou melhoria: central encaminha solicitação para análise da
TI , a fim de validar se trata de projeto ou melhoria(s).
i. Melhoria(s): responsável pela análise na TI avalia se
corresponde a um projeto de melhorias ou a uma melhoria
rápida:
1. se está fora da garantia de projeto após 3 meses da
entrega ou é estimada em mais de 16hs, o projeto de
28
melhorias é encaminhado, via Redmine, para
avaliação do CGD;
2. dentro da garantia de projeto ou melhoria rápida
(estimada em menos de 16hs), a melhoria é
encaminhada para o time de projetos de melhorias de
Sistemas Administrativos ou de Sistemas
Assistenciais. O analista responsável após análise
encaminha para o time de desenvolvimento que após
codificação retorna para o analista para
homologação e liberação em produção.
ii. Projeto Novo: responsável pela análise do projeto na TI
encaminha o projeto para ordenamento pela Diretoria e
posteriormente para autorização e/ou priorização pelo CGD.
Ordenamento do projeto pelas Diretorias: os representantes de cada
Diretoria recebem a solicitação de projeto e, acessando o Redmine,
alimentam o campo “Importância Diretoria” com um valor de 0 a 1000,
sinalizando ao CGD as principais intenções da direção para subsidiar o
processo de priorização.
Avaliação do projeto pelo CGD: o CGD avalia a necessidade e viabilidade
para aprovação da continuidade do planejamento do projeto para
posterior priorização do desenvolvimento.
Planejamento do projeto pelo PMO: a solicitação de projeto, após
autorização pelo CGD é encaminhado para o Serviço de Gestão de
Negócio que, com o apoio do escritório de gerenciamento de projeto
(Project Management Office - PMO) realiza o Plano de Projeto com a
definição do escopo, alocação dos recursos necessários e tempo previsto
para execução do projeto. Após a elaboração do Plano de Projeto, é
29
novamente encaminhado para o CGD que deliberará por sua priorização
ou aguardo de recursos para desenvolvimento.
Priorização CGD: o CGD recebe o Plano de Projeto e define dentro da
disponibilidade de recursos para desenvolvimento (slots) se o projeto
deve ser priorizado. Caso o projeto não seja priorizado, permanece no
backlog de projetos (portfólio) para priorização em momento posterior.
Para projetos priorizados, caso definida alocação de time dedicado ou de
infraestrutura, a execução do projeto deve ser realizada com o
acompanhamento e gestão do projeto, conforme planejamento aprovado
até o encerramento do projeto.
A priorização dos projetos leva em conta as definições abaixo onde a de
maior valor corresponde à mais crítica e prioritária:
1. Demandas Específicas de Negócio: demandas solicitadas pelas
áreas de negócios;
2. Demandas Estratégicas: demandas identificadas como
estratégicas para o HCPA;
3. Demandas de Risco Operacional: demandas que representem
impacto nas atividades do HCPA;
4. Demandas de Obrigatoriedade Institucional: demandas de
auditoria, regulação ou solicitadas pela Diretoria Executiva (DE) do
HCPA com data prevista de entrega;
5. Demandas de Obrigatoriedade Legal: demandas com data prevista
de entrega em função de obrigatoriedades para cumprimento
legal.
A priorização de incidentes e melhorias deve considerar a definição
abaixo onde a de maior valor corresponde à mais crítica e prioritária:
30
1. Baixa: demandas desejadas pelos usuários;
2. Normal: demandas necessárias para o uso de alguma
funcionalidade específica;
3. Alta: demandas específicas com pouco impacto no uso do
sistema;
4. Urgente: demandas críticas que impactam funcionalidades
específicas do sistema;
5. Imediata: demandas impeditivas para o funcionamento de um
processo crítico de negócio ou do sistema como um todo.
6. IDENTIFICAÇÃO DAS NECESSIDADES ATUAIS Durante as atividades de diagnóstico do ambiente de TI, foram identificadas
necessidades, conforme seguem:
6.1. Necessidades de Desenvolvimento de Sistemas
Identificação (Redmine)
Descrição
ADMINISTRATIVOS
85802 Adequar IG ao novo contrato SUS
87218 [BI] Produtividade dos Fisioterapeutas
87220 [BI] - Taxa de capacitados na integração do GENF - Meta: Atingir 90%
87225 [BI] - Cubo de Aquisições - Suprimentos/Compras
87226 [BI] - UBS - Tempo médio de espera e tempo médio das consultas
87446 Avaliação e prova de conceito do Módulo do Sistema de Gestão de Auditoria desenvolvido por Interact Solutions
87473 Finalizar a migração do módulo de Órtese e Prótese para o AGHUse e desenvolver a gestão das solicitações de materiais consignados ao fornecedor
31
87509 [Migração] Contas a Pagar
87523 Liquidação NF no SIAFI
87524 Tributação Nota Fiscal
87526 Supply Chain - Planejamento de Compras - v2
87530 Supply Chain - Portal do Fornecedor
87532 Faturamento APAC Doenças Raras
87540 Supply Chain - Compras Net
87548 Supply Chain - Melhorias - Compras
87552 [Migração] Registrar crachá para acesso ao refeitório das gestantes no ambulatório
87555 Supply Chain - Processo Administrativo de Compra
87557 [Migração] COREME - Geração de Documentos
87560 Custos - Finalizar Projeto
87563 [SUSPENSO] Faturamento Internação
87568 [Migração] Faturamento Ambulatório - APAC
87570 Supply Chain - Empenho
87576 [SUSPENSO] Supply Chain - Previsão Orçamentária
87582 Integração Sistema Sapiens
87583 Supply Chain - Análise Técnica
87584 Supply Chain - Empréstimo
87585 Supply Chain - Movimentos do Estoque - Inovação
87586 Supply Chain - Movimentos do Estoque - Migração
87587 Supply Chain - Órtese e Prótese - Consignação - Fase 1
87588 Supply Chain - Órtese e Prótese - Consignação - Fase 2
87589 Supply Chain - Produção Interna
87590 Supply Chain - Recebimento de Materiais e Serviços
32
87591 Investimentos
87593 Patrimônio - Fase 4
87594 Patrimônio - Fase 5
87597 [Migração] Registro de Colaboradores - Pacote II
87599 [Migração] Centro de Custos - Fase 1
87953 Nova integração do sistema ronda com AGHUse por webservice nos crachás de visitantes, acompanhantes e refeitório
88830 MELHORIA NA TELA CADASTRO DE MATERIAS POSSIBILITANDO ANEXAR DOCUMENTOS.
89129 [BI] Novas integrações de 6 indicadores do IG/Geo para o Ambulatório - Performance Manager
90226 Integração SIAFI - DCTF
90297 Refatoração da rotina de importação de usuários no ronda;
90622 Integrações AGHUse - Siafi
90773 [BI] Cubo Reinternação (em 7 e 30 dias)
91365 [BI] Indicador pneumonia relacionada a tubo ou anestesia CCIH
91467 PROJETO MODULO DE SERVIÇOS NO AGHUSE
91519 Taxa de Ocupação - IG
91683 Solicito verificar a possibilidade de disponibilizar uma versão mobile (para utilização em tablete ou celular) da funcionalidade do AGHUSE Requisição de Materiais
91707 Software para geStão de ensino no HCPA
92470 Sistema Informatizado de Serviços de Chaveiro
93026 Gerenciamento da Limpeza dos Leitos Hospitalares
93276 Banco de pacientes com Redesignação sexual
94543 Identificação e Acolhimento de cliente externo com acesso para o Ambulatório pelo Anexo II, através do sistema Ronda Acesso, com a implantação de bloqueio físico
95707 Portal do Colaborador Inteligente
33
95829 [BI] Acompanhamento das metas contratualizadas com SMS
96154 Patrimônio - finalização do processo de destinação dos bens "a classificar"
96458 Declaração REINF
96571 RESOLUÇÃO No- 6, DE 25 DE AGOSTO DE 2016; RESOLUÇÃO No- 6, DE 25 DE AGOSTO DE 2016 que Institui o Conjunto Mínimo de Dados da Atenção à Saúde; Integração AGHUse ao CMD para cumprimento da legislação;
96670 Integração AGHuse com Caixa Econômica Federal, Receita Federal e Tribunal Superior do Trabalho
96725 URGENTE: OPME . O sistema da OPME não permite que seja dada entrada em Notas Fiscais de doação e que se possa manter a rastreabilidade desses itens. Como o hospital trabalha fortemente com pesquisa e
97211 Integração AGHUse e SEI; Integração de todos os documentos já existentes no AGHUse relacionados a PAC e a Contratos de Serviço ( já estou providenciando a lista destes documentos (ex. Solicitação de
97341 GERINT - Complemento
97342 Cadastro de pacientes integrado ao CADSUS
97656 Integração com gestor SUS (integração com o e-SUS AB)
ASSISTENCIAIS
86313 [INTERCONSULTAS]Melhoria na avaliação do Consultor da situação "Consultoria Sem Agendamento"
86314 Gestão de Interconsultas - Consultoria Sem Agendamento
87504 [Migração] Banco de Sangue - Cadastros
87506 Mapa das Unidades e Salas do Ambulatório
87507 Exames - Certificação de Laudos
87508 Exames - Documentos Estáticos
87512 Exames - Laudos
87513 Exames - Patologia Cirúrgica - Área Técnica
87514 Exames - Patologia Cirúrgica - Blocoteca e Laminoteca
87519 Sessões Terapêuticas - Farmácia - Melhorias
34
87522 Sessões Terapêuticas - Hemodiálise - Prescrição - Finalizar Migração
87534 Sessões Terapêuticas - Radio - Agendamento
87546 Certificação dos documentos/registros gerados pelos profissionais da enfermagem
87554 Sessões Terapêuticas - Quimio - Listas Sessões Terapêuiticas
87558 Sessões Terapêuticas - Quimio - POL
87561 Sessões Terapêuticas - Qumio - Registro Sessão
87562 Sessões Terapêuticas - Qumio - Integração Faturamento
87567 Sessões Terapêuticas - Radio - Integração Faturamento
87569 Sessões Terapêuticas - Hemodiálise - Administrativo
87571 Sessões Terapêuticas - Hemodiálise - Assistencial
87573 Sessões Terapêuticas - Hemodiálise - Indicadores
87578 Sessões Terapêuticas - Fisiatria
87581 Prescrição de enfermagem do paciente ambulatorial
87598 [Migração] Ambulatório - SMO Ambulatório
87600 [Migração] Ambulatório - Comissões e Avaliadores
87618 [Migração] Relatórios e pesquisas do módulo de Internação
87887 Inclusão de valores alfanuméricos no fluxograma
87926 Prescrição Ambulatorial Informatizada
88051 Prontuário virtual para os RN
88179 Sala Zero - Dispensação por Kits de Mat/Med
88942 Descrição Cirúrgica em Unidades de Internação e CTI
88943 Acesso remoto ao AGHUse - Assistência - Telemedicina
88948 Fotografias no prontuário do paciente
88949 Estadiamento do câncer e sumário oncológico
88953 Registros de atendimentos psiquiátricos e psicológicos
35
88955 Certificação digital para profissionais não-médicos
88982 Relatório de preenchimento Folha de Parada Pediatrica
89142 [Migração] Beira do leito - Migração das rotinas de integração
89143 Beira do Leito - Registro de Controles do Paciente
89197 Identificação do "copiar e colar"
90942 Implantação de Interconsultas
90968 Motivo de Cancelamento de Cirurgias
91544 Prescrição de cuidados para faturamento na cirurgia (URPA)
91660 Melhoria link uptodate
92010 Utilização de assinatura digital eletrônica do paciente nos documentos pertinentes
92219 Informar ao paciente o uso de dispositivos implantáveis (Orteses)
92467 Controle de Pertences de Pacientes
92596 PACS 4 - Solução de Imagens Médicas para HCPA
92719 Disponibilizar imagens no Portal de Exames
92883 Alteração na Prescrição de NPT
92884 Ajuste da prescrição de nutrição parenteral
93529 Restringir o acesso a agenda a respectiva categoria profissional
94154 Resultados na Internet - Integração bidirecional com o portal de exames
94471 Solicitação de exames via Web para instituições externas.
94565 Cadastro de Anamnese de Enfermagem por Unidade Funcional
95159 Melhoria na Anamnese e na Evolução do Ambulatório;
95483 Prescrição médica de dieta: interface entre equipe médica, de enfermagem, nutrição e fonoaudiologia
95774 Nova tela de atendimento ambulatorial
97226 Recuperação de relatórios e laudos de consulta previa
97245 Exposição no registro do POL de receitas, laudos fornecidos
36
TECNOLOGIA
87439 Camera de monitoramento usando Rede Wifi
87572 [Migração] Plano de Contingência
88951 Perfis de Acesso
89962 Atualização do Sistema dos Dispensários Eletrônicos
89963 Infraestrutura em TI para Expansão da radioterapia
91990 Reativar Pentaho - Solução Free de BI
97572 Migrar o Módulo de Segurança do AGHWeb para o AGHUse
89687 Hackaton AGHUse
6.2. Necessidades de aporte de recursos em Infraestrutura de TIC
O quadro abaixo apresenta as necessidades atuais de aporte em infraestrutura de TIC.
Item Valor estimado para utilização
em 2018 Detalhamento da necessidade
Modernização da Rede Wi-Fi
R$ 110.000,00 Maior área de cobertura (3X), maior velocidade de comunicação na rede (8X), estabilidade, confiabilidade e segurança do tráfego e satisfação dos usuários.
Atualização da Rede R$ 350.000,00 Manutenção e reposição dos Switches do HCPA. Aumento de velocidade com a comunicação com a internet (10X)
Expansão da Radioterapia
R$ 80.000,00 3 Switches, Fibra óptica e 20 pontos de rede
CFTV (Rede) R$ 137.328,00 Infraestrutura para Instalação de 40 novas câmeras
Storage (armazenamento)
R$ 500.000,00 Aquisição de novo equipamento de storage em substituição aos contratos de manutenção dos equipamentos antigos já obsoletos. Maior segurança e
37
performance dos sistemas corporativos.
Backup R$ 174.688,00
Aquisição de solução de backup como serviço. A solução hoje existente é obsoleta e não atende mais as necessidades do HCPA, sendo necessária uma atualização a curto prazo. A contratação de uma solução como serviço dilui este valor mensalmente.
Manutenção Mensal Sala Cofre
R$ 208.344,00 Suporte e manutenções na Sala Cofre
Antivirus R$ 150.000,00 Aquisição de nova solução antivirus tendo em vista que o contrato atual está próximo de finalização.
Oracle R$
1.417.570,88 Atualização tecnológica do ambiente Oracle Cloud Machine (cloud privada)
Link - Conectividade Internet e Humaitá
R$ 137.886,00 Nova contratação tendo em vista que o contrato atual está próximo de finalização
Teste de Intrusão R$ 12.000,00 Garantir a segurança nas nossas aplicações contra vulnerabilidades que possam ser exploradas em tentativas de invasão
Raspberry PI R$ 12.021,00 Aquisição de RPIs para continuidade do Projeto Painel de Pacientes.
Discos SSD R$ 58.988,50 Aumento na velocidade de compilação e start dos servidores locais de aplicação (desenvolvimento) aumentando a produtividade dos desenvolvedores.
Computadores com monitor
R$ 449.900,40 Atualização do parque de equipamentos e atendimento a necessidades de expansão
Monitores para instalação dos 120
micros já adquiridos R$ 97.340,40
Aquisição de monitores para instalação dos microcomputadores já adquiridos, sem monitor
Workstations para desenvolvimento
R$100.000,00 Melhorias dos equipamentos para equipe técnica, aumentando assim a sua produtividade
Servidores Blade / Computação
Hiperconvergente R$1.000.000,00
Atualização de equipamentos do datacenter (servidores) adequando o poder computacional para rodar as aplicações, com velocidade e segurança.
38
6.3. Projetos em andamento, priorizados pelo Comitê de Governança Digital
Conforme demonstrado no capítulo 5, a priorização dos projetos é realizada pelo
Comitê de Governança Digital, seguindo processo previamente definido.
A relação abaixo apresenta os projetos priorizados e em andamento, com seu
respectivo dimensionamento e datas de início e conclusão previstas.
7. SEGURANÇA DAS INFORMAÇÕES E INSTALAÇÕES A criticidade do negócio e a sensibilidade das informações presentes na
infraestrutura e nos bancos de dados corporativos do HCPA exigem processos e
procedimentos avançados de segurança das informações e instalações. Abaixo
estão apresentados alguns dos principais itens de segurança adotados pelo HCPA.
● Política de Segurança da Informação (POSIC): A POSIC HCPA é devidamente
formalizada e publicada no repositório de documentos institucionais sob
número POL-AC-072. São também integrantes da POSIC HCPA o Plano de
Segurança Cibernética, o Plano de Segurança da Informação e o Plano de
Segurança da Tecnologia da Informação e Comunicações, também publicados
sob Nrs. PLA-AC-177, PLA-AC-175 e PLA-AC-176, respectivamente (ANEXOS 2 a
5).
39
● Confidencialidade dos dados: o HCPA possui uma sistemática de gestão de
perfis de acesso aos sistemas corporativos e de terceiros.
● Comissão de Segurança da Informação e Comunicações (CSIC): Instituída
oficialmente no HCPA em 30/11/2017 através do Ato 322/2017.
● Renovação periódica de senhas: em alinhamento com as boas práticas de
segurança da informação, a cada 6 meses, é obrigatória a renovação da senha
do usuário. A cada troca de senha, são apresentadas as normas de segurança,
exigindo que os usuários dêem o aceite eletrônico para prosseguimento da troca
de senha e reativação dos acessos.
● Termos de responsabilidade/confidencialidade: Em casos específicos são
assinados termos de responsabilidade/confidencialidade, como por exemplo: na
criação de usuários administradores da rede, que executam tarefas com
maiores privilégios, é emitido um termo específico. Quando da não existência de
norma de confidencialidade de dados na licitação/contratação de softwares de
terceiros, é emitido termo específico para disponibilização de acessos à
infraestrutura.
● Criação de usuários/contas de acesso: A criação é feita pela Coordenadoria de
Gestão de Pessoas e Central de Identificação, como parte do processo de
admissão do funcionário ou início de contrato de prestação de serviços. As
contas de usuários para administração de serviços são criadas exclusivamente
pela TI. A inativação de uma conta de usuário (no banco de dados e no AD)
acontece de forma automatizada quando do término do vínculo do colaborador
com o HCPA. Caso haja seguidas (10) tentativas de acesso às aplicações com
senha errada, ocorre o bloqueio da conta do usuário (no AD e no banco de
dados).
● Controles de acesso à rede e bancos de dados: Tentativas de acesso não
autorizado por usuários/equipamentos/aplicativos são controlados por um
mecanismos de Intrusion Prevention System (IPS), Firewalls, Web Filtering e
Appliances de VPN. Quando da tentativa de acesso não autorizado, os
administradores recebem notificações para atuarem no problema. Usuários com
40
contas bloqueadas/expiradas ou com dificuldade de acesso fazem contato com
a Central de Relacionamento através da abertura prévia de chamado ou por
contato telefônico. São mantidos logs detalhados com informações de acessos
à rede, servidores, aplicativos, bancos de dados etc. Existem também tabelas
journal que guardam histórico de interações dos usuários nas principais tabelas
negociais do sistema AGHUse.
● Acessos à Internet: São controlados através de solução integrada ao Firewall
que contém categorização de destinos proibidos. Caso o usuário tente fazer
acesso a algum conteúdo proibido, é apresentada mensagem de bloqueio e é
armazenado o registro da tentativa indevida.
● Controle de Acesso físico: O acesso aos ambientes de servidores (datacenter) é
controlado por vários itens de segurança, tais como: monitoramento por vídeo,
barreira humana (profissional operador de datacenter em regime 24x7x365) e
sistema de controle de acesso.
● Sala Cofre: Os equipamentos centrais (servidores principais, ativos core de rede,
storages etc.) estão alocados no datacenter em uma Sala Cofre Certificada,
protegida contra arrombamentos, fogo, água, projéteis etc.
● Política de backup e plano de contingência de infraestrutura: O salvamento dos
dados é realizado em equipamento específico para backup, operando de forma
on-line, instalado no datacenter secundário (Unidade Álvaro Alvim). É realizado
também em cartuchos de fita com grande capacidade de armazenamento,
operadas por processo automatizado (robôs de fitas). São realizadas cópias de
segurança diariamente, através de processo online, sem indisponibilizar os
sistemas.
● Gestão de Riscos de TIC: O HCPA possui o Grupo de Gestão de Riscos de TI
(GGRTI-HCPA), formalmente designado pela Diretoria Executiva através do Ato
072/2016. A Matriz de Riscos de TI elaborada e monitorada pelo GGRTI-HCPA
está apresentada no ANEXO 1
41
8. ANEXOS 8.1. ANEXO 1 - MATRIZ DE RISCOS DE TI
Responsável: Grupo de Tratamento de Riscos de TI – GTGRTI – Ato 072/2016
Descrição: Projeto de análise de riscos de segurança da informação no ambiente de TI Definições de Escopo e Processo na Entrega 2016-2 Com o transcorrer do processo ao longo do primeiro semestre de 2016, definiu-se que os valores máximos para aceite de riscos são os riscos cuja avaliação atingir os níveis “muito baixo e baixo”. Definiu-se também, que o Plano de Tratamento de Riscos iniciará nos ativos com o nível de riscos “alto”, devido ao impacto global no conjunto dos demais de riscos identificados. Observação: Esta matriz de riscos foi gerada pelo processo de Gestão de Riscos de TI, através da plataforma Armor – ANDRADESOTO RISK MANAGEMENT, fabricado pela empresa Andrade Soto Informática Ltda., e é resultado de Prova de Conceito realizada pelo GTGRTI no primeiro semestre de 2016.
Critérios utilizados pela Gestão de Riscos
Impacto
Confidencialidade Descrição Vlr
Muito Baixo Somente pessoas da própria área acessam informações.
1
Baixo Pessoas de outras áreas da empresa acessam informações.
2
Médio Pessoas fora da empresa acessam informações não críticas.
3
Alto Pessoas fora da empresa acessam informações críticas, empresa pode ser
4
42
processada por quebra de contrato de confidencialidade.
Muito Alto
Pessoas fora da empresa acessam informações críticas, empresa pode ser processada por quebra de contrato de confidencialidade, empresa pode ser multada por vazar informações críticas/confidenciais previstas por lei, impacto muito alto de imagem.
5
Disponibilidade Descrição Vlr
Muito Baixo Absorvido pelas operações normais do negócio, sem impacto significativo em custos, produtividade ou compromissos de negócio.
1
Baixo Distração no trabalho, sem impacto significativo, pequeno aumento nos custos operacionais.
2
Médio Atraso no trabalho, impacto visível de produtividade e eficiência. Pouco impacto no negócio.
3
Alto Interrupção do trabalho, compromissos de negócio atrasados, grande aumento nos custos operacionais. 4
Muito Alto Parada do trabalho, compromissos de negócio cancelados, custos operacionais muito altos. 5
Financeiro Descrição Vlr
Muito Baixo R$ 0. Não existe impacto 1
Baixo <= R$1.000 2
Médio >= R$50.001 & <= R$ 500.000 Média Severidade (Significativo) 3
43
Alto >= R$ 500.001 & <= R$ 1.000.000 4
Muito Alto >= R$ 1.000.001 5
Imagem Descrição Vlr
Muito Baixo Reclamações, preocupações localizadas ou sem cobertura de mídia. 1
Baixo Reclamações limitadas e pequenas crises internas; ou cobertura de mídia local limitada. 2
Médio Reclamações e crises generalizadas; ou cobertura de mídia local significativa; ou possível impacto na reputação política ou social da empresa.
3
Alto Grandes crises, greves; ou cobertura de mídia no estado ou região sul; ou impacto significativo na reputação política ou social da empresa.
4
Muito Alto Parada total, ou cobertura de mídia nacional/internacional, ou grande impacto na reputação política ou social da empresa.
5
Integridade Descrição Vlr
Muito Baixo Modificação nos dados acidentalmente, não interfere nos negócios da empresa, informações podem ser perdidas.
1
Baixo Modificação nos dados acidental ou proposital, não interfere no negócio da empresa, informação deve ser recuperada dos backups.
2
Médio
Violação de integridade interfere no negócio da empresa de forma significativa, ou violação de integridade serve como primeiro passo para um ataque contra disponibilidade e confidencialidade.
3
44
Alto Violação de integridade interfere no negócio da empresa de forma significativa, afeta disponibilidade e confidencialidade e imagem de forma crítica, possibilidade de fraudes financeiras.
4
Muito Alto Informações críticas da empresa incorretas ou perdidas, sem possibilidade de recuperação, ocorrem fraudes, afeta totalmente imagem e disponibilidade do negócio.
5
Probabilidade
Histórico de Ocorrências
Descrição Vlr
Muito Baixo Não ocorreu em 1 ano. Provavelmente não ocorra novamente 1
Baixo Ocorreu 1 vez em 1 ano. Há pouca probabilidade que ocorra 2
Médio Ocorreu 2 vezes em 1 ano. Pode ser que aconteça 3
Alto Ocorreu 3 vezes em 1 ano. Há grande probabilidade de acontecer novamente
4
Muito Alto Ocorreu mais de 3 vezes em 1 ano. É praticamente certo que ocorrerá novamente
5
Critérios para aceite de riscos
Nível Risco Vlr Inicial Vlr Final Ação
Muito Baixo 0,01 1,99 Aceitar
Baixo 2,00 3,99 Aceitar
Médio 4,00 9,99 Reduzir
Alto 10,00 19,99 Reduzir
Muito Alto 20,00 25,00 Reduzir
45
Estimativas
Risco Valor do Risco Valor Residual
Existência de vulnerabilidades técnicas sem o conhecimento da organização. 13,10 13,10
Criação de sistemas ou aplicações vulneráveis. 12,58 12,58
Vulnerabilidades existentes em função da ausência de uma política de patching formalizada. 11,47 11,47
Ocorrência de incidentes de segurança da informação sem o conhecimento da organização. 10,84 10,84
Suscetibilidade de ataques de engenharia social em colaboradores que desconhecem a política de SI, bem como preceitos básicos de segurança da informação.
10,67 10,67
Dificuldade no repasse de conhecimento. 8,70 8,70
Ataque hacker bem sucedido em função de vulnerabilidades existentes pela falta de hardening e padronização do ambiente.
8,14 8,14
Não identificação de vulnerabilidades, falhas ou fraudes nos sistemas devido a ausência de auditorias. 7,74 7,74
Inoculação de vírus. 7,49 7,49
Falta de aderência da política corporativa de segurança da informação devido à falta de revisão e análise crítica.
7,11 7,11
Dificuldade de manutenção ou implementações de diferentes aplicações ou ferramentas, devido à falta de padronização de configurações no parque tecnológico.
6,81 6,81
Acesso não autorizado (invasão) de servidores devido à utilização de senhas fracas. 6,78 6,78
Vazamento de dados sensíveis a atacantes. 6,39 6,39
46
Acesso indevido ou invasão através do vazamento ou aquisição indevida de credenciais válidas para acesso remoto.
6,16 6,16
Obtenção de domínio do banco de dados do portal HCPA por parte de atacantes. 5,34 5,34
Vazamento de dados de clientes. 5,04 5,04
Atrasos falhas ou fracasso de projetos pela falta de gestão de riscos e segurança da informação. 4,93 4,93
Acessos administrativos concedidos desnecessariamente à colaboradores. 4,93 4,93
Desconhecimento dos requisitos de segurança da informação a serem atendidos pela organização. 4,80 4,80
Vazamento de dados sensíveis à colaboradores não autorizados. 4,49 4,49
Vazamento de dados ou comprometimento de informações e sistemas em função de softwares maliciosos instalados nas estações de trabalho.
4,37 4,37
Vazamento de dados técnicos para utilização em futuros ataques. 4,25 4,25
Uso inadequado de ativos devido a falta de conhecimento da política corporativa de segurança da informação.
4,13 4,13
Vazamento de informações sensíveis referentes ao código dos sistemas para atacantes. 4,10 4,10
Vazamento de dados de fornecedores. 4,07 4,07
Indisponibilidade de sistemas ou serviços em função de mudanças mal planejadas. 3,54 3,54
Invasão do ambiente tecnológico com obtenção de credenciais administrativas. 3,30 3,30
Indisponibilidade, falhas ou inviabilidade de serviços que dependam de fornecedores. 3,18 3,18
47
Acesso físico indevido ao Datacenter. 3,00 3,00
Acessos não-seletivos (funções críticas liberadas sem critério). 2,78 2,78
Destruição do datacenter devido a incêndio. 2,70 2,70
Crise ocasionada por incidente tratado indevidamente. 2,67 2,67
Parada parcial ou total do negócio em função de desastres ou crises não previstas e tratadas pela gestão da continuidade de negócio.
2,67 2,67
Impossibilidade de recuperação de desastres ou crises (falta de resiliência) devido à falta de gestão da continuidade de negócio.
2,67 2,67
Ausência de parâmetros para definição de ativos críticos para a organização. 2,53 2,53
Dificuldade na verificação dos logs e identificação de possíveis ataques ou invasões. 2,14 2,14
Dificuldade de manutenção e suporte a ativos sem responsáveis definidos. 2,14 2,14
Perda do gerenciamento de usuários com acesso remoto. 2,08 2,08
Roubo ou destruição de ativos físicos da organização. 2,05 2,05
Fraudes internas ocasionadas por colaboradores mal intencionados com acessos privilegiados. 1,97 1,97
Vazamento de dados referentes à usuários cadastrados no AD, facilitando ataques e tentativas de invasão.
1,84 1,84
Vazamento de dados de projetos. 1,84 1,84
Multas contratuais ou processos devido ao vazamento de dados de fornecedores. 1,80 1,80
Indisponibilidade de serviços em função de falhas nos equipamentos do datacenter.
1,70 1,70
48
Instalação de software malicioso ou não autorizado nas estações de trabalho. 1,68 1,68
Vazamento de dados contidos em dispositivos descartados. 1,62 1,62
Danos aos ativos tecnológicos ocasionados por superaquecimento. 1,57 1,57
Perda de dados contidos em dispositivos móveis. 1,30 1,30
Vazamento de dados sigilosos contidos em dispositivos móveis. 1,08 1,08
Falta de qualidade nos processos oferecidos devido à ausência de padronização. 0,76 0,76
Vazamento de dados de um colaborador para outro através da reutilização do equipamento. 0,72 0,72
Plano de tratamento de riscos
Risco
Existência de vulnerabilidades técnicas sem o conhecimento da
organização
Controle ABNT NBR ISSO/IEC 27001
Tipo de Atividade
Atividade Ativo Responsável
Correção Vulnerabilidade
Corretivo: Realização de análise de vulnerabilidades nos principais ativos tecnológicos da organização. Preventivo: Elaboração e documentação de um processo de gestão de vulnerabilidades, definindo procedimentos para as análises técnicas e os tratamentos aplicáveis às vulnerabilidades identificadas. O processo em questão deve abranger, entre outras, as seguintes atividades: Execução periódica de análises manuais e automatizadas de vulnerabilidades nos
Gestão de segurança da informação
Ana Cristina Trois Endres
49
principais ativos da organização; Priorização, baseada em riscos, de correção das vulnerabilidades identificadas. Cada vulnerabilidade deve ter um responsável pela correção atribuída; Avaliações periódicas para validação dos controles aplicados para correção das vulnerabilidades.
Controle Guia de Segurança para a
Área de TI / 5
Tipo de Atividade
Atividade Ativo Responsável
Correção Vulnerabilidade
Recomenda-se, neste caso, responsabilizar determinada equipe para definir e gerenciar guias de hardening para as diferentes tecnologias, abordando configurações próprias da organização, bem como boas práticas de mercado. Esta equipe deve ser responsável por criar, manter e homologar as diferentes configurações dos diferentes tipos de tecnologias, definindo um padrão para cada uma que deve ser revisado periodicamente.
Servidores Ana Cristina Trois Endres
Controle Guia de Segurança para a
Área de TI /25
Tipo de Atividade
Atividade Ativo Responsável
Correção Vulnerabilidade
Criar um procedimento formal de homologação e instalação de atualizações dos diferentes softwares existentes no parque tecnológico. Este documento deve descrever quais os mecanismos de atualização automática, quais componentes devem ser atualizados manualmente e quais são os critérios para a atualização e a periodicidade da mesma.
Servidores
Jorge Hosni Pereira de Pereira Junior
Risco Criação de sistemas ou aplicações vulneráveis
50
Controle ABNT NBR ISSO/IEC 27001 Ativo Responsável
Correção Vulnerabilidade
Corretivo: Análise crítica dos requisitos de negócio necessários para compliance com as normativas aplicáveis ao negócio da organização. Após a definição dos requisitos, deve-se elaborar e documentar a declaração de aplicabilidade, contendo todos os controles de segurança aplicáveis ao ambiente da organização.
Gestão de segurança da informação
Ana Cristina Trois Endres
Controle ABNT NBR ISSO/IEC 27001 Ativo Responsável
Correção Vulnerabilidade
Detectivo: Realização de testes de intrusão nos principais sistemas da organização, com o objetivo de identificar falhas de segurança nos mesmos. Preventivo: Elaboração e documentação de processo de desenvolvimento de aplicações, o processo em questão deve seguir, entre outras, as seguintes diretrizes de segurança: Definição da aplicabilidade da política, recomenda-se que as diretrizes e controles definidos devem ser aplicados a todos os sistemas desenvolvidos internamente e por partes externas; Utilização de ambientes propícios para desenvolvimento e testes de aplicações; Garantia de que os sistemas desenvolvidos atendam um nível de maturidade em relação a aplicação de controles de segurança, utilizando como base metodologias difundidas de segurança de aplicações (ex: Processo de desenvolvimento de software seguro MS SDL, OWASP, etc.).VUL
Gestão de segurança da informação
Ana Cristina Trois Endres
Controle ABNT NBR ISSO/IEC 27001 Ativo Responsável
Correção Vulnerabilidade
Corretivo: Análise crítica das regras de negócio dos sistemas desenvolvidos por terceiros, com o objetivo de identificar inconformidades ou vulnerabilidades nesses sistemas. Preventivo: Garantir que as diretrizes da política de Desenvolvimento Seguro sejam aplicadas no fluxo de desenvolvimento de sistemas terceirizados. Além dos controles técnicos os sistemas em desenvolvimento devem ser submetidos a análises críticas em relação à suas funcionalidades e aplicabilidade aos processos e regras de negócio da empresa
Gestão de segurança da informação
Ana Cristina Trois Endres
51
Risco
Vulnerabilidades existentes em função da ausência de uma política de patching formalizada.
Controle Guia de Segurança para a Área de TI /25 Ativo Responsável
Correção Vulnerabilidade
Criar um procedimento formal de homologação e instalação de atualizações dos diferentes softwares existentes no parque tecnológico. Este documento deve descrever quais os mecanismos de atualização automática, quais componentes devem ser atualizados manualmente e quais são os critérios para a atualização e a periodicidade da mesma.
Servidores
Jorge Hosni Pereira de Pereira Junior
Controle Guia de segurança em servidores MS Windows / 13
Ativo Responsável
Correção Vulnerabilidade
Recomenda-se implementar um processo de hardening definindo a remoção dos serviços que não são necessários para as funções do servidor
AGHUSE -AD
Jorge Hosni Pereira de Pereira Junior
Correção Vulnerabilidade
Implementar processo de hardening que preveja a remoção dos serviços desnecessários no servidor.
AGHUSE - Servidor de Impressão - Rede Windows
Jorge Hosni Pereira de Pereira Junior
Controle Guia de segurança em servidores Linux / 1 Ativo Responsável
Correção Vulnerabilidade
Implementar rotina de atualização periódica manual ou automatizada dos servidores linux.
AGHUSE - Servidor de Impressão - Rede Linux
Jorge Hosni Pereira de Pereira Junior
Controle Guia de segurança em servidores Apache/tomcat / 22 Ativo Responsável
52
Correção Vulnerabilidade
Implementar uma rotina de patching nos servidores e, pontualmente, atualizar a versão do apache deste servidor
AGHUSE - Sistema Balanceador de Conexões APACHE
Jorge Hosni Pereira de Pereira Junior
Controle Guia de segurança em servidores Apache/tomcat / 23 Ativo Responsável
Correção Vulnerabilidade
Implementar uma rotina de patching nos servidores e, pontualmente, atualizar o componente em questão.
AGHUSE - Sistema Balanceador de Conexões APACHE
Jorge Hosni Pereira de Pereira Junior
Risco
Ocorrência de incidentes de segurança da informação sem o conhecimento da organização.
Controle ABNT NBR ISSO/IEC 27001 Ativo Responsável
Correção Vulnerabilidade
Formalizar e implementar um processo de gestão de incidentes de segurança da informação estabelecendo diretrizes, responsabilidades, fluxos e processos relacionados ao gerenciamento de incidentes.
Gestão de segurança da informação
Ana Cristina Trois Endres
Correção Vulnerabilidade
Deve haver um canal de comunicação para o report de incidentes de segurança, bem como um processo formalizado de conhecimento de todos os colaboradores da organização.
Gestão de segurança da informação
Ana Cristina Trois Endres
Risco
Suscetibilidade de ataques de engenharia social em colaboradores que desconhecem a política de SI, bem como preceitos
53
básicos de segurança da informação.
Controle ABNT NBR ISSO/IEC 27001 Ativo Responsável
Correção Vulnerabilidade
Corretivo: A política corporativa de segurança da informação deve ser formalmente divulgada para todos os colaboradores e partes externa que efetuam atividades para o HCPA através de campanhas de divulgação, seminários e ações relacionadas. Após implementada, a política deve ser disponibilizada para consulta e referência em local claramente definido na rede interna da empresa. Preventivo: Recomenda-se a realização de treinamentos abordando os requisitos de segurança da informação, responsabilidades legais e controles aplicáveis ao negócio. Bem como o uso correto de recursos de processamento de informação. Os seminários e treinamentos devem ser adequados e relevantes para os papéis e responsabilidades dos colaboradores, e devem incluir informações sobre conhecimento de ameaças, pessoas chave que devem ser contatadas para orientações sobre segurança da informação e os canais para relatar os incidentes de segurança da informação.
Gestão de segurança da informação
Ana Cristina Trois Endres
54
8.2. ANEXO 2 - POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - POL-AC-072
55
8.3. ANEXO 3 - PLANO DE SEGURANÇA DA INFORMAÇÃO - PLA-AC-175
56
57
58
59
8.4. ANEXO 4 - PLANO DE SEGURANÇA DA TECNOLOGIA DA COMUNICAÇÃO E COMUNICAÇÕES - PLA-AC-176
60
61
62
63
64
8.5. ANEXO 5 - PLANO DE SEGURANÇA CIBERNÉTICA - PLA-AC-177
65
66
67
68
69
70
8.6. ANEXO 6 - MATRIZ DE CAPACITAÇÃO DA ÁREA DE TIC 8.6.1. Capacitações para a equipe interna
Matriz de Capacitação Setorial Coordenadoria de Gestão da Tecnologia da Informação e Comunicação
Capacitação (Nome / Tema da atividade)
Justificativa/ Necessidades detectadas
Resultado esperado
Periodicidade
Público Alvo Responsável da área CGTIC
Arquitetura e Protocolos de Rede TCP-IP
Conhecimento sobre a arquitetura de rede TCP/IP, sua pilha de protocolos e serviços oferecidos, projeto de endereçamento IP, cálculo de máscaras de sub-redes e super-redes, VLSM e CIDR, roteamento estático e dinâmico, protocolos TCP e UDP, modelo cliente-servidor e interface socket, serviços DNS, mail e web;
Capacitar profissionais em Tecnologia e motivação dos mesmo.
Anual Funcionários CGTIC
Renato F M Malvezzi
Capacitação em instalações e Manutenções de Fibras Ópticas
Necessidade de atuação com conexões atráves de Fibras Ópticas, garantindo a correta instalação e a alta disponibilidade da rede física HCPA.
Qualificação da rede de fibras ópticas do HCPA
Anual
Liderança e funcionários da Supervisão de Datacenter Analistas de Infraestrutura
Guilherme S. Messerschmidt
Capacitação em instalações e Manutenções de Redes de Dados e Datacenters
Conceitos sobre Data Centers, FTTx e Comunicação de Alta Velocidade
Criar competência técnica, capacitando os profissionais a oferecer soluções em
Anual
Liderança e funcionários da Supervisão de Datacenter Analistas de Infraestrutura
Guilherme S. Messerschmidt
71
Instalação de Redes de Cabeamento Estruturado.
Congresso Brasileiro de Gestão, Projetos e Liderança (PMI)
Atualizar os profissionais nas práticas de mercado no que diz respeito a Gestão, Projetos e Lideranças voltados à TI.
Melhoria das atividades de gerenciamento de projetos
Anual
Lideranças e Analistas de TIC que atuam em projetos e sustentação
André Mena Avila
Design Thinking
Explorar o design thinking como abordagem que acelera a inovação, transforma mindsets e traz novas competências e habilidades para que a inovação realmente aconteça.
Profissionais habilitados na aplicação de design thinking
Anual
Equipe da Supervisão de Portfólio, Projetos e Inovação e Analistas de TIC que atuam em projetos
Edson Bicca
FISL - Fórum de Sofware Livre
Atualizar os profissionais técnicos nas práticas e tendências de mercado no que diz respeito a Tecnologias Livres.
Capacitar profissionais em Tecnologia e motivação dos mesmo.
Anual Funcionários CGTIC
Renato F M Malvezzi
Fundamentos de Governança de TI
Capacidade de análise dos impactos estratégicos de TI nos negócios. Capacidade de entendimento dos aspectos e processos básicos que formam o escopo da Governança de TI.
Capacitar profissionais em Tecnologia e motivação dos mesmo.
Anual Funcionários CGTIC
Renato F M Malvezzi
Fundamentos de Governança de TI
Importância da Governança de TI para a estratégia da sua organização
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com
Luiz Marcos Zambonato
72
atividades de apoio em gestão
Fundamentos do COBIT 5
Controle e transparência na monitoração de processos
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Luiz Marcos Zambonato
Gerenciamento ágil de projetos
Promover utilização de práticas ágeis com maior embasamento. Mostrar o valor da aplicação de práticas ágeis para gerenciar e entregar projetos com maior eficiência e qualidade, com menos retrabalho e custos.
Capacidade de aplicar com maior propriedade os valores e as ferramentas dos métodos ágeis no HCPA
Anual
Equipe da Supervisão de Portfólio, Projetos e Inovação Seções de Negócio Seção de Desenvolvimento e Operações
Edson Bicca
Gerenciamento de Processos de Negócios (BPM)
Conhecer e aprender o gerenciamento de processos de negócios através do uso da metodologia Business Process Management (BPM)
Otimização do processos de negócio
Anual
Lideranças e funcionários CGTIC com atuação em revisão e otimização de processos de negócio
André Mena Avila
Gerenciamento de Projetos de TI
Gestão integrada de pessoas, recursos e tecnologias
Melhoria dos processos de Gestão de Projetos de TIC
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Edson Bicca
Gerenciamento de Serviços de TI
Resolver problemas e tomar decisões relacionadas aos processos de
Capacitar profissionais em Gestão de Serviços de TIC
Anual Funcionários CGTIC
Renato F M Malvezzi
73
gerenciamento de serviços de TI. Utilizar padrões e boas práticas reconhecidamente eficazes para o gerenciamento de serviços de TI, com enfoque na ITIL V3.
Gestão da Continuidade de Negócios
Não permitir que o negócio pare. Fazer a gestão da continuidade de negócios da organização!
Aumentar o nível de Gestão da Continuidade de Negócios do HCPA
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Luciano Ramos
Gestão da Segurança da Informação - NBR 27001 e NBR 27002
Identificar vulnerabilidades e riscos associados à segurança da informação, propor planos de continuidade de negócios para organizações, tendo como base riscos, vulnerabilidades e a política de segurança da organização e propor planos de gestão da segurança da informação, usufruindo das competências e dos aspectos de legislação e direito digital vigentes.
Capacitar profissionais em Segurança da Informação
Anual Funcionários CGTIC
Renato F M Malvezzi
Gestão de Conflitos
Como intermediar divergência e encontrar soluções de maneira objetiva e eficiente
Habilitação em intermediar e resolver conflitos
Anual
Lideranças e Equipe da Supervisão de Portfólio, Projetos e Inovação
Edson Bicca
74
Gestão de Riscos de TI - NBR 31000 e NBR 27005
Aprender a aplicar metodologia de gestão e análise de riscos da norma NBR ISO/IEC 27005:2008. Identificar ameaças, vulnerabilidades e riscos associados à segurança da informação.
Capacitar profissionais em Gestão de Riscos deTIC
Anual Funcionários CGTIC
Renato F M Malvezzi
Governança de TI com COBIT
Desafio da gestão de TIC
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Luiz Marcos Zambonato
ITIL v3 Fundamentos
Desafio da gestão de TIC
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Luiz Marcos Zambonato
Planejamento e Contratação de Serviços de TI
Aprender a contratar bens e serviços de TI segundo as Instruções Normativas e demais legislações aplicáveis. Capacidade de entendimento dos aspectos e processos básicos para uma adequada contratação de serviços de TI para organizações públicas
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com atividades de apoio em gestão
Luiz Marcos Zambonato
Planejamento e Gestão Estratégica de TI
Os passos iniciais na trilha dos modernos frameworks da gestão de TI
Melhoria da Governança de Gestão de TIC
Anual
Lideranças CGTIC e funcionários com atividades de
Valter Ferreira da Silva
75
apoio em gestão
Planejamento e Projeto de Infraestrutura para Datacenter
Desempenho e segurança com base nas práticas de TI Verde
Otimização e adequação dos Datacenters do HCPA
Anual
Liderança e funcionários da Supervisão de Datacenter Analistas de Infraestrutura
Guilherme S. Messererschmidt
Políticas de Segurança da Informação
Desenvolvimento de regulamentos de segurança da informação
Melhoria na Gestão de Segurança da Informação
Anual
Lideranças CGTI Analistas de Segurança da Informação Analistas de Infraestrutura
Liziani Salete Allegretti
Project Model Canvas
Capacitação da equipe na ferramenta PM Canvas, metodologia robusta de gerenciamento de projetos, sem o preenchimento de inúmeros documentos e sem burocracia. Ideal para ambientes que querem aprimorar sua capacidade de planejamento, mas que se caracterizam por inovação, alta dinâmica dos negócios, muitos projetos em paralelo e nos quais soluções rígidas e engessadas não se aplicam.
Habilitar os gerentes de projeto em métodos mais modernos de gestão
Anual
Equipe da Supervisão de Portfólio, Projetos e Inovação
Edson Bicca
Segurança de Redes e Sistemas
Propor novas soluções para perímetros seguros de rede. Avaliar aspectos relacionados à segurança de
Manter os profissionais capacitados Tecnologicamente
Anual Funcionários CGTIC
Luciano Ramos
76
servidores Linux e Windows. Empregar soluções de proteção como IDS, IPS e realizar auditorias de segurança.
TDC - The Developers Conference
Atualizar os profissionais técnicos nas práticas e tendências de mercado no que diz respeito a Tecnologia, participando de Trilhas, Workshops e Hackathons.
Manter os profissionais capacitados Tecnologicamente
Anua Funcionários CGTIC
Daniel Cerqueira Devilla
Tecnologias Oracle - Banco de Dados, Gerenciamento e ExaData
Qualitificar os DBA's nas tecnologias de administração de Banco de Dados Oracle
Melhoria do gerenciamento dos ambientes físicos e lógicos de bancos de dados e ferramentas
Anual
Analistas de Bancos de Dados Analistas de Infraestrutura
Renato F M Malvezzi
Tratamento de Incidentes de Segurança
Conhecimento sobre requisitos de criação, funcionamento e atividades de um Computer Security Incident Response Team(CSIRT); Criar e gerenciar uma equipe de resposta a incidentes de segurança; Técnicas e ferramentas de tratamento de incidentes; Conhecimento de estudos de casos e simulações de incidentes.
Capacitar profissionais em Tecnologia e motivação dos mesmo.
Anual Funcionários CGTIC
Renato F M Malvezzi
Treinamento em Qualificar os Capacitar Anual Equipe de Luciano Ramos
77
Administração de Storage
profissionais em tecnologias de armazenamento Storage
profissionais para atuar no storage
Analistas e Infraestrutura de Segurança que atuam com banco de dados
Treinamento Firewall
Qualificar os profissionais em tecnologias de Firewall
Capacitar profissionais para atuar no firewall
Anual
Equipe de Analistas de Infraestrutura e Segurança
Luciano Ramos
Treinamento sobre Infraestrutura Básica da Rede Lógica Física do HCPA
Qualificar o time técnico sobre o funcionamento do cabeamento estruturado e infraestrutura básica da rede lógica física do HCPA.
Melhora na atuação junto aos usuários.
Anual
Funcionários e estagiários da CGTIC - Supervisão de Gestão de Ativos
Guilherme S. Messererschmidt
Treinamento sobre Infraestrutura Básica da Rede Lógica Física do HCPA
Qualificar os profissionais sobre o funcionamento do cabeamento estruturado e infraestrutura básica da rede lógica física do HCPA.
Melhora na atuação junto aos usuários.
Anual
Funcionários da CGTIC, estagiários e terceiros
Guilherme S. Messererschmidt
Treinamento sobre Processo de Trabalho com Fábrica de Aplicativos
Capacitar os profissionais no processo de gestão dos contratos em vigor com as fábricas, ferramentas operacionais, fluxos de pagamentos, mensuração de pontos de função, indicadores e glosas.
Otimização do processo de controle das atividades de Fábrica de Software
Anual
Funcionários da nova equipe de gestão de contratos da CGTIC.
Luiz Marcos Zambonato
78
8.6.2. Capacitações conduzidas pela CGTIC para equipes externas
Matriz de Capacitação Setorial Coordenadoria de Gestão da Tecnologia da Informação e Comunicação
Capacitação (Nome / Tema da
atividade)
Justificativa/Necessidades detectadas
Resultado esperado/ Indicador
/Meta
Período / Periodicid
ade
Público Alvo
Responsável da área
CGTIC
Treinamentos Técnicos na Arquitetura e Metodologia de Desenvolvimento do Sistema AGHUse
Treinar as equipes de TI dos hospitais parceiros AGHUse na arquitetura, infraestrutura e metodologia de desenvolvimento do Sistema AGHUse
Disseminação do conhecimento técnico e contribuição dos parceiros no desenvolvimento do AGHUse.
Semestral Parceiros AGHUSe
Renato Malvezzi
Treinamentos Negociais no Sistema AGHUse
Treinar as equipes de negócio dos hospitais parceiros AGHUse nas funcionalidades do sistema
Disseminação do conhecimento negocial e melhoria da qualidade das implantações do AGHUse nos hospitais parceiros
Semestral Parceiros AGHUSe
Saulo Chaves de Aquino
"Saiba + de"
Treinamentos externos realizados pela CGTIC sobre sistemas, aplicativos, ferramentas,
Disseminar conhecimentos sobre os sistemas e tecnologias utilizadas no
Mensal Funcionários HCPA
Liziani Salete Allegretti
79
metodologias etc. HCPA
Workshops técnicos
Workshops realizados pela CGTIC para disseminação de técnicas de trabalho, metodologias, ferramentas etc.
Disseminar conhecimento prático sobre técnicas e metodologias
Mensal Funcionários HCPA
Lideranças CGTIC
80
