Manual de Boas Práticas em TI

Manual de Boas Prticas em
Tecnologia da Informao
Principais direcionadores estratgicos de TI
Manual de Boas Prticas
em Tecnologia da
Informao
Principais direcionadores estratgicos de TI
Comisso Tcnica Nacional

de Tecnologia da Informao
SUMRIO
Apresentao 5
1. Alinhamento Estratgico de TI ao Negcio 6
1.1. TI Agregando Valor ao Negcio 6
1.2. TI Suportando a Cadeia de Valor do Negcio 8
2. Planejamento Estratgico de TI 12
2.1. Boas Prticas em Planejamento Estratgico de TI 13
3. Governana de TI 14
3.1. Conceito 14
3.2. Principais Norteadores 14
3.3. Boas Prticas em Governana de TI 15
3.3.1. Oramento de TI 15
3.3.2. Comit de TI 15
3.3.3. Processos de TI 16
3.3.4. Avaliao de Performance de TI 17
4. Sistemas de Informao 18
4.1. Conceito 18
4.2. Principais Benefcios 22
4.3. Principais Categorias de Sistemas de Informao 22
4.4. Boas Prticas em Sistema da Informao 23
5. Infraestrutura de TI 24
5.1. Boas Prticas em Infraestrutura de TI 26
6. Gesto de Riscos e Segurana da Informao 27
6.1. Conceito 27
6.2. Boas Prticas de Gesto de Riscos e Segurana da Informao 29
7. Plano de Continuidade de Negcios 31
7.1. Conceito 31
7.2. Boas Prticas em Plano de Continuidade de Negcio 31
SUMRIO
8. Estrutura Organizacional de TI 33
8.1. Estrutura Organizacional 33
8.1.1. Boas Prticas em Estrutura Organizacional de TI 33
8.2. Gesto de Talentos 34
8.2.1. Conceito 34
8.3. Gesto de Terceiros 35
8.3.1. Conceito 35
8.3.2. Boas Prticas em Gesto de Terceiros 36
9. Inteligncia de Negcio 39
9.1. Conceito 39
9.2. Boas Prticas em BI 40
10. Tendncias e Inovaes 41
10.1. Conceito 41
10.2. Cloud Computing, Mobilidade e Mdias Sociais 41
10.3. BYOD (Bring Your Own Device) 43
10.4. BIG DATA 44
10.5. Prospeco de Novas Tecnologias 45
11. Convenes, Definies e Referncias 46
11.1. Convenes 46
11.2. Definies 46
11.3. Referncias 47
11.4. Publicaes 47
12. Comisso Tcnica Nacional de Tecnologia da Informao 48
Apresentao
A Comisso Tcnica Nacional de Tecnologia da Informao da ABRAPP
foi criada em 2009 e conta com a participao de representantes de diversas entidades
de Previdncia Complementar, visando promover debates sobre os principais temas de
interesse das entidades associadas da ABRAPP, no que tange Tecnologia da Informao.
A Comisso desenvolveu e lanou no ano de 2012 o MAPTI (Mapeamento de Tecnologia da

Informao), um portal de pesquisa com o intuito de promover a disseminao de ideias e
o compartilhamento de solues de TI. As entidades podero obter nesse banco de dados
referncias de outras associadas, com estrutura semelhante sua, que j tenha trilhado
caminho com sucesso no segmento, impulsionando novos projetos.
Em linha com esse propsito, a Comisso apresenta s EFPCs o Manual de Boas Prticas
em Tecnologia da Informao com o objetivo de:
Apoiar os executivos e os profissionais de nveis de liderana de TI na definio de

sua estratgia, operacionalizao dos seus processos, na organizao da sua estrutura
e do modelo de gesto, na concepo dos seus controles e na melhor forma de prover
seus servios;
Apresentar as boas prticas de governana em TI, modelos de referncia de mercado

e de aes de TI no segmento, para uma gesto eficaz da rea;
Facilitar a interao/alinhamento entre a rea de TI e as demais reas de negcio na

tomada de deciso, com relao ao melhor caminho a ser seguido por TI para atender
a estratgia de negcio e os resultados esperados pela entidade;
Apresentar recursos, componentes, ferramentas, mtodos e tendncias para apoiar

os profissionais de TI, dos diversos nveis e funes na entidade.
Os tpicos deste manual foram escolhidos com base nas principais necessidades estratgi-
cas, tticas e operacionais de TI, visando atender aos diversos nveis de complexidade das
Entidades Fechadas de Previdncia Complementar e garantir o atendimento Resoluo
CGPC N 13 da PREVIC (As entidades fechadas de previdncia complementar - EFPC
devem adotar princpios, regras e prticas de governana, gesto e controles internos
adequados ao porte, complexidade e riscos inerentes aos planos de benefcios por elas
operados, de modo a assegurar o pleno cumprimento de seus objetivos).
CTNTI - Comisso Tcnica Nacional de Tecnologia da Informao
5
1. Alinhamento Estratgico de TI ao Negcio
1.1. TI Agregando Valor ao Negcio
A Tecnologia da Informao (TI) tem um papel importante na viabilizao das estratgias
de negcio das EFPCs por meio das inovaes, lanamentos de produtos e servios, no
estreitamento das relaes com participantes, assistidos, patrocinadora(s) e agentes ex-
ternos, com o advento de ambientes mais colaborativos. Desta forma, o gestor de TI deve
apoiar no planejamento estratgico e na integrao do mesmo com o Plano Diretor de TI.
Em pesquisa recente com mais de 1000 CEOs de diversos segmentos de negcio, ficou evi-
denciado que o gestor de TI deve ser reconhecido como um dos lderes na busca de inova-
o e atuar como executivo de negcio. Para alcanar esse patamar e agregar maior valor,
o gestor dever levar TI um grau de maturidade adequado s necessidades da entidade.
Vejamos abaixo um retrato apresentado pelo MAPTI sobre os focos atuais do gestor de TI
nas Entidades:
Grco de Planejamento Estratgico
feita uma previso oramentria pela rea de TI 60
Planejamento estratgico ou plano diretor de inform;ca 32
Comit de TI ins;tucional com a par;cipao de outras 15

empresas da rea
Nenhum 7
Outros 7
Patrocinadora 1
0 20 40 60 80
Fonte: MAPTI-ABRAPP
As entidades devem fazer uma autoavaliao de TI e elaborar um plano de evoluo do

seu grau de maturidade, visando atender cada vez melhor ao negcio. A matriz ao lado
demonstra o grau de maturidade de TI e critrios de avaliao, considerando alguns que-
6
Alinhamento Estratgico de TI ao Negcio
sitos fundamentais, onde as diversas entidades do segmento de previdncia complementar

podem se apoiar:
Matriz de Grau de Maturidade de TI das Entidades Fechadas de Previdncia Complementar
Quesitos Grau de Maturidade

Avaliados Reativa Proativa Servios Valor
Possui um
Alinhado Alinhado
Pdti Trata demandas e plano diretor
estratgia da intelingncia
Plano Diretor de TI projetos isolados de informtica
empresa empresarial
estruturado
Possui alguns
Possui todos os Possui um modelo
processos crticos
processos crticos implementado
Possui controles de governana de
de governana de TI de TI, baseado
de TI e alguns TI implementados
implementados com em modelos de
processos isolados, e monitorados
base nos preceitos referncia, com
Governana tais como: help considerando a
dos modelos de ferramentas
de TI desk e controle necessidade de
referncia e com sistmicas de
de inventrio atendimento ao
monitoramento do monitoramento
de Hardware e negcio e alguns
desempenho de TI do desempenho,
Software ANS (Acordos de
atravs de alguns ANS e processo de
Nvel de Servio)
indicadores ANS melhoria contnua
estabelecidos
Sistemas
integrados
apoiando
Sistemas de
Sistemas de estrategicamente
Informao com Sistemas de
informao com o negcio, com
bom nvel de Informao que
baixo nvel de tecnologias
integrao de dados suportem, de
Sistemas de atendimento agregadas para
e atendimento maneira integrada,
Informao funcional e de um ambiente
funcional e com toda a cadeia de
integrao e colaborativo e
nvel razovel valor e processos da
ainda com muitos relacionamento
de processos empresa
processos manuais com participantes,
automatizados
assistidos,
patrocinadoras e
colaboradores
Otimizada e
Otimizada e
Elementar e integrada s
Adequada, mas no alinhada s
Infraestrutura normalmente necessidades
otimizada necessidades
insuficiente estratgicas e de
estratgicas
inovao
Efetua uma gesto Possui um modelo
Possui poltica de risco efetiva, de gesto de
de segurana alinhada as riscos alinhado s
Alguma regras da informao e boas prticas de boas prticas de
Risco e
definidas, mas sem garante controles e mercado, possui mercado com os
Segurana
controle adequado acompanhamentos disaster recovery riscos mapeados
necessrios para plan e plano de e mitigados e
sua aplicao continuidade de ferramentas de
negcio gesto
Fonte: Insight Consulting
mnimo satisfatrio
bom
excelente
7
1.2. TI Suportando a Cadeia de Valor do Negcio

A TI deve suportar todos os processos da cadeia de valor de negcio da entidade, de forma
integrada, atendendo aos requisitos crticos e com maior aderncia possvel. Apresentamos
a seguir uma cadeia de valor do segmento de Previdncia Complementar. Esta cadeia sofre
variaes de acordo com as especificidades de cada entidade (exemplo: emprstimo em
algumas entidades est dentro de Seguridade e em outras, em Investimentos).
Processos de Gesto
Gesto do Gesto de
Planejamento Governana
Desempenho Riscos e Auditoria
Estratgico Corporativa
Empresarial Conformidade
Processos de Negcio
Gerir Relacionamento Seguridade Atuarial Investimentos
Relacionamento Adeso e Estudo de planos, Definio estratgica

patrocinadora movimentao carteira e leis investimento
Marketing
Relacionamento Comunicao e Estudo de ndices, Seleo / Realizao
participante Arrecadao de Investimentos
desenvolvimento tendncias
de novos
Relacionamento Benefcios Informaes de
Mercados Emprstimos
assistido gesto atuariais
Relacionamento Gesto de Ativos

instituies
Processos de Apoio
Gesto de recursos
Processos Jurdicos Gesto de Pessoas
tecnolgicos e telecom
Gesto financeira, caixa Gesto de Administrao Patrimonial

e tesouraria Processos e de Servios
Gesto de Planejamento,
Controle e
custos e informaes Suprimentos
contbil
gerenciais
Para que TI possa suportar, adequadamente, a Cadeia de Valor da Entidade e implemen-

tar, da forma mais assertiva possvel, as melhores solues tecnolgicas disponveis no
mercado, necessrio que o grau de maturidade da Entidade, com relao ao modelo de
processos de negcio adotado, seja compatvel. Se avaliarmos este conceito sob a pers-
pectiva do grau de complexidade requerido pela Entidade para a TI, podemos adotar o
seguinte critrio:
8
Matriz de avaliao da maturidade de Processos para alinhamento com TI

Baixa complexidade Mdia complexidade Alta complexidade
Quesito
Aceitvel Desejvel Aceitvel Desejvel Aceitvel Desejvel
Modelo de
Todos os Todos os
processos
processos processos
orientando
de negcio de negcio
sistemas.
e de suporte e de suporte
Alguns Processos Processos Governana
definidos / definidos /
processos pricinpais principais de Processos
estruturados, estruturados,
de negcio de suporte e de suporte e instituda
refletidos refletidos
definidos sem de negcio de negcio na Entidade
Processos no modelo no modelo
um padro definidos e definidos e com Melhoria
da sistmico com sistmico com
adequado e estruturados estruturados Contnua dos
Entidade integraes. integraes.
no refletido com base em com base em mesmos e
Donos de Donos de
adequadamente referncias e referncias e cultura de
Processos Processos
no modelo de metodologias metodologias processos
definidos definidos
sistemas de TI de mercado de mercado estabelecida.
e uso de e uso de
Processos
ferramentas de ferramentas de
apoiando a
documentao documentao
Gesto do
de processos de processos
Conhecimento
E para garantir uma cobertura adequada aos processos de negcio, a TI dever disponibilizar
um modelo sistmico, conforme tabela abaixo, que apresenta a classificao de acordo com
o grau de necessidade para suportar os processos de negcio e de suporte:
Grupo Macro Processo Essencial Importante Desejvel

Gesto de Desempenho Painel de Gesto de Portal de Informaes Sistema de Informaes
Empresarial Indicadores Gerenciais Gerenciais
Ferramenta de
Planejamento Estratgico Planilhas Planilhas
Processo de Gesto
Planejamento
Sistema/Ferramenta que
Planilhas e Documentos Planilhas e Documentos
Governana Corporativa suporte a Governana
de Controle de Controle
Corporativa
Planilhas e Documentos Sistema ou Ferramenta Sistema ou Ferramenta
Gesto de Riscos
de Controle de Risco e Compliance de Risco e Compliance
ERP contendo Mdulo de
Planilhas e Documentos ERP contendo Mdulo de
Auditoria Auditoria ou Ferramenta
de Controle Auditoria
de Controle
9
Macro Processo Essencial Importante Desejvel

CRM, Portal, Mdias
Gerir Relacionamento Portal de Relacionamento Portal, Mdias Sociais
Sociais e Mobilidade
Marketing, Comunicao
CRM, Mdias Sociais,
e Desenvolvimento de Portal de Relacionamento Portais e Internet
Portais e Intranet
Novos Negcios
Sistema contendo
mdulos de cadastros, Sistema integrado
ERP contendo mdulo de
seguridade, arrecadao, contendo mdulos de
Processos de Negcio
cadastros, seguridade,
Seguridade benefcios, planos de cadastros, seguridade,
arrecadao, benefcios,
sade, etc arrecadao, benefcios,
planos de sade, etc
integrado a outros planos de sade, etc
processos
Sistema contendo mdulo
Sistema integrado com ERP contendo mdulo
Atuarial atuarial integrado a
mdulo atuarial atuarial
outros processos
Sistema contendo
Sistema contendo
mdulo de investimentos, ERP contendo mdulo
mdulo de
gesto de carteira de de investimentos,
investimentos,
aplicaes, de liquidez gesto de carteira de
gesto de carteira de
e risco, investimentos aplicaes, de liquidez
Investimentos aplicaes, de liquidez
e imobilirios, anlise e risco, investimentos
e risco, investimentos
de rentabilidade, e imobilirios, anlise
e imobilirios, anlise
emprstimos, etc de rentabilidade,
de rentabilidade,
integrados a outros emprstimos, etc
emprstimos, etc
processos
10
Macro Processo Essencial Importante Desejvel

Planilhas e documentos Sistema de controle de Sistema de controle de
Jurdico
de controle processos judciais processos judciais
Sistemas contendo Sistemas integrados ERP contendo mdulos
mdulos principais de contendo mdulos principais: contas a
Gesto Financeira, Caixa e
contas a pagar, contas a principais de contas a pagar, contas a receber,
Tesouraria
receber, tesouraria, fluxo pagar, contas a receber, tesouraria e fluxo de
de caixa tesouraria, fluxo de caixa caixa
Sistema integrado
ERP contendo ERP contendo
contendo mdulos
mdulos principais de mdulos principais de
Gesto Contbil principais de
contabilidade e gesto contabilidade e gesto
contabilidade e gesto
fiscal fiscal
fiscal
Sistema de gesto de
ativos de TI (Hardware
Processos de Suporte
Sistema de gesto de
e Software) - IT Asset
Gesto de Recursos Planilhas e documentos ativos de TI - IT Asset
Management - Sistema
Tecnolgicos e Telecom de controle Management, Sistema de
de controles de Service
controle de Help Desk
Desk, Gesto de
Demandas de TI
Sistema ou ferramenta
Ferramenta de
Planilhas e documentos de processo (BPM,
Gesto de Processos controle de processos e
de controle BPMS), Workflow, ECM
documentos
ou EGD
ERP contendo ERP contendo
ERP contendo mdulos principais de mdulos principais de
mdulos principais de folha de pagamento, folha de pagamento,
Gesto de Pessoas
folha de pagamento, administrao de administrao de
administrao de pessoas pessoas e Recursos pessoas e Gesto de
Humanos Recursos Humanos
ERP contendo mdulos
Administrao Planilhas e documentos Sistema para controle de
principais de ativo e
Patrimonial e Servios de controle ativo mobilizado
manuteno
Sistema contendo Sistema contendo
ERP contendo mdulos
mdulos principais de mdulos principais de
Suprimentos principais de compras,
compras, contratos e compras, contratos e
contratos e estoque
estoque estoque
Nota: A nomenclatura ERP conhecida no mercado como pacote de sistema integrado de gesto.
Estes pacotes so fornecidos por uma empresa externa (softwarehouse). Entretanto, se a rea de TI da
entidade adota a abordagem de desenvolvimento de sistemas internos, estes podero ter caracters-
ticas e conceitos similares a de um ERP, considerando principalmente o quanto estes so orientados
aos processos de negcios da entidade e se o grau de integrao entre os mdulos so satisfatrios.
11
2. Planejamento Estratgico de TI
O Planejamento Estratgico de TI (PETI), tambm conhecido como Plano Diretor de TI
(PDTI) deve ser elaborado com base no alinhamento ao Planejamento Estratgico da enti-
dade. O PDTI busca orientar a instituio quanto maneira certa de utilizar a Tecnologia
da Informao, sendo esta orientao sempre pautada nos critrios de Governana de TI,
ou seja, contemplando inovaes tecnolgicas voltadas para o negcio.
Estratgias do Negcio Estratgias de TI
Necessidades e Ambiente
Desafios do Negcio - Requerimentos de Alvo de
Externos e Internos Tecnologia da Tecnologia da
Informao Informao
O Planejamento Estratgico de TI deve responder as principais questes chave:

Componentes de Principais questes estratgicas a serem respondidas pelo PDTI para
Anlise alinhar com o Planejamento Estratgico da Entidade
Que impactos e consequncias o atual ambiente traz ou pode trazer sobre a

organizao e seus negcios? Qual o modelo futuro mais aderente?
Quais softwares de gesto (2 ou 3) so os mais recomendados para a
organizao?
reas de Negcio Quais as melhores prticas de sistemas aplcaveis organizao,

considerando as solues disponveis e aplicadas com sucesso a outras
organizaes compraveis?
Qual a dimenso dos investimentos necessrios para serem procedidas as
mudanas?
Quais os problemas que existem hoje no ambiente de sistemas?
As necessidades do negcio esto sendo bem atendidas?

As funcionalidades dos sistemas em uso atendem s exigncias legais ou
Sistemas e Aplicaes colocam a organizao sob algum tipo de risco contigencial?
O que fazer com os sistemas atuais: migrar para outro ambiente,
descontinu-los ou mant-los?
A estrutura organizacional da rea de informtica adequada? Adaptar-

Estrutua se-ia s mudanas necessrias (significativas e desafiantes)? Seria capaz de
Organizacional da trabalhar na implementao das mesmas?
rea de TI O corpo gerencial da empresa est preparado ou tem potencial de preparar-
se para o novo ambiente tecnolgico?
Tecnologia Que rumo de tecnologia da informao deve ser seguido pela organizao?
Que solues devem ser utilizadas? Que inovaes podem ser aplicadas?
12
plano estratgico de ti
E o alinhamento entre a estratgia corporativa da entidade e o Plano Estratgico de TI

acontece quando identificamos os gaps existentes entre a situao atual (da entidade e
da TI da entidade) + as necessidades futuras de TI para cumprir as premissas do negcio
no futuro. O tratamento destes gaps dever minimamente considerar: o grau de aderncia
da TI ao negcio, o nvel de satisfao dos usurios, a capacitao tcnica dos recursos de
TI e a necessidade de adoo de novas tecnologias. A figura abaixo ilustra esta abordagem:
Estratgia Planejamento Estratgico de
Empresarial Tecnologia Informao
Requisitos de
Caractersticas Negcio,
Mercadolgicas Estrutura Organizacional
do Negcio
Organizacionais Processos de TI
e Funcionais Sistemas Operacionais
Diretrizes
Linguagem de Programao
Estratgicas Rede de Dados
Sistemas de Informao
Banco de Dados
Melhores Prticas Hardware
Soware de Apoio
Concorrncia Internet / Intranet
Requisitos de Telecomunicao
Arquitetura, Capacitao
Oportunidades
Tecnologia e
Capacitao
Quando consideramos os estgios de maturidade do alinhamento das atividades entre TI

e o negcio da entidade, como um todo, percebemos que:
Quanto menor a maturidade, mais precrios e no integrados so os sistemas de
informao. A arquitetura tecnolgica no atende da forma correta e a gesto e atuao
dos lderes de negcio e de TI no correspondem s reais necessidades dos investimentos
e aquisies de TI;
Quanto maior a maturidade, mais integrados e orientados a processos so os sistemas
de informao. A arquitetura tecnolgica atende com boa relao custo/benefcio e o
papel dos lderes de negcio e de TI funcionam em parceria, com a tomada de deciso
em comprometimento mtuo e objetivos comuns.
2.1. Boas Prticas em Planejamento Estratgico de TI

Realizar a cada 03 anos e revisar anualmente;
Deve ser elaborado e aprovado antes do oramento de TI;
Deve ser discutido e alinhado com os executivos da rea de negcio antes da sua aprovao;
Considerar a estratgia de negcio como diretriz fundamental para elaborao/reviso;
Considerar arquitetura de TI, sistemas de informao, infra, gesto de riscos, gesto
de continuidade dos negcios, servios, terceirizaes, etc;
Considerar critrios de priorizao dos projetos estratgicos de TI alinhados aos dire-
cionadores estratgicos, necessidades de controle e de compliance;
Desdobrar o plano em projetos e prioridades.
13
3. Governana de TI
3.1. Conceito
O Modelo de Governana da Tecnologia da Informao define padres de processos, pol-
ticas, regras, papis e responsabilidades para controlar a formulao e implementao da
estratgia de TI e assegurar o alinhamento entre negcios e TI.
3.2. Principais Norteadores

Os gestores de TI precisam garantir os seguintes aspectos com a implementao da
Governana de TI:
Alinhamento
Estratgia do
Negcio
Entrega de
Valor e Suporte ao
Qualidade dos Negcio
Servios
Governana de TI
Disponibilidade Gesto de
dos Servios Riscos
Gesto dos
Recursos de TI
1. Alinhamento Estratgia do Negcio Refletir a estratgia do negcio no modelo

mais eficiente e eficaz de gesto de TI.
2. Suporte ao Negcio Identificar as necessidades e oportunidades para aplicao de

solues de TI na entidade.
3. Gesto de Riscos Os controles de riscos de TI formam uma parte essencial na gesto

de tecnologia da informao das entidades.
4. Gesto de Recursos de TI Otimizao dos investimentos e dos recursos de TI.
5. Disponibilidade dos Servios de TI Disponibilizao, monitoramento e mensurao

dos servios oferecidos pela rea de TI.
6. Entrega de Valor e Qualidade dos Servios Projetos e servios de TI entregues,

priorizados de acordo com a estratgia de negcio, e dentro dos prazos e qualidade necessrios
para a entidade.
14
governana de TI
3.3. Boas Prticas em Governana de TI

3.3.1. Oramento de TI
De uma maneira geral, as boas prticas de Governana de TI nos leva a utilizar o conceito
de Oramento de TI, com as seguintes caractersticas:
Possuir oramento de investimentos e de custeio;

Elaborar, discutir e aprovar com as reas de negcio o oramento de TI;
Definir e priorizar os projetos de TI, de acordo com a estratgia de negcio;
Garantir que o oramento atenda a todas as reas da entidade;
Estimar custos de manuteno e renovao do parque tecnolgico;
Acompanhamento efetivo da realizao do oramento.
Se avaliarmos este conceito sob a perspectiva do grau de complexidade requerido pela

entidade para a rea de TI, podemos adotar o seguinte critrio:
Matriz de Avaliao da Evoluo do Uso de Oramento de TI na Entidade

Quesito
Oramento Oramento Oramento
Oramento Oramento Oramento de custos e de de custos e de de custos e
de custos e de custos e de de custos e de investimentos investimentos investimentos
de projetos investimentos investimentos de TI com de TI com de TI alinhados
emergenciais, com base no com base no alinhamento alinhamento com as reas
Oramento
com histrico e histrico e ponta a ponta a de negcio e
de TI
alinhamento demandas e demandas e ponta com a ponta com a otimizao do
reativo aos alinhamento alinhamento estratgia e estratgia e uso de recursos
projetos com os projetos com os projetos premissas de premissas de e de gerao
corporativos corporativos corporativos negcios da negcios da de valor para o
entidade entidade mesmo
3.3.2. Comit de TI
De uma maneira geral, as boas prticas de Governana de TI nos leva a utilizar o conceito
de Comit de TI, com as seguintes caractersticas:
Criar um comit de TI com a participao dos executivos das reas de negcio para
garantir que os projetos e oramento de TI estejam alinhados estratgia de negcio
da entidade;
O comit de TI deve atuar como facilitador nas tomadas de deciso, das priorizaes
e na utilizao dos recursos;
O comit deve reunir-se, periodicamente, para acompanhamento dos principais projetos
de TI e repriorizao das demandas e dos projetos.
15
gOveRnAnA de tI
Se avaliarmos este conceito sob a perspectiva do grau de complexidade requerido pela

Entidade para a rea de TI, podemos adotar o seguinte critrio:
Matriz de Avaliao da Evoluo do Uso de Comit de TI na Entidade
Quesito
Comit de TI
garante que
o oramento
Reunies Reunies de projetos
Gestor de do Comit Comit de TI do Comit de TI estejam
TI coordena de TI com a institucionalizado de TI com a alinhados com
reunies com participao garante que participao a estratgia
executivos dos executivos os projetos dos executivos corporativa
Comit
No possuir das reas das reas de TI estejam das reas da Entidade
de TI
de negcio de negcio e alinhados com de negcio e e reunir-se,
para discutir suporte para a estratgia suporte para periodicamente,
projetos e discutir o corporativa da discutir o para
prioridades oramento entidade oramento acompanhar
de TI de TI os principais
projetos de TI
e repriorizar
demandas
3.3.3. Processos de TI
Para uma boa Governana de TI fundamental que a rea de Tecnologia da Informao
possua processos implementados com base em modelos de referncia de mercado, tais
como: COBIT (Control Objectives for Information and Related Technology), ITIL (Infor-
mation Technology Infrastructure Library) e outros.
Vejamos abaixo um retrato apresentado pelo MAPTI sobre os padres utilizados pelas entidades:
Grco de Padres Adotados
Nenhum 43
Outros 16
ITIL 14
PMBok 10
COBIT 7
CMMI 3
Patrocinadora 2
0 10 20 30 40 50
Fonte: MAPTI - ABRAPP
16
governana de TI
A tabela abaixo demonstra os principais processos e sua classificao de importncia

para suportar o modelo de Governana de TI:
Grupo Processo Classificao

Gerenciamento de Estratgia para Servios de TI Desejvel
Gerenciamento de Demanda Essencial
Estratgia de
Gerenciamento do Portflio de Servios Essencial
Servio
Gesto do Relacionamento com o Negcio Desejvel
Gerenciamento Financeiro para Servios de TI Essencial
Coordenao de Desenho Desejvel
Gerenciamento do Catlogo de Servios Essencial
Gerenciamento de Nvel de Servio Importante
Desenho do Gerenciamento de Fornecedores Essencial

Servio Gerenciamento de Disponibilidade Essencial
Gerenciamento de Capacidade Essencial
Gerenciamento de Continuidade de Servios de TI Essencial
Gerenciamento de Segurana da Informao Essencial
Planejamento e Suporte Transio Desejvel
Gerenciamento de Configurao e Ativos de Servio Importante
Gerenciamento de Mudanas Essencial
Transio do
Avaliao de Mudanas Essencial
Servio
Gerenciamento de Liberao e Implantao Importante
Validao e Teste de Servio Essencial
Gerenciamento de Conhecimento Importante
Gerenciamento de Eventos Essencial
Gerenciamento de Incidentes Essencial
Operao do
Gerenciamento de Problemas Essencial
Servio
Gerenciamento de Requisio Importante
Gerenciamento de Acesso Essencial
Fonte: ITIL v3 e classificao Insight Consulting
3.3.4. Avaliao de Performance de TI

Possuir acordos de nveis de servios com as reas de negcio e fornecedores;
Possuir ferramentas, processos e indicadores de desempenho para mensurar os nveis
dos atendimentos, servios e entregas de TI;
Projetos importantes e crticos devero ter um PMO ou gerente de projeto para garantir
sua correta implementao.
17
4. Sistemas de Informao
4.1. Conceito
Um sistema de informao (SI) pode ser definido como um conjunto de componentes,
interrelacionados, trabalhando juntos para coletar, recuperar, processar, armazenar, ana-
lisar e distribuir informaes com a finalidade de facilitar o planejamento, o controle, a
coordenao, a anlise e o processo decisrio nas organizaes. Aqueles baseados em
computador so os que usam a tecnologia de computador para realizar algumas (ou todas)
as tarefas pretendidas.
Para que atendam aos objetivos nas organizaes, os sistemas de informao devem
obter as informaes corretas das pessoas certas na hora certa na medida certa
e no formato correto. Desta forma, um dos primeiros objetivos do sistema de informa-
o transformar dados em informao e conhecimento. Torna-se, ento, fundamental
examinarmos os seguintes conceitos:
Dados referem-se a uma descrio de coisas elementares,

eventos, atividades e transaes que so gravadas,
classificadas e armazenadas, mas no so para transmitir um
significado especfico.
Informao refere-se aos dados que tenham sido

organizados e que tem um significado e um valor para o
destinatrio.
Conhecimento consiste no dado e/ou informao que tenha

sido organizado e processado para transmitir o
entendimento, experincia, aprendizado acumulado, os quais
so aplicados a um problema de negcio especfico.
O dado, por definio, um dos componentes fundamentais dos sistemas de informao

e todas as organizaes, por menor que sejam, possuem quantidades cada vez maiores de
dados e informaes a armazenar. Todavia, a manipulao destas informaes se tornou
impossvel de ser realizada manualmente, pois sua utilizao alm de demorada pass-
vel de erros, principalmente, ocasionados pela constante atuao humana para conseguir
resgatar informaes solicitadas. Surgiu ento, o Sistema de Gerenciamento de Banco
de Dados (SGBD) - do ingls Data Base Management System (DBMS), que o conjunto de
18
SISteMAS de InfORMAO
programas de computador (softwares) responsveis pelo gerenciamento de uma base de

dados. Seu principal objetivo retirar da aplicao cliente a responsabilidade de gerenciar
o acesso, a manipulao, a integridade e a organizao dos dados. O SGBD disponibiliza
uma interface para que seus clientes possam incluir, excluir, alterar ou consultar dados
previamente armazenados.
Vejamos abaixo um retrato apresentado pelo MAPTI sobre os SGBDs que so utilizados
pelas Entidades:
Banco de Dados
ADABAS 1
Ingres 1
Patrocinadora 2
Paradox 2
Postgress 3
Progress 4
DB2 6
MYSQL 11
Outros 15
Oracle 39
MS SQL 57
SERVER
0 10 20 30 40 50 60
Conforme j descrito no item 1.2 deste documento, a TI (por meio dos sistemas de infor-
mao) deve suportar todos os processos da cadeia de valor de negcio da organizao, de
forma integrada, atendendo aos requisitos crticos e com maior aderncia possvel. E para
tal, dever disponibilizar um modelo sistmico de acordo com o grau de complexidade da
organizao. Portanto, o processo considerado, tambm, um componente de extrema
importncia na concepo de um sistema.
Como exemplo de sistemas de informao de processo de negcio de previdncia comple-

mentar, podemos destacar: os sistemas de concesso e pagamento de benefcios previden-
cirios e de emprstimos. J, como sistemas de processos de apoio, destacamos: contbil,
recursos humanos e outros.
19
SISteMAS de InfORMAO
Vejamos o que o MAPTI retrata considerando a existncia de sistemas de informao, nas

diversas entidades associadas, para suportar os processos de negcio e de apoio da cadeia
de valor:
Patrocinadora 2
Nenhum 13
Atuarial 15
Jurdico 23
Outros 24
Assistencial 25
Inves?mentos em Imveis 38
Recursos Humanos 42
Inves?mentos em Renda Varivel 51
Inves?mentos em Renda Fixa 52
Emprs?mo 52
Financeiro 57
Previdencirio 59
Contbil 62
0 10 20 30 40 50 60 70
Outros componentes importantes so a Arquitetura e a Infraestrutura de TI, pois fornecem

a base para todos os sistemas de informao na organizao. A arquitetura de TI um
mapa de alto nvel sobre os ativos de informao na empresa. anloga arquitetura
de uma casa, ou seja, um projeto arquitetnico descreve a maneira pela qual a casa ser
construda, incluindo a integrao de seus vrios componentes. Desta forma, mostra como
todos os aspectos de tecnologia da informao dentro de uma empresa se encaixam. J, a
Infraestrutura de TI consiste em plataforma (instalaes fsicas, componentes, redes,
telecomunicaes, software e hardware) e servios de TI (desenvolvimento de sistemas,
segurana e gesto de dados) que prestam suporte para toda a organizao.
O componente pessoa uma premissa relevante a ser considerado no sucesso de um

sistema de informao. Pessoas so os indivduos que usam a infraestrutura (hardware e
software), interagem com os sistemas ou utilizam suas sadas.
Resumindo, as boas prticas sugerem que um sistema de informao bem construdo deve
considerar alguns componentes essenciais para obtermos informaes de boa qualidade e
suportar o processo de tomada de decises, conforme a figura ao lado:
20
Dados
Processos Arquitetura
Sistemas de
Informao
Infra Pessoas
Alm destes componentes, a metodologia a ser utilizada no desenvolvimento e na implan-

tao do sistema fundamental para que os usurios (na entidade) reconheam o sucesso
do projeto aps a operacionalizao do mesmo, em especial no atendimento as expectativas
e resultados esperados. Basicamente, uma metodologia dever conter as seguintes grandes
fases no ciclo de desenvolvimento:
Definio dos requerimentos do negcio

ANLISE O que o sistema dever fazer?
Traduo dos requerimentos de negcio em especificaes tcnicas

DESENHO Como o sistema trabalhar?
Construo do sistema
CONSTRUO Programao dos aplicativos e testes
Entrega
IMPLEMENTAO Sistema em operao
Para a qualidade dos sistemas de informao, em tempo de implementao, muito im-

portante, dentre outras aes:
ter um bom cadastro, o que resultar no sucesso da gesto da base de dados e de

conhecimento;
21
envolver os usurios que possuam melhor domnio dos processos da entidade;

realizar a fase de testes unitrios e integrados, que precede a implantao do sistema, de
forma precisa e com ateno especial da equipe, pois ela determinante para que a entrada
em produo seja feita com o mnimo impacto possvel.
4.2. Principais Benefcios

De uma maneira geral, podemos destacar alguns principais benefcios que aferimos quando
utilizamos um sistema de informao (SI) de boa qualidade e bem implementado:
Automatizao dos processos da cadeia de valor do negcio;

Melhoria nos controles;
Minimizao de riscos atravs de reduo de falhas humanas e fraudes;
Otimizao do fluxo de informao permitindo maior agilidade e apoio na tomada de decises;
Reduo de custos operacionais e administrativos;
Aumento da produtividade dos processos na entidade;
Acesso rpido a enormes quantidades de informao em qualquer lugar;
Maior integridade, estabilidade e veracidade da informao;
Maior segurana de acesso.
4.3. Principais Categorias de Sistemas de Informao

Os sistemas de informao podem ser categorizados de acordo com algumas dimenses e dire-
cionadores. Uma das formas de categorizar os sistemas atravs da tecnologia utilizada, a saber:
Mainframes (centralizados e de grande porte);

Departamentais (distribudos);
Corporativos em redes ;
Pacotes Integrados (ERP, CRM, SCM ) - Transacionais;
Dimensionais;
Web enabled.
Neste manual detalhamos sobre os Pacotes Integrados, uma vez que esta tecnologia de sis-
temas a mais difundida, atualmente, nas organizaes nos diversos segmentos de negcio.
Nesse sentido, destacamos o ERP (Sistema Integrado de Planejamento de Recursos), que

um sistema transacional orientado aos processos de negcio, baseado em srie de boas
prticas associadas, e que suporta a cadeia de valor. O ERP integrado e possibilita um fluxo
de informao nico, contnuo e consistente por toda a organizao. Normalmente, possui
uma arquitetura tecnolgica aberta, ou seja, permite operar com vrias possibilidades de
hardware, banco de dados e software bsicos.
Da mesma forma que o ERP, os pacotes de CRM e SCM visam atender aos processos da ca-
deia de valor do negcio, entretanto, o foco destes pacotes para o ciclo de relacionamento
com clientes e gesto da cadeia de suprimentos, respectivamente.
22
4.4. Boas Prticas em Sistema da Informao

A construo e/ou aquisio de um sistema de informao para uma entidade fechada de
previdncia complementar passa por uma srie de premissas, regras, processos e procedimen-
tos que se diferenciam entre as fundaes de acordo com o processo de tomada de deciso.
O apoio da diretoria para patrocinar os sistemas de informao muito importante para os
projetos da Instituio.
As boas prticas de gesto dos sistemas nos direcionam, tambm, a implantar e acompa-
nhar alguns indicadores de desempenho, tais como: produtividade, qualidade, satisfao
dos clientes, prazos de entrega e outros. Estes indicadores de medio contribuem para a
tomada de deciso e para aes de mudanas embasadas nos critrios estabelecidos.
Alm disto, importante que estejam claras as definies quanto aos sistemas de informao
e a forma de implementao dos mesmos, ou seja: se desenvolvimento prprio, terceirizado ou
de prateleira. A opo por desenvolvimento prprio ou contratao de um sistema existente
no mercado deve ser bem avaliada, levando-se em considerao: oramento, necessidade
de contratao de mo de obra, prazos, implementao, e manuteno ps-implementao.
Deve-se atentar, no caso de aquisio de sistemas de terceiros (pacotes ou especficos), que
os responsveis pela elaborao e gesto de contrato com o terceiro devem incluir clusulas
especficas de Acordo de Nvel de Servio SLA (Service Level Agreement) e os tipos de inter-
veno corretiva, evolutiva e legal devem estar bem definidos, alm de penalidades cabveis.
Para a aquisio de pacotes integrados (como o ERP), as boas prticas e as lies aprendidas
tratam aspectos relevantes que as entidades devem considerar para aquisio e implemen-
tao desta tecnologia de sistemas, conforme a figura abaixo:
Principais Vantagens Principais Preocupaes
Viso por processo; Ter apenas viso funcional e no processual;

Incorporao de boas prticas; Investimentos: nova arquitetura e infra de TI;
Integrao, confiabilidade e acesso s informaes; Resistncias s mudanas;
Aumento da sinergia entre as reas de negcio; Possveis mudanas no modelo de gesto;
Utilizao de tecnologias de ponta; Disponibilizao de recursos;
Melhoria contnua do sistema pelo fornecedor. No se tem o melhor sistema especialista em cada funo;
Complexidade na implementao.
Soluo
ERP
Para liberar as diversas reas na entidade a se Selecionar o ERP e o fornecedor com a metodologia
concentrarem em atividades fins do negcio; estruturada e comprovada, avaliando riscos;
Para viabilizar as principais mudanas nos processos Ter foco nos processos da entidade e no apenas no
de negcios, sobretudo, na integrao destes; produto (sistema);
Para reduzir custos (eliminao de retrabalho, controles Implementar com metodologias consagradas em gesto
manuais e paralelos e aumento do nvel de controle); integrada de projetos e gesto de mudanas;
Para incorporar boas prticas de mercado nas Obter comprometimento e patrocnio da diretoria;
funcionalidades do sistema. Envolver, efetivamente, os clientes internos (usurios)
na implementao do sistema.
Quando se deve adotar O que fazer para no dar errado

23
5. Infraestrutura de TI
Conhecimento e informao so reconhecidos, atualmente, como dois dos mais impor-
tantes recursos gerenciados por uma organizao (incluindo as entidades de previdncia
complementar fechada). Sendo assim, a dependncia da rea de TI vem crescendo a cada
dia, pois esta responsvel por tornar disponvel a infraestrutura tecnolgica para a coleta,
anlise e divulgao da informao, bem como para o armazenamento do conhecimento
produzido pelos integrantes da organizao. A infraestrutura de TI corresponde a todas
as instalaes fsicas, componentes de tecnologias de hardware e software e recursos de
telecomunicao que suportam os processos operacionais das entidades.
Hoje em dia, o gerenciamento da infraestrutura passou a ser uma das prioridades de TI,
no s para garantir o alinhamento com as necessidades do negcio, mas, sobretudo para
controlar o seu custo. Por isto, foram realizados investimentos medida que ocorria o
aumento da complexidade tecnolgica e da dependncia do negcio com a TI, conforme
grfico abaixo:
Dependncia do Negcio
2000 - servios
1990 - sistemas distribudos
1980 - redes
1970 - sistemas
1960 - sem gerenciamento

Gerenciamento de TI
Fonte: ICT Infrastructure Management - OGC
Para que se possa disponibilizar a infraestrutura de TI adequada s necessidades da enti-

dade, a rea de TI deve executar de forma constante as seguintes atividades:
Desenhar: elaborar a arquitetura a ser utilizada para construir a infraestrutura;

Planejar: a aquisio, instalao e disponibilizao dos componentes da infraestrutura tec-
nolgica, bem como dimensionar a capacidade destes em relao s necessidades do negcio;
Implementar: Instalar e disponibilizar os componentes da infraestrutura tecnolgica
em conformidade com o planejamento realizado;
Operar: operar a infraestrutura tecnolgica mantendo-a com desempenho e capacidade
adequados as necessidades do negcio e ao planejamento realizado;
Suportar: Identificar e resolver anormalidades no funcionamento dos componentes e
gerar informaes para o dimensionamento de futuras melhorias/ampliaes.
24
InfRAeStRUtURA de tI
Como desafio, os gestores de TI devem alinhar a disponibilidade dos servios com as neces-
sidades do negcio, reduzindo os custos de manuteno da infraestrutura. Tambm devem
justificar o retorno do investimento da infraestrutura e garantir as polticas de segurana
da informao, atendendo aos requisitos legais e regulamentares.
Recomenda-se definir uma Poltica para renovao do parque tecnolgico da entidade,

elaborar um Plano de Investimento, sempre com ateno a questes como direcionamento
tecnolgico, poltica de renovao do parque tecnolgico, necessidades futuras, inovao,
gesto de custos em TI, prazos, conformidade com requisitos, riscos, projetos e qualidade.
Vejamos abaixo retratos apresentados pelo MAPTI sobre os principais componentes de

infraestrutura de TI que so utilizados pelas entidades:
Grco de Data Center Grco de Redes
Lan (Local) 73
Interno 54
Link dedicado 55
de internet
Patrocinadora 19
Rede sem o 34
Redundncia 29
Terceirizado 9 de link
Wan 23
(Remoto)
Hos/ng 6 Balanceamen 16
to de link
Outros 4
Nenhum 5
Patrocinadora 4
Coloca/on 3
Nenhum 1
0 10 20 30 40 50 60 70 0 20 40 60 80 100
Grco de Sistemas Operacionais Grco de Storage
Windows 80
Nenhum 24
Linux 37
SAN -
"storage area 23
HP-UX 5
network"
Novell 4
NetWare Outros 15
Outros 3
DAS - "direct
access 13
Solaris 3
storage"
IBM AIX 2 NAS -

"network 12
access
Patrocinadora 2
Patrocinadora 3
IBM System I 1
(AS 400)
0 20 40 60 80 100 0 10 20 30
Podemos notar inmeros componentes a serem administrados e controlados. Isto nos

direciona para a importncia de avaliarmos o TCO - Total Cost of Ownership (Custo Total
de Propriedade). A avaliao do TCO importante para priorizar os investimentos na rea
de TI, entender os custos atuais e decidir tecnologicamente de forma vivel.
25
infraestrutura de TI
Surge ento uma questo: como suportar os custos relacionados infra de TI num
cenrio atual em constante mudana e evoluo ?
As ferramentas de anlise do TCO apoiam os gestores de TI a planejar o oramento e

recursos que sero necessrios, identificando oportunidades e satisfazendo as exigncias
da rea de TI e das reas cliente dos seus servios. Como ferramenta de gesto e parte
do planejamento anual da entidade, o TCO se torna um processo contnuo de avaliao,
simulao e melhoria. O impacto dos investimentos na rea de TI e a crescente percepo
do seu custo de propriedade incentivaram o interesse de avaliao.
Torna-se ento fundamental criar uma estrutura ideal, com base na melhoria contnua,
tecnologias disponveis e complexidade atual da entidade, com o desejado no futuro.
5.1. Boas Prticas em Infraestrutura de TI

Possuir redundncia e espelhamento ;
Realizar virtualizao;
Utilizao em nuvem (cloud computing) para reduo de custos e maior disponibilidade
dos recursos de TI;
Acordos de nvel de servios (ANS) para servios realizados por terceiros;
Anlise da melhor alternativa de obteno de componentes de TI (aquisio ou aluguel);
Rotinas de backup e recuperao peridicas;
Monitoramento e controle dos ativos de TI (hardware e software);
Componentes de infraestrutura compatveis e aderentes entre si;
Poltica de renovao do parque tecnolgico;
Poltica de continuidade dos negcios;
Poltica de gesto de riscos e segurana.
26
6. Gesto de Riscos e Segurana da Informao
6.1. Conceito
A Governana Corporativa tem exigido que os principais executivos das organizaes en-
tendam como seus processos de negcio so controlados e quais so os seus riscos. A
administrao dos riscos importante instrumento para o desempenho das organizaes.
Assim, para atender aos desafios e nveis de controle exigidos pelo negcio, TI deve possuir
polticas, processos, estrutura, sistemas e controles que garantam a gesto dos riscos e a
segurana da informao.
A Segurana da Informao trata-se de um sistema de gesto com normas estabelecidas

na ISO/IEC NBR 27001:2006 (Sistema de gesto de segurana da informao requisitos)
e ISO/IEC NBR 27002:2005 (Cdigo de prtica para gesto da segurana da informao).
Para obteno de um Sistema de Gesto da Segurana da Informao (SGSI), necessrio con-

siderar os requisitos do prprio negcio, aliado aos critrios de avaliao de riscos. A partir disto,
devemos selecionar controles de segurana e, periodicamente, avaliar sua eficcia. A aprovao
e o aval da alta direo so imprescindveis para alcanar sucesso. Basicamente, a segurana da
informao garante a confidencialidade (o acesso informao efetuado somente por pessoas
autorizadas), a integridade (a informao armazenada ou em trnsito no ter sido modificada)
e a disponibilidade (a informao seja acessada por pessoas autorizadas quando necessrio).
As normas de segurana da informao tambm definem que um Sistema de Gesto da

Segurana da Informao (SGSI) est alicerado em: processos, tecnologia e pessoas. Estes
recursos esto correlacionados de tal maneira que a falha de um pode comprometer o bom
desempenho de toda a gesto. Ento, pode-se dizer que os processos devem ser mapeados e
analisados no que tange a segurana da informao, a tecnologia aplicada deve considerar a
segurana da informao e as pessoas, que devem ser conhecedoras, conscientes e atentas
a tudo que diz respeito segurana da informao.
Uma Poltica de Segurana da Informao PSI surge com a materializao de todos os

princpios abordados nos pargrafos anteriores, formando um conjunto de regras, normas,
mtodos, procedimentos e padres, que devem ser formalizados pela entidade a todos
os seus integrantes e parceiros. Atravs da ferramenta MAPTI, observamos que todas as
entidades esto preocupadas com esse tema. A pesquisa, por exemplo, mostra que 100%
das entidades pesquisadas possui uma poltica de backup e acesso internet. Observamos
que mais de 80% das entidades tem sua PSI formalizada. Porm, verificou-se tambm, que
menos da metade das entidades pesquisadas possuem Site Backup (alternativo), podendo
comprometer a continuidade das suas operaes em caso de desastres.
27
geStO de RIScOS e SegURAnA dA InfORMAO
Segurana da Informao
Patrocinadora 4
Trilha de auditoria de segurana: Total 6
Outros 6
Possui site backup 27
Trilha de auditoria de segurana: Parcial 36
Possui polHca de controle de acesso ao Datacenter 37
Equipe de PSI prpria ou de terceirizada 39
Plano de conHnuidade de negcios e recuperao 39
Termo de Aceite formal da PSI 41
Campanha de conscienHzao ou divulgao da PSI 41
Procedimento de segurana para entrada de equipamentos 42
Ferramenta de ltragem e controle de mensagens 50
Formalizao da PSI 53
Ferramenta de ltragem e controle de navegao na internet 62
Possui guarda de Backup externo 64
0 10 20 30 40 50 60 70
Outro dado importante extrado do MAPTI so as solues corporativas mais adotadas

pelas entidades. Nota-se que as solues mais adotadas so, exatamente, as relacionadas
segurana da informao.
Solues Corpora.vas
Datamining 2
Patrocinadora 5
Outros 11
Datawarehouse 13
BI (Business Inteligence) 15
Clusterizao de Servidores 18
CRM (Customer Rela-onship Management) 18
Virtualizao 19
GED (Gerenciamento Eletrnico de Documentos) 30
Sistema de Mapeamento 37
Auten-cao 40
Gerenciamento de Impresso 44
Suporte Remoto (SMS, VNC, etc) 45
Gerenciamento de Contedo 48
Inventrio de Hardware 54
An--Spam 69
Firewall 70
Backup 75
Correio Eletrnico (E-mail) 75
An--Vrus 77
0 10 20 30 40 50 60 70 80
28
Gesto de Riscos e Segurana da Informao
A estratgia de Gesto de Riscos e Segurana da Informao deve considerar alguns com-
Viso de segurana e estratgia
Programa de treinamento e disponibilidade

Soluo de Intranet para disseminao
Comprometimento da direo da entidade
Riscos
Processos e das polticas e padres de segurana
Iniciativas de Negcio
Estratgia e Uso Vulnerabilidade e

de Tecnologia Avaliao de Riscos
Polticas Armazena as polticas e padres de segurana
Modelo de Segurana Modelo de avaliao de riscos
Arquitetura de Segurana
e Padres Tecnicos Armazena controles de segurana tcnicos
Procedimentos Administrativos
e de Usurio Final Comunica os procedimentos tcnicos
Processos de Processos de Processos de

Segurana Monitoramento Recuperao
Processos de suporte de TI
Estrutura de gesto de segurana da informao

ponentes, conforme demonstrado na figura a seguir:

Em suma, de quase nada vai adiantar a preocupao em aplicar mtodos e controles, obter
recursos potentes para monitorar e bloquear invases minimizando os riscos s vulnerabi-
lidades, se as pessoas que manipulam as informaes no esto aptas a compreender seu
papel e suas responsabilidades. Basta um clique para levar a riscos e comprometer toda
uma estrutura de gesto.
6.2. Boas Prticas de Gesto de Riscos e Segurana da Informao

Poltica de segurana da informao;
Padres de utilizao de criptografia;
Normas para utilizao do e-mail e acesso Internet;
Normas para utilizao de programas e equipamentos (controle de acesso, autenticao
e autorizao);
Procedimentos para guarda adequada das informaes e backup;
Definio de responsabilidades e permetros de segurana;
Plano de contingncia;
Segurana lgica (polticas de senha, sistemas de autenticao de usurios, programa
de deteco de vrus);
Segurana fsica (acesso de empregados e prestadores de servio), guarda e proteo de
equipamentos, condio das instalaes eltricas, climatizao dos ambientes, dentre outros;
Regras para utilizao de equipamentos, dentro e fora do ambiente de trabalho;
29
Gesto de Riscos e Segurana da Informao
Regras para utilizao de mdias;

Normas sobre a propriedade de programas desenvolvidos por empregados e/ou terceiros;
Normas para comunicao de incidentes;
Regras sobre o monitoramento das informaes no ambiente corporativo;
Regras de descarte (formulrios, software, hardware, mdias, dispositivos mveis etc.);
Matriz de riscos e plano de mitigao com prazos e responsveis;
Treinamento educacional para mudanas de comportamento e conscientizao dos co-
laboradores quanto s questes de segurana da informao.
30
7. Plano de Continuidade de Negcios
7.1. Conceito
O Plano de Continuidade do Negcio PCN consiste num conjunto de estratgias e proce-
dimentos que devem ser adotados para eventualidade da instituio ou uma rea deparar
com problemas que comprometem o andamento normal dos processos e a consequente
prestao dos servios.
Essas estratgias e procedimentos devero minimizar o impacto sofrido diante de situaes

inesperadas, desastres, falhas de segurana, entre outras, at que se retorne normalidade.
O Plano deve conter um conjunto de medidas que combinem aes preventivas e de recu-
perao e tem por objetivo manter a integridade e a disponibilidade dos dados da entidade,
bem como a dos seus servios quando da ocorrncia de situaes fortuitas que comprome-
tam o bom andamento dos negcios, (vide figura de modelo PCN embasado em pilares):
s
Re
io
cu
c
pe
eg
Negcio
ra
de
o
o
de
NOTA: O plano de
ra
De
pe
sa
cu
continuidade do
st
Re
re
s
negcio deve
Processos PCN Clientes considerar 04 pilares
principais, quais sejam:
Negcio, Processos,
M
as s
tiv iva
iti
Clientes e Segurana.
ga
en et
ev rr

Pr Co
es
Segurana
e es
de

Ri
A
sc
os
7.2. Boas Prticas em Plano de Continuidade de Negcio

Condies e procedimentos para ativao do Plano (como se avaliar o impacto provocado
por um incidente);
Procedimentos a serem seguidos, imediatamente, aps a ocorrncia de um incidente;
A instalao reserva, com especificao dos bens de TI nela disponveis, como hardware,
software e equipamentos de telecomunicaes;
A escala de prioridade dos processos operacionais, de acordo com seu grau de criticidade
para o funcionamento da entidade;
Dependncia de recursos e servios externos ao negcio;
Pessoas responsveis por executar e comandar cada uma das atividades previstas no PCN;
Contratos e acordos que faam parte do PCN para restaurao dos servios.
31
plano de continuidade de negcios
Como garantia do funcionamento e eficcia, o PCN prev a realizao de:
Programa de conscientizao das pessoas envolvidas, por meio de palestras e treinamento;

Testes peridicos, podendo ser integrais ou parciais;
Processo de manuteno contnua.
32
8. Estrutura Organizacional de TI
8.1. Estrutura Organizacional
A posio de TI nas estruturas organizacionais ainda sofre grande influncia de como os
gestores entendem seu papel. A importncia de se ter uma estrutura de TI cada vez mais
prxima estratgia de negcio da entidade faz com que os gestores repensem sobre a
eficcia desta estrutura e o quanto a mesma capaz de agregar valor.
fundamental ter uma estrutura organizacional bem definida, com papis e responsabili-
dades de suas unidades claramente estabelecidas, documentadas e divulgadas, e prticas
de gesto de talentos adequadas em termos de seleo, segregao de funes, treinamento
e desenvolvimento e iniciativas para reteno de seus profissionais e seu conhecimento.
Cabe a cada entidade encontrar uma abordagem adequada s suas necessidades especficas
em gesto da informao e dos recursos de TI.
Para desenvolver uma estrutura organizacional eficaz necessrio entender o contexto

de negcio, as condies tecnolgicas, preparar a entidade do ponto de vista de processos
e competncias e estabelecer um modelo de governana que facilite a proximidade das
reas de negcio com TI.
Da mesma forma, dimensionar a equipe de TI ideal para atender as organizaes, com

eficincia, uma tarefa difcil e pouco exata. Muitas variveis podem influenciar este di-
mensionamento como o nvel de complexidade da entidade, oramento de TI, padronizao
de processos e arquitetura de TI, estrutura interna x terceirizaes etc.
Tratando de servios de TI, notria a crescente terceirizao e proporcionalmente, a com-

plexidade em administrar os contratos de terceiros estabelecidos (ver item 8.3 - Gesto de
Terceiros).
8.1.1. Boas Prticas em Estrutura Organizacional de TI

Mesmo que a entidade no possua tamanho para suportar uma estrutura interna de
TI, recomenda-se que a estrutura organizacional de TI tenha em suas funes alguns
papis essenciais, tais como:
Realizar planejamento de tecnologia;

Desenvolver arquitetura de TI;
Desenvolver oramento de TI;
Gerenciar programas e projetos de TI;
Prover sistemas de informao (desenvolvidos ou pacotes adquiridos);
Priorizar projetos de TI;
33
estrutura organizacional de TI
Garantir qualidade dos produtos e servios de TI;

Gerenciar ativos de TI;
Definir e qualificar fornecedores de TI;
Realizar a gesto de contratos de TI;
Oferecer servio de suporte aos usurios finais;
Gerenciar dados/ informaes da entidade;
Estabelecer mtodos e critrios para segurana da informao;
Prover infraestrutura tecnolgica:
Hardware
Softwares
Banco de dados
Redes
Recursos de telecomunicaes etc.
Cabe a gesto de TI, as seguintes atribuies e responsabilidades na entidade:
Garantir alinhamento das prioridades/projetos de TI com as de negcio;

Elaborar e realizar oramento da rea alinhado s demandas previstas;
Planejar, coordenar e controlar as atividades relacionadas tecnologia da informao na
entidade, realizadas atravs de recursos prprios ou contratao de servios de terceiros;
Disseminar conhecimento de TI na entidade;
Disseminar cultura de processo de negcios na equipe de TI;
Usar proativamente o conhecimento tcnico e de negcios para ideias inovadoras e
que agreguem valor ao negcio;
Suportar as unidades de negcio da entidade na definio e implantao de novas
tecnologias e de sistemas de informao;
Estabelecer as metodologias e ferramentas para o desenvolvimento das atividades
da rea.
8.2. Gesto de Talentos

8.2.1. Conceito
Gesto de talentos pode ser definida como a implementao de estratgias integradas
destinadas a melhorar os processos de captao, desenvolvimento e reteno de pes-
soas com as habilidades necessrias e a aptido para atender s necessidades atuais
e futuras da entidade.
No existe um modelo nico de gesto de talentos que se aplique s organizaes.

necessrio que se tenha um claro entendimento do ambiente corporativo e sua cultura,
para ento, implementar as estratgias certas. Gerir talentos ter a quantidade e a
qualidade dos profissionais no lugar certo!
34
No Brasil, essa situao vem ocorrendo com mais frequncia por conta da acelerao
da economia e pelo fato de a demanda por profissionais ser maior que a oferta no mer-
cado. Estudos recentes sobre o mercado de trabalho no setor apontam que o dficit de
profissionais de TI aumenta, significativamente, a cada ano. Em mdia, se formam no
Pas, menos da metade do nmero de profissionais estimados como demanda. As difi-
culdades vo alm do conhecimento tcnico. O desafio est em encontrar profissionais
que entendam as necessidades das reas de negcio para entregar solues corretas.
Sobre a escassez de recursos qualificados, podemos apontar os principais motivos abai-

xo, principalmente para o pblico de TI:
Falta de habilidades tcnicas;

Necessidade de qualificaes/ certificaes especficas;
Falta de habilidades interpessoais;
Habilidade na resoluo de problemas e tomada de deciso;
Capacidade crtica e analtica;
Capacidade de lidar com a necessidade de atualizao e inovao constantes.
Considerando estes motivos de escassez de recursos, o profissional que se destaca em

suas competncias tcnicas e comportamentais um talento disputado, valorizado e
que precisa ser retido. a lei da oferta e da procura!
8.3. Gesto de Terceiros

8.3.1. Conceito
A utilizao de servios de terceiros uma das prticas de gesto adotadas pelas cor-
poraes em todo o mundo, como uma forma de aumentar a eficincia organizacional.
Em decorrncia da agilidade requerida pelas mudanas permanentes do mercado, as
organizaes tm sido levadas a rever o modelo de estruturao de suas reas de tec-
nologia de informao, buscando flexibilidade e otimizao na utilizao de recursos.
Terceirizar significa transferir a responsabilidade de execuo de um conjunto de ati-

vidades realizadas internamente pela entidade para um terceiro (fornecedor externo).
Forma-se ento uma parceria que deve ser administrada pela entidade por meio de
contratos bem definidos. A competncia da entidade para administrar estes contratos
fator crtico de sucesso para alcanar os benefcios esperados desta terceirizao.
A terceirizao de TI (outsourcing), se bem administrada pode, de fato, tornar-se uma

vantagem competitiva. O valor que ela agrega ao negcio pode se resumir, basicamente,
ao aumento de produtividade e rentabilidade, melhoria do servio prestado, bem como
a uma reduo de custos globais, ofertando mais espao para o trato com as atividades
fim da entidade.
35
Com foco no padro de qualidade da prestao de servios, as organizaes precisam

definir os ndices de disponibilidade, mecanismos de comunicao e correo de falhas,
assim como, outras mtricas para o controle da qualidade dos servios prestados. Esses
padres de qualidade vieram a se constituir em contratos especficos, denominados
SLAs (Service Level Agreements ou ANS - Acordos de Nveis de Servio). A compro-
vao do nvel de servio deve ser feita atravs da definio e aplicao de critrios
preestabelecidos, bem como definio de prazos e penalidades em caso de no cum-
primento dos mesmos.
Ao se contratar servios de terceiros imprescindvel que seja feito um levantamento

detalhado de identificao das necessidades, avaliao dos servios atuais, custos e
riscos legais envolvidos, com o objetivo de garantir o cumprimento das premissas
acordadas.
Outro aspecto importante diz respeito ao processo de especializao, que demanda

conhecimentos especficos de atuao para a implementao dos servios prestados.
Neste caso, a terceirizao de servios especializados deve ser avaliada a fim de garantir
aderncia estratgia de negcio e retorno sobre os investimentos realizados.
Ao se tratar de negcios com muitas particularidades, como no caso do segmento de

Previdncia, preciso estar atento ao conhecimento e expertise que o terceiro tem
sobre os processos inerentes, suas tendncias e riscos. Soma-se a isto, a ateno que
a entidade contratante deve ter na definio de quais servios terceirizar de forma a
no concentrar competncias core (competncias fim/especficas do negcio) nos ter-
ceiros. Este conhecimento deve estar retido na entidade a fim de se preservar
a inteligncia do negcio.
No h um modelo de terceirizao formatado como boa prtica. importante verificar

as caractersticas da entidade, quais motivos a levam optar pela terceirizao, como esta
deve ocorrer e quais servios devem ser terceirizados. Desta forma, espera-se proporcio-
nar ganhos de produtividade, atingir metas e agregar valor entidade.
8.3.2. Boas Prticas em Gesto de Terceiros

A prtica da terceirizao vem se intensificando entre as organizaes. As razes pela
escolha so inmeras. No entanto, vale ressaltar que algumas precaues so primor-
diais para maximizar o sucesso neste processo.
Como boas prticas ressaltamos algumas razes que levam as organizaes a optarem
pela terceirizao e os principais riscos desta.
36
Razes para terceirizar:

Concentrar no business. Ter mais foco em negcios, competncias, processos ou
servios que sejam mais especficos ou estratgicos;
Ganhar acesso a tecnologias de primeira linha;
Aumentar o nvel de servio de TI;
Aumentar a qualidade das operaes de TI;
Acelerar aprendizagem em determinado assunto ou ferramenta;
Adquirir previsibilidade de gastos em TI;
Minimizar custo fixo com pessoas e outros recursos;
Evitar investimentos elevados de caixa em infraestrutura (TCO);
Permitir reciclagem dos colaboradores da rea;
Melhorar controles dos nveis de servios;
Compartilhar riscos em competncias e/ou processos que no sejam a especialidade da
entidade;
Tornar a entidade mais enxuta, flexvel e gil;
Acelerar processos de mudanas.
Como fatores crticos de sucesso para uma boa contratao de servios de terceiros,
recomendamos:
Ter domnio das atividades e responsabilidades que sero terceirizadas;

Desenvolver competncias para administrar o contrato e o relacionamento com os
terceiros;
Elaborar uma RFP (Request for Proposal Requisitos para Proposta) bem detalhada
para facilitar a anlise de informaes por parte do possvel fornecedor e facilitar a ne-
gociao, contendo as responsabilidades da contratante e contratada, o modelo de ges-
to, indicadores, metas, transio, formas de pagamento, produtividade e documentao;
Estabelecer detalhadamente os ANSs (Acordos de Nveis de Servio);
Adotar modelo de risco x recompensa, alm de incluir clusulas de escalabilidade,
prevendo a diminuio ou acrscimo dos servios contratados;
Administrar riscos da terceirizao, evitando-se:
Negociar e administrar o contrato de forma ineficaz;
No definir claramente os ANS(s) (Acordos de Nveis de Servios);
Aumentar custos em razo de contratos mal administrados;
Perder conhecimento na transferncia de recursos para o terceiro.
37
Se avaliarmos a gesto de terceiros sob a perspectiva do grau de complexidade reque-

rido pela entidade para a rea de TI, podemos adotar o seguinte critrio:
Matriz de avaliao da evoluo da Gesto de Terceiros de TI na Entidade
Quesito
Controlar Controlar
Possuir Possuir
qualidade qualidade
contratos contratos
dos servios dos servios Possuir
Realizar firmados firmados
prestados prestados estratgia e
Gesto de contrataes para realizar para projetos
atravs de atravs de processos de
Terceiros para servios atividades com entrega,
contratos com contratos com outsorcing
espordicos e servios prazo, custos
acordo de nvel acordo de nvel de TI
especficos e servios
de servios de servios
de TI definidos
(ANS) (ANS)
38
9. Inteligncia de Negcio
9.1. Conceito
Inteligncia de Negcios (Business Intelligence BI) so sistemas de apoio tomada de
decises que fornecem aos controladores, diretores, gestores e lderes uma viso verdadeira
e transparente sobre o desempenho do negcio. Apresenta a Informao em um formato
multidimensional, de forma que um indicador (custo, lucro, horas inativas, etc) possa ser
analisado, simultaneamente, em relao a diversas variveis como: tempo, emprstimo,
filial, assistido, colaboradores, entre outros. Possibilita a criao de uma base de dados
gerencial (repositrio de dados) com um conjunto extenso de informaes estatsticas,
histricas e simulaes. O BI um conceito e no um produto de prateleira. um
conjunto de hardware e software (uma plataforma) que podem ser usados para analisar
uma quantidade massiva de dados que as entidades acumulam para realizar melhores
decises de negcio.
Diferentemente dos sistemas de informaes transacionais (ERP Gesto Integrada, CRM

Relacionamento com Cliente, SCM - Cadeia de fornecedor e outros especficos) que visam
atender aos processos de negcio da cadeia de valor, com viso integrada e funcional; os
sistemas de inteligncia de negcios (BI) buscam oferecer dados escolhidos e com contedo
relevante para o processo decisrio e no apenas nmeros e/ou outros itens do dia-a-dia
da entidade. um conceito que permite transformar dados existentes em informaes
gerenciais estratgicas atravs de vises multidimensionais.
A figura abaixo reflete um tpico ambiente tecnolgico considerando uma plataforma de

inteligncia de negcios implementada:
AMBIENTE BUSINESS INTELLIGENCE (BI)

TRANSACIONAL
SCM ERPs
PROCESSO ETL Filtra

LEGADOS CRM
Captura Transforma Carrega

Formata
Repositrio
de dados
DOC TXT Disponibiliza
CUBO DE DADOS
OUTROS
XLS
39
inteligncia de negcio
9.2. Boas Prticas em BI

Definir as informaes necessrias com as reas de negcio;
Assegurar que os dados de origem necessrios estejam, de alguma forma, disponveis;
Definir polticas de acesso as informaes;
Utilizar ferramentas multiplataformas;
Garantir compatibilidade com diversos sistemas gerenciadores de banco de dados (SGBDs);
Adotar plataforma amigvel (user friendly);
Utilizar apenas para informaes gerenciais e no transacionais;
Realizar processo de carga de dados com tratamento e frequncia alinhadas s reais
necessidades das reas de negcio;
Implementar o modelo de BI, gradativamente (por ondas), de acordo com a prioridade
do negcio;
Realizar uma anlise de custo/benefcio antes da deciso de implementar o modelo de BI.
40
10. Tendncias e Inovaes
10.1. Conceito
Estamos vivenciando um processo de transformao, no apenas no ambiente de negcios
e de TI, mas na sociedade como um todo, impulsionado principalmente pela convergncia
de quatro ondas tecnolgicas:
Computao em nuvem (cloud computing);
Mobilidade;
Mdias Sociais;
Big Data.
Esta convergncia est deslocando o eixo do poder das empresas para as pessoas, sejam
elas clientes ou colaboradores. Na prtica as empresas e a sociedade esto se tornando cada
vez mais digitais e visualizamos uma mudana rpida no cenrio de TI para atender este
novo meio de interao e integrao, gerando desafios imensos para os profissionais da rea.
Adotar e gerenciar de forma eficiente e eficaz estas quatro ondas vai causar impacto sig-
nificativo nos Gestores e Profissionais de TI. Neste sentido, dois aspectos se destacam: go-
vernana e gerenciamento deste novo ambiente, e a necessidade de repensar a arquitetura
de tecnologia.
10.2. Cloud Computing, Mobilidade e Mdias Sociais

Cloud Computing e Mobilidade tm uma relao to sinrgica que no podemos falar de um
assunto sem incluir o outro. Um ambiente dinmico de Cloud Computing gera agilidade de
TI para atender aos requisitos de escalabilidade e flexibilidade necessrios para o negcio.
Alm disso, com o ambiente em nuvem, aplicaes inovadoras podem ser exploradas uti-
lizando-se imensos volumes de dados.
Um Data Center tradicional, configurado para atender a perodos de pico excessivamente

custoso, podendo o mesmo ser substitudo por uma soluo de Cloud Computing. Da mesma
forma, ter a infraestrutura de TI, internamente, gera um custo total de propriedade (TCO)
maior, alm das constantes necessidades de reciclagem das equipes tcnicas.
Por outro lado, a mobilidade tem se tornado cada vez mais presente atravs da massificao
de smartphones, tablets e outros dispositivos mveis, virtualizao de laptops a servios das
organizaes, de seus colaboradores, clientes e fornecedores. E a tendncia o crescimento
exponencial.
Este cenrio demandar recursos computacionais cada vez mais complexos, que precisaro
de um novo modelo de suporte de computao e armazenamento, sendo necessrio esta-
belecer critrios e dispositivos de segurana e capacidade.
41
TENdncias e inovaes
Uma vez que, tanto a mobilidade quanto a computao em nuvem so cada vez mais
reconhecidas como tecnologias de impacto (transformadoras), o momento pode ser
propcio para que os lderes e profissionais de TI analisem iniciativas/projetos com foco na
utilizao de dispositivos mveis e/ou Cloud Computing.
Outro fator importante o incremento das Mdias Sociais e seus impactos no negcio e
nas empresas. Atravs do uso da internet, o acesso s informaes ficou muito mais fcil
e rpido. Nas mdias sociais circulam clientes buscando informaes sobre produtos e/ou
servios, comentando sobre atendimento, influenciando sua rede de relacionamento, bem
como colaboradores, fornecedores e outros tipos de usurios interagindo neste ambiente.
As organizaes necessariamente, tero que atuar neste ambiente, buscando uma estra-
tgia de relacionamento com a comunidade de interesse (no caso das entidades, desta-
camos os assistidos).
A maioria das organizaes afirma utilizar e monitorar as redes sociais e aumentar o inves-
timento e iniciativas neste canal de relacionamento, visando principalmente:
Aumentar a reputao da marca;
Marketing;
Inovar no modelo de negcios;
Aumentar as vendas;
Reduzir os custos de aquisio e pesquisa de satisfao com clientes etc.
Porm, ainda encontram algumas barreiras:

Falta de conhecimento em gesto de mdias sociais;
Falta de tempo para gerenciar as mdias sociais;
Dificuldade de encontrar pessoas com perfil qualificado para atuar neste ambiente.
A Insight Consulting realizou uma pesquisa com 100 empresas de diversos segmentos
sobre os desafios de TI com estas novas tecnologias. O grfico a seguir demonstra as prin-
cipais demandas de mobilidade para suportar o negcio:
Computao em Nuvem
30
25
20
Portal Corporativo 15 Acesso as
e Intranet Mdias Sociais
10
Acesso Remoto a
Rede Corporativa Acesso Remoto
a E-Mail
Prover Mobilidade
(smartphones, laptops, tablets...)
42
tendncIAS e InOvAeS
O grfico a seguir demonstra os principais focos de TI para atender as demandas de

negcio:
Outros
Acesso s Mdias Sociais
Virtualizao de Laptops
Computao em Nuvem
Vdeo Conferncia
Disponibilizar Equipamentos de Mobilidade
Portal Corpora7vo ou Intranet
Acesso Rede Corpora7va
Acesso E-Mail
0 5 10 15 20 25
10.3. BYOD (Bring Your Own Device)

O aumento do consumo de dispositivos mveis de TI prprios (tablets, laptops, smartphones
etc) tem feito os colaboradores os utilizarem cada vez mais no ambiente de trabalho, mas
os riscos podem ser altos.
Muitas empresas esto considerando os aplicativos mveis como abordagem eficiente e

competitiva. Assim, TI tem o desafio de lidar com os riscos inerentes deste novo cenrio,
definindo dispositivos, aplicativos e polticas de segurana.
importante considerar tanto os aplicativos nativos instalados no dispositivo, como os que

utilizam ambiente em nuvem, aqueles acessados diretamente do dispositivo mvel e que
normalmente no tm qualquer visibilidade corporativa.
Um ponto importante educar os colaboradores quanto poltica, restries e riscos en-

volvidos.
Os principais aspectos a serem considerados na poltica de segurana so:

Definir termos de utilizao dos dispositivos e dos dados e informaes;
Quem poder utilizar (elegibilidade);
Restries legais;
Que dispositivos podem ser utilizados;
Definir disponibilidade dos servios;
Estabelecer nveis de suporte e manuteno.
43
TENdncias e inovaes
Cuidados devem ser considerados, pois apesar de reduzir o investimento, as empresas pas-
sam a aumentar as despesas com o suporte e gerenciamento destes dispositivos mveis.
10.4. BIG DATA

Vamos iniciar o assunto Big Data trazendo um comentrio de Cezar Taurion, especialista
em Inovao Tecnolgica e autor do livro Cloud Computing: Big Data e Cloud esto entre os
conceitos de tecnologia mais confusos da dcada todo mundo usa, mas sequer sabe o que
significa. Existem diversos casos de sucesso, mas a maioria das empresas ainda no tem
uma viso clara do que Big Data, do seu potencial e de como alavancar esta potencialidade.
Ainda segundo Taurion, Big Data no apenas comprar pacotes de tecnologia, mas uma
nova maneira de explorar o imenso volume de dados que circula dentro e fora das empre-
sas. Big Data embute transformaes em processos de negcio, fontes de dados, infraes-
trutura de tecnologia, capacitaes e, at mesmo, mudanas organizacionais na empresa e
em TI. Antes de tudo, importante lembrar que Big Data no trata apenas da dimenso e
do volume, mas existe tambm uma variedade imensa de dados no estruturados, coleta-
dos das mdias sociais, por exemplo, que precisam ser validados (ou seja, terem veracidade
para serem usados) e tratados em velocidade adequada para gerarem valor para o negcio.
Desta forma, podemos definir um conceito de Big Data na seguinte frmula:
Big Data = volume + variedade + velocidade + veracidade + valor.
A questo do valor importante. Big Data s faz sentido se o valor da anlise dos dados
compensar o custo de sua coleta, armazenamento e processamento.
Big Data um Big Challenge para os gestores de TI. Primeiro temos as tecnologias que
o envolvem. Muitas vezes ser necessrio ir alm das tecnologias tradicionais de banco de
dados e Data Warehouse, entrando no campo do processamento massivo. Depois, a questo
da privacidade e acesso a dados confidenciais, sendo essencial criar uma poltica de acesso
e divulgao das informaes.
Big Data , ainda pouco visvel, mas no deve ser ignorado. Uma sugesto avaliar o
impacto do Big Data no segmento de Previdncia e na sua entidade, considerando quo
distante a sua organizao est hoje em termos de estar preparada para o que vem pela
frente. Isto significa avaliar a empresa e a rea de TI para as tecnologias, capacitaes e
processos que sero necessrios para explorar o potencial do Big Data. Adicionalmente,
ainda um cenrio imaturo e existem poucos exemplos de melhores prticas. Portanto,
uma iniciativa inovadora para a maioria das empresas, com os riscos e as recompensas
dos gestores inovadores.
44
TENdncias e inovaes
10.5. Prospeco de Novas Tecnologias

Prospeco tecnolgica uma atividade que busca descobrir inovaes, ou seja, identificar
mudanas tecnolgicas que afetem de forma significativa o desempenho da organizao,
alm de prov-la com produtos e servios diferenciais para o mercado.
A aplicao da prospeco para as Entidades Fechadas de Previdncia Complementar

refletida nos estudos para antecipar e compreender a evoluo, caractersticas e efeitos das
mudanas tecnolgicas voltadas para o negcio.
Com a adoo da prospeco tecnolgica possvel potencializar ganhos e reduzir perdas devi-
do a um maior conhecimento das oportunidades, tendncias ou ameaas futuras do mercado.
Um mtodo estruturado de prospeco de novas tecnologias contribui para a melhoria da

governana da entidade, do planejamento mais adequado e da otimizao dos recursos
tecnolgicos e financeiros a serem utilizados.
Para realizar uma prospeco de novas tecnologias recomenda-se, primeiramente, buscar

oportunidades de inovao tecnolgica e/ou tendncias, verificando sua viabilidade e ade-
rncia ao negcio, sempre alinhadas com os requisitos dos processos, de acordo com as
estratgias da organizao. Uma boa referncia a utilizao dos institutos de pesquisa
reconhecidos mundialmente na divulgao de tendncias de TI, tais como: Gartner Group,
IDC, Forrester e outros.
O estudo de viabilidade tcnica, anlise sobre o retorno do investimento (ROI) e do

custo/benefcio da soluo so fundamentais para apoiar decises e absoro dos resultados
a serem gerados.
Alguns cuidados devem ser tomados quando da prospeco de novas tecnologias:
Garantir o sigilo na conduo da prospeco;

Avaliar a questo de adoo de tecnologias semelhantes;
Garantir o apoio da alta gesto da entidade;
Ter clareza e consistncia nos resultados alcanados e avaliar fabricantes e fornecedores
que tenham capacidade de fornecimento e de suporte;
Avaliar o nvel de servio adequado para a soluo pesquisada.
Os recursos envolvidos neste trabalho devem ter uma viso abrangente do ambiente de TI
e conhecer as diretrizes estratgicas e os processos de negcio da entidade.
45
11. Convenes, Definies e Referncias
11.1. Convenes
ABRAPP - Associao Brasileira das Entidades Fechadas de Previdncia Complementar
ANS - Acordo de Nvel de Servio
BI - Business Intelligence
BPM - Business Process Management
CEO - Chief Executive Officer
CMM - Capability Maturity Model
COBIT - Control Objectives for Information and related Technology
CRM - Customer Relationship Management
DBMS - Data Base Management System
ECM - Enterprise Content Management
ERP - Enterprise Resource Planning
ISO - International Organization For Standardization
ITIL - Information Technology Infrastructure Library
MAPTI - Mapeamento de Tecnologia da Informao (ABRAPP)
PCN - Plano de Continuidade dos Negcios
PDTI - Plano Diretor de Tecnologia da Informao
PETI - Plano Estratgico de TI
PMBOK - Project Management Body of Knowledge
PSI - Poltica de Segurana da Informao
RH - Recursos Humanos
RFP - Request for Proposal
SI - Sistemas da Informao
SCM - Supply Chain Management
SGBD - Sistema Gerenciador de Banco de Dados
SGSI - Sistema de Gesto da Segurana da Informao
SLA - Service Level Agreement (acordo de nvel de servios)
TI - Tecnologia da Informao
11.2. Definies
WEB Enabled - Sistemas desenvolvidos com tecnologia e aplicativos no mundo WEB
e que so utilizados atravs de browsers.
ETL - um processo que extrai, transforma e carrega dados de diversas fontes para um
modelo dimensional.
Virtualizao - uma abstrao de camada que separa o hardware fsico do sistema

operacional para fornecer otimizao de utilizao de recursos de TI e flexibilidade.
Espelhamento de HD - Disponibilizar um ambiente idntico de hardware.
46
convenes, definies e referncias
11.3. Referncias
MAPTI Mapeamento de Tecnologia da Informao Site da ABRAPP que apresenta
pesquisas de TI, atravs de grficos e indicadores http://sistemas.abrapp.org.br/mapti/.
Manual de Boas Prticas em Tecnologia da Informao - ABRAPP (Manual de Boas

Praticas em TI - junho/2013).
Banco de Conhecimento e Boas Prticas da Insight Consulting Insight Consultoria

Empresarial LTDA www.insightconsulting.com.br Telefone: (21) 2210-2683.
Modelos de Referncia ITIL, COBIT, CMM, eSCM, PMBOK.
Institutos de Referncia em tendncias de TI (Gartner Group, Forrester).
Pesquisas de TI realizadas pela Insight Consulting para executivos Insight Consultoria

Empresarial LTDA.
Notas de aula MBA FGV - Gesto Estratgica da Informao autor Srgio Magacho.
11.4. Publicaes
Arquitetura de TI como Estratgia Empresarial Jeanne W. Ross, Peter Weill, David C.
Robertson Editora M. Books.
Cloud Computing Cezar Taurion Editora Brasport.
E-Business ERP Transformando as Organizaes Grant Norris, James R. Hurley, Ken-

net M. Hartley, John R. Dunleavy, John D. Balls Editora Quality Mark.
Gerenciamento de Servios de TI na Prtica Uma abordagem com base na ITIL Ivan

Luizio Magalhes, Walfrido Brito Pinheiro Editora Novatec.
Governana de Tecnologia da Informao Peter Weill, Jeanne W. Ross Ed. M.Books.
Introduo a Sistemas de Informao R.Kelly Rainer Jr, Casey G. Cegielski Ed. Campus.
ITSM Foundations of IT Service management based On ITIL V3 Editora VHP.
SOFTWARE: Tecnologia no negcio Sergio Lozinsky Editora Imago.
Tecnologia da Informao Integrada Inteligncia Empresarial Denis Alcides Rezende

Editora Atlas.
Tecnologia da Informao Planejamento e Gesto Paulo Rogrio Foina Editora Atlas.
47
12. Comisso Tcnica Nacional
de Tecnologia da Informao
Diretor Responsvel
Luiz Paulo Brasizza (VWPP)
Coordenador
Fred Siqueira de Carvalho (ELETROS)
Membros
Aymon Gracielle Salles Lopes Canado (DERMINAS)
Carlos Alberto Luchetti (FUNDAO ITASA)
Eduardo Roberto Figueiredo (FUNDAO LIBERTAS)
Glauco Milhomem Balthar (POSTALIS)
Jaqueline Ribeiro de Salles Pereira (INFRAPREV)
Luciana Roldan de Almeida (FUNCEF)
Maria de Ftima Farias Pimentel (FACHESF)
Oscar Damio Frasson (ABRAPP)
Roberto Jorge Pereira da Silva (PREVINORTE)
Valria de Andrade Silva Nascimento (FUNDAO ATLNTICO)
Vincius Jos Pring Marinho (PREVI)
48
ABRAPP - Associao Brasileira das Entidades
Fechadas de Previdncia Complementar
www.portaldosfundosdepensao.org.br
Tel.: (11) 3043.8777
Fax: (11) 3043.8778/3043.8780
Av. das Naes Unidas, 12551 20 andar Brooklin Novo
apoio
04578-903 So Paulo SP
@abrapp
www.facebook.com/abrapp

Manual de Boas Práticas em TI

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual de Boas Práticas em TI

Încărcat de

Drepturi de autor:

Formate disponibile

Manual de Boas Prticas em

Comisso Tcnica Nacional

A Comisso desenvolveu e lanou no ano de 2012 o MAPTI (Mapeamento de Tecnologia da

Apoiar os executivos e os profissionais de nveis de liderana de TI na definio de

Apresentar as boas prticas de governana em TI, modelos de referncia de mercado

Facilitar a interao/alinhamento entre a rea de TI e as demais reas de negcio na

Apresentar recursos, componentes, ferramentas, mtodos e tendncias para apoiar

CTNTI - Comisso Tcnica Nacional de Tecnologia da Informao

Grco de Planejamento Estratgico

feita uma previso oramentria pela rea de TI 60

Planejamento estratgico ou plano diretor de inform;ca 32

Comit de TI ins;tucional com a par;cipao de outras 15

As entidades devem fazer uma autoavaliao de TI e elaborar um plano de evoluo do

sitos fundamentais, onde as diversas entidades do segmento de previdncia complementar

Matriz de Grau de Maturidade de TI das Entidades Fechadas de Previdncia Complementar

Quesitos Grau de Maturidade

1.2. TI Suportando a Cadeia de Valor do Negcio

Relacionamento Adeso e Estudo de planos, Definio estratgica

Relacionamento Gesto de Ativos

Gesto financeira, caixa Gesto de Administrao Patrimonial

Fonte: Insight Consulting

Para que TI possa suportar, adequadamente, a Cadeia de Valor da Entidade e implemen-

Matriz de avaliao da maturidade de Processos para alinhamento com TI

Grupo Macro Processo Essencial Importante Desejvel

Macro Processo Essencial Importante Desejvel

Macro Processo Essencial Importante Desejvel

Estratgias do Negcio Estratgias de TI

Fonte: Insight Consulting

O Planejamento Estratgico de TI deve responder as principais questes chave:

Que impactos e consequncias o atual ambiente traz ou pode trazer sobre a

reas de Negcio Quais as melhores prticas de sistemas aplcaveis organizao,

As necessidades do negcio esto sendo bem atendidas?

A estrutura organizacional da rea de informtica adequada? Adaptar-

E o alinhamento entre a estratgia corporativa da entidade e o Plano Estratgico de TI

Fonte: Insight Consulting

Quando consideramos os estgios de maturidade do alinhamento das atividades entre TI

2.1. Boas Prticas em Planejamento Estratgico de TI

3.2. Principais Norteadores

Fonte: Insight Consulting

1. Alinhamento Estratgia do Negcio Refletir a estratgia do negcio no modelo

2. Suporte ao Negcio Identificar as necessidades e oportunidades para aplicao de

3. Gesto de Riscos Os controles de riscos de TI formam uma parte essencial na gesto

4. Gesto de Recursos de TI Otimizao dos investimentos e dos recursos de TI.

5. Disponibilidade dos Servios de TI Disponibilizao, monitoramento e mensurao

6. Entrega de Valor e Qualidade dos Servios Projetos e servios de TI entregues,

3.3. Boas Prticas em Governana de TI

Possuir oramento de investimentos e de custeio;

Se avaliarmos este conceito sob a perspectiva do grau de complexidade requerido pela

Matriz de Avaliao da Evoluo do Uso de Oramento de TI na Entidade

Se avaliarmos este conceito sob a perspectiva do grau de complexidade requerido pela

Fonte: MAPTI - ABRAPP

A tabela abaixo demonstra os principais processos e sua classificao de importncia

Grupo Processo Classificao

Desenho do Gerenciamento de Fornecedores Essencial

3.3.4. Avaliao de Performance de TI

Dados referem-se a uma descrio de coisas elementares,

Informao refere-se aos dados que tenham sido

Conhecimento consiste no dado e/ou informao que tenha

O dado, por definio, um dos componentes fundamentais dos sistemas de informao

programas de computador (softwares) responsveis pelo gerenciamento de uma base de

Fonte: MAPTI - ABRAPP

Como exemplo de sistemas de informao de processo de negcio de previdncia comple-

Vejamos o que o MAPTI retrata considerando a existncia de sistemas de informao, nas