3 - Denis A Rezende.doc

Page 1

Boas práticas em

Segurança da Informação 2ª edição

Brasília, 2007


© Copyright 2007, Tribunal de Contas da União Impresso no Brasil / Printed in Brazil <www.tcu.gov.br>

É permitida a reprodução desta publicação, em parte ou no todo, sem alteração do conteúdo, desde que citada a fonte e sem fins comerciais.

Brasil. Tribunal de Contas da União. Boas práticas em segurança da informação / Tribunal de Contas da União. – 2. ed. – Brasília : TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2007. 70 p. 1. Segurança da informação 2. Auditoria, Tecnologia da informação I. Título.

Ficha catalográfica elaborada pela Biblioteca Ministro Ruben Rosa


Apresentação

Na sociedade da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, estão também sob constante risco, como nunca estiveram antes. Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência das instituições. Um dos focos das fiscalizações de Tecnologia da Informação (TI), realizadas pela Secretaria de Fiscalização de Tecnologia da Informação (Sefti), do Tribunal de Contas da União, é a verificação da conformidade e do desempenho das ações governamentais em aspectos de segurança de tecnologia da informação, utilizando critérios fundamentados. O principal objetivo dessas fiscalizações é contribuir para o aperfeiçoamento da gestão pública, para assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade. O Tribunal de Contas da União, ciente da importância de seu papel pedagógico junto aos administradores públicos e da utilidade de apresentar sua forma de atuação às unidades jurisdicionadas, aos parlamentares, aos órgãos governamentais, à sociedade civil e às organizações não-governamentais, elaborou esta publicação com o intuito de despertar a atenção para os aspectos da segurança de tecnologia da informação nas organizações governamentais. Espera-se que este trabalho seja uma boa fonte de consulta, e que o Tribunal, mais uma vez, colabore para o aperfeiçoamento da Administração Pública.

Walton Alencar Rodrigues Ministro-Presidente


Sumário

Introdução .............................................................................................................7

Controles de Acesso Lógico ....................................................................................9

Política de Segurança de Informações ...................................................................25

Plano de Contingências ........................................................................................33

TCU e a NBR ISO/IEC 17799 ..................................................................................39


Introdução

Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e com o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e de métodos de segurança cada vez mais sofisticados. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável. O objetivo desta publicação é apresentar, na forma de capítulos, boas práticas em segurança da informação, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde profissionais de informática envolvidos com segurança de informações até auditores, usuários e dirigentes preocupados em proteger o patrimônio, os investimentos e os negócios de sua organização, em especial, os gestores da Administração Pública Federal. Esta segunda edição inclui um novo capítulo, que comenta a NBR ISO/IEC 17799 e lista acórdãos e decisões do Tribunal sobre segurança de tecnologia da informação, além dos três capítulos que constavam da primeira edição (controles de acesso lógico, política de segurança de informações e plano de contingências). É nossa intenção continuar a publicar novas edições, incluindo capítulos sobre assuntos correlatos. Diretoria de Auditoria de Tecnologia da Informação


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

1. Controles de Acesso Lógico Neste capítulo serão apresentados conceitos importantes sobre controles de acesso lógico a serem implantados em instituições que utilizam a informática como meio de geração, armazenamento e divulgação de informações, com o objetivo de prover segurança de acesso a essas informações.

1.1 O que são controles de acesso?

objetivo de proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por pessoas ou por outros programas de computador. O controle de acesso lógico pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usuário a quem serão concedidos certos privilégios e acessos aos recursos.

Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, não podem ser facilmente controlados apenas com dispositivos físicos, como cadeados, alarmes ou guardas de segurança.

A proteção aos recursos computacionais baseiase nas necessidades de acesso de cada usuário, enquanto que a identificação e autenticação do usuário (confirmação de que o usuário realmente é quem ele diz ser) é feita normalmente por meio de um identificador de usuário (ID) e por uma senha durante o processo de logon no sistema.

1.2 O que são controles de acesso lógico?

1.3 Que recursos devem ser protegidos?

Os controles de acesso lógico são um conjunto de procedimentos e medidas com o

A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até

9


TRIBUNAL DE CONTAS DA UNIÃO

utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.

a segurança de todo o conjunto de aplicativos, utilitários e arquivos.

O acesso não autorizado ao código fonte dos aplicativos pode ser usado para alterar suas funções e a lógica do programa. Por exemplo, em um aplicativo bancário, pode-se zerar os centavos de todas as contas-correntes e transferir o total dos centavos para uma determinada conta, beneficiando ilegalmente esse correntista.

Arquivos de dados

Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorização, como, por exemplo, arquivos com a configuração do sistema, dados da folha de pagamento, dados estratégicos da empresa.

A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, ao obter identificador (ID) e senha de um usuário privilegiado, pode, intencionalmente, causar danos ao sistema. Essa pessoa dificilmente será barrada por qualquer controle de segurança instalado, já que se faz passar por um usuário autorizado.

Arquivos de log

Os arquivos de log são usados para registrar ações dos usuários, constituindo-se em ótimas fontes de informação para auditorias futuras. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitários, quando foi feito o acesso e que tipo de operações foram efetuadas.

Utilitários e sistema operacional

O acesso a utilitários, como editores, compiladores, softwares de manutenção, monitoração e diagnóstico deve ser restrito, já que essas ferramentas podem ser usadas para alterar aplicativos, arquivos de dados e de configuração do sistema operacional, por exemplo. O sistema operacional é sempre um alvo bastante visado, pois sua configuração é o ponto-chave de todo o esquema de segurança. A fragilidade do sistema operacional compromete

10

Arquivos de senha

Aplicativos (programas fonte e objeto)

Um invasor ou usuário não autorizado pode tentar acessar o sistema, apagar ou alterar dados, acessar aplicativos, alterar a configuração do sistema operacional para facilitar futuras invasões, e depois alterar os arquivos de log para que suas ações não possam ser identificadas. Dessa forma, o administrador do sistema não ficará sabendo que houve uma invasão.

1.4 O que os controles de acesso lógico pretendem garantir em relação à segurança de informações?


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Os controles de acesso lógico são implantados com o objetivo de garantir que: apenas usuários autorizados tenham acesso aos recursos; os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas; o acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas; os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades. O controle de acesso pode ser traduzido, então, em termos de funções de identificação e autenticação de usuários; alocação, gerência e monitoramento de privilégios; limitação, monitoramento e desabilitação de acessos; e prevenção de acessos não autorizados.

1.5 Como os usuários são identificados e autenticados? Os usuários dos sistemas computacionais são identificados e autenticados durante um processo, chamado Logon. Os processos de logon são usados para conceder acesso aos dados e aplicativos em um sistema computacional, e orientam os usuários durante sua identificação e autenticação. Normalmente esse processo envolve a entrada de um ID (identificação do usuário) e de uma senha

(autenticação do usuário). A identificação define para o computador quem é o usuário e a senha é um autenticador, isto é, ela prova ao computador que o usuário é realmente quem ele diz ser. 1.5.1 Como deve ser projetado um processo de logon para ser considerado eficiente? O procedimento de logon deve divulgar o mínimo de informações sobre o sistema, evitando fornecer a um usuário não autorizado informações detalhadas. Um procedimento de logon eficiente deve: informar que o computador só deve ser acessado por pessoas autorizadas; evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído; durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usuário não autorizado a completar esse procedimento; validar a informação de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está correta ou incorreta, como, por exemplo, ID ou senha; limitar o número de tentativas de logon sem sucesso (é recomendado um máximo de três tentativas), e ainda:

11


TRIBUNAL DE CONTAS DA UNIÃO

a) registrar as tentativas de acesso inválidas; b) forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica; c) encerrar as conexões com o computador. limitar o tempo máximo para o procedimento de logon. Se excedido, o sistema deverá encerrar o procedimento; mostrar as seguintes informações, quando o procedimento de logon no sistema finalizar com êxito: a) data e hora do último logon com sucesso; b) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso. 1.5.2 O que é identificação do usuário? A identificação do usuário, ou ID, deve ser única, isto é, cada usuário deve ter uma identificação própria. Todos os usuários autorizados devem ter um ID, quer seja um código de caracteres, cartão inteligente ou qualquer outro meio de identificação. Essa unicidade de identificação permite um controle das ações praticadas pelos usuários através dos logs. No caso de identificação a partir de caracteres, é comum estabelecer certas regras de composição,

12

como, por exemplo, quantidade mínima e máxima de caracteres, misturando letras, números e símbolos. 1.5.3 O que é autenticação do usuário? Após a identificação do usuário, deve-se proceder à sua autenticação, isto é, o sistema deve confirmar se o usuário é realmente quem ele diz ser. Os sistemas de autenticação são uma combinação de hardware, software e de procedimentos que permitem o acesso de usuários aos recursos computacionais. Na autenticação, o usuário deve apresentar algo que só ele saiba ou possua, podendo até envolver a verificação de características físicas pessoais. A maioria dos sistemas atuais solicita uma senha (algo que, supostamente, só o usuário conhece), mas já existem sistemas mais modernos utilizando cartões inteligentes (algo que o usuário possui) ou ainda características físicas (algo intrínseco ao usuário), como o formato da mão, da retina ou do rosto, impressão digital e reconhecimento de voz. 1.5.4 Como orientar os usuários em relação às senhas? Para que os controles de senha funcionem, os usuários devem ter pleno conhecimento das políticas de senha da organização, e devem ser orientados e estimulados a segui-las fielmente. Todos os usuários devem ser solicitados a: manter a confidencialidade das senhas;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

não compartilhar senhas;

1.5.5 Que tipos de senhas devem ser evitadas?

evitar registrar as senhas em papel; selecionar senhas de boa qualidade, evitando o uso de senhas muito curtas ou muito longas, que os obriguem a escrevê-las em um pedaço de papel para não serem esquecidas (recomenda-se tamanho entre seis e oito caracteres); alterar a senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha; alterar a senha em intervalos regulares ou com base no número de acessos (senhas para usuários privilegiados devem ser alteradas com maior freqüência que senhas normais);

Os usuários devem evitar senhas compostas de elementos facilmente identificáveis por possíveis invasores, como por exemplo: nome do usuário; identificador do usuário (ID), mesmo que seus caracteres estejam embaralhados; nome de membros de sua família ou de amigos íntimos; nomes de pessoas ou lugares em geral; nome do sistema operacional ou da máquina que está sendo utilizada;

evitar reutilizar as mesmas senhas; nomes próprios; alterar senhas temporárias no primeiro acesso ao sistema; não incluir senhas em processos automáticos de acesso ao sistema (por exemplo, armazenadas em macros). Vale lembrar também que utilizar a mesma senha para vários sistemas não é uma boa prática, pois a primeira atitude de um invasor, quando descobre a senha de um usuário em um sistema vulnerável, é tentar a mesma senha em outros sistemas a que o usuário tem acesso.

datas; números de telefone, de car tão de crédito, de carteira de identidade ou de outros documentos pessoais; placas ou marcas de carro; palavras que constam de dicionários em qualquer idioma; letras ou números repetidos;

13


TRIBUNAL DE CONTAS DA UNIÃO

letras seguidas do teclado do computador (ASDFG, YUIOP); objetos ou locais que podem ser vistos a partir da mesa do usuário (nome de um livro na estante, nome de uma loja vista pela janela); qualquer senha com menos de seis caracteres. Alguns softwares são capazes de identificar senhas frágeis, como algumas dessas citadas acima, a partir de bases de dados de nomes e seqüências de caracteres mais comuns, e ainda bloquear a escolha dessas senhas por parte do usuário. Essas bases de dados normalmente fazem parte do pacote de software de segurança, e podem ser atualizadas pelo gerente de segurança com novas inclusões. 1.5.6 Como escolher uma boa senha? Geralmente são consideradas boas senhas aquelas que incluem, em sua composição, letras (maiúsculas e minúsculas), números e símbolos embaralhados, totalizando mais de seis caracteres. Porém, para ser boa mesmo, a senha tem de ser difícil de ser adivinhada por outra pessoa, mas de fácil memorização, para que não seja necessário anotá-la em algum lugar. Também é conveniente escolher senhas que possam ser digitadas rapidamente, dificultando que outras pessoas, a uma certa distância ou por cima de seus ombros, possam identificar a seqüência de caracteres.

14

Um método bastante difundido é selecionar uma frase significativa para o usuário e utilizar os primeiros caracteres de cada palavra que a compõe, inserindo símbolos entre eles. É também recomendável não utilizar a mesma senha para vários sistemas. Se um deles não for devidamente protegido, a senha poderá ser descoberta e utilizada nos sistemas que, a priori, estariam seguros. Outro conselho: adquira o hábito de trocar sua senha com freqüência. Trocá-la a cada sessenta, noventa dias é considerada uma boa prática. Se você realmente não conseguir memorizar sua senha e tiver que escrevê-la em algum pedaço de papel, tenha pelo menos o cuidado de não identificá-la como sendo uma senha. Não pregue esse pedaço de papel no próprio computador, não guarde a senha junto com a sua identificação de usuário, e nunca a envie por e-mail ou a armazene em arquivos do computador. 1.5.7 Como deve ser feita a concessão de senhas aos usuários? A concessão de senhas deve ser feita de maneira formal, considerando os seguintes pontos: solicitar aos usuários a assinatura de uma declaração, a fim de manter a confidencialidade de sua senha pessoal (isso pode estar incluso nos termos e condições do contrato de trabalho do usuário);


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

garantir, aos usuários, que estão sendo fornecidas senhas iniciais seguras e temporárias, forçando-os a alterá-las imediatamente no primeiro logon. O fornecimento de senhas temporárias, nos casos de esquecimento por parte dos usuários, deve ser efetuado somente após a identificação positiva do respectivo usuário; fornecer as senhas temporárias aos usuários de forma segura. O uso de terceiros ou de mensagens de correio eletrônico desprotegidas (não criptografadas) deve ser evitado. 1.5.8 O que a instituição pode fazer para proteger e controlar as senhas de acesso a seus sistemas? O sistema de controle de senhas deve ser configurado para proteger as senhas armazenadas contra uso não autorizado, sem apresentá-las na tela do computador, mantendo-as em arquivos criptografados e estipulando datas de expiração (normalmente se recomenda a troca de senhas após 60 ou 90 dias). Alguns sistemas, além de criptografar as senhas, ainda guardam essas informações em arquivos escondidos que não podem ser vistos por usuários, dificultando, assim, a ação dos hackers. Para evitar o uso freqüente das mesmas senhas, o sistema de controle de senhas deve manter um histórico das últimas senhas utilizadas por cada usuário. Deve-se ressaltar, entretanto, que a

troca muito freqüente de senhas também pode confundir o usuário, que poderá passar a escrever a senha em algum lugar visível ou escolher uma senha mais fácil, comprometendo, assim, sua segurança. O gerente de segurança deve desabilitar contas inativas, sem senhas ou com senhas padronizadas. Até mesmo a senha temporária fornecida ao usuário pela gerência de segurança deve ser gerada de forma que já entre expirada no sistema, exigindo uma nova senha para os próximos logons. Portanto, deve haver um procedimento que force a troca de senha imediatamente após a primeira autenticação, quando o usuário poderá escolher a senha que será utilizada dali por diante. Ex-funcionários devem ter suas senhas bloqueadas. Para isso, devem existir procedimentos administrativos eficientes que informem o gerente de segurança, ou o administrador dos sistemas, da ocorrência de demissões ou de desligamentos de funcionários. Esses procedimentos, na prática, nem sempre são seguidos, expondo a organização a riscos indesejáveis. Também devem ser bloqueadas contas de usuários após um determinado número de tentativas de acesso sem sucesso. Esse procedimento diminui os riscos de alguém tentar adivinhar as senhas. Atingido esse limite, só o administrador do sistema poderá desbloquear a conta do usuário, por exemplo.

15


TRIBUNAL DE CONTAS DA UNIÃO

1.5.9 Existem outras formas de autenticação do usuário, além do uso de senhas? Sim. A autenticação dos usuários pode ser feita a partir de tokens, ou ainda, de sistemas biométricos. 1.5.10 O que são tokens? A idéia de fornecer tokens aos usuários como forma de identificá-los é bastante antiga. No nosso dia-a-dia, estamos freqüentemente utilizando tokens para acessar alguma coisa. As chaves que abrem a porta da sua residência ou seu cartão com tarja magnética para utilizar o caixa eletrônico do banco são exemplos de tokens. O cartão magnético é ainda uma token especial, pois guarda outras informações, como, por exemplo, a sua conta bancária. Token pode ser definida, então, como um objeto que o usuário possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto. A desvantagem das tokens em relação às senhas é que essas, por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade. 1.5.11 O que são cartões magnéticos inteligentes? Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória suficiente para armazenar dados, a fim de dificultar sua utilização por outras pessoas que não seus proprietários legítimos.

16

O primeiro cartão inteligente, patenteado em 1975, foi o de Roland Moreno, considerado o pai do cartão inteligente. Comparado ao cartão magnético, que é um simples dispositivo de memória, o cartão inteligente não só pode armazenar informações para serem lidas, mas também é capaz de processar informações. Sua clonagem é mais difícil e a maioria dos cartões inteligentes ainda oferece criptografia. Normalmente o usuário de cartão inteligente precisa fornecer uma senha à leitora de cartão para que o acesso seja permitido, como uma medida de proteção a mais contra o roubo de cartões. As instituições bancárias, financeiras e governamentais são os principais usuários dessa tecnologia, em função de seus benefícios em relação à segurança de informações e pela possibilidade de redução de custos de instalações e de pessoal, como, por exemplo, a substituição dos guichês de atendimento ao público nos bancos por caixas eletrônicos. Os cartões inteligentes têm sido usados em diversas aplicações: cartões bancários, telefônicos e de crédito, dinheiro eletrônico, segurança de acesso, carteiras de identidade. 1.5.12 O que são sistemas biométricos? Os sistemas biométricos são sistemas automáticos de verificação de identidade baseados em características físicas do usuário. Esses sistemas têm como objetivo suprir deficiências de segurança das senhas, que podem ser reveladas ou descobertas, e das tokens, que podem ser perdidas ou roubadas.


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Os sistemas biométricos automáticos são uma evolução natural dos sistemas manuais de reconhecimento amplamente difundidos há muito tempo, como a análise grafológica de assinaturas, a análise de impressões digitais e o reconhecimento de voz. Hoje já existem sistemas ainda mais sofisticados, como os sistemas de análise da conformação dos vasos sangüíneos na retina. 1.5.13 Que características humanas podem ser verificadas por sistemas biométricos? Teoricamente, qualquer característica humana pode ser usada como base para a identificação biométrica. Na prática, entretanto, existem algumas limitações. A tecnologia deve ser capaz de medir determinada característica de tal forma que o indivíduo seja realmente único, distinguindo inclusive gêmeos, porém não deve ser invasiva ou ferir os direitos dos indivíduos. Um dos problemas enfrentados pelos sistemas biométricos atuais é sua alta taxa de erro, em função da mudança das características de uma pessoa com o passar dos anos, ou devido a problemas de saúde ou o próprio nervosismo, por exemplo. A tolerância a erros deve ser estabelecida com precisão, de forma a não ser grande o suficiente para admitir impostores, nem pequena demais a ponto de negar acesso a usuários legítimos. Abaixo serão apresentadas algumas características humanas verificadas por sistemas biométricos existentes:

Impressões digitais – são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são armazenados de 40 a 60 pontos para verificar uma identidade. O sistema compara a impressão lida com impressões digitais de pessoas autorizadas, armazenadas em sua base de dados. Atualmente, estão sendo utilizadas impressões digitais em alguns sistemas governamentais, como, por exemplo, o sistema de previdência social na Espanha e o de registro de eleitores na Costa Rica; Voz – os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são tão confiáveis como as impressões digitais, em função dos erros causados por ruídos do ambiente e de problemas de garganta ou nas cordas vocais das pessoas a eles submetidas; Geometria da mão – também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou diminuição de peso ou pela artrite; Configuração da íris e da retina – os sistemas que utilizam essas características se propõem a efetuar identificação mais confiável do que os sistemas que verificam impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz aos olhos das pessoas que se submetem à sua identificação; Reconhecimento facial através de termogramas - o termograma facial é uma

17


TRIBUNAL DE CONTAS DA UNIÃO

imagem captada por uma câmera infravermelha que mostra os padrões térmicos de uma face. Essa imagem é única e, combinada com algoritmos sofisticados de comparação de diferentes níveis de temperatura distribuídos pela face, constitui-se em uma técnica não-invasiva, altamente confiável, não sendo afetada por alterações de saúde, idade ou temperatura do corpo. São armazenados ao todo 19.000 pontos de identificação, podendo distinguir gêmeos idênticos, mesmo no escuro. O desenvolvimento dessa tecnologia tem como um de seus objetivos baratear seu custo para que possa ser usada em um número maior de aplicações de identificação e de autenticação.

1.6 Como restringir o acesso aos recursos informacionais? O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se implementar um controle específico, restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Esse controle pode ser feito por menus, funções ou arquivos. 1.6.1 Para que servem os controles de menu? Os controles de menu podem ser usados para restringir o acesso de diferentes categorias de usuários apenas àqueles aplicativos ou utilitários indispensáveis a cada categoria.

18

Por exemplo, em um sistema de folha de pagamento, poderá ser apresentado um menu inicial com três opções diferentes: funcionário, gerente e setor de recursos humanos. Nesse caso, o administrador do sistema deverá conceder acesso a cada uma das opções de acordo com a função desempenhada pelo usuário. Portanto, o funcionário só terá acesso a dados da sua folha de pagamento pessoal, enquanto que o gerente poderá ter acesso a algumas informações da folha de seus funcionários. O setor de recursos humanos, para poder alimentar a base de dados de pagamento, obterá um nível diferente de acesso e sua interação com o sistema será feita a partir de menus próprios para a administração de pessoal. Os menus apresentados após a seleção de uma das opções (funcionário, gerente ou setor de recursos humanos) serão, portanto, diferentes. 1.6.2 Para que servem os controles de funções de aplicativos? No que diz respeito às funções internas dos aplicativos, os respectivos proprietários deverão definir quem poderá acessá-las e como, por meio de autorização para uso de funções específicas ou para restrição de acesso a funções de acordo com o usuário (menus de acesso predefinidos), horário ou tipo de recursos (impressoras, fitas backup). 1.6.3 Como proteger arquivos? A maioria dos sistemas operacionais possui mecanismos de controle de acesso que definem


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

as permissões e os privilégios de acesso para cada recurso ou arquivo no sistema. Quando um usuário tenta acessar um recurso, o sistema operacional verifica se as definições de acesso desse usuário e do recurso desejado conferem. O usuário só conseguirá o acesso se essa verificação for positiva. Para garantir a segurança lógica, pode-se especificar dois tipos de controle, sob óticas diferentes: O que um sujeito pode fazer; ou O que pode ser feito com um objeto. 1.6.4 O que são direitos e permissões de acesso? Definir direitos de acesso individualmente para cada sujeito e objeto pode ser uma maneira um tanto trabalhosa quando estiverem envolvidas grandes quantidades de sujeitos e objetos. A forma mais comum de definição de direitos de acesso, nesse caso, é a matriz de controle de acesso. Nessa matriz pode-se fazer duas análises: uma em relação aos sujeitos; outra, em relação aos objetos. Na primeira abordagem, cada sujeito recebe uma permissão (ou capacidade) que define todos os seus direitos de acesso. As permissões de acesso são, então, atributos, associados a um sujeito ou objeto, que definem o que ele pode ou não fazer com outros objetos. Essa abordagem, no entanto, é pouco utilizada, já que, na prática, com grandes

quantidades de sujeitos e objetos, a visualização exata de quem tem acesso a um determinado objeto não é tão clara, comprometendo, assim, a gerência de controle de acesso. Na segunda abordagem, os direitos de acesso são armazenados com o próprio objeto formando a chamada lista de controle de acesso (Access Control List (ACL)). 1.6.5 O que são listas de controle de acesso? Enquanto a permissão de acesso define o que um objeto pode ou não fazer com outros, a lista de controle de acesso define o que os outros objetos ou sujeitos podem fazer com o objeto a ela associado. As listas de controle de acesso nada mais são do que bases de dados, associadas a um objeto, que descrevem os relacionamentos entre aquele objeto e outros, constituindo-se em um mecanismo de garantia de confidencialidade e integridade de dados. A definição das listas de controle de acesso deve ser sempre feita pelos proprietários dos recursos, os quais determinam o tipo de proteção adequada a cada recurso e quem efetivamente terá acesso a eles. A gerência das listas de controle de acesso, na prática, também é complicada. Para reduzir os problemas de gerenciamento dessas listas e o espaço de memória ou disco por elas ocupado, costuma-se agrupar os sujeitos com características semelhantes ou direitos de acesso iguais. Dessa forma, os direitos de acesso são associados a

19


TRIBUNAL DE CONTAS DA UNIÃO

grupos, e não a sujeitos individualizados. Vale ressaltar que um sujeito pode pertencer a um ou mais grupos, de acordo com o objeto a ser acessado.

1.7 Como monitorar o acesso aos recursos informacionais? O monitoramento dos sistemas de informação é feito, normalmente, pelos registros de log, trilhas de auditoria ou outros mecanismos capazes de detectar invasões. Esse monitoramento é essencial à equipe de segurança de informações, já que é praticamente impossível eliminar por completo todos os riscos de invasão por meio da identificação e autenticação de usuários. Na ocorrência de uma invasão, falha do sistema ou atividade não autorizada, é imprescindível reunir evidências suficientes para que possam ser tomadas medidas corretivas necessárias ao restabelecimento do sistema às suas condições normais, assim como medidas administrativas e/ ou judiciais para investigar e punir os invasores. A forma mais simples de monitoramento é a coleta de informações, sobre determinados eventos, em arquivos históricos, mais conhecidos como logs. Com essas informações, a equipe de segurança é capaz de registrar eventos e de detectar tentativas de acesso e atividades não autorizadas após sua ocorrência. 1.7.1 O que são logs?

20

Os logs são registros cronológicos de atividades do sistema que possibilitam a reconstrução, revisão e análise dos ambientes e das atividades relativas a uma operação, procedimento ou evento, acompanhados do início ao fim. Os logs são utilizados como medidas de detecção e monitoramento, registrando atividades, falhas de acesso (tentativas frustradas de logon ou de acesso a recursos protegidos) ou uso do sistema operacional, utilitários e aplicativos, e detalhando o que foi acessado, por quem e quando. Com os dados dos logs, pode-se identificar e corrigir falhas da estratégia de segurança. Por conterem informações essenciais para a detecção de acesso não autorizado, os arquivos de log devem ser protegidos contra alteração ou destruição por usuários ou invasores que queiram encobrir suas atividades. 1.7.2 O que deve ser registrado em logs? Devido à grande quantidade de dados armazenada em logs, deve-se levar em consideração que seu uso pode degradar o desempenho dos sistemas. Sendo assim, é aconselhável balancear a necessidade de registro de atividades críticas e os custos, em termos de desempenho global dos sistemas. Normalmente, os registros de log incluem: identificação dos usuários; datas e horários de entrada (logon) e saída do sistema (logoff);


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

identificação da estação de trabalho e, quando possível, sua localização;

bloqueio (por exemplo, proteção de tela com senha);

registros das tentativas de acesso (aceitas e rejeitadas) ao sistema;

no caso de terminal conectado a computador de grande porte, efetuar a desconexão quando a sessão for finalizada (não apenas desligar o terminal, mas utilizar o procedimento para desconexão).

registros das tentativas de acesso (aceitas e rejeitadas) a outros recursos e dados. Ao definir o que será registrado, é preciso considerar que quantidades enormes de registros podem ser inviáveis de serem monitoradas. Nada adianta ter um log se ele não é periodicamente revisado. Para auxiliar a gerência de segurança na árdua tarefa de análise de logs, podem ser previamente definidas trilhas de auditoria mais simples e utilizados softwares especializados disponíveis no mercado, específicos para cada sistema operacional.

1.8 Outros controles de acesso lógico Outro recurso de proteção bastante utilizado em alguns sistemas é o time-out automático, isto é, a sessão é desativada após um determinado tempo sem qualquer atividade no terminal ou computador. Para restaurá-la, o usuário é obrigado a fornecer novamente seu ID e senha. Em alguns sistemas operacionais, o próprio usuário, após sua habilitação no processo de logon, pode ativar e desativar essa função de time-out. Nesse sentido, os usuários devem ser orientados a: encerrar as sessões ativas, a menos que elas possam ser protegidas por mecanismo de

Como controle de acesso lógico, a gerência de segurança pode ainda limitar o horário de uso dos recursos computacionais de acordo com a real necessidade de acesso aos sistemas. Pode-se, por exemplo, desabilitar o uso dos recursos nos fins de semana ou à noite. É usual também limitar a quantidade de sessões concorrentes, impedindo que o usuário consiga entrar no sistema ou na rede a partir de mais de um terminal ou computador simultaneamente. Isso reduz os riscos de acesso ao sistema por invasores, pois se o usuário autorizado já estiver conectado, o invasor não poderá entrar no sistema. Da mesma forma, se o invasor estiver logado, o usuário autorizado, ao tentar se conectar, identificará que sua conta já está sendo usada e poderá notificar o fato à gerência de segurança.

1.9 Onde as regras de controle de acesso são definidas? As regras de controle e direitos de acesso para cada usuário ou grupo devem estar claramente definidas no documento da política de controle de acesso da instituição, o qual deverá ser fornecido aos usuários e provedores de serviço para que

21


TRIBUNAL DE CONTAS DA UNIÃO

tomem conhecimento dos requisitos de segurança estabelecidos pela gerência.

1.9.2 Que cuidados devem ser tomados na definição das regras de controle de acesso?

1.9.1 O que considerar na elaboração da política de controle de acesso?

Ao especificar as regras de controle de acesso, devem ser considerados os seguintes aspectos:

A política de controle de acesso deve levar em conta:

diferenciar regras que sempre devem ser cumpridas das regras opcionais ou condicionais;

os requisitos de segurança de aplicações específicas do negócio da instituição; a identificação de toda informação referente às aplicações de negócio;

estabelecer regras baseadas na premissa “ Tu d o d e v e s e r p r o i b i d o a m e n o s q u e expressamente permitido” ao invés da regra “Tudo é permitido a menos que expressamente proibido”;

as políticas para autorização e distribuição de informação (por exemplo, a necessidade de conhecer os princípios e níveis de segurança, bem como a classificação da informação);

diferenciar as permissões de usuários que são atribuídas automaticamente por um sistema de informação daquelas atribuídas por um administrador;

a compatibilidade entre o controle de acesso e as políticas de classificação da informação dos diferentes sistemas e redes;

priorizar regras que necessitam da aprovação de um administrador antes da liberação daquelas que não necessitam de tal aprovação.

a legislação vigente e qualquer obrigação contratual, considerando a proteção do acesso a dados ou serviços;

1.9.3 Que tipo de regras de controle de acesso devem ser formalizadas na política?

o perfil de acesso padrão para categorias de usuários comuns;

O acesso aos sistemas de informação deve ser controlado por um processo formal, o qual deverá abordar, entre outros, os seguintes tópicos:

o gerenciamento dos direitos de acesso em todos os tipos de conexões disponíveis em um ambiente distribuído conectado em rede.

utilização de um identificador de usuário (ID) único, de forma que cada usuário possa ser identificado e responsabilizado por suas ações;

22


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

verificação se o usuário obteve autorização do proprietário do sistema de informação ou serviço para sua utilização; verificação se o nível de acesso concedido ao usuário está adequado aos propósitos do negócio e consistente com a política de segurança da organização; fornecimento, aos usuários, de documento escrito com seus direitos de acesso. Os usuários deverão assinar esse documento, indicando que entenderam as condições de seus direitos de acesso; manutenção de um registro formal de todas as pessoas cadastradas para usar cada sistema de informações; remoção imediata dos direitos de acesso de usuários que mudarem de função ou saírem da organização; verificação periódica da lista de usuários, com intuito de remover usuários inexistentes e IDs em duplicidade; inclusão de cláusulas nos contratos de funcionários e prestadores de ser viço, que especifiquem as sanções a que estarão sujeitos em caso de tentativa de acesso não autorizado.

1.10 Quem é o responsável pelos controles de acesso lógico?

A responsabilidade sobre os controles de acesso lógico pode ser tanto do gerente do ambiente operacional como dos proprietários (ou gerentes) de aplicativos. O gerente do ambiente operacional deve controlar o acesso à rede, ao sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. É responsável, assim, por proteger os recursos do sistema contra invasores ou funcionários não autorizados. Enquanto isso, os proprietários dos aplicativos são responsáveis por seu controle de acesso, identificando quem pode acessar cada um dos sistemas e que tipo de operações pode executar. Por conhecerem bem o sistema aplicativo sob sua responsabilidade, os proprietários são as pessoas mais indicadas para definir privilégios de acesso de acordo com as reais necessidades dos usuários. Dessa forma, as responsabilidades sobre segurança de acesso são segregadas entre o gerente do ambiente operacional de informática e os gerentes de aplicativos.

1.11 Em que os usuários podem ajudar na implantação dos controles de acesso lógico? A cooperação dos usuários autorizados é essencial para a eficácia da segurança. Os usuários devem estar cientes de suas responsabilidades para a manutenção efetiva dos controles de acesso, considerando, particularmente, o uso de senhas e a segurança dos equipamentos de informática que costumam utilizar.

23


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

2. Política de Segurança de Informações Neste Capítulo serão apresentados conceitos relativos à política de segurança de informações, bem como questões que demonstram a importância de sua elaboração, implementação e divulgação.

pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não-violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.

2.1 O que visa a segurança de informações?

2.1.2 O que é confidencialidade de informações?

A segurança de informações visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela organização. A integridade, a confidencialidade e a autenticidade de informações estão intimamente relacionadas com os controles de acesso abordados no Capítulo 1.

Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.

2.1.1 O que é integridade de informações? 2.1.3 O que é autenticidade de informações? Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos

Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.

25


TRIBUNAL DE CONTAS DA UNIÃO

2.1.4 O que é disponibilidade de informações? Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem de direito.

2.2 Por que é importante zelar pela segurança de informações? Porque a informação é um ativo muito importante para qualquer organização, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, nãodisponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da organização perante terceiros, como também o andamento dos próprios processos organizacionais. É possível inviabilizar a continuidade de uma organização se não for dada a devida atenção à segurança de suas informações.

2.3 O que é política de segurança de informações - PSI? Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser

26

obser vado pelo corpo técnico e gerencial e pelos usuários internos e externos. As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações.

2.4 Quem são os responsáveis por elaborar a PSI? É recomendável que na estr utura da organização exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança. Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da organização.

2.5 Que assuntos devem ser abordados na PSI? A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e pelos recursos computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral. O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como: definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações; declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;

políticas de controle de acesso a recursos e sistemas computacionais; classificação das informações (de uso irrestrito, interno, confidencial e secretas); procedimentos de prevenção e detecção de vírus; princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais); princípios de super visão constante das tentativas de violação da segurança de informações;

objetivos de segurança da organização;

conseqüências de violações de normas estabelecidas na política de segurança;

definição de responsabilidades gerais na gestão de segurança de informações;

princípios de gestão da continuidade do negócio;

orientações sobre análise e gerência de riscos;

plano de treinamento em segurança de informações.

princípios de conformidade dos sistemas computacionais com a PSI;

2.6 Qual o nível de profundidade que os assuntos abordados na PSI devem ter?

padrões mínimos de qualidade que esses sistemas devem possuir;

A política de segurança de informações deve conter princípios, diretrizes e regras genéricos e

27


TRIBUNAL DE CONTAS DA UNIÃO

amplos, para aplicação em toda a organização. Além disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicável e de fácil aceitação. A complexidade e extensão exageradas da PSI pode levar ao fracasso de sua implementação. Cabe destacar que a PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares. A demais, quando a organização achar conveniente e necessário que sua PSI seja mais abrangente e detalhada, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação. Esses documentos costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e, normalmente, são atualizados com maior freqüência. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias, sistemas ou recursos.

reais necessidades. O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem-sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção. Muita atenção deve ser dada às duas últimas etapas, haja vista ser comum sua nãoobservância. Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam ter cumprido o dever e esquecem da importância da divulgação e atualização da PSI. De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI: identificação dos recursos críticos; classificação das informações; definição, em linhas gerais, dos objetivos de segurança a serem atingidos; análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos); elaboração de proposta de política;

2.7 Como se dá o processo de implantação da PSI? O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às

28

discussões abertas com os envolvidos; apresentação de documento formal à gerência superior; aprovação;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

publicação; divulgação; treinamento; implementação; avaliação e identificação das mudanças necessárias; revisão.

2.8 Qual o papel da alta administração na elaboração e implantação da PSI? O sucesso da PSI está diretamente relacionado com o envolvimento e a atuação da alta administração. Quanto maior for o comprometimento da gerência superior com os processos de elaboração e implantação da PSI, maior a probabilidade de ela ser efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

2.9 A quem deve ser divulgada a PSI? A divulgação ampla a todos os usuários inter nos e e xter nos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão

afetados por ela. É necessário que fique bastante claro, para todos, as conseqüências advindas do uso inadequado dos sistemas computacionais e de informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação básica aos agentes envolvidos de como agir corretamente para atender às regras nela estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.

2.10 O que fazer quando a PSI for violada? A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com sua severidade, amplitude e tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial. A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública. O novo art. 313A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas, contidas ou não nos bancos de dados da Administração Pública. O fornecimento

29


TRIBUNAL DE CONTAS DA UNIÃO

ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal. Neste tópico, fica ainda mais evidente a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de conhecimento de todos da organização, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrarse da culpa sobre violações cometidas. Quando detectada uma violação, é preciso averiguar suas causas, conseqüências e circunstâncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades, até então desconhecidas pelo pessoal da gerência de segurança, passem a ser consideradas, exigindo, se for o caso, alterações na PSI.

2.11 Uma vez definida, a PSI pode ser alterada? A PSI não só pode ser alterada, como deve passar por processo de revisão definido e periódico que garanta sua reavaliação a qualquer mudança que venha afetar a análise de risco original, tais como: incidente de segurança significativo, novas vulnerabilidades, mudanças organizacionais ou na infra-estrutura tecnológica. Além disso, deve haver análise periódica da efetividade da política,

30

demonstrada pelo tipo, volume e impacto dos incidentes de segurança registrados. É desejável, também, que sejam avaliados o custo e o impacto dos controles na eficiência do negócio, a fim de que esta não seja comprometida pelo excesso ou escassez de controles. É importante frisar, ainda, que a PSI deve ter um gestor responsável por sua manutenção e análise crítica.

2.12 Existem normas sobre PSI para a Administração Pública Federal? O Decreto n.º 3.505, de 13 de junho de 2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da A dministração Pública Federal. Em linhas gerais, os objetivos traçados nessa PSI dizem respeito à necessidade de capacitação e conscientização das pessoas lotadas nos órgãos e entidades da Administração Pública Federal quanto aos aspectos de segurança da informação; e necessidade de elaboração e edição de instrumentos jurídicos, normativos e organizacionais que promovam a efetiva implementação da segurança da informação. Com relação às matérias que esses instrumentos devem versar, o Decreto menciona: padrões relacionados ao emprego dos produtos que incorporam recursos criptográficos; normas gerais para uso e comercialização dos recursos criptográficos;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados; nor mas relacionadas à emissão de certificados de conformidade; normas relativas à implementação dos sistemas de segurança da informação, com intuito de garantir a sua interoperabilidade, obtenção dos níveis de segurança desejados e permanente disponibilidade dos dados de interesse para a defesa nacional.

31


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

3. Plano de Contingências Neste Capítulo será apresentada a importância de definição de estratégias que permitam que uma instituição retorne à sua normalidade, em caso de acontecimento de situações inesperadas.

naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais.

3.1 O que é Plano de Contingências?

O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não sistemas computadorizados. Porém, para efeito desta cartilha, o Plano aplica-se às organizações que, em menor ou maior grau, dependem da tecnologia da informação, pois fazse referência aos riscos a que essa área está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.

Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a conseqüente prestação dos ser viços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de recuperação. Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres

3.2 Qual é a importância do Plano de Contingências? Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Contingências, pois se para fins de manutenção

33


TRIBUNAL DE CONTAS DA UNIÃO

de seus serviços, as organizações dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou a disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos. Por conseguinte, pode-se considerar o Plano de Contingências quesito essencial para as organizações preocupadas com a segurança de suas informações.

3.3 Qual é o objetivo do Plano de Contingências? O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de

34

serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas. Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

3.4 Como iniciar a elaboração do Plano de Contingências? Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns aspectos: riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação); conseqüências que poderão advir da interrupção de cada sistema computacional; identificação e priorização de recursos, sistemas, processos críticos; tempo limite para recuperação dos recursos, sistemas, processos; alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa.

3.5 Que assuntos devem ser abordados no Plano de Contingências?


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

De maneira geral, o Plano de Contingências contém informações sobre: condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por um incidente); procedimentos a serem seguidos imediatamente após a ocor rência de um desastre (como, por exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo local); a instalação reserva, com especificação dos bens de informática nela disponíveis, como hardware, software e equipamentos de telecomunicações; a escala de prioridade dos aplicativos, de acordo com seu grau de inter ferência nos resultados operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele será; arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente; sistema operacional, utilitários e recursos de telecomunicações necessários para assegurar o processamento dos aplicativos críticos, em grau pré-estabelecido;

documentação dos aplicativos críticos, sistema operacional e utilitários, bem como suprimentos de informática, ambos disponíveis na instalação reserva e capazes de garantir a boa execução dos processos definidos; dependência de recursos e serviços externos ao negócio; procedimentos necessários para restaurar os serviços computacionais na instalação reserva; pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é interessante definir suplentes, quando se julgar necessário); referências para contato dos responsáveis, sejam eles funcionários ou terceiros; organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração; contratos e acordos que façam parte do plano para recuperação dos ser viços, como aqueles efetuados com outros centros de processamento de dados.

3.6 Qual o papel da alta gerência na elaboração do Plano de Contingências? É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na verdade, este Plano é de responsabilidade direta

35


TRIBUNAL DE CONTAS DA UNIÃO

da alta gerência, é um problema corporativo, pois trata-se de estabelecimento de procedimentos que garantirão a sobrevivência da organização como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da organização e não à tecnologia da informação. A alta gerência deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Contingências. Este deve possuir, ainda, um responsável específico que esteja a frente das demandas, negociações e tudo mais que se fizer necessário. Provavelmente, a alta gerência será demandada a firmar acordos de cooperação com outras organizações, assinar contratos orientados para a recuperação dos serviços, entre outros atos. Há de ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta gerência o orçamento a ser disponibilizado para garantir a exeqüibilidade do Plano de Contingências, ou seja, para possibilitar, além da sua implementação, sua manutenção, treinamento e testes. Diante dos fatos anteriormente abordados, fica evidente a necessidade precípua de envolvimento da alta gerência com todo processo que garantirá o sucesso de implantação do Plano de Contingências.

36

3.7 Como garantir que o Plano funcionará como esperado? É possível citar três formas de garantir a eficácia do Plano de Contingências: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua. 3.7.1 Como deve ser realizado o treinamento e a conscientização das pessoas? É essencial o desenvolvimento de atividades educativas e de conscientização que visem ao perfeito entendimento do processo de continuidade de serviços e que garantam, por conseguinte, a efetividade do Plano de Contingências. Cada funcionário envolvido com o processo de continuidade de serviços, especialmente aqueles componentes de equipes com responsabilidades específicas em caso de contingências, deve ter em mente as atividades que deve desempenhar em situações emergenciais. O treinamento deve ser teórico e prático, inclusive com simulações. Além do treinamento, a conscientização pode ser feita de outras formas, como distribuição de folhetos e promoção de palestras informativas e educativas sobre possíveis acidentes e respectivos planos de recuperação. Por fim, vale salientar que um programa de educação continuada que faça com que as pessoas envolvidas sintam-se como participantes ativos do programa de segurança é a melhor maneira de alcançar o sucesso esperado.


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

3.7.2 Por que o Plano de Contingências deve ser testado? Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas possuam conhecimento do Plano.

de emergência relacionados devem ser ajustados de forma apropriada. Diversas situações podem demandar atualizações no Plano, tais como as mudanças: no parque ou ambiente computacional (ex.: aquisição de novo equipamento, atualização de sistemas operacionais, migração de sistemas de grande porte para ambiente cliente-servidor); administrativas, de pessoas envolvidas e responsabilidades; de endereços ou números telefônicos;

Deve existir uma programação que especifique quando e como o Plano de Contingências deverá ser testado. Ele pode ser testado na sua totalidade, caracterizando uma situação bem próxima da realidade; pode ser testado parcialmente, quando se restringem os testes a apenas um conjunto de procedimentos, atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulações, quando ocorre representações de situação emergencial. A partir da avaliação dos resultados dos testes, é possível reavaliar o Plano, alterá-lo e adequá-lo, se for o caso. 3.7.3 Que fatos podem provocar a necessidade de atualização do Plano de Contingências? Mudanças que tenham ocorrido e que não estejam contempladas no Plano de Contingências devem gerar atualizações. Quando novos requisitos forem identificados, os procedimentos

de estratégia de negócio; na localização e instalações; na legislação; em prestadores de serviço, fornecedores e clientes-chave; de processos (inclusões e exclusões); no risco (operacional e financeiro). Como demonstrado, as atualizações regulares do Plano de Contingências são de importância fundamental para alcançar a sua efetividade. Deve existir uma programação que especifique a forma de se proceder à manutenção do Plano. Procedimentos com essa finalidade podem ser incluídos no processo de gerência de mudanças a fim de que as questões relativas à continuidade

37


TRIBUNAL DE CONTAS DA UNIÃO

de negócios sejam devidamente tratadas. O controle formal de mudanças permite assegurar que o processo de atualização esteja distribuído e garantido por revisões periódicas do Plano como um todo. A responsabilidade pelas revisões e atualizações de cada parte do Plano deve ser definida e estabelecida.

38


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

4. TCU e a NBR ISO/IEC 17799

Neste capítulo será comentada a norma NBR ISO/IEC 17799 como ferramenta de auditoria de segurança da informação utilizada pelo Tribunal de Contas da União (TCU). A fim de facilitar as atividades, tanto de gestão quanto de auditoria de segurança da informação, serão explanadas as seções da norma e citados acórdãos e decisões do Tribunal que tratam, entre outros aspectos, de segurança da informação.

4.1 De que trata a NBR ISO/IEC 17799? A NBR ISO/IEC 17799, norma da Associação Brasileira de Normas Técnicas (ABNT), trata de técnicas de segurança em Tecnologia da Informação, e funciona como um código de prática para a gestão da segurança da informação. Essa norma foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados,

pela Comissão de Estudo de Segurança Física em Instalações de Informática, e é equivalente à norma ISO/IEC 17799.

4.2 Por que o TCU utiliza essa norma como padrão em suas auditorias de segurança da informação? Além do reconhecimento da ABNT, como instituição normalizadora brasileira, as instituições internacionais ISO (International Organization for Standardization) e IEC (International Eletrotechnical Commission), autoras da norma, são mundialmente reconhecidas por sua capacitação técnica. A norma ISO/IEC 17799, equivalente à norma brasileira, é amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, órgãos de governo, empresas públicas e privadas nacionais e internacionais atentas ao tema Segurança da Informação.

39


TRIBUNAL DE CONTAS DA UNIÃO

Os objetivos definidos nessa norma provêem diretrizes gerais sobre as práticas geralmente aceitas para a gestão da segurança da informação. Apesar de não ter força de lei, a NBR ISO/IEC 17799 configura-se como a melhor ferramenta de auditoria de segurança da informação disponível até a data de publicação deste Capítulo. Em seus acórdãos e decisões, o Tribunal já mencionou duas versões dessa norma: a mais recente, de 2005, e a anterior, de 2001.

4.3 Como está estruturada a NBR ISO/IEC 17799? A NBR ISO/IEC 17799, versão 2005, está dividida em 11 seções: a) Política de segurança da informação; b) Organizando a segurança da informação;

j) Gestão da continuidade do negócio; k) Conformidade.

4.4 De que trata a seção “Política de segurança da informação”? Essa seção orienta a direção no estabelecimento de uma política clara de segurança da informação, alinhada com os objetivos do negócio, com demonstração de seu apoio e comprometimento com a segurança da informação por meio da publicação, manutenção e divulgação da política para toda a organização. São fornecidas diretrizes para elaboração do documento e sua análise crítica.

4.5 Que acórdãos e decisões do TCU tratam, entre outros aspectos, de “Política de segurança da informação”?

c) Gestão de ativos; Acórdão 1092/2007 - Plenário d) Segurança em recursos humanos; e) Segurança física e do ambiente; f) Gestão das operações e comunicações; g) Controle de acessos; h) Aquisição, desenvolvimento e manutenção de sistemas de informação; i) Gestão de incidentes de segurança da informação;

40

9.1.2. elabore, aprove e divulgue Política de Segurança da Informação - PSI conforme o estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1; 9.1.4. crie mecanismos para que as políticas e normas de segurança da informação se tornem conhecidas, acessíveis e observadas por todos os funcionários e colaboradores da Empresa confor me o estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 71/2007 - Plenário 9.2.6. defina formalmente uma Política de Segurança da Informação - PSI - para o Infoseg, que forneça orientação e apoio para a segurança da informação da rede, promovendo-se ampla divulgação do documento para todos os usuários, de acordo com o previsto no item 5.1.1 da NBR ISO/IEC 17799:2005;

pelo Decreto nº 3.505/2000 e pelo Gabinete de Segurança Institucional da Presidência da República, conforme Decreto n. 5.408, de 1º/04/2005; 9.1.6. crie mecanismos para que as políticas e normas se tornem conhecidas, acessíveis e observadas por todos os servidores e prestadores de serviços do Ministério;

9.2.10. crie mecanismos para que as políticas e normas se tornem conhecidas, acessíveis e observadas por todos os usuários e gestores do Infoseg, de acordo com o previsto no item 5.1.1 da NBR ISO/IEC 17799:2005;

Acórdão 782/2004 – 1ª Câmara

Acórdão 562/2006 - Plenário

Acórdão 461/2004 - Plenário

9.2.1. desenvolva Plano de Tecnologia da Informação para ser utilizado no âmbito do Sistema Nacional de Transplantes (SNT) que contemple [...] o atendimento aos princípios de segurança da informação, preconizados no item 3.1 da Norma NBR ISO/IEC 17799:2001;

9.1.1. a concepção e implementação de uma política de segurança de informações formal e, preferencialmente, baseada nos ditames da norma NBR ISO/IEC 17799;

Acórdão 2023/2005 - Plenário

9.2 d) promova a aprovação de sua política de segurança da informação.

9.1.2. defina uma Política de Segurança da Informação, nos termos das orientações contidas no item 3 da NBR ISO/IEC 17799:2001, que estabeleça os princípios norteadores da gestão da segurança da informação no Ministério e que esteja integrada à visão, à missão, ao negócio e às metas institucionais, observando a regulamentação ou as recomendações porventura feitas pelo Comitê Gestor de Segurança da Informação instituído

9.4. [...] formalizem a política de segurança de informação do sistema informatizado de pagamento de pessoal [...];

Decisão 38/2003 - Plenário

Decisão 595/2002 - Plenário 8.1.23 b) elaborar e implantar política de segurança de informações, com abrangência nacional e vinculando os prestadores de serviços, prevendo um programa de conscientização dos usuários a respeito das responsabilidades inerentes ao acesso às informações e à utilização

41


TRIBUNAL DE CONTAS DA UNIÃO

dos recursos de TI, reavaliando as situações existentes, especialmente no tocante à segurança lógica e física; Decisão 918/2000 - Plenário 8.2.6.3. definir e implementar política formal de segurança lógica, consoante as diretrizes previstas no Projeto BRA/97-024, de cooperação técnica, [...] incluindo ações e procedimentos para disseminar a importância da segurança da informação para os funcionários da unidade, e estabelecer segregação de funções dentro do ambiente de informática, notadamente entre desenvolvimento, produção e administração de segurança lógica;

4.6 De que trata a seção “Organizando a segurança da informação”? Essa seção da norma orienta a direção de como gerenciar a segurança da informação dentro da organização e, ainda, de como manter a segurança de seus recursos de processamento da informação, que são acessados, processados, comunicados ou gerenciados por partes externas. São fornecidas diretrizes para definição de infraestrutura de segurança da informação, detalhando os itens: comprometimento da gerência, coordenação, atribuição de responsabilidades, processo de autorização para recursos de processamento da informação, acordos de confidencialidade, análise crítica independente, contato com autoridades e grupos de interesses

42

especiais. São fornecidas ainda diretrizes para o relacionamento com par tes externas, na identificação dos riscos relacionados e dos requisitos de segurança da informação necessários ao tratar com clientes e terceiros.

4.7 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Organização da segurança da informação”? Infra-estrutura da segurança da informação Acórdão 1092/2007 - Plenário 9.1.1. estabeleça responsabilidades internas quanto à segurança da informação conforme o estabelecido na NBR ISO/IEC 17799:2005, item 6.1.3; Acórdão 71/2007 - Plenário 9.2.5. estabeleça e identifique formalmente responsabilidades relativas às questões de segurança das informações do Infoseg, de acordo com o previsto no item 6.1.3 da NBR ISO/IEC 17799:2005; Acórdão 2023/2005 - Plenário 9.1.1. estabeleça institucionalmente as atribuições relativas à segurança da informação, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da NBR ISO/IEC 17779:2001 e o item PO4.6 do Cobit;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

9.1.13.6. obrigatoriedade de assinatura de Termo de Compromisso ou A cordo de Confidencialidade por parte dos prestadores de serviços, contendo declarações que permitam aferir que os mesmos tomaram ciência das normas de segurança vigentes no órgão;

c) assegurar que os procedimentos de “restart” sejam executados de maneira correta;

Acórdão 782/2004 - 1ª Câmara

e) investigar qualquer desvio dos procedimentos de entrada de dados pré-estabelecidos;

9.3.1. envide esforços para proceder à redefinição do regimento interno da unidade, de modo que fiquem claramente explicitadas suas atribuições, responsabilidades e poderes como gestor de segurança do sistema informatizado de pagamento de pessoal [...]; Acórdão 461/2004 - Plenário

d) monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar; e

8.3.3. quando de sua reestr uturação organizacional, atente para o posicionamento hierárquico da área de segurança física e lógica de sistemas, que deve constar em um nível superior, de forma a conter todas as funções de segurança delineadas como necessárias, estabelecendo, em conseqüência, segregação na execução das mesmas;

9.1.8. estudos com vistas à criação de uma gerência específica de segurança, preferencialmente vinculada à direção geral;

Decisão 918/2000 - Plenário

Decisão 1049/2000 - Plenário

8.2.6.2. realizar estudos com o objetivo de instituir setor ou gerência específica para segurança lógica na unidade;

8.1.7. estude a possibilidade de criação de um grupo de controle/segurança, na área de informática, que seja responsável por:

Partes externas Acórdão 71/2007 - Plenário

a) investigar e corrigir qualquer problema operacional em terminal, microcomputador ou outro dispositivo de entrada de dados; b) investigar qualquer ação de intervenção do operador;

9.2.21. formalize, junto à Agência Estadual de Tecnologia da Informação do Estado de Pernambuco - ATI -, um termo de compromisso que contemple de maneira específica a cópia das bases de dados do Infoseg que se encontra naquelas instalações, estabelecendo nele cláusulas

43


TRIBUNAL DE CONTAS DA UNIÃO

de sigilo e responsabilização pelo uso indevido dos equipamentos ou divulgação não autorizada dos dados; 9.4. [...] defina claramente, tanto nos editais de licitação como nos contratos, cláusulas contemplando requisitos de segurança da informação como os previstos no item 6.2.3 da NBR ISO/IEC 17799:2005; Acórdão 1663/2006 - Plenário 9.2.3. elabore o acordo de nível de serviço do Sipia; Acórdão 914/2006 - Plenário 9.1.1. firmem contrato com relação ao Programa do Fundo de Financiamento ao Estudante do Ensino Superior (Fies), devendo ser estabelecida nesse instrumento cláusula que disponha sobre a propriedade intelectual de programas, documentação técnica e dados do Sistema do Financiamento Estudantil (Sifes); 9.3.1. firmem Acordo de Nível de Serviço, ou documento correlato, em relação ao Sifes, contemplando as áreas envolvidas, em especial a de desenvolvimento do sistema, com o objetivo de estabelecer entendimento comum sobre a natureza dos serviços propostos e os critérios de medição de desempenho, devendo este acordo considerar elementos tais como:

44

9.3.1.1. participantes do acordo, funções e responsabilidades; 9.3.1.2. descrição detalhada dos serviços que serão prestados; 9.3.1.3. níveis de ser viços desejados e respectivos critérios de medição e indicadores, em termos de disponibilidade, confiabilidade, tempo de resposta, atendimento ao usuário (helpdesk), capacidade de crescimento, prazos para solicitação e atendimento de demandas (inclusive emergenciais), testes, homologação, segurança e outros que as partes julgarem necessários; 9.3.1.4. responsável pela medição dos serviços; 9.3.1.5. ações a serem tomadas quando da ocorrência de problemas na prestação dos serviços (ações corretivas, penalidades e outras); Acórdão 2085/2005 - Plenário 9.4.3. faça prever nos contratos de terceirização de serviços de desenvolvimento de software o repasse da respectiva tecnologia, incluindo toda a documentação do produto desenvolvido, com o intuito de se evitar a futura dependência do suporte e da manutenção desse produto, o que elevaria os custos da terceirização dessa atividade, bem como impedir que terceiros tenham acesso irrestrito aos sistemas desenvolvidos;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 2023/2005 - Plenário 9.1.13. inclua os seguintes requisitos de segurança em contratos de prestação de serviços e locação de mão-de-obra em Tecnologia da Informação que vierem a ser celebrados a partir da presente data, em atenção aos itens 4.2.2 e 4.3.1 da NBR ISO/IEC 17799:2001: 9.1.13.1. obrigatoriedade de aderência à Política de Segurança da Informação, à Política de Controle de Acesso, à Metodologia de Desenvolvimento de Sistemas e às outras normas de segurança da informação vigentes no Ministério; 9.1.13.2. A cordo de Nível de Ser viço, negociado entre os grupos de usuários e o fornecedor dos ser viços, com o objetivo de estabelecer um entendimento comum da natureza dos serviços propostos e critérios de medição de desempenho, que deverá conter, no mínimo, os seguintes elementos: participantes do acordo; descrição clara dos serviços e funcionalidades disponíveis, para contratos de prestação de serviços; descrição clara dos perfis profissionais desejados, para contratos de locação de mãode-obra; funções e responsabilidades; níveis de serviços desejados em termos de disponibilidade, prazos, desempenho, segurança, quantidade, qualidade e outros; indicadores de níveis de serviços; responsável pela medição dos serviços; ações a serem tomadas quando da ocorrência de problemas de mau desempenho (ações corretivas, penalidades financeiras e outras);

9.1.13.3. definição clara acerca da propriedade dos dados entregues pela Administração Pública a empresas contratadas, coletados por essas empresas em nome da Administração Pública ou produzidos por programas de computadores decorrentes de contratos de prestação de serviços; 9.1.13.4. definição acerca dos direitos de propriedade de programas, de acordo com a Lei n. 9.609/1998, de documentação técnica e forma de acesso a eles; se o contrato dispuser que programas e documentação técnica não pertencem à Administração Pública, o projeto básico deve apresentar a justificativa de tal escolha; caso contrário, o contrato deve estabelecer de que forma e em que prazo se dará o acesso aos mesmos, inclusive na ocorrência de fatos imprevisíveis ou de força maior; recomenda-se que se estabeleça, como data limite para entrega de programas fontes e documentação, a data de homologação dos mesmos; 9.1.13.5. obrigatoriedade de manter sigilo sobre o conteúdo de programas de computadores (fontes e executáveis), documentação e bases de dados; deve ser estabelecido um período durante o qual subsistirão as obrigações de manter sigilo; 9.1.13.6. obrigatoriedade de assinatura de Termo de Compromisso ou A cordo de Confidencialidade por parte dos prestadores de serviços, contendo declarações que permitam aferir que os mesmos tomaram ciência das normas de segurança vigentes no órgão;

45


TRIBUNAL DE CONTAS DA UNIÃO

9.1.13.7. garantia do direito de auditar, por parte da contratada e dos órgãos de controle, e forma de exercício deste direito; 9.4.4. adote cláusulas contratuais para assegurar que a documentação técnica, programas fontes e dados de sistemas regidos por contratos de prestação de serviços estejam acessíveis ao Ministério; Acórdão 441/2005 – 1ª Câmara 1.3 elabore o Acordo de Nível de Serviço do Sisfin; 1.4 inclua nas normas internas a obrigatoriedade da elaboração de Acordo de Nível de Serviço para os sistemas críticos; Decisão 295/2002 - Plenário 8.1.1 - quanto aos sistemas informatizados: a) revise os atuais critérios de habilitação de cadastradores do Sistema Integrado de Administração Patrimonial (SIAPA), sejam eles gerais, parciais ou locais, reavaliando a pertinência da existência de funcionários do Serviço Federal de Processamento de Dados (SERPRO) desempenhando esse papel; f) revise os atuais critérios de habilitação de cadastradores do Sistema do Patrimônio Imobiliário da União (SPIU), sejam eles gerais, parciais ou locais, lotados na SPU ou

46

não, reavaliando, entre outros aspectos, a pertinência da existência de funcionários de outros órgãos ou entidades, especialmente do SERPRO, que atualmente desempenham esse papel;

4.8 De que trata a seção “Gestão de ativos”? Essa seção da norma orienta a direção a alcançar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação seja classificada de acordo com seu nível adequado de proteção. São fornecidas diretrizes para realização de inventário dos ativos, definição de seus proprietários e regras para seu uso. Em relação à classificação da informação, a norma faz algumas recomendações e sugere a definição de procedimentos para rotulação e tratamento da informação.

4.9 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Gestão de ativos”? Responsabilidade pelos ativos Acórdão 1092/2007 - Plenário 9.1.3. inventarie os ativos de informação confor me o estabelecido na NBR ISO/IEC 17799:2005, itens 7.1.1 e 7.1.2, e estabeleça critérios para a classificação desses ativos conforme o estabelecido na NBR ISO/IEC 17799:2005, item 7.2;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 71/2007 - Plenário

Classificação da informação

9.2.19. formalize o inventário dos ativos do Infoseg, em conformidade com o previsto no item 7.1.1 da NBR ISO/IEC 17799:2005;

Acórdão 1092/2007 - Plenário

9.2.20 defina formalmente o proprietário de cada ativo constante do inventário acima, em conformidade com o item 7.1.2 da NBR ISO/IEC 17799:2005, atentando para a assinatura das cautelas que se fizerem necessárias;

9.1.3. inventarie os ativos de informação confor me o estabelecido na NBR ISO/IEC 17799:2005, itens 7.1.1 e 7.1.2, e estabeleça critérios para a classificação desses ativos conforme o estabelecido na NBR ISO/IEC 17799:2005, item 7.2; Acórdão 1832/2006 - Plenário

Acórdão 782/2004 - 1ª Câmara 9.3.2. adote providências para designar formalmente um membro [...] como gestor do sistema Siappes, e futuramente, do sistema Sispag; 9.3.5. formule [...] o inventário de ativos de informação, compreendendo a classificação do nível de confidencialidade de cada ativo e a definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa; Decisão 1049/2000 - Plenário

9.1.9 implemente critérios para a classificação e marcação de informações e documentos sigilosos; 9.2.11 - institua procedimento para atribuir grau de sigilo a todos os documentos que contenham, de algum modo, informações estratégicas e/ou privilegiadas, não importando a quem se destine, ou quem deterá a sua posse; Acórdão 2023/2005 - Plenário 9.1.4. crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, a teor do disposto pelo item 5 da NBR ISO/IEC 17799:2001;

8.4.1. adote medidas no sentido de viabilizar um controle efetivo dos equipamentos de hardware que compõem o parque computacional;

47


TRIBUNAL DE CONTAS DA UNIÃO

Acórdão 441/2005 – 1ª Câmara

Acórdão 782/2004 - 1ª Câmara

conscientes das ameaças relativas à segurança da informação e prontos para apoiar a política de segurança da informação da organização. São fornecidas diretrizes para definição de papéis e responsabilidades, inclusive da direção, seleção de pessoal, termos e condições de contratação, conscientização, educação e treinamento em segurança da informação, e processo disciplinar.

9.3.5. formule [...] o inventário de ativos de informação, compreendendo a classificação do nível de confidencialidade de cada ativo e a definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa;

Para os casos de encerramento ou mudança da contratação, são fornecidas diretrizes para encerramento de atividades, devolução de ativos e retirada de direitos de acesso. Essa seção abrange contratação temporária ou de longa duração de pessoas, nomeação e mudança de funções, atribuição de contratos e encerramento de qualquer uma dessas situações.

Acórdão 461/2004 - Plenário

4.11 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Segurança de recursos humanos”?

1.5 implemente a indicação de classificação das informações apresentadas nas telas e relatórios dos novos sistemas que estão em desenvolvimento em substituição ao Sisfin;

9.1.6. a classificação do nível de segurança e controle de acesso aos dados, no âmbito do Projeto “Repositório”;

Acórdão 2023/2005 - Plenário Decisão 1098/2002 - Plenário 8.3 [...] coordene a elaboração de metodologia para classificação das informações, nos termos do item 5.2 da Norma ISO/IEC 17799:2001.

9.1.3.4. identificação dos responsáveis pela guarda dos termos de compromisso assinados, além do tempo mínimo de armazenamento desses documentos, conforme propõem os itens 6.1.4 e 6.3.5 da NBR ISO/IEC 17799:2001;

4.10 De que trata a seção “Segurança em recursos humanos”?

Acórdão 782/2004 - 1ª Câmara

Essa seção da norma orienta a direção a assegurar que funcionários, fornecedores e terceiros compreendam suas responsabilidades, estejam

9.2.1. adote procedimentos formais de concessão e de validação periódica de senhas de usuários de sistemas informatizados, bem como

48


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

de cancelamento de acesso de usuários que são desligados da unidade;

SERPRO, inclusive pertencentes à equipe de manutenção do sistema;

9.2.4. e 9.3.4. adote um programa de treinamento específico para a área de segurança de sistemas, enfocando aspectos de segurança física e lógica, bem assim a reação dos funcionários frente à ocorrência de contingências que possam afetar a continuidade dos serviços;

Decisão 918/2000 – Plenário

Decisão 1098/2002 - Plenário

8.2.6.3. definir e implementar política formal de segurança lógica, consoante as diretrizes previstas no Projeto BRA/97-024, de cooperação técnica [...], incluindo ações e procedimentos para disseminar a importância da segurança da informação para os funcionários da unidade, e estabelecer segregação de funções dentro do ambiente de informática, notadamente entre desenvolvimento, produção e administração de segurança lógica;

8.2.6 automatização de procedimento de cancelamento de acessos e autorizações, no caso de mudança de situação do servidor; Decisão 295/2002 - Plenário 8.1.1 - quanto aos sistemas informatizados: b) reveja as habilitações de todos os usuários do SIAPA lotados na [...], reavaliando não apenas sua permanência na Secretaria, como também seu local de trabalho (gerência) e a pertinência dos níveis de acesso concedidos; d) estabeleça controle sistemático e oriente as Gerências Regionais [...] quanto à necessidade de exclusão de usuários do SIAPA, no Senha-Rede, quando das suas saídas da [..]; h) reveja as habilitações de todos os usuários do SPIU, lotados na [...] ou não, reavaliando sua permanência no órgão e a pertinência dos níveis de acesso concedidos, assim como os inúmeros acessos concedidos a funcionários lotados no

8.1.1 adote ações específicas de orientação aos gestores locais, quanto aos aspectos de segurança do IH/SUS, elaborando, se necessário, normas e cartilhas para tal mister;

4.12 De que trata a seção “Segurança física e do ambiente”? Essa seção da norma orienta a direção a prevenir acesso físico não autorizado, danos e interferências nas instalações e informações, assim como a impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. São fornecidas diretrizes para áreas seguras, incluindo perímetro de segurança física, controles de entrada física, segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente e acesso do público, áreas de entrega e carregamento.

49


TRIBUNAL DE CONTAS DA UNIÃO

Para a segurança de equipamentos, são dadas recomendações para instalação e proteção de equipamento, inclusive contra falta de energia elétrica e outras interrupções provocadas por falhas das utilidades, segurança do cabeamento, manutenção de equipamentos, segurança de equipamentos fora das dependências da organização, reutilização e alienação segura de equipamentos, e, por fim, remoção de propriedade.

Acórdão 1832/2006 - Plenário 9.2.9 - implemente medidas no sentido de garantir maior segurança às informações relativas à dívida, notadamente no que tange ao acesso de pessoas estranhas ou não autorizadas aos diversos recintos envolvidos com a operação da dívida pública, até que o “Projeto de Segurança” seja definitivamente implantado; Acórdão 2085/2005 - Plenário

4.13 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Segurança física e do ambiente”? Áreas seguras

9.4.1. não autorize o acesso de terceiros às áreas dos sistemas informatizados da empresa que possam possibilitar a execução de transações indevidas, de forma a evitar a sua exposição a um risco maior de fraudes;

Acórdão 71/2007 - Plenário

Acórdão 782/2004 - 1ª Câmara

9.2.17. estabeleça um perímetro de segurança nas instalações da gerência do Infoseg (barreiras tais como paredes, portões de entrada controlados por cartão ou balcão com recepcionista), em conformidade com o item 9.1.1 da NBR ISO/IEC 17799:2005;

9.3.7. formalize um esquema de segurança especial para guarda e manipulação das fitas, com a criação de um ambiente de acesso restrito para o seu armazenamento, visando garantir que a informação nelas contida não seja consultada ou alterada indevidamente;

9.2.18. realize as obras necessárias de forma que se constituam barreiras físicas suficientes nas instalações da gerência do Infoseg que impeçam o acesso de pessoas não autorizadas, em conformidade com a diretriz “b” do item 9.1.1 da NBR ISO/IEC 17799:2005;

Decisão 918/2000 - Plenário

50

8.2.6.10. adotar procedimentos de segurança física efetivos para prevenir o acesso de pessoas não autorizadas ao ambiente de processamento de dados (CPD);


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

8.2.6.11. divulgar internamente os procedimentos de proteção contra incêndios e envidar esforços para instituir Comissão Interna de Prevenção de Acidentes (Cipa); Decisão 445/1998 - Plenário 3.7.1. disciplinar de forma rígida o acesso de pessoas aos andares do prédio onde a Gerência Executiva de Tecnologia [...] se encontra instalada;

fornecidas diretrizes também para gerenciamento de serviços terceirizados, planejamento e aceitação de sistemas, proteção contra códigos maliciosos e móveis, cópias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca de informações, serviços de correio eletrônico e, por fim, monitoramento.

4.15 Que acórdãos e decisões do TCU tratam, entre outros aspectos, do “Gerenciamento das operações e comunicações”?

Segurança de equipamentos Acórdão 2083/2005 – 2ª Câmara 9.3.13. adote medidas no sentido da instalação de “No Break” nos computadores da Empresa de modo a afastar o risco de perda de dados e avarias no software;

Procedimentos e responsabilidades operacionais Acórdão 914/2006 - Plenário 9.5.3. providencie a implantação do Sifes em ambiente de homologação dedicado a essa finalidade;

Acórdão 2023/2005 - Plenário Acórdão 562/2006 - Plenário 9.1.15. aprimore os controles de acesso físico aos computadores e equipamentos considerados críticos;

4.14 De que trata a seção “Gerenciamento das operações e comunicações”? Essa seção da norma orienta a direção quanto aos procedimentos e responsabilidades operacionais, incluindo gestão de mudanças, segregação de funções e separação dos ambientes de produção, desenvolvimento e teste. São

9.2.2. elabore e distribua a todas as CNCDOs manual de procedimentos, instruindo sobre operação e controle dos sistemas monousuários, que contemple pelo menos procedimentos detalhados para realização, guarda e restauração de cópias de segurança; orientação quanto ao uso de senhas por parte dos operadores do sistema; orientação quanto à segurança física dos equipamentos que efetuam o processamento do sistema; orientação quanto à utilização de software de proteção contra programas maliciosos (vírus); e elaboração de “plano de contingência” para o

51


TRIBUNAL DE CONTAS DA UNIÃO

sistema, de forma a evitar que, em eventuais falhas no seu funcionamento ou nos equipamentos, as listas de prováveis receptores deixem de ser emitidas;

ocasionadas pelo fato de um mesmo usuário ser detentor de permissões para modificar o código fonte do sistema, inserir e consultar dados; Decisão 1380/2002 - Plenário

Acórdão 2023/2005 - Plenário 9.1.14. o acesso ao ambiente de produção por técnicos da CGI seja feito de forma controlada pelos gestores dos sistemas;

8.3.4 defina procedimentos claros, escritos ou automatizados, que esclareçam os passos a serem adotados em caso de necessidade de reprocessamento de qualquer rotina batch;

9.4.8. não assuma responsabilidades inerentes às áreas de negócio, como a inserção, alteração e exclusão de informações em bases de dados;

Decisão 295/2002 – Plenário

9.4.9. evite executar procedimentos que envolvam alterações de informações diretamente na base de dados de produção, devendo as situações de exceção, depois de devidamente identificadas, ser implementadas dentro das funcionalidades dos respectivos sistemas, tornando-as disponíveis para serem utilizadas de forma segura pelos usuários desses sistemas;

c) proceda à reavaliação geral das pessoas habilitadas no SIAPA, particularmente com relação àquelas lotadas em outros órgãos/entidades, como o SERPRO;

9.4.11. crie procedimentos automatizados (preferencialmente um sistema) que permitam o acompanhamento detalhado das demandas de TI feitas pelas outras áreas do Ministério;

8.1.1 - quanto aos sistemas informatizados:

h) reveja as habilitações de todos os usuários do SPIU, lotados na [...] ou não, reavaliando sua permanência no órgão e a pertinência dos níveis de acesso concedidos, assim como os inúmeros acessos concedidos a funcionários lotados no SERPRO, inclusive pertencentes à equipe de manutenção do sistema; Decisão 1049/2000 – Plenário

Acórdão 782/2004 - 1ª Câmara 9.3.3. adote providências para elaborar um esquema de segregação de funções e atividades, incluindo a separação dos ambientes de desenvolvimento, teste e produção, de modo a minimizar a possibilidade de ocorrência de fraudes

52

8.3.16. estude a possibilidade de criar um pseudo-sistema dentro do Designer 2000 que permita o acesso somente à leitura da documentação pelas equipes de desenvolvimento, para que não se perca o controle sobre alterações efetuadas;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Decisão 918/2000 - Plenário

Decisão 1049/2000 - Plenário

8.2.6.3. [...] estabelecer segregação de funções dentro do ambiente de informática, notadamente entre desenvolvimento, produção e administração de segurança lógica;

8.3.1. proceda a estudos objetivando a otimização da utilização de seus mainframes, incluindo projeções futuras dessa utilização, com vistas a evitar problemas no processamento de dados;

8.2.8. adote providências com vistas a exercer supervisão direta e efetiva das atividades de operação do CPD;

Proteção contra códigos maliciosos e códigos móveis

Planejamento e aceitação dos sistemas

Decisão 918/2000 – Plenário

Acórdão 71/2007 - Plenário

8.2.10.3. intensificar ações visando tornar mais eficientes os procedimentos de proteção antivírus dos seus microcomputadores, implementando, assim que possível, dispositivos para automatizar a atualização das versões de softwares antivírus nos equipamentos instalados, bem como divulgando internamente a necessidade de aplicar o programa antivírus sobre disquetes provenientes de outros equipamentos;

9.2.13. estabeleça critérios formais para homologação e aceitação de atualizações e novas versões do Infoseg, de acordo com o previsto no item 10.3.2 da NBR ISO/IEC 17799:2005; Acórdão 1663/2006 - Plenário 9.1.4. implemente sistemática de homologação e controle das versões implantadas do Sipia;

Cópias de segurança

Acórdão 914/2006 - Plenário

Acórdão 71/2007 - Plenário

9.3.2. façam constar do contrato firmado entre ambos a exigência de etapa formal de homologação [...] das alterações implementadas no Sifes pelo agente operador;

9.2.15. formalize política de geração de cópias de segurança para o Infoseg, de acordo com o previsto no item 10.5.1 da NBR ISO/IEC 17799:2005;

9.5.1. realize adequadamente os testes e homologação do Sifes, mantendo a documentação dos procedimentos realizados;

9.2.16. armazene as mídias contendo cópias de segurança do Infoseg em local diverso da operação do sistema, de acordo com a diretriz “d” do item 10.5.1 da NBR ISO/IEC 17799:2005;

53


TRIBUNAL DE CONTAS DA UNIÃO

Acórdão 1049/2000 – Plenário 8.3.13. adote providências com vistas a:

de rede; utilização de software adequado para gerência de rede; implementação, tão logo possível, de dispositivo tipo firewall para preservar a segurança da rede;

a) preservar as versões anteriores das estruturas de banco de dados, de forma a recompor emergencialmente situações anteriores;

Decisão 445/1998 – Plenário

Decisão 445/1998 - Plenário

3.7.3. definir, com a maior brevidade possível, mecanismos de segurança na área de transmissão de dados;

3.7.2. definir, oficialmente, junto aos gestores responsáveis, uma sistemática de “back-up” para os sistemas existentes;

Manuseio de mídias Acórdão 1832/2006 - Plenário

Gerenciamento da segurança em redes Decisão 918/2000 - Plenário 8.2.10. adote providências para melhorar a eficiência e eficácia das ações/procedimentos referentes à gerência da sua rede de comunicação e de microcomputadores, sem prejuízo de: 8.2.10.1. realizar estudos com o fito de instituir setor ou gerência específica para rede na unidade, sem prejuízo de definir e implementar política formal de gerenciamento da rede, consoante as diretrizes previstas no Projeto BRA/97-024; 8.2.10.2. aprimorar o controle do processamento em rede, especialmente quanto à adoção de: testes e verificações sistemáticas dos procedimentos e recursos relativos ao processamento de rede; políticas e procedimentos específicos de auditoria

54

9.1.4 estabeleça procedimento para controlar fisicamente o acesso de pessoas aos documentos; 9.1.10 estabeleça procedimento para controlar fisicamente e registrar o acesso de pessoas aos documentos que contenham informações estratégicas e/ou privilegiadas, que possam beneficiar terceiros; 9.2.12 adote procedimento especial para o registro e a tramitação de todos os documentos, que contenham, de algum modo, informações estratégicas e/ou privilegiadas; Acórdão 2023/2005 - Plenário 9.4.2. crie e defina mecanismos de gerenciamento que garantam a guarda


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

e recuperação das versões atualizadas da documentação de sistemas pelo setor responsável;

processamento mensal), bem como o processo de disponibilização dos respectivos arquivos de saída na BBS/MS;

Acórdão 782/2004 - 1ª Câmara

Decisão 445/1998 - Plenário

9.3.5. [...] definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa;

3.7.7. elaborar documentação completa dos sistemas que compõem o FGTS e mantê-la atualizada em ambientes de fácil acesso por quem for autorizado; Troca de informações

9.3.7. formalize um esquema de segurança especial para guarda e manipulação das fitas, com a criação de um ambiente de acesso restrito para o seu armazenamento, visando garantir que a informação nelas contida não seja consultada ou alterada indevidamente;

Acórdão 1832/2006 - Plenário 9.2.12 - adote procedimento especial para o registro e a tramitação de todos os documentos, que contenham, de algum modo, informações estratégicas e/ou privilegiadas;

Decisão 1049/2000 - Plenário Acórdão 782/2004 - 1ª Câmara 8.3.16. estude a possibilidade de criar um pseudo-sistema dentro do Designer 2000 que permita o acesso somente à leitura da documentação pelas equipes de desenvolvimento, para que não se perca o controle sobre alterações efetuadas;

9.3.5. [...] definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa;

Decisão 918/2000 – Plenário

Decisão 445/1998 - Plenário

8.1.6. envide esforços para automatizar o controle de qualidade do processamento do SIH/SUS (conferência da regularidade do

3.7.3. definir, com a maior brevidade possível, mecanismos de segurança na área de transmissão de dados;

55


TRIBUNAL DE CONTAS DA UNIÃO

Monitoramento Acórdão 71/2007 - Plenário 9.2.24. implemente controles compensatórios (autorização formal, registro e monitoramento das alterações) para as operações dos administradores de banco de dados do Infoseg de forma a permitir o registro e rastreamento das operações realizadas na base de dados com privilégios, em conformidade com o previsto no item 10.10.4 da NBR ISO/IEC 17799:2005; 9.2.28. implemente trilhas de auditoria para as atualizações no Índice Nacional do Infoseg, em conformidade com o previsto no item 10.10.1 da NBR ISO/IEC 17799:2005, contendo, no mínimo, a data-hora da alteração, o dado alterado e a identificação do responsável pela alteração; 9.2.29. implemente trilhas de auditoria para as concessões e revogações das contas de HOST do Infoseg, em conformidade com o previsto no item 10.10.1 da NBR ISO/IEC 17799:2005; Acórdão 1832/2006 - Plenário 9.2.17 implante mecanismos nos sistemas da dívida, de modo que não haja possibilidade de alteração de informações e de decisões já processadas e que, em qualquer manuseio de informação ou qualquer tomada de decisão estratégica, que envolva altos volumes de recursos, ou outras decisões com nível de

56

importância similar, fique registrada a autoria, com a identificação do servidor, devendo os sistemas permitir que o controle possa rastrear qualquer operação realizada, de forma que estes mesmos sistemas não permitam que haja qualquer condição de burlar informações ex-post; Acórdão 1663/2006 - Plenário 9.1.1. inclua nos arquivos log existentes no Sipia, as informações relativas às alterações efetuadas; Acórdão 2023/2005 - Plenário 9.4.10. altere o sistema de gerência de acessos para que nele sejam acrescentadas trilhas de auditoria para permitir futuras investigações de concessão e revogação de acesso de usuários aos sistemas [...], contendo, entre outras, informações sobre as datas e os responsáveis por essas concessões e revogações; 9.5.1. retire do sistema CPMR a possibilidade de exclusão física de processos; o processo pode ser excluído desde que todas as suas informações, inclusive as da exclusão, continuem registradas no sistema; 9.5.2. implemente rotinas que mantenham o registro de eventos relevantes do sistema CPMR; esses registros devem conter, no mínimo, o autor, a data e a descrição do evento;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 782/2004 - 1ª Câmara 9.2.2. inclua, no âmbito do planejamento de segurança do sistema de pagamento de pessoal [...], a análise regular e sistemática dos registros (logs) de sistema operacional e do próprio sistema de pagamento; 9.2.3. utilize, preferencialmente, ferramentas de auditoria, como softwares especializados, na análise dos registros (logs) de sistema a serem efetuadas;

Decisão 1049/2000 – Plenário 8.3.13. adote providências com vistas a: b) manter um histórico das alterações efetuadas nos bancos de dados, juntamente com suas justificativas, com vistas a fundamentar decisões tomadas, assim como dar subsídios a decisões futuras;

9.1.4. a análise regular de arquivos logs com utilização, sempre que possível, de softwares utilitários específicos, para monitoramento do uso dos sistemas;

8.4.2. adote medidas visando agilizar a implementação dos produtos do Projeto DAP 12, atentando para procedimentos relativos ao programa de segurança, especialmente quanto a: análise dos logs e relatórios de violações dos procedimentos de segurança; proteção dos logs contra destruição intencional ou acidental; violações de segurança; e tentativas frustadas de acesso ao sistema;

Decisão 1380/2002 - Plenário

Decisão 918/2000 - Plenário

8.1.1.1 crie arquivo contendo histórico das operações realizadas;

8.2.6.9. adotar procedimentos de análise regular de arquivos tipo log, visando detectar eventuais violações ou tentativas de violação dos procedimentos de segurança;

Acórdão 461/2004 - Plenário

Decisão 1098/2002 - Plenário 8.2.9 manutenção de logs de concessão de acesso e de autorização, permitindo consultas rápidas;

8.2.9. implemente meios e procedimentos voltados à gerência de problemas relativos ao seu ambiente computacional, adotando, se possível, software adequado para essa finalidade, bem como análise sistemática das falhas verificadas, mantendo os respectivos registros históricos com o fito de promover ações preventivas nessa área;

57


TRIBUNAL DE CONTAS DA UNIÃO

Decisão 445/1998 - Plenário 3.7.18. realizar o controle diário, no SFG e FGI, das alterações efetuadas nos dados cadastrais de empregados, principalmente no que se refere aos dados que qualificam o titular da conta, nome de empregado, número do PIS/Pasep e número da Carteira de Trabalho e Previdência Social; 3.7.19. aprimorar os recursos hoje existentes nos sistemas SFG e FGI referentes a consultas de alterações efetuadas em dados cadastrais de empregados com vistas a melhor adequá-las ao controle, facilitando o acompanhamento das transações processadas;

de acesso e responsabilidades do usuário, controle de acesso à rede, sistema operacional, aplicação e informação, e, por fim, aspectos sobre computação móvel e trabalho remoto. Tais diretrizes englobam desde a definição de uma política de controle de acesso e o gerenciamento de privilégios até o isolamento de sistemas sensíveis.

4.17 Que acórdãos e decisões do TCU tratam, entre outros aspectos, do “Controle de acessos”? Requisitos de negócio para controle de acesso Acórdão 1092/2007 - Plenário

3.7.20. elaborar procedimentos, consultas/ relatórios, que possibilitem o controle concomitante das alterações processadas no Sistema de Controle de Empréstimos e Refinanciamentos - CER; 3.7.22. elaborar consultas on-line no Sistema de Controle de Segurança, SSG, e rever as já existentes no intuito de possibilitar um acompanhamento mais rigoroso por parte dos responsáveis pelo controle de acesso lógico aos sistemas;

4.16 De que trata a seção “Controle de acessos”? Essa seção da norma orienta a direção quanto aos controles de acesso à informação e aos recursos de processamento das informações. São fornecidas diretrizes para definição de requisitos de negócio para controle de acesso, gerenciamento

58

9.1.5. defina e divulgue Política de Controle de Acesso - PCA conforme o estabelecido na NBR ISO/IEC 17799:2005, item 11.1.1; Acórdão 71/2007 - Plenário 9.2.7. defina formalmente uma Política de Controle de Acesso - PCA - para o Infoseg, contemplando usuários Web, “host de atualização” e da rede interna da gerência do Infoseg, de acordo com o previsto no item 11.1.1 da NBR ISO/IEC 17799:2005; Acórdão 1663/2006 - Plenário 9.1.2. estabeleça processo formal de concessão de senhas e aumente o controle sobre os privilégios dos usuários;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 2023/2005 - Plenário 9.1.3. defina uma Política de Controle de Acesso aos ativos de informação que contenha, no mínimo:

9.2.25. utilize identificadores de usuários únicos para o Infoseg (senha única não compartilhada) de forma fixar a responsabilidade de cada usuário, inclusive para os usuários com privilégios de administração, em conformidade com o previsto no item 11.2.1 da NBR ISO/IEC 17799:2005;

Decisão 295/2002 - Plenário 8.1.1 - quanto aos sistemas informatizados: g) proceda à reavaliação completa dos perfis definidos no Senha-Rede para o SPIU, excluindo aqueles redundantes ou que não mais sejam utilizados; Decisão 445/1998 – Plenário 3.7.4. criar controle único de acesso lógico para o ambiente do Gerenciador de Banco de Dados DB2, a exemplo do SSG no ambiente IDMS; 3.7.5. definir regras que regulamentem o acesso de usuários externos ao ambiente computacional do FGTS; Gerenciamento de acesso do usuário Acórdão 71/2007 - Plenário 9.2.8. conduza, a inter valos regulares, a análise crítica dos direitos de acesso dos usuários do Infoseg, por meio de um processo formal, de acordo com o previsto no item 11.2.4 da NBR ISO/IEC 17799:2005;

9.2.27. atribua a cada usuário do banco de dados do Infoseg somente os privilégios mínimos necessários ao desempenho de suas funções, conforme previsto no item 11.2.2 da NBR ISO/IEC 17799:2005; Acórdão 1663/2006 - Plenário 9.1.2. estabeleça processo formal de concessão de senhas e aumente o controle sobre os privilégios dos usuários; Acórdão 2023/2005 - Plenário 9.1.3.1. regras de concessão, de controle e de direitos de acesso para cada usuário e/ou grupo de usuários de recursos computacionais de Tecnologia da Informação - TI, conforme preceitua o item 9.1.1 da NBR ISO/IEC 17799:2001; 9.1.3.2. responsabilidades dos gestores de negócios sobre os seus sistemas, bem como a obrigação deles e dos gerentes da rede [...] fazerem a revisão periódica, com intervalos de tempo previamente definidos, dos direitos de acesso dos usuários, conforme prevêem os itens 9.2.1, incisos h e i, e 9.2.4 da NBR ISO/IEC 17799:2001;

59


TRIBUNAL DE CONTAS DA UNIÃO

9.1.3.3. obrigatoriedade de usuários de recursos de TI e gestores de negócios assinarem termos de compromisso nos quais estejam discriminados os direitos de acesso, os compromissos assumidos e suas responsabilidades e as sanções em caso de violação das políticas e dos procedimentos de segurança organizacional, a teor do que prescreve o item 9.2.1 da NBR ISO/IEC 17799:2001; 9.4.5. reveja a política de acesso do perfil administrador dos sistemas para que lhe sejam retirados: 9.4.5.1. o poder de criação de novos perfis e cadastro de usuários, centralizando essas funções e responsabilidades nos gestores de negócio; 9.4.5.2. o acesso irrestrito e permanente aos sistemas de produção;

9.1.6. a classificação do nível de segurança e controle de acesso aos dados, no âmbito do Projeto “Repositório”; Decisão 1098/2002 - Plenário 8.2.8 implementação da rotina de conformidade de operadores, nos moldes da existente no Sistema SIAFI, conforme já determinado por este Tribunal; Decisão 295/2002 - Plenário 8.1.1 - quanto aos sistemas informatizados: b) reveja as habilitações de todos os usuários do SIAPA lotados na [...], reavaliando não apenas sua permanência na Secretaria, como também seu local de trabalho (gerência) e a pertinência dos níveis de acesso concedidos;

Acórdão 782/2004 - 1ª Câmara 9.2.1. adote procedimentos formais de concessão e de validação periódica de senhas de usuários de sistemas informatizados, bem como de cancelamento de acesso de usuários que são desligados da unidade; Acórdão 461/2004 - Plenário 9.1.3. a elaboração de lista de pessoas autorizadas a ter acesso aos servidores centrais, bem como, a sua revisão periódica;

60

c) proceda à reavaliação geral das pessoas habilitadas no SIAPA, particularmente com relação àquelas lotadas em outros órgãos/entidades, como o SERPRO; e) estabeleça controle sistemático e oriente as Gerências Regionais da [...] quanto à necessidade de revisão dos níveis de acesso e acerto do local de trabalho, no Senha-Rede, quando da mudança de lotação de servidores da [...]; h) reveja as habilitações de todos os usuários do SPIU, lotados na [...] ou não, reavaliando sua


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

permanência no órgão e a pertinência dos níveis de acesso concedidos, assim como os inúmeros acessos concedidos a funcionários lotados no SERPRO, inclusive pertencentes à equipe de manutenção do sistema; Decisão 1049/2000 - Plenário 8.1.8. adote medidas com vistas a manter o controle sobre as rotinas que fogem à regra geral de concessão ou atualização de benefícios, como a transação AEB – Atualização Especial de Benefício e aquelas com base em decisões judiciais (regidas pelos Despachos 03 e 04), de forma a impedir acesso indevido às transações on-line; 8.3.6. adote as seguintes medidas, quanto ao controle de acesso aos sistemas: b) efetivação de estudos no sentido de obrigar a confirmação de acesso de usuários, por gestor, nos moldes, por exemplo, da Conformidade de Operadores do sistema SIAFI; Decisão 918/2000 - Plenário 8.1.5. estude a viabilidade de instituir dispositivos de gerenciamento de acesso dos aplicativos do SIH/SUS (senhas, funções e relatórios de controle, logs etc.), quanto às funções de cadastramento, validação e envio das AIHs pelos gestores locais do SUS e das unidades prestadoras de serviços;

8.2.6.4. adotar procedimentos regulares para atualização das listas de acesso aos recursos computacionais; 8.2.6.5. observar com rigor os procedimentos formais para adicionar indivíduos à lista de pessoas autorizadas a ter acesso aos recursos computacionais, bem como adotar procedimentos específicos para a concessão de acessos emergenciais e/ou temporários; 8.2.6.7. implementar controles de segurança para as senhas de acesso, incluindo: exigência de alterações periódicas de senhas, evitando a sua repetição; estabelecimento de regras seguras para a definição de senhas pelos usuários, que exijam o número mínimo de caracteres definido nos padrões usuais para ambientes de informática (em regra, pelo menos seis caracteres); adoção de senhas iniciais distintas, fornecidas pela área de segurança lógica, para os usuários (abolindo o uso de senha inicial única); implementação de rotinas de suspensão de códigos de identificação de usuário ou de desabilitação de terminal ou microcomputador após um determinado número de tentativas de violação de segurança; Responsabilidades dos usuários Acórdão 914/2006 - Plenário 9.5.5. implemente as regras de formação de senhas, para vedar a utilização de senhas triviais, que fragilizem a segurança do sistema, utilizando, por exemplo, suas normas internas;

61


TRIBUNAL DE CONTAS DA UNIÃO

Acórdão 2023/2005 - Plenário 9.1.3.5. requisitos mínimos de qualidade de senhas, descritos pelo item 9.3.1 da NBR ISO/IEC 17799:2001; 9.1.7. informe seus usuários quanto à necessidade de bloquearem suas estações de trabalho quando delas se afastarem e de não compartilharem suas senhas de acesso, conforme prevê o item 9.3.2 da NBR ISO/IEC 17799:2001; 9.1.8. informe seus usuários quanto à necessidade de criarem senhas que satisfaçam aos requisitos mínimos definidos na Política de Controle de Acesso que vier a ser estabelecida e quanto à importância da qualidade e segurança das senhas; Acórdão 782/2004 – 1ª Câmara 9.3.8. adote providências para que os papéis e documentos que contenham informações relevantes sobre o pagamento de pessoal sejam adequadamente guardados em armários ou gavetas, com fechaduras ou outras formas de proteção, especialmente fora do horário normal de serviço; Decisão 918/2000 - Plenário 8.2.6.7. implementar controles de segurança para as senhas de acesso, incluindo: exigência

62

de alterações periódicas de senhas, evitando a sua repetição; estabelecimento de regras seguras para a definição de senhas pelos usuários, que exijam o número mínimo de caracteres definido nos padrões usuais para ambientes de informática (em regra, pelo menos seis caracteres); adoção de senhas iniciais distintas, fornecidas pela área de segurança lógica, para os usuários (abolindo o uso de senha inicial única); implementação de rotinas de suspensão de códigos de identificação de usuário ou de desabilitação de terminal ou microcomputador após um determinado número de tentativas de violação de segurança; 8.2.6.8. divulgar internamente a necessidade de preservação do sigilo das senhas; Decisão 445/1998 - Plenário 3.7.29. disseminar que haja maior cuidado na criação e utilização de senhas entre usuários de sistemas do FGTS a fim de evitar fraudes; Controle de acesso ao sistema operacional Acórdão 71/2007 - Plenário 9.2.26. estabeleça procedimentos formais para a execução de operações diretamente sobre as bases de dados do Infoseg com a utilização de utilitários, documentando os procedimentos realizados, em conformidade com o previsto no item 11.5.4 da NBR ISO/IEC 17799:2005;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 2023/2005 - Plenário 9.1.3.6. procedimentos de troca periódica de senhas, não permitindo reutilização das últimas, conforme prevê o item 9.5.4 da NBR ISO/IEC 17799:2001; 9.1.3.7. procedimentos de bloqueio de contas de usuários após longos períodos de não utilização ou de várias tentativas de acesso sem sucesso; 9.4.6. estude a possibilidade de implantação de procedimentos de segurança que bloqueiem as estações de trabalho e/ou sistemas após determinado período de não-utilização;

usuário ou de desabilitação de terminal ou microcomputador após um determinado número de tentativas de violação de segurança; Controle de acesso à aplicação e à informação Acórdão 2023/2005 - Plenário 9.4.5. reveja a política de acesso do perfil administrador dos sistemas para que lhe sejam retirados: 9.4.5.1. o poder de criação de novos perfis e cadastro de usuários, centralizando essas funções e responsabilidades nos gestores de negócio;

Acórdão 441/2005 - 1ª Câmara 1.1 inclua nas rotinas de acesso ao Sisfin, após a entrada no Sistema com sucesso, a apresentação das informações ao usuário da data e hora de última entrada válida no Sisfin; 1.9 realize estudos e implemente o melhor procedimento que proteja o set-up de seus computadores através do uso de senhas seguras, impedindo, especialmente, que os sistemas operacionais possam ser inicializados através de disquetes ou CDs;

9.4.5.2. o acesso irrestrito e permanente aos sistemas de produção; Decisão 1380/2002 - Plenário 8.1.1.3 crie mecanismo de proteção quanto ao acesso aos dados do operador Super por intermédio do extrator de dados ou transação CONUSU;

Decisão 918/2000 - Plenário

4.18 De que trata a seção “Aquisição, desenvolvimento e manutenção de sistemas de informação”?

8.2.6.7. [...] implementação de rotinas de suspensão de códigos de identificação de

Essa seção da norma orienta a direção quanto à definição dos requisitos necessários de segurança

63


TRIBUNAL DE CONTAS DA UNIÃO

de sistemas de informação, medidas preventivas contra processamento incorreto das aplicações, uso de controles criptográficos, além de fornecer diretrizes para a segurança dos arquivos de sistema, segurança em processos de desenvolvimento e suporte, e gestão de vulnerabilidades técnicas.

4.19 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Aquisição, desenvolvimento e manutenção de sistemas de informação”? Processamento correto nas aplicações Acórdão 71/2007 - Plenário 9.2.3. institua mecanismos que garantam a consistência entre o Índice Nacional - IN - e as bases dos entes que alimentam o IN, verificando periodicamente a eficácia dos mecanismos implementados, de acordo com o previsto no item 12.2.2, da NBR ISO/IEC 17799:2005; Decisão 595/2002 - Plenário 8.1.9 recomendar à Divisão de Modernização e Informática - Diminf que seja incluída uma validação na entrada de dados capaz de minimizar os erros de digitação dos pedidos de registros na base de dados de marcas, evitando assim a republicação do pedido;

64

Decisão 918/2000 - Plenário 8.1.2. estude [...] a viabilidade de implantar no SIH/SUS e no SIA/SUS maior número de críticas automáticas sobre quantitativos informados em AIHs, BPAs e APACs, baseadas em indicadores e padrões preestabelecidos a partir de médias históricas locais ou regionais, de modo a detectar eventuais distorções nas informações enviadas [...] pelos prestadores de serviço, visando melhorar o controle de fraudes nesses sistemas; 8.1.3. envide esforços para adequar o SIH/SUS e o SIA/SUS à realização de críticas automáticas com base na FCES, em substituição progressiva à FCH e à FCA, com vistas a melhorar a eficiência do controle de AIHs, BPAs e APACS, proporcionalmente ao grau de implementação da FCES no atendimento hospitalar e ambulatorial; 8.1.4. aprimore os módulos de CADASTRO do SIH/SUS e do SIA/SUS, com vistas a: minimizar as possibilidades de inserção de dados incorretos durante a digitação, bem como tornar mais auto-explicativas as respectivas telas do sistema, mediante a adição de teclas de atalho para tabelas (a exemplo das teclas “F1”, de ajuda ou help), acionáveis diretamente a partir dos campos de preenchimento e para textos explicativos; 8.1.6. envide esforços para automatizar o controle de qualidade do processamento do SIH/SUS (conferência da regularidade do processamento mensal), bem como o processo de disponibilização dos respectivos arquivos de saída na BBS/MS;


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

8.1.7. estude a viabilidade de implantar uma rotina de crítica automática no SIA/ SUS, com o objetivo de conferir o volume de informações contidas em cada remessa mensal dos gestores locais do SUS com os volumes estatisticamente previstos, com base em padrões preestabelecidos; Decisão 445/1998 - Plenário 3.7.9. revisar os procedimentos de crítica dos Sistemas de Controle de Contas Ativas e Inativas, SFG e FGI, a fim de que não permitam a inserção de contas vinculadas com PIS/PASEP viciados, de nomes com apenas uma palavra, com letras repetidas mais que duas vezes consecutivamente e com espaços em branco excedentes entre palavras; 3.7.10. revisar as rotinas de crítica do SFG/FGI quanto à inserção de contas vinculadas com PIS/ PASEP inválido ou inexistente na base de dados;

3.7.14. revisar rotina de consulta do FGI, visto que algumas contas não são localizadas quando o argumento de pesquisa é o PIS/Pasep; 3.7.15. revisar rotina de pagamento quanto à exigência do PIS/Pasep correto; 3.7.16. revisar os procedimentos de crítica do CER quanto à inserção ou à alteração de dados cadastrais, como juros de mora, índice de reajuste, prazo de carência, dia de pagamento, dados de retorno; Controles criptográficos Acórdão 782/2004 - 1ª Câmara 9.3.9. estude [...] a possibilidade de utilizar recursos de criptografia e validação digital na proteção dos arquivos a serem gerados pelo programa FAP Digital em suas futuras versões; Decisão 918/2000 - Plenário

3.7.11. sanear as bases de contas vinculadas ativas e inativas quanto à existência de contas com saldo negativo e não mais permitir sua ocorrência; 3.7.12. revisar as rotinas de crítica do SFG quanto à inserção de empresas com CGC inválido ou inexistente na base de dados; 3.7.13. inserir críticas no SFG com vistas a não permitir mais de um depósito na mesma conta vinculada para uma mesma competência;

8.2.4. adote providências para dificultar a alteração de dados nas tabelas do programa SIA.exe, incluindo, se necessário, os mesmos mecanismos de controle adotados no SIH/SUS (campos de controle criptografados); 8.2.6.6. abster-se de usar chaves públicas de acesso à rede, sem estarem associadas a um responsável;

65


TRIBUNAL DE CONTAS DA UNIÃO

Segurança em processos de desenvolvimento e de suporte

4.20 De que trata a seção “Gestão de incidentes de segurança da informação”?

Acórdão 71/2007 - Plenário 9.2.12.estabeleça procedimentos formais de controle de demandas e de mudanças no Infoseg, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005 e à semelhança das orientações contidas no item AI6.2 do COBIT 4.0; Acórdão 1663/2006 - Plenário 9.1.4. implemente sistemática de homologação e controle das versões implantadas do Sipia;

Essa seção da norma orienta a direção para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados e gerenciados de forma consistente e efetiva, permitindo a tomada de ação corretiva em tempo hábil. São fornecidas diretrizes para notificação de eventos e fragilidades de segurança da informação, definição de responsabilidades e procedimentos de gestão desses eventos e fragilidades, além da coleta de evidências e do estabelecimento de mecanismos para análise dos incidentes recorrentes ou de alto impacto com vistas à sua quantificação e monitoramento.

Acórdão 2023/2005 - Plenário 9.4.2. crie e defina mecanismos de gerenciamento que garantam a guarda e recuperação das versões atualizadas da documentação de sistemas pelo setor responsável; 9.4.4. adote cláusulas contratuais para assegurar que a documentação técnica, programas fontes e dados de sistemas regidos por contratos de prestação de serviços estejam acessíveis ao Ministério;

66

4.21 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Gestão de incidentes de segurança da informação”? Acórdão 71/2007 - Plenário 9.1.3. implemente serviço de atendimento ao usuário do Infoseg (help desk) adequado às suas necessidades, em conformidade com o previsto no item 13.1.1 da NBR ISO/IEC 17799:2005 e à semelhança das orientações contidas no DS8.1 do COBIT 4.0, avaliando a conveniência de implantálo em regime ininterrupto (24 horas por dia e 7 dias por semana);


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Acórdão 782/2004 – 1ª Câmara 9.2.4. e 9.3.4. adote um programa de treinamento específico para a área de segurança de sistemas, enfocando aspectos de segurança física e lógica, bem assim a reação dos funcionários frente à ocorrência de contingências que possam afetar a continuidade dos serviços;

4.22 De que trata a seção “Gestão da continuidade do negócio”? Essa seção da norma orienta a direção quanto às medidas a serem tomadas para prevenir a interrupção das atividades do negócio e proteger os processos críticos contra defeitos, falhas ou desastres significativos, assegurando sua retomada em tempo hábil, se for o caso. São fornecidas diretrizes para incluir a segurança da informação no processo de gestão da continuidade de negócio e para realizar análise e avaliação de riscos, além de desenvolver, implementar, testar e reavaliar planos de continuidade relativos à segurança da informação.

4.23 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Gestão da continuidade do negócio”? Acórdão 1092/2007 - Plenário 9.1.6. implante a gestão de continuidade do negócio conforme o estabelecido na NBR ISO/

IEC 17799:2005, itens 14.1.1, 14.1.2 e 14.1.3, e elabore o Plano de Continuidade do Negócio - PCN conforme o estabelecido na NBR ISO/IEC 17799:2005, itens 14.1.4 e 14.1.5; Acórdão 71/2007 - Plenário 9.2.14. defina formalmente um Plano de Continuidade do Negócio - PCN - específico para o Infoseg, que garanta em caso de falhas ou desastre natural significativo, a retomada em tempo hábil das atividades do sistema, protegendo os processos críticos, de acordo com o previsto nos itens 14.1.4 e 14.1.5 da NBR ISO/IEC 17799:2005; Acórdão 1832/2006 - Plenário 9.1.3 implante um Plano de Contingência [...], com prioridade e atenção especial às áreas com grande exposição a riscos, às áreas envolvidas com elevados volumes de recursos e quantidade de transações, bem assim àquelas que possam trazer riscos de imagem à Instituição, observando-se as peculiaridades e características intrínsecas do [...]; Acórdão 2083/2005 - 2ª Câmara 9.3.7.1. crie normativos para a condução dos diversos serviços passíveis de acidentes, com manuais de procedimentos; ações mais efetivas da CIPA; promoção de encontros, seminários e palestras sobre o tema; propagandas visuais de conscientização e realização da SIPAT;

67


TRIBUNAL DE CONTAS DA UNIÃO

9.3.7.3. priorize as ações de prevenção, realizando cursos específicos, reciclagem e especializações;

Decisão 445/1998 - Plenário 3.7.6. providenciar, com a maior brevidade possível, o Plano de Contingências;

Acórdão 461/2004 - Plenário Decisão 669/1995 - Plenário 9.1.5. a elaboração e implementação de um Plano de Contingências de acordo com o item 11.1.4 da NBR ISO/IEC 17799:2001; Decisão 1380/2002 - Plenário 8.3.3 elabore Plano de Contingências [...] que possa orientar os técnicos em caso de ocorrência de sinistros ou de situações que venham a comprometer a operação do sistema; Decisão 1049/2000 - Plenário 8.3.4. adote as medidas recomendadas por sua Auditoria Interna [...] como por exemplo a implementação de um plano formal que contenha medidas de contingência e recuperação de processos; Decisão 918/2000 - Plenário 8.2.6.1. elaborar plano de contingência, incluindo a previsão de testes de validação e de roteiros específicos para os procedimentos de contingência;

68

2.1. estude a possibilidade de implementar, a médio prazo, no âmbito do seu plano de contingência, uma solução alternativa para o caso de perda total das instalações da Filial São Paulo, nas quais se opera o processamento da Arrecadação Federal, para que o tratamento das informações essenciais não sofra solução de continuidade no caso de ocorrência de sinistro de grande proporções;

4.24 De que trata a seção “Conformidade”? Essa seção da norma orienta a direção a evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação, além de garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. São fornecidas diretrizes para identificação da legislação vigente, proteção dos direitos de propriedade intelectual, proteção dos registros organizacionais, proteção de dados e privacidade de informações pessoais, prevenção


BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

de mau uso de recursos de processamento da informação e regulamentação de controles de criptografia. Além disso, são feitas algumas considerações quanto à auditoria de sistemas de informação.

a garantir a observância das políticas e normas que venham a ser instituídas pelo Ministério, como a Política de Segurança da Informação, a Política de Controle de Acesso e a Metodologia para Desenvolvimento de Sistemas;

4.25 Que acórdãos e decisões do TCU tratam, entre outros aspectos, da “Conformidade”?

Decisão 445/1998 - Plenário

Conformidade com requisitos legais Acórdão 1832/2006 - Plenário 9.2.12 - adote procedimento especial para o registro e a tramitação de todos os documentos, que contenham, de algum modo, informações estratégicas e/ou privilegiadas;

3.7.21. incorporar ao Sistema de Controle de Segurança, SSG, as restrições impostas pela norma de controle de acesso lógico, MN FG.01.05.00; 3.7.23. desautorizar prestadores de serviços que estejam habilitados de forma contrária à norma constante no MN FG.01.05.00; Considerações quanto à auditoria de sistemas de informações

Acórdão 2083/2005 - 2ª Câmara

Acórdão 1092/2007 - Plenário

9.3.11. abstenha-se da utilização de softwares não licenciados;

9.1.8. implante, por meio de sua Auditoria Interna, política de auditoria nos diversos sistemas de tecnologia da informação pertinentes à arrecadação de receitas da Empresa;

Conformidade com normas e políticas de segurança da informação e conformidade técnica Acórdão 2023/2005 - Plenário 9.4.1. implemente os procedimentos informatizados necessários no sentido de ajudar

69


TRIBUNAL DE CONTAS DA UNIÃO

Referências bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: tecnologia da informação: código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2001. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:2005: tecnologia da informação, técnicas de segurança, código de prática para a gestão da segurança da informação. 2. ed. Rio de Janeiro: ABNT, 2005. BRASIL. Decreto n.º 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Disponível em: <http://www.planalto.gov. br/ccivil_03/decreto/D3505.htm>. Acesso em: 24 out. 2007. ______. Lei n.º 9.983, de 14 de julho de 2000. Altera o Decreto-Lei n.º 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providências. Disponível em: <http://www.planalto.gov.br/ ccivil_03/Leis/L9983.htm>. Acesso em: 24 out. 2007. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000.

70


TRIBUNAL DE CONTAS DA UNIテグ SAFS Quadra 4 lote 1 70042-900 Brasテュlia-DF <http://www.tcu.gov.br>


PRO2513 - Gestão da Tecnologia da Informação

Participação dos usuários E Organização da área de TI Prof.Dr. Fernando José Barbin Laurindo Prof.Dr. Marcelo Schneck de Paula Pessôa Prof.Dr. Mauro de Mesqutia Spínola Departamento de Engenharia de Produção - Escola Politécnica USP PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

1

ETAPAS DO MODELO PROPOSTO PARA AVALIAÇÃO DA EFICÁCIA DA TI NAS ORGANIZAÇÕES (Laurindo, 2000)

• ETAPA I: ANÁLISE DO PAPEL E DOS IMPACTOS DA TI NA ORGANIZAÇÃO (DIAGNÓSTICO) • ETAPA II: ESTRUTURAÇÃO (MODELAGEM) E EXECUÇÃO DA AVALIAÇÃO DA TI

• ETAPA III: ANÁLISE DOS RESULTADOS DA AVALIAÇÃO, DECISÕES E PLANEJAMENTO PARA AÇÕES

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

2

1


Modelo para analisar a TI - “MAN/TI” • Fatores estruturais da empresa

• Fatores organizacionais da TI

1 - Fatores críticos de sucesso 2 - Grid Estratégico e Matriz Intensidade da informação 3 - Alinhamento Estratégico 4 - Razões para descentralização

5 - Grau de descentralização 6 - Estágio de Informatização 7 - Estágio de descentralização 8 - Função e Operação da TI 9 -Nível de participação dos usuários 10 - Organização da área de TI

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

3

Como ocorre a participação dos usuários no desenvolvimento e/ou implantação de aplicações de TI ? PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

4

2


Área de TI: postura ante o usuário final (adaptado de Turban et al., 2004)

• • • •

Deixa o usuário “se virar“ Estabelece diretrizes e controles Cria estímulos e incentivos Oferece Suporte

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

5

Área de TI e usuários: arranjos (adaptado de Turban et al., 2004)

• Comitê Diretivo (Comitê de TI ou de informática) – Grupo de executivos e funcionários da TI e de várias áreas da empresa que estabelece prioridades de TI e procure fazer com que a TI atenda às necessidades da empresa

• Contratos de Nível de Serviço (SLA – Service Level Agreement) – Estalecimento formal entre área de TI e usuários das divisões de responsabilidades sobre TI

• Centro de Informações (CI) – Suporte ao usuário final em atividades como microinformática, internet, de forma a que possam resolver eles mesmos suas aplicações

• Uma outra possibilidade é o Analista de Negócios PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

6

3


Níveis de Participação do Usuário (Dias, 1985)

Hawgood; Land; Munford apud Dias (1985): propõem três diferentes níveis de participação do usuário no desenvolvimento de sistemas de informação: • participação consultiva: a equipe de sistemas tradicional apenas consulta aos usuários • participação representativa: o usuário tem representantes (geralmente definidos pela empresa) nas equipes de projetos de sistemas • participação por consenso: há o envolvimento amplo do usuário nos projetos de sistemas, que define seu grau de envolvimento e quem participará da equipe.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

7

Análise do Nível de Participação do Usuário (Dias, 1985)

Modelo para analisar o nível mais adequado de participação do usuário, de acordo com os fatores abaixo: – Nível de interação existente entre o sistema de informação (SI) e as funções que dele se utilizam (interação SI-função). – Nível de centralização física do sistema de informação (centralização física do SI). – Enfoque que será utilizado para definição de tarefas do usuário. PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

8

4


Interação SI-função (Dias, 1985)

Nível de interação existente entre o Sistema de Informação (SI) e as funções que dele se utilizam – Avalia se o sistema é utilizado sempre que a função é desempenhada, ou se seu uso é esporádico ou de mero auxílio à função.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

Centralização

9

Física do SI (Dias, 1985)

Nível de centralização física do sistema de informação – Avalia se o sistema será usado em um só local ou se seu uso será distribuído fisicamente no espaço.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

10

5


Enfoque para definição de tarefas do usuário (Dias, 1985)

Enfoque que será utilizado para definição de tarefas do usuário. • administração científica, • enriquecimento de trabalho ou • sócio-técnico.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

11

Definição de tarefas:

Administração Científica (Dias, 1985)

Cada empregado é treinado para a execução de uma tarefa elementar "cientificamente" determinada pela divisão do trabalho, havendo clara distinção entre planejamento e execução da tarefa.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

12

6


Definição de Tarefas:

Enriquecimento de Trabalho (Dias, 1985)

A ênfase ainda é no trabalho individual, mas as tarefas são determinadas de modo a aumentar o grau de satisfação no trabalho, com tarefas mais abrangentes, permitindo certo nível de controle do empregado nas suas próprias atividades.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

13

Definição de Tarefas:

Enfoque Sócio-Técnico (Dias, 1985)

Visualiza o conjunto tecnologia e grupo social que realiza o trabalho, visando otimizá-lo. Este grupo tem como atribuições alocar tarefas entre seus membros, treinar seus membros de forma a que saibam desempenhar mais de uma tarefa, autoavaliar desempenho, auto-ajustar-se às variações da tecnologia e participar da definição de objetivos. PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

14

7


Nível de participação do usuário x características organizacionais (Dias, 1985) INTERAÇÃO SI FUNÇÃO ALTA ?

SIM

SI LOCAL ? ENFOQUE SÓCIO-TÉCNICO OU ENRIQUECIMENTO - TRABALHO ?

SIM S I M

N Ã O

NÃO NÃO

S I M

N Ã O

SIM

NÃO

S I M

N Ã O

S I M

N Ã O

X

X

X

X

PARTICIPAÇÃO APROPRIADA CONSULTIVA REPRESENTATIVA

X

POR CONSENSO

X

CONFLITO ENTRE DEFINIÇÃO DE TAREFAS E CARACTERÍSTICAS DO SI

X

X

X

X

X

X

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

15

Como pode ser estruturada a área de TI nas empresas ?

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

16

8


Organograma da Empresa: Localização da área de TI (adaptado de Turban et al., 2004)

• Subordinada à Diretoria Financeira ou Administrativa ou de Planejamento • Subordinada à Presidência ou Vice-Presidência, com função de serviço independente • Subordinada ao Executivo que comanda uma Divisão Operacional • O Chief Information Officer (principal executivo de TI da empresa) PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

17

Organograma da Empresa: Denominação da área de TI (adaptado de Turban et al., 2004)

Inicialmente, era CPD (Centro de Processamento de Dados), hoje em desuso. Algumas alternativas: – Departamento de Gestão de Sistemas de Informação ou de Sistemas de Informação – Departamento de Serviços de Informação – Departamento de TI – Centro de Tecnologia corporativa – Pode ser ainda uma Empresa independente (GM, Boeing, Siemens, etc.) PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

18

9


O papel do CIO (adaptado de Turban et al., 2004)

O Chief Information Officer (principal executivo de TI da empresa) tem várias responsabilidades e papéis, entre outros: • Promover Alinhamento estratégico • Entender o papel e o impacto da TI nas atividades da empresa e passar expectativas realistas • Proporcionar segurança e prevenção contra desastres • Implementar soluções no “estado da arte“ • Prover o acesso às informações • Ser um visionário de alternativas estratégicas para o negócio • Coordenar e controlar recursos • Ter uma visão de uso da Internet para soluções para a TI e para o negócio; PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

19

Organograma da Empresa (Chiavenato , 1985)

Há uma variedade de tipos de estruturas departamentais possíveis de serem adotadas nas empresas, sendo que as principais são as seguintes: – – – – – – –

Estrutura funcional; Estrutura por produtos ou serviços; Estrutura por base territorial; Estrutura por clientela; Estrutura processo; Estrutura por projeto; Estrutura matricial.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

20

10


Organograma da área de TI (Fernandes & Kugler , 1990)

Arranjos de estruturas organizacionais para a área de Informática, destacando o enfoque dos projetos de sistemas de informações. – – – – – – – –

estrutura funcional pura estrutura funcional/projetos estrutura matricial/balanceada estrutura matricial/funcional estrutura matricial/projetos estrutura por cliente estrutura por linha de produto estrutura por tipo de sistemas

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

21

Estruturas Funcionais (Fernandes & Kugler , 1990)

Estrutura Funcional Pura • Especialização e departamentalização por funções, comando fundamentado na hierarquia, foco nas tarefas, favorece o enfoque de eficiência das tarefas. Ocorre áreas de TI pequenas. Útil quando é necessário "arrumar a casa“.

Estrutura Funcional/projetos • Equipes multidisciplinares, formadas para um projeto e não em função de tarefas, alocação dinâmica da recursos, favorece ênfase na eficácia. A mais comum no Brasil. Indicada para rápida proliferação de sistemas aplicativos

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

22

11


Estruturas Matriciais (Fernandes & Kugler , 1990)

Estrutura Matricial /Balanceada •

Similar a estrutura por projetos, dando ênfase à capacidade técnica e à participação de terceiros no projeto. Indicada para projetos envolvendo uso simultâneo de diversas tecnologias de informação.

Estrutura Matricial/funcional •

Mesmas características da matricial/balanceada, a não ser pela existência de gerentes de projetos integrados, abaixo dos gerentes funcionais, que utilizam colaboração de técnicos de outras áreas. Indicada para projetos envolvendo uso simultâneo de diversas tecnologias de informação.

Estrutura Matricial/projetos •

Similar a anterior, mas o gerente de projeto fica hierarquicamente acima dos gerentes funcionais. Indicada para grandes projetos, envolvendo diversas tecnologias e prioritários para a empresa.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

23

Estruturas Funcional pura

Matricial

De projeto pura G.F. G.F. G.F.

G.F. G.F. G.F.

G.F. G.F. G.F.

G.P. G.P.

G.P.

G.P.

G.P.

G.P.

G.P.

G.P.

G.P.

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

24

12


Outras possíveis Estruturas (Fernandes & Kugler , 1990)

Estrutura por Cliente • Facilita comunicação com usuários, bem como compreensão de suas necessidades. Útil para criar cultura de informática na empresa e para "arrumar a casa".

Estrutura por linha de produto • Facilita comunicação com responsáveis pelas linhas de produto.

Estrutura por Tipo de sistemas • Por tipos de sistemas entende-se sistemas corporativos e sistemas específicos por área de negócio. Comum em conglomerados diversificados, é indicada para acompanhar características do negócio. PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

25

Conclusões • A participação do usuário é um fator primordial para o sucesso de desenvolvimento e/ou implementação de muitas aplicações de TI. • Há várias alternativas de estruturação para a área de TI. A escolha fica em função das características da empresa, do papel represetado pela TI e do momento que a empresa vive. • É cada vez mais comum a organização dos chamados “comitês de TI (ou de informática)”

PRO2513 – Prof.Dr. Fernando JB Laurindo e Prof.Dr. Marcelo S.P. Pessôa

26

13


ADMINISTRAÇÃO ESTRATÉGICA E GOVERNANÇA ELETRÔNICA NA GESTÃO URBANA Denis Alcides Rezende Klaus Frey PUCPR – Pontifícia Universidade Católica do Paraná PPGTU – Programa de Pós-Graduação em Gestão Urbana

Resumo As cidades necessitam de modelos de gestão inovadores para que os gestores urbanos tratem das mudanças que sociedade globalizada exige. Nesse contexto, a informação se torna um recurso estratégico cada vez mais importante para as prefeituras. Esse artigo discute a relevância da informação e do uso dos instrumentos tecnológicos para uma gestão urbana mais participativa.

Introdução Com as profundas mudanças globais, sociais, econômicas e políticas, as cidades estão requerendo novos e inovadores modelos de gestão, assim como novos instrumentos, procedimentos e formas de ação, a fim de permitir que os gestores urbanos tratem das mudanças de uma sociedade globalizada. Por um lado, é necessário encontrar respostas e soluções rápidas para problemas cujas causas ficam muitas vezes fora da esfera de influência do administrador público, mas cujas conseqüências precisam ser enfrentadas pelo poder local. Por outro lado, é uma tarefa essencial explorar e disponibilizar as chances e oportunidades relacionadas a tais transformações, em favor tanto da administração pública quanto da própria população. No passado, a gestão urbana contemplava basicamente o planejamento dos aspectos físicos e territoriais da cidade, com a disponibilização de infra-estrutura básica e com os serviços sociais. A concentração nessas atividades tem sido considerada indispensável para uma boa qualidade de vida urbana. Entretanto, e particularmente em países em desenvolvimento, o êxodo rural e as imensas taxas de crescimento populacional obstruíram os esforços para efetivamente atender as crescentes demandas sociais dos cidadãos urbanos pobres (FREY, 2002).

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 51


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

No presente, a gestão urbana contempla um incomensurável conjunto de variáveis e de diferentes atores, experimentando transformações fundamentais que exigem um debate controvertido em torno dos possíveis caminhos da gestão pública das cidades na sociedade da informação que crescentemente vem se consolidando (FREY, 2003). Reconhecendo as novas potencialidades relacionadas à ampliação dos atores sociais envolvidos na gestão pública, a literatura vem crescentemente enfatizando o tema de “governança” (governance), salientando novas tendências de administração pública e de gestão de políticas públicas, particularmente a necessidade de mobilizar todo conhecimento disponível na sociedade em benefício da melhoria da performance administrativa e da democratização dos processos decisórios locais. De acordo com a concepção de governança urbana, a melhoria da qualidade de vida nas cidades não é negócio exclusivo de governo, mas sim tarefa e responsabilidade compartilhada entre todas as organizações e cidadãos que constituem o tecido institucional e social da cidade (PUTNAM, 2001; SCHERER-WARREN, 1999; CASTELLS, 1999). Observa-se que, ao longo do tempo, os governos brasileiros têm despendido somas crescentes de recursos públicos em tratamento e gestão da informação. O produto básico e dominante das organizações públicas não é físico e sim informacional (CASTOR, 2000). As informações são fundamentais para aproximar os cidadãos da gestão urbana, mas a sua disseminação e compartilhamento necessitam dos recursos da tecnologia da informação e comunicação para contribuir na inclusão digital. Infelizmente a exclusão digital ainda é muito grande no Brasil, dificultando a gestão urbana em redes de coordenação participativa. A exclusão digital pode ser entendida como o não acesso e o não uso da Internet e de seus recursos tecnológicos e informacionais na vida social, política e econômica. Essas questões inexoravelmente envolvem a administração estratégica e a governança eletrônica na gestão urbana, contemplando o potencial das novas tecnologias da informação e comunicação e seus respectivos recursos na contribuição para a constante busca de novas formas de participação democrática e transparente na gestão pública das cidades.

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 52


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

Referências Teórico-Conceituais Administração estratégica Administração estratégica é um termo mais amplo que abrange uma série de estágios, passos e atividades (internas e externas) que a alta administração deve realizar na organização (WRIGHT; KROLL; PARNELL, 2000). É um processo contínuo e iterativo que visa manter uma organização como um conjunto apropriadamente integrado a seu ambiente (CERTO; PETER, 1993). A administração é uma ciência. A estratégia pode ser entendida como um conjunto de atividades necessárias para atingir objetivos ou resultados. Pode ser composta de plano, padrão, posição, perspectiva e pauta ou pretexto (MINTZBERG; QUINN, 2001). A nova administração ou gestão pública ou a “new public management (NPM)” pressupõe aplicar nas organizações públicas os modelos de gestão oriundos da iniciativa privada e os conceitos de administração estratégica focados nos negócios empresariais e nos princípios de empreendedorismo (OSBORNE; GAEBLER, 1992; BARZELAY, 2001). Gestão urbana O conceito de gestão, sob a ótica da administração empresaial, está relacionado com o conjunto de recursos e a aplicação de atividades destinadas ao ato de gerir. O processo de gestão é uma função orgânica básica da administração. São processos mentais e físicos de estabelecer o que é desejável e como serão elaborados. Gestão é fazer administração nas organizações. Procura reunir planejamento estratégico e administração em um único processo (TAVARES, 2000; CHIAVENATO, 2000; MINTZBERG; QUINN, 2001). A cidade é um organismo dinâmico e complexo. Esse organismo pode ser caracterizado por grandes diversidades e múltiplos contrastes, gerando inúmeras dificuldades ao gestor público. Nesse sentido a gestão urbana deve desempenhar um papel relevante para contribuir na diminuição desses contrastes, dificuldades e conflitos e também na solução dos múltiplos problemas enfrentados. O “Estatuto da Cidade” que foi elaborado em 1990 e aprovado pela Câmara Federal em dezembro de 1999, destaca nas suas diretrizes gerais que a gestão urbana democrática é eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 53


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

elaborada por meio da participação da população e de associações representativas dos vários segmentos da comunidade na formulação, execução e acompanhamento de planos, programas e projetos de desenvolvimento urbano. Também menciona que os instrumentos previstos que demandam dispêndio de recursos por parte do poder público municipal, devem ser objeto de controle social, garantindo a participação de comunidades, movimentos e entidades da sociedade civil. Ainda, dedica um capítulo às formas de gestão democrática das cidades, com ênfase nos mecanismos que garantam o interesse público, o acesso à informação e o controle social sobre os processos decisórios das políticas e dos recursos públicos, nos vários níveis, assegurando a participação popular em geral, mediante a realização de orçamentos participativos, entre outros instrumentos. A gestão urbana também pode ser entendida como governança urbana. Nesse sentido ela apresenta um novo conceito em gestão pública e política. Apesar de os conceitos teóricos de governança serem multifacetados (HIRST, 2000; RHODES, 2000), não há dúvida alguma sobre uma mudança substancial – tanto em política urbana quanto em teoria urbana – dos conceitos tradicionais, baseados no princípio da autoridade estatal, para abordagens de governança, frisando novas tendências de uma gestão compartilhada e interinstitucional que envolve o setor público, o setor produtivo, o crescente setor voluntário ou terceiro setor. A criação de redes e as parcerias públicas-privadas são processos políticos cada dia mais dominantes no novo mundo urbano fragmentado e são essenciais para a abordagem da governança. “Governar torna-se um processo interativo porque nenhum ator detém sozinho o conhecimento e a capacidade de recursos para resolver problemas unilateralmente” (STOKER, 2000). Governança eletrônica A governança pode ser traduzida como a capacidade financeira e administrativa de implementar políticas públicas que objetiva tornar o Estado mais forte e menor pela superação da crise fiscal, pela delimitação da sua área de atuação, distinção entre o núcleo estratégico e as unidades descentralizadas, pelo estabelecimento de uma elite política capaz de tomar as decisões necessárias e pela dotação de uma burocracia capaz e motivada (CUNHA, 2000).

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 54


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

A governança eletrônica ou e-governança (e-gov) pode ser entendida como a aplicação dos recursos da TI na gestão pública e política das organizações desse tipo. Os termos “governança e democracia eletrônica” têm foco no uso das tecnologias de informação e comunicação (TIC) aplicadas às atividades e ações de governo, seja de governo para governo ou em especial, de governo para com a sociedade e seus cidadãos. A TIC ou simplesmente tecnologia da informação (TI) é conceituada como o conjunto de recursos computacionais que guardam e manipulam dados e geram informações e conhecimentos por meio de seus componentes. Os componentes da TI são: hardware e seus dispositivos e periféricos; software e seus recursos; sistemas de telecomunicações; e gestão de dados e informações (REZENDE, 2002; REZENDE; ABREU, 2003). Pela implementação continuada de redes de computadores, softwares e bancos de dados, web browsers, e portais os cidadãos obtém informações que podem ser compartilhadas de forma oportuna. As aplicações ou serviços real-time se tornam mais operáveis e consistentes, estabelecendo uma maior conectividade entre os cidadãos e o governo e resultando na melhoria da responsabilidade e transparência da gestão urbana (WAISANEN, 2002). O termo governo eletrônico tem foco no uso das novas tecnologias de informação e comunicação aplicadas a um amplo arco das funções de governo e, em especial, deste para com a sociedade. Em termos gerais pode-se pensar nas seguintes relações sustentadas pelo governo eletrônico: aplicações web com foco para o segmento governo-negócio [G2B]; aplicações web voltadas para a relação governo-cidadão [G2C]; e aplicações web referentes a estratégias governo-governo [G2G]. Em conjunto, o governo eletrônico além de promover essas relações em tempo real e de forma efetiva, seria ainda, potencializador de boas práticas de governança e catalisador de uma mudança profunda nas estruturas de governo, proporcionando mais efetividade, transparência e desenvolvimento, além do provimento democrático de informações para decisão. Se esse potencial será efetivado, dependerá das decisões e desenhos de diversas políticas de médio e longo prazo delineadas nos próximos anos para esse campo (RUEDIGER, 2002). O governo eletrônico não pode ser considerado um “produto” acabado, mas, considerando sua natureza eminentemente política, bem como pública, deve necessariamente ser percebido como um processo em constante desenvolvimento. É uma oportunidade de eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 55


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

constituir um “estado virtual” efetivamente promotor de mudanças institucionais e transparência de governo, que, ao mesmo tempo, promova uma reinvenção do próprio governo real. O governo eletrônico poderia ser considerado, dentro de uma perspectiva mais ampla, uma possível chave para promoção de acessibilidade às informações fundamentais para articulação de apoios, capacitação de grupos de pressão, incremento da capacidade cívica e de capital social, além da promoção do desenvolvimento econômico e de relações mais democráticas e transparentes entre governo e sociedade civil. Em termos gerais, crescem as relações do governo com os demais atores nos planos virtual e real (RUEDIGER, 2002). A e-governança pode ser composta de tecnologia, pessoas e governos locais. Não envolve só administrar tecnologia mas também gerir mudança organizacional, pois sempre existem cidades criando serviços na Internet, distribuindo informações e se comunicando com seus cidadãos e parceiros de negócios, disponibilizando serviços on-line, elaborando transações financeiras on-line, e também administrando negócios.

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 56


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

Considerações Finais Internacionalmente a sociedade civil global está permanentemente preparando propostas para eventos relacionados com o tema exposto, procurando adquirir uma dimensão igualmente global, com o propósito de renovar a vida social e democrática na sociedade da informação contemporânea. O número de iniciativas locais, governamentais e não-governamentais, experimentando com novas formas de participação via Internet e demais recursos da tecnologia da informação e comunicação, está crescendo constantemente. Apesar da tendência dominante de um ciberespaço crescentemente privatizado e comercializado, e de um desenvolvimento do setor de telecomunicação marcado pela lógica do mercado e do lucro rápido, todas essas iniciativas indicam possibilidades de o ciberespaço futuramente operar como um espaço de experimentação democrática capaz de contribuir para o aprofundamento da democracia, da governança e da gestão urbana. A administração estratégica, as tecnologias da informação e comunicação por meio de aplicações em governança e democracia eletrônica, podem apresentar um potencial promissor para facilitar a participação dos cidadãos na gestão urbana, para assegurar uma maior interatividade entre os atores locais e também para transformar a gestão urbana participativa em benefício da transparência administrativa, da ampliação da participação pública, do fortalecimento da democracia local e suas redes de relacionamentos e da sustentabilidade urbana.

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 57


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

Referências Bibliográficas BARZELAY, M. The New Public Management: improving research and policy dialogue. Regents of the University of California. California, Ucpress: 2001. CASTELLS, M. A sociedade em rede. A era da informação: economia, sociedade e cultura, v.1, São Paulo: Paz e Terra, 1999. CASTOR, B. V. J. O Brasil não é para amadores: Estado, Governo e Burocracia na terra do jeitinho. Curitiba: EBEL/IBQP-PR, 2000. CERTO, S.; PETER, P. Administração estratégica: planejamento e implantação da estratégia. São Paulo: Makron Books, 1993. CHIAVENATO, I. Administração: teoria, processo e prática. 3. ed. São Paulo: Makron Books, 2000. CUNHA, M. A. V. C. Portal de serviços públicos e de informação ao cidadão: estudo de casos no Brasil. 2000. 172 f. Tese (Doutorado em Administração). Universidade Federal de São Paulo - FEA/USP. São Paulo. FREY, K. Governança eletrônica: experiências de cidades européias e algumas lições para países em desenvolvimento. In: EISENBERG, José e CEPIK, Marco (orgs.). Internet e política: teoria e prática da democracia eletrônica. Belo Horizonte: Editora UFMG, p.141-163, 2002. FREY, K. Governança urbana e redes sociais: o potencial das novas tecnologias da informação e comunicação. In: ENCONTRO ANUAL DA ANPAD, 27., 2003, Atibaia. Anais… Atibaia: ANPAD, 2003. HIRST, P. Democracy and governance. In: Jon Pierre (ed.): Debating governance: authority, steering and democracy. Oxford University Press: New York, p. 13-35, 2000. MINTZBERG, H.; QUINN, J. B. O processo da estratégia. 3. ed. Porto Alegre: Bookman, 2001. OSBORNE, D.; GAEBLER. T. Reinventing Government: how the entrepreneurial spirit is transforming the public sector. Reading, MA: Addison-Wesley, 1992. PUTNAM, R. Bowling Alone: the Collapse and Revival of American Community. New York: Simon & Schuster, First Touchstone Edition, 2001. REZENDE, D. A. Tecnologia da Informação integrada à inteligência empresarial: Alinhamento estratégico e análise da prática nas organizações. São Paulo: Editora Atlas, 2002. REZENDE, D. A.; ABREU, A. F. Tecnologia da informação aplicada a sistemas de informação empresariais: o papel estratégico da informação e dos sistemas de informação nas empresas. 3. ed. São Paulo: Atlas, 2003.

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 58


Denis Alcides Rezende; Klaus Frey v. 1, n. 1, abr.-jun./2005, p. 51-59

RHODES, R. A. W. Governance and public administration. In: Jon Pierre (ed.): Debating governance: authority, steering and democracy. New York: Oxford University Press, p. 54-90, 2000. RUEDIGER, M. A. Governo Eletrônico e Democracia: uma análise preliminar dos impactos e potencialidades na gestão pública. In: ENCONTRO ANUAL DA ANPAD, 26., 2002, Salvador. Anais… Salvador: ANPAD, 2002. SCHERER-WARREN, I. Cidadania sem fronteiras: ações coletivas na era da globalização. Rio de Janeiro: Hucitec, 1999. STOKER, G. Urban political science and the challenge of urban governance. In: Jon Pierre (ed.): Debating governance: authority, steering and democracy. New York: Oxford University Press, p. 91-109, 2000. TAVARES, M. C. Gestão estratégica. São Paulo: Atlas, 2000. WAISANEN, B. The future of e-government: technology-fueled management tools. Washington: Management. v. 84, p. 6-10. Jun 2002. WRIGHT, P.; KROLL, M. J.; PARNELL, J. Administração estratégica: conceitos. São Paulo: Atlas, 2000.

eGesta – Revista Eletrônica de Gestão de Negócios - ISSN 1809-0079 Mestrado em Gestão de Negócios – Universidade Católica de Santos 59


Diretrizes para terceirização de TIC

1

Texto disponível na internet: << http://www.bundesrechnungshof.de/publications/booklets-guidance/ictguide.pdf >> Acesso em: Julho, 2008. Tradução por Susi Wayne Lopes (Sefti) Revisão por Sylvia Regina Caldas Ferreira Pinto (Arint)

Introdução

Com suas diretrizes para auditoria da terceirização das funções de TIC, a EFS alemã e as 16 cortes estaduais dão uma resposta às mudanças nas atividades governamentais. A importância de TIC para a eficiência e qualidade das atividades governamentais modernas provoca a adoção de um enfoque uniforme pelos órgãos de controle externo no complexo campo do uso de TIC, que não está livre de riscos e ainda é, até certo ponto, um novo campo de atividade dentro do governo.

Estas diretrizes

visam oferecer sugestões práticas, adotando uma nova abordagem no

desenvolvimento e implementação de auditorias em TIC.

1

Tecnologia da Informação e Comunicação


2

Conteúdo 1

Definição de Terceirização de TIC ................................................................................ 3

2

Objetivos da Terceirização de TIC ................................................................................ 3

3

Motivos para terceirização de TIC................................................................................. 3

4

Pré-requisitos gerais para terceirização de TIC .............................................................. 4

5

Pré-requisitos legais .................................................................................................... 4

6

Prós e contras na terceirização de TIC .......................................................................... 5

7

Critério de seleção para projetos de terceirização .......................................................... 6 7.1 Variantes da terceirização de TIC ............................................................................. 6 7.2 Seleção de áreas de TIC apropriadas para terceirização ............................................. 6

8

Potencial dependência na parceria de terceirização de TIC ........................................ 100

9

Preparação de contratos terceirizados e cláusulas a serem incluídas ........................... 100 9.1 Documentos formais para licitação ........................................................................ 100 9.2 Especificações ...................................................................................................... 122 9.3 Avaliação de propostas ........................................................................................ 133 9.4 Termos e condições a serem estipulados nos contratos .......................................... 133

10

Avaliação retroativa de programa .......................................................................... 155

Os prós e contras da terceirização de TIC ....................................................................... 177

2


3

1

Definição de Terceirização de TIC

“Terceirização” no campo da Tecnologia da Informação e Comunicação (TIC) significa a contratação de provedores externos de serviço para realização de determinados processos ou funções de TIC, por um período de, no mínimo, um ano. Como regra, a terceirização de TIC implica a aquisição de serviços mediante pagamento ou pelo estabelecimento de acordo mútuo.

2

Objetivos da Terceirização de TIC

A terceirização de TIC visa atingir os seguintes objetivos dentro do governo por meio da contratação de serviços prestados por fornecedores externos: 1. Melhoria do desempenho 2. Melhoria na relação custo-benefício 3. Aperfeiçoamento da comunicação 4. Fornecimento de melhores serviços aos clientes 5. Aperfeiçoamento das condições de trabalho

3

Motivos para terceirização de TIC

A Terceirização de TIC não deve ser motivada apenas por situações de acúmulo de trabalho (escassez de funcionários qualificados e de recursos financeiros), mas principalmente por objetivos a longo prazo que devem ser considerados na lei orçamentária. Obs.: Na prática, os fatores e circunstâncias seguintes têm surgido como os motivos para terceirização de TIC: • a necessidade de compensar a escassez de funcionários qualificados da própria empresa, • a necessidade de adquirir habilidades em TIC • a necessidade de assegurar operações de TIC contínuas e organizadas e • insuficiência de recursos financeiros para equipamentos de TIC. Todavia, os aspectos seguintes devem ser considerados na lei orçamentária atual, se uma visão a longo prazo for adotada:

3


4

• Aspectos de eficiência e economia, especialmente redução de custos e simplificação dos processos de negócio, • crescimento quantitativo e qualitativo do desempenho, • redução de riscos resultante da utilização de novas tecnologias, e • concentração da atividade da organização no seu centro de negócios.

4

Pré-requisitos gerais para terceirização de TIC

Funções de TIC em departamentos governamentais e órgãos de nível federal ou estadual podem ser terceirizadas quando: • a terceirização melhorar o desempenho após a introdução de melhores práticas em processos de negócios internos, • regras e disposições legais e administrativas aplicáveis abonarem tais práticas • a supervisão e controle adequados do colaborador terceirizado de TIC forem assegurados. Projetos de terceirização de TIC devem ser planejados baseando-se em melhores práticas de TIC. Portanto, é aconselhável conduzir um estudo abrangente da organização e uma análise meticulosa da necessidade ininterrupta das funções realmente desempenhadas. Esse estudo deve analisar funções de TIC individuais, mas deve também tratar de processos de negócio. Como resultado, funções de TIC distintas e específicas devem ser identificadas e avaliadas como capazes de ser terceirizadas. A classificação seguinte pode ser utilizada: • capaz de ser terceirizada, • parcialmente capaz de ser terceirizada, • possibilidade de suporte externo e • impossibilidade de suporte externo.

5

Pré-requisitos legais

Terceirizar funções e processos de TIC é admissível quando: • isso não desrespeita os direitos e liberdades fundamentais dos cidadãos, • isso não prejudica o funcionamento do governo e • o governo não assume um risco incalculável de se tornar dependente de contratados particulares.

4


5

Obs.: Em cada caso,

no entanto, em que um projeto de terceirização de TI parecer

conveniente, deve-se dar atenção aos limites legais segundo os quais uma transferência de funções para o setor privado é admissível. Esses limites são encontrados na Constituição que (explícita ou implicitamente) atribui algumas funções inerentemente governamentais exclusivamente ao governo federal, estadual ou local. Os seguintes parâmetros legais devem ser levados em conta ao se considerar a terceirização de TIC no âmbito do setor-público: 1.

Quando as funções de TIC a serem terceirizadas tiverem relação com direitos básicos

ou liberdades civis, a legislação já existente

que autoriza tal terceirização deve estar

adequada e pronta para ser utilizada ou então nova legislação

deve ter sido criada

recentemente. Providências devem ser tomadas para adequada proteção e controle. A autoridade contratante deve estipular termos contratuais para esse

fim e deve

supervisionar adequadamente seu cumprimento. 2. Em alguns campos de atividade nos quais a capacidade de ação do Estado não deve ser ameaçada e onde é necessário assegurar a capacidade do governo fornecimento dos serviços públicos essenciais, os

de garantir o

acertos a respeito de TIC são

indispensáveis planos de contingência que devem estar adequados e prontos a serem usados, permitindo departamentos governamentais ou agências a continuar suas atividades nos casos em que contratados falhem no desempenho de suas obrigações contratuais. Os acertos devem permitir que outro contratado ou mesmo a autoridade contratante retomem as atividades de TIC em um período de tempo razoavelmente curto. 3. Medidas devem ser tomadas para evitar que o governo se torne dependente, a uma proporção incalculável, de qualquer contratado. Quando as circunstâncias não deixarem alternativa para terceirização de certas funções de TIC aos contratados que têm um quase-monopólio, disposições contratuais devem assegurar direção e monitoração adequadas pela autoridade contratante.

6

Prós e contras na terceirização de TIC

5


6

A preparação e o exame minucioso das decisões sobre terceirização de TIC devem observar as seguintes áreas, que são diretamente afetadas pela utilização de TIC: pessoal, custos, financiamentos, relação custo-benefício, organização, resultados e tecnologia. Obs.: É aconselhável levar em conta os critérios expostos no Anexo I, sempre que se pensar num projeto de terceirização, e considerá-los vis-à-vis as circunstâncias individuais de cada caso.

7

Critério de seleção para projetos de terceirização

Esse critério de seleção deveria levar em consideração as diversas características das funções de TIC e os processos de negócios a serem terceirizados, em termos de tempo, tecnologia, organização, peculiaridades das operações e contratados envolvidos. 7.1 Variantes da terceirização de TIC O principal critério para classificação das etapas da terceirização de TIC deve ser tempo, volume e peculiaridades das operações. Obs.: A terceirização parcial de funções e processos de TIC por um período de tempo indefinido é uma das variantes mais comuns da terceirização. 7.2 Seleção de áreas de TIC apropriadas para terceirização Áreas de TIC adequadas para terceirização podem ser identificadas por meio de vários sistemas de classificação baseados em catálogos de produtos, processos de negócios e catálogos de funções. Obs.: Áreas de TIC adequadas para terceirização podem ser identificadas por meio de vários sistemas de classificação. Alguns exemplos disso são dados abaixo. 1. Classificação de acordo com um catálogo de produtos do Manual de Contabilidade de Custo e Desempenho • Infra-estrutura de TIC e administração de sistemas − supervisão técnica de centros computacionais

6


7

− questões de hardware e software, convites para licitação, aquisição e planejamento de implementação − estruturas e estratégias de TIC − concepção de requisitos técnicos para TIC − segurança de TIC e parâmetros de proteção de dados − apoio à configuração dos sistemas − documentação e manutenção de registros sobre administração de sistemas − identificação e planejamento de treinamento • Comunicação e equipamentos corporativos − requisitos de identificação e planejamento de equipamentos a longo prazo − definição de requisitos qualitativos, levando em consideração planos a longo prazo para − compra de hardware e software − implementação de procedimentos de licitação − implementação de aquisições − prestação de serviços de consultoria − organização de serviços de reparo • Aplicativos de TIC para operações específicas − execução de análises dos requisitos − planejamento de estruturas conceituais gerais − provas comparativas e testes de desempenho − planejamento de trabalhos de consultoria • Suporte ao usuário − instalação e suporte ao equipamento do usuário/configuração − organização de serviço de atendimento − diagnóstico e eliminação de erros/falhas − ajuda ao usuário − serviço de reparo − cursos de treinamento 2. Classificação com base nos processos • processo de planejamento e coordenação de TIC

7


8

• processo de desenvolvimento de infra-estrutura • processo de desenvolvimento de aplicativos de TIC • processo de operação de TIC • processo de suporte ao usuário • processo de provimento de equipamentos para os locais de trabalho 3. Classificação baseada nos catálogos de funções de TIC (exemplos) Exemplo 1: de um Ministério Federal (enumerativo, baseado numa amostragem em bola de neve) Áreas de TIC e subtarefas

Transferência para outra entidade do governo ou terceirização

> Subtarefas

Recomendação

Decisão tomada pelo Ministério Federal

Comentário sobre a decisão tomada pelo Ministério

Infra-estrutura de TIC > administração de sistemas

Não

Não

> operação de rede completa

Não

Não

> gerenciamento de Rede Aplicações de TIC > aquisição e manutenção de dados > análise de conteúdo do banco de dados > desenvolvimento de aplicativos > manutenção > documentação > conceito da aplicação > interface da aplicação > processo de licitação > desenvolvimento do banco de dados Administração de TIC2

Sim

Não

Importância estratégica Importância estratégica, ineficiente Ineficiente

Sim

Sim

Sim

Sim

Sim

Em aberto

Sim Sim Não Não Não Não

Em aberto Em aberto Não Não Não Não

Não

Não

Transferência de gestão interna Transferência de gestão interna

Função Função Função Função

principal principal principal principal

Importância estratégica e função inerentemente

2

Inclui: controle de TIC, administração do projeto, questões orçamentárias, segurança de TIC, garantia de qualidade, questões legais, treinamento de TIC, identificação das necessidades e tarefas secretariais. 8


9

Atendimento ao Usuário

Não

governamental Importância estratégica, ineficiente

Não

Exemplo 2: Serviços de terceirização sob um contrato-base (framework contract) de terceirização de comunicação corporativa concluídos pelo

estado alemão de Baden-

Württemberg com um fornecedor de serviços: “O contratado deverá fornecer os seguintes serviços: − Acessórios de hardware, software padrão e substituição de itens, − instalação, integração/adaptação, teste. − Integração de aplicativos administrativos e aplicativos técnicos, − Entrega do sistema de comunicação corporativa em condição aceitável e pronto para ser utilizado, − Instruções iniciais aos usuários, − Treinamento, (se contratado especialmente para isso), informação ao usuário, − Operação do sistema de comunicação corporativa e de todos os processos auxiliares, − Linha direta, serviços de atendimento, − gerenciamento da configuração, problemas e mudanças, − atualização de hardware e software − administração de redes locais ou partes essenciais dela para a interface do sistema de administração de estado, − Sugestões sobre opções alternativas para mais desenvolvimento − Estratégias operacionais com vista especialmente para atingir e manter as melhores práticas vigentes − relatórios, − Migração para o sistema padrão de comunicação corporativa (incluindo operação de rede) em troca de taxas extras, − Migração de aplicativos técnicos (quando contratado especialmente para isso), − Harmonização e coordenação.”

9


10

8

Potencial dependência na parceria de terceirização de TIC

Ao considerar a terceirização de tarefas de TIC, especial atenção deve ser dada ao fato que o conhecimento „interno‟ de TIC pode ser perdido ou não estar disponível quando necessário. Assim, a autoridade contratante se torna (parcialmente) dependente do conhecimento do contratado terceirizado. Portanto, a autoridade contratante deve providenciar treinamento adequado a seus próprios funcionários para assegurar sua independência. Obs.: A terceirização de tarefas de TIC põe em perigo o conhecimento interno de TIC de maneira que o conhecimento requerido pode não estar disponível quando necessário. A ausência de conhecimento profissional entre os funcionários da autoridade contratante reduz a habilidade da autoridade de exercer influência no desenvolvimento técnico de sua área de operações governamentais. Esse risco deveria ser neutralizado

por meio de treinamento bem direcionado, visando

salvaguardar a independência da autoridade contratante em relação ao colaborador terceirizado. Para garantir um nível adequado de independência, cuidados devem ser tomados para deixar os contratos de fornecedores externos de serviço em uma base competitiva e para criar condições para que haja alternativas de outros contratados que possam assumir toda a função terceirizada de TIC.

9

Preparação de contratos terceirizados e cláusulas a serem incluídas

Para preparar os contratos de terceirização de TIC com seus termos e condições, os documentos da licitação devem ser planejados cuidadosa e detalhadamente e, nos vários métodos de especificação e tipos de contrato, procedimentos de recompensa devem ser considerados. 9.1 Documentos formais para licitação Antes de iniciar qualquer transação de terceirização de TIC, os âmbitos de responsabilidade e os termos e condições que precisam ser estipulados devem ser determinados e fixados nas especificações juntamente com as

disposições contratuais

sobre hardware, software e

serviços. 10


11

Obs.: Os pontos listados abaixo devem ser levados em conta ao serem determinados os âmbitos de responsabilidade e os termos e condições: • Hardware - capacidade - capacidade da CPU - capacidade de armazenamento - segurança de TIC (disponibilidade, confidencialidade, integridade) - atualização e manutenção • Equipamento periférico (e.g. estações de vídeo, impressoras) - capacidade - segurança de TIC (disponibilidade, confidencialidade, integridade) - atualização e manutenção • Rede - capacidade da rede - segurança de TIC (disponibilidade, confidencialidade, integridade) - atualização e manutenção, p. ex. manutenção remota via linha de dados • Software de sistema - Instalação - atualização e manutenção - segurança de TIC (disponibilidade, confidencialidade, integridade) - procedimentos de diagnóstico em caso de erros/problemas - medidas para eliminar erros - monitoração e otimização da administração de sistemas, • Aplicativos (software padrão, software individual) - desenvolvimento, - instalação - tempos de instalação - tempos de resposta - segurança de TIC (disponibilidade, confidencialidade, integridade) - cópia de segurança, tempos de recuperação - proteção de dados (privacidade) 11


12

- atualização e manutenção • Serviços - objetivos do serviço - tempos de funções ativas - tempos de resposta (p. ex. para serviços de atendimento ao usuário) 9.2 Especificações Qualquer convite para licitação deve ser endereçado ao maior número possível de licitantes, estipulando-se em termos gerais as especificações técnicas a serem terceirizadas. Obs.: Existem diferentes abordagens viáveis para definir os requisitos e os serviços a serem terceirizados: 1. Especificações funcionais Quando a autoridade contratante não tiver nenhuma idéia concreta sobre os produtos e processos de negócios, aos licitantes deve ser solicitado o oferecimento da solução e sua implementação. Exemplo: Quando os serviços de suporte ao usuário de TIC, em um departamento ou órgão, estiverem para ser terceirizados, os documentos da licitação informarão possíveis licitantes somente a respeito da área de TIC (p. ex.: hardware atual, software, número de usuários, tempos de suporte e de resposta). As propostas devem abranger: a) o tipo de suporte ao usuário (p. ex. suporte no local ou por telecomunicação, ou uma combinação de ambos) e b) sua implementação, isto é, os serviços específicos oferecidos pelo licitante. 2. Especificações baseadas em um ambiente, existente ou planejado, de TIC De acordo com essa abordagem, a autoridade contratante planejou uma solução e implementação concretas para o desempenho de uma função e especificou isso claramente

12


13

nos documentos

da licitação. Os requisitos a serem contemplados na proposta estão

especificados em termos de uma configuração de TIC já determinada. Exemplos: Capacidades do centro computacional definidas com base em um determinado sistema operacional ou processo, suporte ao usuário de TIC com uma linha direta cujo contato pode ser feito por telefone ou email entre 7h às 19h. 3. Convites paralelos para licitação Sob essa abordagem centrada na realização de licitações, que visa identificar ao mesmo tempo a melhor solução técnica e a melhor relação custo-benefício no que se refere ao financiamento e à operação de uma função de TIC por meio de terceirização, a autoridade contratante deve permitir que os licitantes ofereçam diferentes soluções e deve avaliar as propostas de acordo com o que foi pedido. Com base em especificações distintas de software, hardware e serviços, propostas podem ser obtidas, por exemplo, para os seguintes componentes de licitação. a. Preço de compra para hardware e software b. Contratos de locação para hardware e software c. Remuneração por serviços d. Preço por atuação como contratado geral (Terceirização-TIC) 9.3 Avaliação de propostas As especificações técnicas requeridas, a abrangência e a qualidade dos serviços devem ser levados em consideração.

As propostas devem ser

avaliadas de acordo com os valores

apresentados e de acordo com o grau de conformidade com os requisitos especificados. As decisões em favor de uma abordagem contratante ou licitante em particular devem ser baseadas em avaliações de investimento e análises de valores de benefícios. Obs.: Convites paralelos para licitação requerem a avaliação de propostas alternativas que cubram várias necessidades de TIC. Eles podem ser descritos como modelos que compreendem, em proporções distintas, trabalho interno e serviços contratados (aquisições e serviços exclusivamente internos, operações mistas, terceirização completa). 9.4 Termos e condições a serem estipulados nos contratos

13


14

Os termos e condições de um contrato sobre terceirização de serviços devem ser o mais claro possível, especialmente no que diz respeito às características seguintes: qualidade, garantias, mudanças nos preços e serviços fornecidos, penalidades por quebra de contrato, término de um contrato, relatório do contratado e procedimentos de coordenação. Obs.: Acerca do conteúdo e extensão de contraltos de terceirização, os itens subseqüentes devem ser estipulados em um contrato de terceirização de TIC (baseado em um modelo de contrato onde apropriado): • Características de qualidade (indicadores/parâmetros quantitativos) que definam os serviços a serem desempenhados pelo contratado, • Providências para monitoração do desempenho, métodos e prazos, relatório (obrigação do contratado mensurar os parâmetros e relatá-los), por exemplo, sobre incidência de falhas e volume de serviços utilizados, • Direitos de acesso a dados protegidos de dirigente, • garantias, • Soluções em caso de pouco ou nenhum desempenho ( extensão da responsabilidade, penalidades contratuais), • Providências para casos em que o volume de serviços fornecidos exceder ou não alcançar o volume inicialmente especificado, • Adaptação/modificação de desempenho acordado no contrato, para progresso técnico, revisões regulares, • critério para ajuste nos preços, • condições financeiras para aquisição de hardware ou software em caso de término extraordinário de contrato, • termo de contrato, • sigilo, • condições para prorrogação do prazo do contrato, • término, • acordo em caso de expiração do contrato, • administração/arbitragem de crise, • direito de acesso para auditoria por instituição de auditoria externa. Ademais, é imprescindível que as partes do contrato: 14


15

• designem contatos e membros de comissões conjuntas, • definam e descrevam seus âmbitos de responsabilidade • definam claramente suas interfaces, • definam os canais para processos de tomada de decisão e • cheguem a um acordo em relação a deveres de cooperação e procedimentos de coordenação.

10

Avaliação retroativa de programa

Avaliações de programa devem ser executadas ex post para verificar a consecução dos objetivos estabelecidos para o projeto de terceirização de TIC e

o cumprimento pelo

contratado das obrigações contratuais. Obs.: Como pré-requisito para avaliação ex post, os serviços e atividades realizados pelo colaborador terceirizado de TIC (contratado) devem ser registrados. Isso também fornecerá as bases para ajustar o âmbito de responsabilidades do contratado quando for o caso e para identificar meios de racionalizar o desempenho da missão interna. Para esses propósitos, metas de desempenho verificáveis devem ser especificadas, incluindo características como: • tempos de resposta, • qualidade, • flexibilidade de desempenho e • confiabilidade operacional das instalações técnicas ou sistemas de TIC que o contratado se comprometeu a operar. Baseado em um sistema de relatórios significativo, é também possível monitorar os resultados efetivos da terceirização nas práticas e procedimentos da autoridade contratante, p. ex.: • o custo-benefício da medida, • o aumento da produção interna, 15


16

• a melhoria da qualidade e • reduções da carga

de trabalho da administração organizacional e de pessoal e

conseqüentes reduções de gastos. Os custos incorridos como pagamentos ao contratado devem ser comparados regularmente aos valores de mercado. Isso deve ser feito pela autoridade contratante ou pelo contratado com base em regras estabelecidas pela autoridade contratante. Quando os pagamentos ao contratado forem continuamente maiores que os valores de mercado identificados, a renegociação do preço deve ser iniciada ou o contratado deve ser substituído. O contrato deve prever isso. Outro método efetivo de avaliação de programa que pode ser utilizado é o processo de

benchmarking. Para utilizar esse método, os aspectos chave necessários devem ser identificados, atualizados regularmente e comparados entre outras organizações. Quando o desempenho da autoridade contratante não alcançar a média, as razões para isso devem ser encontradas e soluções devem ser tomadas. O contrato deve também estabelecer procedimentos para determinar as conseqüências de qualquer falha desse tipo.

16


17

Os prós e contras da terceirização de TIC (áreas mais sujeitas a problemas/critérios para alcance de metas) A. Pessoal Prós

Contras

Evita problemas com recrutamento adequado Dependência do contratado. de funcionários qualificados. Reduz a dependência em relação a alguns Perda de especialistas específicos e de seus poucos

funcionários

com

conhecimento conhecimentos.

altamente especializado. Desafoga

os

especialistas

do

trabalho Aumento da necessidade de coordenação

rotineiro.

entre a autoridade contratante e o contratado.

Libera os Recursos Humanos para tarefas mais importantes. Melhora

o

aproveitamento

dos

recursos Problemas com a lei do servidor público.

humanos, p. ex.: concentração em negócios Potenciais conflitos com direitos estatutários centrais.

das

entidades

de

representação

dos

servidores. Reduz o pessoal de TIC, evita o aumento do Dependência do contratado. número

de

funcionários

e

situações

de

acúmulo de trabalho. O IVA3 pago (entrada de IVA) não é dedutível (parte das despesas com pessoal). B. Custos

3

Imposto sobre o Valor Agregado. Isso inclui: linha direta, atendimento online, pré-

configuração em casos de gestão de projeto e produção.

17


18

Prós

Contras

Reduz custos e aumenta a transparência dos Custos adicionais de transações (p. ex.: custo gastos, especialmente quando os gastos são para fazer e implementar o contrato) alocados/incluídos no orçamento da unidade usuária. Aumenta a consciência sobre os custos. Evita elevados gastos de capital esporádicos Risco de não utilização de recursos centrais (p. ex.: contratos-base (framework contracts)

com novas TIC.

vantajosos). Converte custos fixos em gastos que podem ser diretamente direcionados para „produtos‟. Facilita o planejamento, a condução e o monitoramento dos custos. Direciona com precisão os custos para as fontes. Recursos

alocados

/

Despesas

com

comunicação e coordenação. C. Relação custo-benefício /financiamento Prós

Contras

Evita elevados gastos de capital esporádicos com novas tecnologias da informação. Evita débitos excessivos ao se proceder a contratações e aquisições. Providências relativas a financiamento de acordo com os termos de contrato. Acelera os processos de negócios. Utiliza

completamente

o

potencial

de Perda de Know-how.

racionalização. D. Organização 18


19

Prós

Contras

Simplifica os processos de compra de TIC.

Perda de contato com o mercado de TIC e de conhecimento sobre ele.

Evita a escassez de pessoal de TIC. Ocorre

a

concentração

nos

Dependência do contratado. negócios Perda de habilidades internas.

essenciais. E. Desempenho Prós

Contras

Aumenta a qualidade das operações de TIC Impossibilidade sem aumento de custos.

de

avaliação

da

relação

custo-qualidade em razão da perda de knowhow.

Reduz o tempo do ciclo de implementação de Redução da habilidade de conduzir projetos projetos de TIC e/ou o pagamento pelo uso de TIC e/ou o de hardware e software de TIC. Alta

flexibilidade

na

pagamento pelo uso de

equipamento.

disponibilidade

dos Perda geral de controle.

serviços de TIC.

Perda da visão geral.

Implementação de medidas de TI de acordo Redução com o cronograma.

da

habilidade

tempestivamente

a

para

responder

dificuldades

no

cumprimento de cronogramas. Acesso a competências especiais na área de Redução de habilidades internas. TIC

e

utilização

de

procedimentos

padronizados. Aplicação

de

métodos

modernos

de

desenvolvimento. Aceleração

dos processos de mudança de Perda de know-how.

TIC.

Inovação superior ao necessário.

Aceleração no ritmo de inovação. Transferência de Know-how

Dependência do contratado.

19


20

Segurança de dados potencialmente alta, p. Dependência do contratado. ex.: devido à cópia de segurança dos centros computacionais do contratado. Gerenciamento organizado para que

para

da

informação

mais Oportunidade para que o contratado exerça

alcançar objetivos gerais do influência.

tomar

decisões

sobre

casos

individuais. F. Tecnologia Prós

Contras

Redução de riscos tecnológicos ao transferi-los Dependência do contratado. para o contratado em virtude dos termos de contrato. Aumento da disponibilidade de TIC. Aceleração do ritmo de inovação. Independe de implementação técnica.

Restrição à inovação. Dependência do contratado.

Possibilidade de redução dos inputs em Perda de competência. informação, coordenação e processos de tomada de decisão. Redução de inputs necessários, p. ex.: para Perda de know-how. reparação de erros, manutenção, introdução de novo release.

20


g-Quality: um método para avaliação da qualidade dos sítios de e-Gov Cristiano Maciel1, José Luiz Thomaselli Nogueira2, Ana Cristina Bicharra Garcia3 Instituto de Computação - Universidade Federal Fluminense (UFF) Rua Passo da Pátria, 156 Bloco E Sala 350 - 24.210-240 – Niterói – RJ. {cmaciel,nogueira,bicharra}@ic.uff.br

Resumo. O governo brasileiro têm disponibilizado serviços na Web, todavia, estes não têm sido projetados com vistas a atender às necessidades dos cidadãos. Hoje, não existem diretrizes para construção e avaliação de sítios de e-Gov universalmente aceitas. Este artigo apresenta o método g-Quality, para avaliação da qualidade de sítios governamentais considerando os critérios de Usabilidade, Acessibilidade, Interoperabilidade, Segurança e privacidade, Veracidade da informação, Agilidade do serviço e Transparência. O método foi aplicado na avaliação de 127 sítios do governo brasileiro (federal, estado e municipal). O método g-Quality provou ser eficiente no diagnóstico e identificação de problemas específicos no domínio de sítios de e-Gov.

1. Introdução O Brasil está em décimo oitavo lugar (Benchmarking, 2001) dentro do grupo de países que tem alta capacitação de "e-government", alcançando um índice superior ao da Itália, Japão e Áustria. No entanto, diversos estudos brasileiros indicam que esses sítios de eGov não atendem às necessidades dos cidadãos brasileiros (Chalin et. al, 2004) (Mora, 2004). Estes estudos são baseados em informações estatísticas oficiais e questionários aplicados para avaliar a adequação dos sítios, para compreender o nível de universalização e para definir o perfil dos usuários para as aplicações governamentais. Apesar desses estudos indicarem que os sítios não estão bons, eles não especificam os problemas dos mesmos. Esta falta de especificação dos problemas dificulta a tarefa de criação de diretrizes que norteiem o desenvolvimento dos sítios governamentais. Existem vários métodos para se avaliar a usabilidade e qualidade de sítios (Nielsen, 2000) (Becker, 2002) (Zeithaml et. al, 2002) (Chalin et. al, 2004) (Mahamed, 2004) (Wood et. al, 2004). Em usabilidade, o método de avaliação heurística de Nielsen (1994) é largamente utilizado, principalmente nas fases iniciais do projeto. O método consiste na verificação de uma pequena lista de regras (heurísticas) do “que fazer e do que não fazer”. Tal avaliação deve ser feita, preferencialmente, por especialistas de usabilidade dada a subjetividade da tarefa. Ao utilizarmos este método para análise de sítios de e-Gov brasileiros, observamos sua ineficiência para apontar os

1

Doutorando em Computação – UFF, bolsista Capes. Doutorando em Computação - UFF 3 Ph.D. Standford - 1992 - Profa. Adj. IV – UFF 2


problemas deste domínio. Sítios de e-Gov possuem características próprias e requerem outros pontos de análise. Neste artigo mostra-se o método g-Quality (Garcia et. al, 2005) para diagnóstico da qualidade dos sítios de e-Gov, incluindo os critérios de usabilidade, acessibilidade, interoperabilidade, segurança, privacidade, veracidade da informação, agilidade do serviço e transparência. O método de avaliação foi aplicado a 127 sítios de domínio de governo, durante os meses de outubro e novembro de 2004. Os resultados obtidos demonstraram a eficiência do método g-Quality criado, na identificação de problemas específicos nos sítios de e-Gov e servem de referencial para concepção de diretrizes de qualidade para este domínio de aplicação.

2. Governo Eletrônico Governo Eletrônico (e-Gov) significa o uso das Tecnologias de Informação e da Comunicação para atender as necessidades do cidadão na obtenção de informações (viabiliza a apresentação de informações governamentais), execução de serviços (permite a realização de transações online de produtos e serviços governamentais) e participação nas decisões do governo (permite a participação e a interação do cidadão com o governo). Cada sítio de e-Gov apresenta uma configuração relativa ao percentual de migração de informação, oferta de serviço e capacidade de participação do cidadão. Um sítio de e-Gov, por exemplo, pode ser totalmente informativo caso seja 100% informativo, 0% serviço e 0% participativo. Dependendo da função do sítio, determinado critério de avaliação poderá ter um papel mais ou menos importante na análise do mesmo. A estratégia do governo e a maturidade da migração, por sua vez, pode ser observada através dos percentuais de informações, serviços e processos participativos do governo já migrados para Web. Na ação do governo de levar o atendimento ao cidadão para Web, diversas barreiras devem ser examinadas de forma a manter as relações existentes no meio tradicional, ou seja, representar as ações de quando o cidadão vai obter uma informação, necessita executar um serviço ou deseja participar das decisões governamentais. Para obter-se informações governamentais no meio tradicional, como, por exemplo, o de conhecimento de um imposto predial, o cidadão primeiramente se dirige ao órgão responsável, verifica se há a informação desejada e, sendo esta oficial, tem a garantia de poder utilizá-la e qual o período de validade desta. Ao necessitar utilizar um serviço governamental, como, por exemplo, a entrega de declaração de imposto de renda anual, o cidadão se dirige a um posto da receita federal e têm a confiança que as informações ali depositadas forem entregues, estão seguras e não serão divulgadas. Já ao desejar participar das decisões governamentais, como, por exemplo, as assembléias de orçamento participativo, o cidadão se dirige ao órgão governamental para expor, verificar e/ou registrar sua demanda com agilidade e, em algum caso, participar nas decisões (voto). Quando o governo tenta transpor o atendimento ao cidadão para o ambiente Web deve considerar as mesmas especificidades do meio tradicional, garantindo acesso e veracidade da informação, o não repúdio dos dados, e segurança e privacidade. Tais especificidades podem resultar em problemas que não são detectadas pelo método de


Avaliação Heurística proposto por Nielsen (1994). De forma a abranger as especificidades não contempladas pelos métodos de avaliação tradicional, propõe-se a ampliação dos critérios de avaliação para o domínio de e-Gov.

3. Método g-Quality Esta pesquisa está baseada no método indireto de avaliação de usabilidade conhecido como Avaliação Heurística (Nielsen, 1994) (Maciel et. al, 2004) e no e-Ping (Padrão de Interoperabilidade do Governo Eletrônico) (e-Ping, 2004), que é um documento central que garante que o governo brasileiro possa instituir, em função da sua diversidade de sistemas de informação, um fluxo contínuo de dados públicos. As heurísticas de avaliação de Nielsen (1994) são: "Visibility of system status", "Match between system and the real world", "User control and freedom", "Consistency and standards", "Error prevention", "Recognition rather than recall", "Flexibility and efficiency of use", "Aesthetic and minimalist design”, "Help users recognize, diagnose, and recover from errors" e "Help and documentation". Para o domínio de governo eletrônico, as heurísticas citadas acima não são suficientes para avaliação de sítios. O método g-Quality (Garcia et. al, 2005) proposto consiste em considerar além destas heurísticas, os seguintes critérios: acessibilidade, interoperabilidade, segurança e privacidade, veracidade da informação, agilidade do serviço e transparência. Veja Tabela 1, a seguir. Tabela 1 - Critérios para Avaliação no domínio de Governo Eletrônico na WEB Critérios

Descrição

Justificativa

Usabilidade

Tradicionalmente associada com os atributos facilidade de uso, facilidade de aprendizado, memorabilidade, satisfação do usuário, produtividade e flexibilidade (Nielsen, 1994)

Este princípio é recomendado para avaliação de interfaces, indicando se a interação é eficiente.

Acessibilidade

O sítio deve ser projetado de forma flexível com o intuito de tornar o seu conteúdo acessível a pessoas com necessidades especiais ou ser acessível em diferentes ambientes.

De acordo com as normas do Governo Federal, a acessibilidade é fundamental e deve ser considerada no ambiente digital.

Habilidade de intercambiar informações entre sistemas Interoperabilidade diferentes, permitindo a troca de dados baseada no padrão do governo (e-Ping, 2004).

Não impõe ao cidadão a necessidade de uso de um padrão, permitindo uma maior abrangência e um menor esforço físico do cidadão que necessita enviar ou receber informações oriundas de outros sistemas.


Tabela 2 - Critérios para Avaliação no domínio de Governo Eletrônico na WEB Critérios

Segurança e Privacidade

Veracidade da Informação

Agilidade do Serviço

Transparência

Descrição

Justificativa

Informações pessoais e que exigem sigilo devem ser trafegadas via rede de forma A visibilidade das condições de segura, de modo que o usuário se segurança do sitio transmitem aos sinta confortável em usuários confiança na interação. disponibilizar essas informações sem o risco. Se a Web representa a forma tradicional de busca de informação, deve ser confiável. A Informar a última atualização de atualidade das páginas do sítio cada página do sítio. aumenta a credibilidade do conteúdo disponibilizado e a confiança na interação. O tempo de resposta de uma tarefa em um sítio deve ser breve ou ate instantâneo. A agilidade também esta ligada à disponibilidade do serviço.

Se a Web representa a migração do serviço tradicional, deve ser ágil e confiável. Neste ambiente o cidadão espera agilidade e a demora no atendimento de uma solicitação diminui a confiança do mesmo nos sítios e aumenta o grau de intolerância.

O governo deve disponibilizar para o público todas as informações, tais como, despesas públicas, para permitir uma visão clara de operações governamentais.

A publicação do orçamento do governo e dos gastos permite que os cidadãos acompanhem melhor o que é planejado e o que foi executado na administração governamental (Lei de Responsabilidade Fiscal) (Mora, 2004).

Para avaliação no domínio de governo eletrônico na web, considerando o foco no cidadão, verificamos que os critérios avaliam a qualidade dos sítios de forma a minimizar ou maximizar os seguintes componentes: •

Esforço Cognitivo - uso da atenção individual para o entendimento e aprendizado de uma tarefa. Ao minimizar o esforço cognitivo o cidadão desenvolverá atividades de maneira mais intuitiva, atingindo seus objetivos com eficiência;

Tolerância - motivação e paciência do cidadão em aguardar, entender e realizar ações em função das respostas do sítio;

Abrangência - possibilidade de atingir um maior número de cidadãos independentemente das características técnicas da máquina do usuário ou das necessidades especiais do próprio cidadão, físicas ou cognitivas;

Esforço Físico - facilidade na utilização do sítio, proporcionado pelo reuso de dados;


Confiabilidade - demonstração de confiança e credibilidade ao cidadão, garantindo segurança na troca de informações e na navegação do sítio.

A figura abaixo explicita as correlações existentes entre estes critérios, definidas para avaliação de sítios de governo eletrônico. Figura 1 - Mapeamento dos critérios e componentes de e-Gov Critérios de Qualidade

Mínimo Máxima Esforço Máxima Esforço Máxima Tolerância Abrangênci Físico Confiabilidade Cognitivo a

Mínimo

Usabilidade Acessibilidade Interoperabilidade Segurança e Privacidade

Veracidade da Informação Agilidade do Serviço Transparência

Legenda: Importante -

Alto

Médio

Baixo

Não Relevante

Quando satisfeitos tais critérios, os cidadãos podem obter uma navegação de maior qualidade. O critério usabilidade contempla todos os componentes, contudo não com a mesma intensidade. O critério Segurança e Privacidade, por sua vez, só pode medir neste escopo a confiabilidade do sistema. No caso do critério Agilidade do Serviço, este reflete em tolerância e confiabilidade para os cidadãos. Para aplicação do método, os critérios foram mapeados em um instrumento de avaliação, um checklist, apresentado no anexo deste artigo. O checklist foi aplicado manualmente por especialistas, conforme descrito no estudo de caso. No checklist também se quantifica a abrangência da migração dos processos governamentais nas categorias de informação, serviços e participação, para o ambiente Web. No Anexo deste encontra-se o checklist completo utilizado para avaliação dos sítios, conforme método g-Quality. No checklist também se quantifica a abrangência da migração dos processos governamentais nas categorias de informação, serviços e participação, para o ambiente WEB, conforme Tabela 2. Esta aferição será denominada de "Migração Digital", e é um indicador que dá suporte a representatividade neste ambiente.


Tabela 2 – Categorias de Migração Digital Categorias

Descrição

Informativo

Viabilizar a apresentação de informações governamentais, normalmente de forma estática.

Serviços

Permitir a administração de produtos e serviços governamentais (ex. consultas, cadastros, pagamentos).

Participativo

Permitir a participação e interação do cidadão com o governo (ex. orçamento participativo, listas de discussão, referendos).

Abaixo exemplifica-se cada uma das categorias com base no que é disponibilizado pelos sítios na Web. Tabela 3 – Exemplos por Estágios de Desenvolvimento dos WebSites Informativo Dados institucionais Noticias Promoções Legislação Publicações Download de textos/relatórios/Aplicativos Ajuda textual ou em vídeos Link´s para outros sítios

Serviço

Participativo

WebMail Cadastramento Recadastramento Solicitações de Serviços Certidões Cópias de documentos Emissão de multas Consulta a processos

E-mail Chat Fórum de discussões Votação Grupo de Trabalho

Instalação de Aplicativos Ferramentas de buscas

Na seção seguinte apresenta-se um estudo de caso no qual o método de avaliação é aplicado em sítios de e-Gov brasileiros.

4. Estudo de Caso O método g-Quality foi aplicado na avaliação dos sítios governamentais brasileiros conforme cenário apresentado a seguir, orientado por uma metodologia. Dados do estudo de caso realizado para testar o método são analisados nesta seção. 4.1. Descrição do cenário O método proposto foi aplicado para analisar a qualidade de sítios de e-gov brasileiros, sendo 9 sítios federais, 91 sítios municipais (todos do Estado do Rio de janeiro) e 27 sítios municipais distribuídos pelo Brasil (todas as capitais) (Maciel et. al, 2005). Os sítios foram coletados através de um serviço de busca, considerando o domínio gov.br. Caso o sítio procurado não fosse encontrado no domínio gov.br, considerava-se aquele encontrado (.com ou .org), e sua oficialidade foi posteriormente checada.


Para análise dos dados coletados, consideraram-se duas classificações dos sítios governamentais: 1) segundo a esfera de governo (municipais, estaduais e federais); e 2) pela quantidade de habitantes do município, baseada na classificação das Agências do IBGE (Instituto Brasileiro de Geografia e Estatística), sendo considerado um município pequeno quando menor que 25.000, médio quando entre 25.000 (inclusive) e 50.000 e grande se acima de 50.000 (inclusive). 4.2. Aplicação do Método g-Quality O método foi aplicado por sete especialistas da Pós-Graduação em Ciência da Computação da Universidade Federal Fluminense, no período entre setembro a novembro de 2004. Os avaliadores realizaram um curso, no qual discutiram os métodos de inspeção de usabilidade e os critérios específicos de avaliação para o domínio de eGov a serem utilizados, e construíram o checklist com os quesitos que padronizaram o processo de avaliação. O primeiro passo foi a realização de um teste piloto do checklist, o que possibilitou a verificação de possíveis inconsistências. Quatro especialistas externos utilizaram o checklist na avaliação de um sítio governamental, ao mesmo tempo em que os alunos do curso realizaram o checklist e compararam suas respostas. Essas avaliações não foram consideradas como válidas e seus dados não foram contabilizados. Conforme intensão do grupo, a migração digital será medida com base no levantamento da existência ou não de determinada informação, serviço ou recurso para participação. Considerando que cada critério pode ser mapeado em vários subitens (quesito) e que cada subitem pode influenciar de forma positiva ou negativa, ponderamos cada subitem com o intervalo de menos quatro a três. Desta forma, destacamos os pontos positivos e negativos de cada subitem e utilizamos estes pesos para obter a média ponderada destes. Para o preenchimento do checklist, utilizamos os conceitos: 2 - para sempre; 1 para às vezes e 0 - para nunca/opção não testável. Para as localidades em que não foram encontrados sítios governamentais, foi atribuído o valor 0 (zero). Por fim este valor é multiplicado pelo peso, e calculada a média ponderada e o resultado obtido de cada heurística é normalizado. Os dados quantitativos foram apresentados em tabelas e gráficos, facilitando as análises qualitativas destes. No item a seguir, apresentam-se alguns gráficos, bem como as respectivas análises os dados coletados. 4.3. Análise dos Dados (Classificação por Esfera Governamental) O gráfico a seguir demonstra como se comportaram os critérios utilizados na avaliação (Maciel et. al, 2005).


Figura 2 - Critérios de Avaliação dos Sítios de e-Gov Avaliação dos Sites de e-Gov 100% 80% 60% 40% 20% 0% Us Ac Municípios do RJ

In SP VI Municípios da Capital do Estado

AS Federal

(Us) Usabilidade (Ac) Acessibilidade (In) Interoperabilidade (SP) Segurança e Privacidade (VI) Veracidade da Informação (AS) Agilidade do Serviço

Para melhor representar o critério “Usabilidade” apresenta-se uma análise individual de cada heurística de Nielsen. Considerando o conjunto de heurísticas de Nielsen, temos uma situação mediana para usabilidade (44,93%), sendo que os pontos críticos são nas heurísticas de “Flexibilidade e eficiência de uso” e de “Ajuda e documentação”. Com a inclusão dos critérios propostos, há uma classificação pior em termos de qualidade dos sítios, uma vez que os percentuais atingidos pelas outros critérios são menores. A formação dos domínios dos sítios foi um grande problema encontrado. No Rio de Janeiro, por exemplo, dos 91 municípios, 51 (56,04 %) possuem sítios com domínio rj.gov.br; 7 (7,69 %) sítios com outros domínios (.com ou .org). Este fato dificulta a procura nos mecanismos de busca e põe em dúvida sua credibilidade. Também foram encontrados 24 (26,37 %) sítios que eram apenas referenciados em portais não oficiais; 4 (4,39 %) sítios em construção e 5 (5,49 %) não localizados. Se fossem considerados os dados disponíveis no sítio http://www.brasil.gov.br, perceberia-se que, no estado do Rio de Janeiro, temos somente 41 municípios listados, dos quais 27 são do domínio rj.gov.br, 4 são de outros domínios (.com ou .org), 3 estão em construção e 7 sítios não localizados. Percebe-se que não há uma consistência entre o informado oficialmente pelo governo federal e pelo que há de fato e também que não existe padronização no domínio dos municípios. Verificou-se que quanto menor a migração no atendimento ao cidadão para Web, maior foi o grau de adesão às heurísticas de Nielsen. Por exemplo, na heurística “Consistência e Padrões”, podemos verificar que os Municípios do RJ estão bem melhor avaliados do que os Municípios Capitais, todavia verificamos que são menos complexos. Tanto nos sítios dos municípios do Rio de Janeiro, quantos nos das Capitais e nos das os federais, verifica-se pouco comprometimento com a heurística “Visibilidade do Status do Sistema” que é uma heurística fundamental para este domínio de aplicação. Numa visão detalhada podemos verificar que 62,79% dos sítios nunca “utilizam


mensagens contextualizadas durante o processamento”, que 75,76 % dos sítios nunca “mantém o cidadão informado a respeito do progresso do processamento” e, nos casos extremos, 79,17 % nunca “informa previamente o tamanho dos arquivos para download“ e 98,61 % nunca informa “o tempo de download“. Já na heurística de “Controle do usuário e liberdade”, 46,66 % dos sítios analisados “remetem os usuários a link´s inexistentes”, 93,10% não “solicita confirmação de ações relevantes“ e 100 % não “disponibiliza função que permita desfazer”. A heurística de “Consistência e Padrões” foi cumprida por um número razoável de sítios, porém devemos ressaltar que nem os sítios federais seguem o subitem “apresenta cabeçalho do governo federal”. Dos 9 sítios avaliados somente 3 atendem plenamente o critério, os demais não apresentam ou apresentam o cabeçalho modificado. Do total de sítios avaliados, 95,65 % não atendem este subitem. O subitem “utiliza o recurso de meta-tags para fácil localização da página em mecanismos de busca”, não é observado por 89,77% dos sítios analisados. Na heurística “Prevenção de Erros”, observamos que o subitem “questiona confirmação da execução de ações, conforme conseqüência destas ao sítios” não foi atendido em 86,21% dos sítios analisados. Dos sítios avaliados muito poucos têm preocupação com a heurística “Flexibilidade e Eficiência de Uso”. A possibilidade de adaptação dos sítios para o perfil do cidadão permite uma maior abrangência e diminui a carga cognitiva necessária para a utilização do mesmo. O subitem “fornece atalhos para que os usuários mais experientes acessem a informação desejada com um menor número de cliques” não é atendido em 91,21% dos sítios analisados. Já o subitem “personaliza as páginas para diferentes perfis de cidadãos” também não é atendido em 97,83% dos sítios analisados. Os subitens “utiliza assistente para apoio ao usuário” e “utiliza mecanismos que permitam a customização” não são atendidos em 100 % dos sítios analisados. Nesta heurística, houve uma ocorrência no subitem “outro”. Esta ocorrência indicava o subitem “mapa do sítio”. Na heurística “Estética e Design Minimalista”, podemos verificar sítios que tem desnecessariamente as páginas poluídas de informações, principalmente na página principal, o que acarreta uma grande dificuldade para o usuário. Temos também o subitem “evita rolar a página verticalmente” não sendo atendido em 62,22 % dos sítios analisados. Poucos sítios apresentam alguma preocupação com a heurística de “Ajuda e Documentação”, sendo que 92,31 % não fornecem recursos de ajuda. Isso traduz a falta de apoio ao usuário no direcionamento dna execução de distintas tarefas propostas pelo sítio. Tendo uma ajuda clara e direta estar-se-á auxiliando o usuário a atingir seu objetivo no sítio e minimizando a insegurança em executar uma determinada tarefa. O critério “Acessibilidade” é fundamental para este domínio de aplicação já que o governo tem o dever de incluir todos os cidadãos e possibilitar a cidadania plena. Porém podemos verificar a baixa preocupação com está heurística, inclusive pelos sítios federais. O subitem “permite a percepção visual através da marcação de textos” não é considerado por 83,70 % dos sítios. Já o subitem “Utiliza recursos facilmente acessíveis


em distintos meios de acesso, celular e palmtop” não é considerado por 98,91 % e temos ainda 94,81 % dos sítios não estando em “conformidade com as recomendações do W3C”. Com o critério “Interoperabilidade”, espera-se permitir que sistemas diferentes consigam intercambiar informação. Esta preocupação é encontrada no documento ePing (2004), porém nos próprios sítios federais analisados, nota-se a grande utilização de formatos proprietários. No subitem “disponibiliza documento no padrão xml, swx, rtf, pdf , txt, htm ou html”, comprova-se que os sítios federais apresentam menos de 56% em conformidade com este subitem e, em uma avaliação geral, temos 69,74 % dos sítios avaliados em conformidade. No critério “Segurança e Privacidade”, o resultados das avaliações ficou bem próximo de 0 (zero), o que é um grande problema para este domínio de aplicação. Informações pessoais que exigem sigilo devem ser trafegadas via rede de forma segura de modo que o usuário se sinta confortável em interagir com o sistema sem o risco de fraudes. Ao analisar os subitens, temos 96,10 % dos sítios sem utilizar “certificado digital” e a constatação que 100 % dos sítios não faz uso de teclado virtual. Já no critério “Veracidade da informação”, 9 sítios municipais se destacam, porém, como podemos verificar, diversos municípios não se preocupam com esta heurística, o que pode gerar uma ruptura de credibilidade do cidadão no sítio. Ao analisar os subitens temos 76,82 % dos sítios que não atendem o subitem “quando necessário, informa última atualização de cada página”. No critério “Agilidade do Serviço”, menos de 50% dos sítios atendem esse quesito de forma satisfatória. O usuário, então fica sem o retorno de suas solicitações em tempo hábil, o que causa frustração e desmotivação para o uso desta forma de interação. Ao analisar os subitens individualmente, verifica-se que 21,74 % dos sítios não “disponibiliza contato via e-mail”. Outro entrave é que 81,25 % dos sítios analisados não responderam um e-mail em 48 horas úteis e um mês depois a situação pouco se alterou. Quanto a “Transparência” pode ser notado que as administrações dos governos não tem utilizado a Internet como um canal para prestação de contas públicas ao cidadão. Somente 32.6% dos sítios têm estes dados disponíveis na Web. Ressalta-se que com a inclusão de critérios além da usabilidade, há uma classificação pior em termos de qualidade dos sítios, uma vez que os percentuais atingidos pelas outros critérios são menores (Figura 3).


Figura 3 - Comparativo dos Critérios de e-Gov Avaliação dos Sites de e-Gov

100% 80% 60% 40% 20% 0% Us

Ac

In

SP

VI

AS

(Us) Usabilidade (Ac) Acessibilidade (In) Interoperabilidade (SP) Segurança e Privacidade (VI) Veracidade da Informação (AS) Agilidade do Serviço

Desta forma, percebe-se que considerar somente a usabilidade dos sítios não basta. Para garantir a qualidade dos sítios de governo eletrônico é necessário incorporar critérios específicos para este domínio. 4.4. Análise dos Resultados (Classificado por Tamanho da População) Na classificação por população, tem-se um total de 118 cidades, com 38 destas classificadas como pequenas, sendo que dezesseis delas não possuem sítios governamentais; 18 classificadas como médias, sendo que 7 não possuem sítios oficiais e 62 classificadas como grandes, sendo que dessas,12 não possuem sítios oficiais. O objetivo desse item é analisar a situação dos sítios governamentais divididos pelo tamanho do município ao qual o sítio pertence. A avaliação dos critérios de e-Gov pelo tamanho da cidade é apresentada no gráfico a seguir. Figura 4- Classificação por Número de Habitantes Avaliação por Número de Habitantes

100% 80% 60% 40% 20% 0% Us

Ac

Pequenas Cidades

In

SP

Cidades Médias

VI

AS

Ciddades Grandes

(Us) Usabilidade (Ac) Acessibilidade (In) Interoperabilidade (SP) Segurança e Privacidade (VI) Veracidade da Informação (AS) Agilidade do Serviço

Ao examinar a usabilidade dos sítios por este enfoque, constatamos que as cidades pequenas são melhores sítio que as cidades médias em “Compatibilidade do sistema com o mundo real” e “Consistência e padrões”, e igual as cidades grandes em diversos itens. Em geral, todos esses itens são beneficiados pela simplicidade e são poucas as opções oferecidas pelos sítios das pequenas cidades. Espera-se que para populações menores o serviço público tradicional funcione de forma mais efetiva e que


a baixa disseminação de tecnologias de informação não gere uma grande demanda, pelos cidadãos, de governo eletrônico. 4.5. Análise de Migração Digital Verificou-se a quantidade de serviços ofertados pelos municípios avaliados através do sítio oficial de cada município, disponibilizado para acesso público através da Internet. De posse da quantidade de serviços, calculou-se o percentual de migração digital através da divisão deste valor pela quantidade de serviços efetivamente prestados e disponibilizados no balcão das prefeituras. O cálculo considera o total de serviços que cada município disponibilizou na Internet e o número de serviços que um município disponibiliza no balcão, neste caso estamos utilizando o número da Prefeitura do Estado do Rio de Janeiro que é de 259 serviços no balcão. Figura 5 - Serviços Migrados Taxa Média de Serviços Migrados 3,00 2,50 2,00 1,50 1,00 0,50 0,00 Cidades Pequenas

Cidades Médias

Cidades Grandes

Taxa Média

Quanto à migração digital temos as cidades grandes com um maior percentual. Entretanto, a migração de serviços ainda é lenta. O município do Rio de Janeiro (RJ) apresentou a maior migração, com 118 serviços disponíveis no sítio. Já Porto Alegre (RS) tem 43 serviços disponíveis no sítio. Até mesmo a média de migração de serviços entre as capitais é variável, sendo de 16,67 serviços o valor médio.

5. Considerações Finais Através deste estudo definiu-se um método – o g-Quality - para avaliação de qualidade de sítios governamentais. Pode-se notar que a inclusão de critérios específicos (acessibilidade, interoperabilidade, segurança e privacidade, veracidade da informação, agilidade do serviço e transparência) para a avaliação torna a inspeção mais criteriosa e aprofundada. Estes critérios foram mapeados conforme componentes de avaliação previamente definidos (esforço cognitivo, tolerância, abrangência, esforço físico e confiabilidade). Tais critérios são absolutamente necessários para implantação de um sistema viável de governo eletrônico, que permita que o usuário faça uso de fato e sinta necessidade de retornar ao sítio. O método desenvolvido nesta pesquisa considera várias questões pertinentes às áreas envolvidas, e pôde ser testado com um conjunto de sítios representativo e com avaliadores especialistas. O método g-Quality mostrou-se satisfatório e foi discutido junto a comunidade internacional (Garcia et. al, 2005) (Maciel et. al, 2005), sendo recomendado para avaliação de outros sítios do domínio de governo.


No que se refere aos sítios brasileiros avaliados, pode-se perceber que os da esfera federal, em geral, apresentam os melhores percentuais. Entretanto: a) os sítios eGov não atendem aos quesitos de segurança.; b) embora existam diretrizes federais para construir sistemas interoperáveis, os sítios estaduais de e-Gov apresentam maior interoperabilidade que os federais; c) como mostrado na Figura 2, os sítios apresentam similarmente na agilidade de serviço (embora abaixo do aceitável). Neste caso, a porcentagem de resposta de e-mail considera também os respostas automáticas, que se não fossem considerados iriam diminuir ainda mais esta porcentagem. Muitos e-mails foram respondidos somente meses após o pedido. Verificou-se a existência de sítios que se denominam como oficiais e tem cunho comercial, o que passa para o cidadão uma imagem totalmente distorcida do que é o governo eletrônico. Um detalhe verificado foi a necessidade de consistência nas nomeações dos sítios. Esta consistência permite aos usuários uma navegação mais intuitiva ao utilizar sempre uma mesma nomenclatura, e facilita os sistemas de busca. Outro aspecto a se destacar é a falta de segurança nos sítios governamentais. O provimento destes serviços depende fortemente da utilização plena do nível de segurança que este meio de comunicação ofereça. Este critério é extremante importante, uma vez que os cidadãos, ao interagirem com os sistemas, devem se sentir dispostos e seguros. Durante as visitas aos sítios amostrados nesta pesquisa, pode-se constatar que apesar da lenta migração digital, na qual se encontram muitos sítios, as informações e serviços encontrados eram abrangentes e relevantes aos cidadãos. A participação do cidadão e a interação deste com o governo via Web ainda são muito restritas, uma vez que a tomada de decisões governamentais não tem considerado as possibilidades de opinião através deste meio. A participação dos cidadãos restringe-se, na maioria, a possibilidade de expressar sua opinião via e-mail (constatamos que nem sempre temos esta opção), e a votação em pesquisas fechadas. Ao levantarmos características importantes ao cidadão, em conjunto com o governo, poderemos estabelecer de fato um conjunto de métricas para avaliação de sítios em e-gov, de forma a prover uma maior qualidade nos sítios desenvolvidos. Pelos resultados obtidos, o método utilizado mostrou-se eficaz no diagnóstico e identificação de problemas específicos deste domínio e pode contribuir na formulação de diretrizes para avaliação de qualidade em sítios de e-Gov

Referências Becker, S. A.; Berkemeyer, A. Rapid Aplication Design and Testing of Web usability. In IEEE Multimedia, out-dec 2002, pp.38-46. Benchmarking E-government: A Global Perspective. Acesso em Julho de 2004. Disponível em http://www.unpan.org/e-government/ Benchmarking%20Egov%202001.pdf. Chalin, A. et al. E-gov.br: a próxima revolução brasileira: eficiência, qualidade e democracia. São Paulo: Prentice Hall. (2004). 380p. e-Ping - Versão 1.0 do documento e-Ping. Acesso em Outubro 2004. Disponível em http://www.governoeletronico.e.gov.br/governoeletronico/index.html.


Garcia, A.C.B. Maciel, C.; Pinto, B.P. A Quality Inspection Method to Evaluate EGovernment Sites, Lecture Notes in Computer Science, Volume 3591, Aug 2005, Pages 198 - 209. Garcia, A.C.B; Pinto, F.; Ferraz, I.N. Technology as a new backbone to democracy. In:WEB BASED COMUNITIES 2004 IADIS INTERNATIONAL CONFERENCE, 2004, Lisboa. Iadis International Conference Proceedings. Lisboa: IST, 2004, 572p.p.215-222. Governo Federal. Acesso em Julho 2004. Cartilha de Usabilidade para Sítios e Portais do Governo Federal - Versão 01 – 30/06/2004. Holliday, I; Kwok, R. C. Governance in the information age: building e-government in Hong Kong. New Media&Society, 6(4), (2004) 549-570. ISO/IEC 9.126-11, Part 11: Guidance on Usability, 1998. Maciel, C.; Nogueira, J. L. T. Ciuffo, L. N.; Garcia, A. C. B. Avaliação Heurística de Sítios na Web. In: VII ESCOLA DE INFORMÁTICA DO SBC -CENTROOESTE, 2004, Cuiabá. SUCESU-MT 2004 Conference: Sociedade do Conhecimento. Cuiabá: PAK Multimídia, 2004. Maciel, C.; Nogueira, J.L.T.; Garcia, A. C. B. et al. Inspeção da qualidade dos sítios governamentais brasileiros. Relatório Técnico – Laboratório de Documentação Ativa e Design Inteligente - ADDLABs. Universidade Federal Fluminense. Niterói (RJ): UFF. 2004. 103p. Maciel, C; Nogueira, J.L.T; Garcia, A.C.B. An X-Ray of the Brazilian e-GovWeb Sites, Lecture Notes in Computer Science, Volume 3585, Sep 2005, Pages 1138 – 1141. Mahammed, S.N. Self-presentation of small developing countries on the World Wide Web: A study of official Web sites.. New Media & Society, 6(4), (2004), 469-486. Mora, M. Governo Eletrônico e aspectos fiscais: a experiência Brasileira. Instituto de Pesquisa Econômica Aplicada. Rio de Janeiro, RJ: IPEA. (2004). Nielsen, J. Usability Engineering. Boston: Academic Press, Cambridge, MA. (1993). Nielsen, J. Usability Metrics. Acesso em http://www.useit.com/alertbox/ 20010121.html.

Maio

2004.

Disponível

Nielsen, J., Designig WEB Usability: The Practice of Simplicity. Publishing, 2000.

em

New Riders

Nielsen, Jakob. Technology Transfer of Heuristic Evaluation and Usability Inspection. Acesso em Dezembro de 2002. Disponível em: http://www.useit.com. Padget, J. E-Government and E-Democracy in Latin America. IEEE Intelligent Systems. Volume: 20 Issue: 1 Jan-Feb 2005. pp. 94-96. Preece, J.; Benyon, D.; Davies, G.; Keller, L.; Rogers, Y. A Guide to Usability: Human Factors in Computing. ADDISON-WESLEY, The Open University, 1993. Sorj, B. brasil@povo.com: a luta contra a desigualdade na Sociedade da Informação. Rio de Janeiro: Jorge Zahar Ed.; Brasília, DF: UNESCO, 2003.


Wood, F.B.; Siegel, E.R.; LaCroix, E.-M.; Lyon, B.J.; Benson, D.A.; Cid, V.; Fariss, S. A practical approach to e-government Web evaluation. IT Professional. Volume: 5 Issue: 3 May-June 2003. pp. 22-28. Zazenlenchuk, T,. In Search of the Holy Grail: Alternatives to Nielsen’s Heuristics. Acesso em Setembro 2004. Disponível em: http://www.indiana.edu/~usable/utips/ february_03.htm. Zeithaml, V. A., Parasuraman, A. and Malhotra, A.. Service Quality Delivery through Web Sites: A Critical View of Extant Knowledge. Journal of the Academy of Marketing Science, Vol. 30, No. 4 (2002) 362-375.


Anexo: Checklist do Método g-Quality Sítio: __________________________________________________ Avaliador(a):____________________________________________ Data: ____/____/______ Opções: (2) - sempre, (1) – as vezes, (0) – nunca/não aplicável. Heurísticas

Visibilidade do Status do sistema

Compatibilidade do sistema com o mundo real

Avaliação

( ) Fornece informações de feedback sobre a localização do usuário. ( ) Utiliza mensagens contextualizadas durante o processamento. ( ) Mantêm o usuário informado a respeito do progresso do processamento. ( )

Informa previamente o tamanho dos arquivos para download.

( )

Informa previamente o tempo de download dos arquivos.

( )

Outro: _____________________________________________________________________

( )

Utiliza metáforas comuns ao mundo real do cidadão.

( )

Outro: _____________________________________________________________________

( )

Disponibiliza links para as principais seções do sítio, de modo que o usuário consiga acessálas a partir de qualquer página.

( )

Controle do usuário e liberdade

Utiliza janelas do tipo pop-up que são automaticamente abertas sem a solicitação do usuário. ( ) Solicita confirmação de ações relevantes pelo usuário antes de executá-las pelo sistema. ( ) Remete os usuários a link´s inexistentes. ( ) Disponibiliza função que permita voltar. ( ) Disponibiliza função que permita limpar. ( ) Disponibiliza função que permita desfazer. ( ) Disponibiliza função que permita cancelar. ( ) Outro: _____________________________________________________________________ ( ( ( (

Consistência e padrões

( )

Apresenta cabeçalho do governo federal.

( )

Padroniza a linguagem utilizada.

( )

Padroniza o formato das mensagens de erro.

( )

Repete seqüências de ações em situações de operação semelhantes, para facilitar o aprendizado.

( ) ( ) ( ) Prevenção de erros

Utiliza simbologias iguais para funções diferentes. ) ) Utiliza funções iguais com simbologias diferentes. Utiliza um padrão de hierarquização da informação, criando páginas específicas para cada ) nível de navegação. Padroniza o esquema de cores, a tipologia, a diagramação, o cabeçalho, os botões e os ) links, inclusive entre sítios de e-gov.

( )

Utiliza o recurso de meta-tags para fácil localização da página em mecanismos de busca. Outro: _____________________________________________________________________ Questiona confirmação da execução de ações, conforme conseqüência destas ao sitio.

Informa os campos obrigatórios e a forma correta de preenchimento de cada campo. ( ) Alerta ao usuário quanto ao preenchimento incorreto dos campos. ( ) Exibe as telas solicitadas em primeiro plano, mesmo quando já abertas. ( ) Outro: _____________________________________________________________________ ( )


Reconhecimento ao invés de relembrança

( ) ( ) ( ) ( ) ( )

Flexibilidade e eficiência de uso

( ) ( ) ( ) ( )

Estética e design minimalista

( ) ( ) ( )

Mantêm o cidadão informado sobre sua localização dentro do sítio. Informações importantes ou mais procuradas pelos cidadãos estão disponibilizadas em lugar de destaque no sitio. Outro: _____________________________________________________________________ Forneçe atalhos para que os usuários mais experientes acessem a informação desejada com um menor número de cliques. Utiliza assistente para apoio ao usuário. Utiliza mecanismos que permitam a customização. Personaliza as páginas para diferentes perfis de cidadãos. Outro: _____________________________________________________________________ As informações são disponibilizadas em níveis de detalhe progressivo. Há destaque na pagina principal para as informações mais importantes do sítio, evitando rolar a página verticalmente. Outro: _____________________________________________________________________ Em formulários, o sítio informa ao usuário a causa do erro e orienta como proceder para corrigi-lo.

( ) Diagnóstico e correção de erros

Em formulários, posiciona o cursor no campo a ser corrigido. ( ) É possível resgatar os itens adicionados anteriormente, em caso de falha. ( ) Mensagens de erro do sistema indicam as possíveis soluções. ( ) Mensagens de erro do sistema estão expressas em mensagem clara. ( ) Outro: _____________________________________________________________________ ( ) ( ) ( ) ( ) ( )

Ajuda e documentação

( ) ( ) ( ) ( ) ( ) ( )

Acessibilidade

Fornece recurso de ajuda (help). Integrado com as páginas do sítio. Não disponibiliza ajudas muito extensas. Disponibiliza ajudas contextualizadas. A informação está organizada de forma organizada, com índice e com separação entre as áreas. Partes do sistema não têm acesso a ajuda. Falta informação na ajuda para determinados contextos ou ações. Falta mecanismo de busca na ajuda. Disponibiliza uma FAQ - Frequently Asked Questions (Perguntas Mais Freqüentes). Utiliza recursos de atendimento pessoal de forma on line e em tempo real. Outro: _____________________________________________________________________

( )

Permite a percepção visual através da marcação de textos.

( )

Permite a percepção visual através estruturação de conteúdo.

( )

Utiliza recursos facilmente acessíveis em distintos meios de acesso, celular e palmtop.

( )

Sitio em conformidade com as recomendações do W3C.

( )

Outro: _____________________________________________________________________ Disponibiliza documento no padrão xml, swx, rtf, pdf , txt, htm ou html.

( )

Disponibiliza Planilha no padrão sxc.

( )

Disponibiliza apresentações no padrão swi, htm ou html.

( )

Disponibiliza banco de dados no padrão myd, myi, txt ou csv.

( )

Disponibiliza informações gráficas e imagens estáticas no padrão png, tif, gif, jpg, sxd, svg ou xcf.

Interoperabilidade ( )

( )

Disponibiliza informações de áudio e vídeo no padrão mpg, mp3, mp4 e mid.

( )

Disponibiliza informações compactada no padrão zip, tgz, gz e tar.

( )

Prevê substituição gradativa do método “login/senha” para acesso (preferencialmente por cartões inteligentes).

( )

Outro: _____________________________________________________________________ Segurança e privacidade

( )

Utiliza certificado digital.

( )

Faz uso de teclado virtual para inserção de senha.

( )

Outro: _____________________________________________________________________


Veracidade da informação

Agilidade do Serviço

Transparência

Informativo

( )

Informa última atualização de cada página

( )

Informa a data de cada conteúdo exibido.

( )

Outro: _____________________________________________________________________

( )

Disponibiliza contato via e-mail.

( )

Disponibiliza formas de contato ao que não tem acesso direto a Internet.

( )

As solicitações requeridas pelo usuário são fornecidas pelo sitio em tempo hábil.

( )

Outro: _____________________________________________________________________

) Monitora a execução orçamentária. ) Faz prestação das contas públicas aos cidadãos. ( ) Outro: _____________________________________________________________________ ( (

( )

Dados Institucionais

( )

Boletins

( )

Noticias

( )

Diário Oficial

( ) Legislação e Normas ( ) Publicações ( ) Atos Administrativos

( ) Serviços para o servidor público (Legislação, ...) ( ) Download de textos/relatórios/Aplicativos ( ) Ajuda textual ou em vídeos ( )

Links para outros sítios

( )

Outro: _____________________________________________________________________

( )

WebMail

( )

( )

Cadastramento

( )

Situação do CPF, CNPJ, ... Declaração

Serviços

( ) Recadastramento ( ) Alvarás/Outorgas Autorizações ( ) Certidões

Comprovante ( ) ( ) Denuncias ( ) Solicitações de Serviços, Documentos, ...

QTD:______

( )

Participativo

QTD:______

Cópias de documentos

( )

( )

Consulta a processos

( )

( )

Declarações

( )

Serviços para o servidor público (Contra-cheque, ...) Instalação de Aplicativos Ferramentas de buscas

( )

Outro: _____________________________________________________________________

( )

E-mail

( )

Votação/Enquetes

( )

Chat

( )

Grupo de Trabalho

( )

Fórum de discussões

( )

Outro: _____________________________________________________________________

Comentários:

_________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________ _________________________________________________________________________________________________


Portal de Serviços Públicos e de Informação ao Cidadão : Estudo de Casos no Brasil Autoria: Maria Alexandra Viegas Cortez da Cunha e Nicolau Reinhard Resumo A partir da segunda metade da década de 90, popularizou-se no Brasil, nas esferas de governo federal, estadual e municipal, a construção de portais de governo para a World Wide Web. Este estudo é qualitativo, de múltiplos casos, e concentra-se na prestação de serviços públicos e de informação ao cidadão na Web. Avaliou os portais de três governos: o federal, o do Paraná e da cidade de Santo André. Pesquisou a opinião de dirigentes públicos e de informática sobre aspectos da utilização de tecnologia de informação na sociedade informacional, descreveu o processo de implementação dos portais, desenhou o perfil do cidadão usuário dos serviços eletrônicos e avaliou as características das páginas Web que oferecem os serviços e informações governamentais. Como revelado na análise, o perfil do usuário é semelhante ao do internauta brasileiro – classe A e B, educação formal de nível superior, o que torna o problema do acesso crítico e necessitando de intervenção governamental. O objetivo estratégico dos governos na construção dos serviços Web é obtenção de eficiência, espera-se que a Web possa facilitar a prática democrática, mas esse não é o motor que, hoje, impulsiona os governos na implementação dos sites. Democratização também não é a motivação que leva o cidadão ao portal. 1

Introdução

Desde os anos 60 que os governos, no Brasil, têm desenvolvido esforços de informatização e de gestão dos recursos de Tecnologia de Informação (TI). Recentemente, a partir da segunda metade da década de 90, popularizou-se nas esferas de governo federal, estadual e municipal, a construção de serviços públicos e de prestação de informações ao cidadão através da World Wide Web. O objetivo central deste trabalho é estudar a prestação de serviços públicos e de informação ao cidadão pela World Wide Web. Nos seus objetivos estratégicos – o que motivou ou estará motivando a construção dos serviços, e em alguns aspectos que, embora não exclusivos, assumem dimensões particulares ao considerarmos o setor público – questões como o direito ao acesso, privacidade, segurança e facilidade no uso. Presente no título deste trabalho, a palavra portal merece uma conceituação mais precisa. Um portal é uma porta de entrada na rede mundial, é a partir dela que muitos usuários definem seus próximos passos na Web. Os portais são locais de grande visitação, portanto ser reconhecido como um portal está diretamente relacionado à força com que o site atrai visitantes. Existem portais que oferecem serviços e conteúdos genéricos e outros que são centrados em um conteúdo particular, turismo, jogos, esporte, ou ainda serviços públicos – o foco deste trabalho. Construir um portal é atrativo para organizações que querem alcançar um grande número de pessoas, sem grandes aparatos tecnológicos – um browser comum às outras páginas Web é suficiente. 2 Aspectos a serem considerados no uso de portais Web para prestação de serviços públicos Frank Webster (1997), em “Theories of the InformAtion Society”, apresenta as diferentes perspectivas da teoria social contemporânea sobre a informação no mundo atual. As daqueles que proclamam que surgiu uma nova espécie de sociedade: pós-industrialismo (Daniel Bell e uma legião de seguidores); pós-modernismo (são exemplos Jean Baudrillard e Mark Poster); especialização flexível (por exemplo Michael Piore e Charles Sabel, Larry Hirschhorn) e a sociedade informacional, o modo informacional de desenvolvimento da sociedade capitalista (Manuel Castells). E, por outro lado, a perspectiva daqueles autores que acreditam na continuidade das relações sociais preestabelecidas: neo-marxismo (por exemplo Herbert 1


Schiller); teoria da regulação (exemplos Michel Anglieta e Alain Lipietz); acumulação flexível (David Harvey); o estado nação e violência (Anthony Giddens) e a esfera pública (Jurgen Habermas, Nicolas Garnham). Na controvérsia “Revolução x Evolução”, optou-se aqui pelos conceitos de Castells (1999). Para ele, vive-se uma revolução e assiste-se a um novo paradigma: o da tecnologia da informação que define uma sociedade no modo de produção capitalista (mas um novo capitalismo, diferente, global e estruturado em uma rede de fluxos financeiros) e no modo informacional de desenvolvimento. Assiste-se a “um evento histórico da mesma importância da Revolução Industrial do século XVIII, induzindo um padrão de descontinuidade nas bases materiais da economia, sociedade e cultura” (Castells, 1999, p.50). O que caracteriza a revolução das tecnologias da informação e comunicação não é a centralidade de conhecimentos e informação (que também foi característica em outras revoluções tecnológicas anteriores), “mas a aplicação desses conhecimentos e dessa informação para a geração de conhecimentos e dispositivos de processamento/comunicação da informação, em um ciclo de alimentação cumulativo entre inovação e uso”. A mente humana é agora uma força de produção, não apenas um elemento no processo produtivo. Em apenas duas décadas a revolução da tecnologia da informação e comunicação difundiu-se em escala global por uma lógica de aplicação imediata do próprio conhecimento gerado. Para este autor, já estamos vivendo a sociedade da informação, mesmo no Brasil, “(...) Mas o Japão, tanto quanto a Espanha, a China, o Brasil e os EUA, são e serão, ainda mais no futuro, sociedades informacionais, pois os principais processos de geração de conhecimentos, produtividade econômica, poder político/militar e a comunicação via mídia já estão profundamente transformados pelo paradigma informacional e conectados às redes globais de riqueza, poder e símbolos que funcionam por essa lógica” (Castells, 1999, p.38). Um assunto também recorrente nesta época é o da redefinição do papel do Estado. Na nova sociedade, em grande parte das economias mundiais, assiste-se a um debate sobre qual é o papel do Estado e, neste contexto, à formulação e implantação de propostas de transformações do Estado. De propostas mais à direita – como o neo-liberalismo, ou mais à esquerda, com o foco de atenção voltado para a democratização participativa e inclusão social, este assunto fez parte das agendas dos governos da década de 90 e continuará sendo demanda da sociedade no início do novo milênio. Este trabalho aborda a utilização da Tecnologia de Informação na administração pública no Brasil, mais especificamente da prestação de serviços ao cidadão na Web, sob a ótica de a) estarmos vivendo a sociedade da informação e b) a redefinição do papel do Estado que exige mudanças na administração, a chamada “Reforma Administrativa”. São importantes tanto os aspectos sociais do direito ao acesso, segurança e privacidade, como os objetivos dos governos de serem mais efetivos na formulação e implantação de políticas públicas e na prestação de serviços ao cidadão. A World Wide Web, ou “a rede”, é uma novidade dos anos 90 importante nos contextos social, econômico e até individual, como têm demonstrado vários estudos acadêmicos. Aproximando-se do objeto de estudo deste trabalho, um portal é uma porta de entrada na rede, a partir da qual os usuários determinam seus passos na Web. Os portais têm “audiência”, ser reconhecido como um portal comercial atrai verbas de publicidade e cria oportunidades para comércio eletrônico. Mas a Web não tem só uma dimensão comercial, é um novo meio de comunicação e pode ser uma forma revolucionária de relacionamento entre organizações, entre pessoas e entre organizações e pessoas. Pode ser um novo meio de comunicação entre governo e sociedade e pode vir a ser uma revolução no modo como o governo interage com a sociedade. Aqui, propõe-se o estudo de portais construídos por governos para a prestação de serviços públicos e de informação ao cidadão pela WEB. Os objetivos estratégicos de Reforma do Estado refletem-se, em parte, na construção das aplicações de TI e aspectos como acesso, privacidade e segurança podem vir a determinar seu uso. 2


2.1

Quadro de referência

O modelo criado para o estudo da oferta de serviços públicos e de informação utilizando um portal Web, contempla os objetivos estratégicos do governo no uso de uma tecnologia, os aspectos que devem ser considerados pelo governo ao usá-la, o cidadão que o utiliza e, ainda, o portal em si e sua implementação (figura 1).

2. O Portal e Implementação

1. O Cidadão 3. Aspectos da TI na Soc. Info.

4. Obj.Estratégicos da TI na Reforma

Figura 1 - Modelo de estudo de um portal de serviços ao cidadão

1. O cidadão que utiliza o portal – quem é este cidadão, é ele semelhante ao usuário padrão da Internet no Brasil, ou tem características próprias que um governo deve considerar na disponibilização destes serviços? Os números da 9ª Pesquisa Internet POP, realizada em dezembro/2000 pelo IBOPE Mídia em nove capitais brasileiras, disponível em http://www.ibope.com.br/digital/, mostram um perfil da maioria dos usuários da Internet brasileira como homem, e pertencente às classes A e B. Cerca de 15% dos Internautas fizeram compras pela Internet, o que em números absolutos representa quase um milhão de compradores online. Na área pública, apesar do interesse que a “demografia” da Internet possa trazer, é importante lembrar que o dado crucial ainda é o número de pessoas que não têm acesso à rede, ou que não estão habilitadas a usá-la. A exclusão do direito ao acesso às novas formas de comunicação pode abrir uma barreira difícil de ser transposta entre “os que têm” e “os que não têm”. O uso político da Web também é uma dimensão a se explorar ao se falar da área pública. Numa pesquisa sobre a demografia e o uso político da Internet, Bimber (1999) mostra pessoas que têm usado Internet para propósitos políticos pelo menos uma vez ao ano, como uma fração pequena daqueles com acesso à tecnologia. 2. O Portal e sua implementação – Um governo pode estar na Web prestando apenas informações institucionais, no estágio inicial da classificação em 6 estágios proposta por Reinhard (1999), ou, no outro extremo, num estágio de oferta de serviços que envolve a interação entre várias organizações de maneira transparente ao usuário. O processo de implementação do portal envolve pessoas, estrutura, tecnologia, processos e ambiente da organização. Conforme Albertin (2000), os aspectos de alinhamento relevantes são entre estratégia e tecnologia (pela necessidade de redefinir alguns processos após a introdução de tecnologia ou utilizando a tecnologia para permitir um redesenho dos processos), entre tecnologia e processos organizacionais e entre tecnologia e pessoas. Os aspectos de implementação de tecnologia em uma organização podem ser resumidos em três categorias principais – o alinhamento estratégico, a adaptação da organização e a adaptação da área de Tecnologia de Informação Interna. As características das páginas Web que disponibilizam serviços públicos refletem os cuidados de seus desenvolvedores com atributos de usabilidade, eficiência, portabilidade, funcionalidade e conteúdo. Podemos observar se ênfase é dada a 3


fatores higiênicos ou motivacionais. Apesar da construção de páginas de Web ser recente, iniciou-se na década de 90, há vários estudos que apresentam checklists de atributos a serem observados na construção de sites, conforme apresentado por Zhang et al. (2000). A partir de uma base teórica que já havia sido utilizada no estudo de ambiente de sistemas de informação – Gill (1996) e Markus e Keil (1992) apud Zhang et al. (2000), estes autores fazem uma analogia da teoria de Herzberg sobre motivação no ambiente de trabalho para o ambiente Web. Os fatores higiênicos são os que provêem as funcionalidades básicas enquanto os motivacionais contribuem para a satisfação do usuário, adicionam valor à prestação do serviço e podem fazer com que os usuários continuem voltando ao site. Eschenfelder et al. (1997) fazem uma proposta de critérios para avaliação de sites de governo. O trabalho destes autores está mais focado na disseminação e coleta de informação que na prestação de serviços públicos. No entanto, provê uma lista relativamente extensa de critérios de avaliação de sites governamentais, divididos em dois grandes grupos e subgrupos de critérios: 1) critérios sobre o conteúdo da informação (orientação, conteúdo, atualidade, controle bibliográfico, serviços, acuracidade, privacidade) e 2) critérios de facilidade de uso (qualidade dos links, mecanismos de feed-back, acessibilidade, design, navegabilidade). Além dos atributos do site em si, outros critérios podem ser seguidos para avaliação das páginas tais como a prestação de serviços e disponibilização de informações que facilitem a vida do cidadão ou a apresentação de melhorias na qualidade do serviço prestado. Além de definir os atributos de qualidade a verificar num site, é importante definir o processo de avaliação. As normas ISO/IEC 14598-1 e NBR 13.596 definem as características de qualidade de produto de software e um modelo para seu processo de avaliação. 3. Objetivos estratégicos - Para estudar o uso da TI num contexto de transformação do Estado, este trabalho adota como objetivos estratégicos genéricos do uso de TI na Reforma os descritos em Heeks (1999) acrescido de “democratização”, pela importância dada ao tema por alguns dos governos no nosso país. Os objetivos estratégicos são: eficiência, descentralização, accountability, melhoria na gestão de recursos, adoção de práticas de gestão de mercado e democratização. A dimensão da Reforma aqui tomada é a da Reforma Administrativa (ou governança), tornar a administração pública mais eficiente e mais voltada para a cidadania. Toma-se a definição de que Reforma Administrativa são os “esforços que têm por fito induzir mudanças fundamentais nos sistemas de administração pública, através de reforma de todo o sistema ou, pelo menos, de medidas que visem à melhoria de ou mais de seus elementoschave, como estruturas administrativas, pessoal e processos” (Conferência das Nações Unidas, Brighton, 1971 apud Bresser Pereira e Spink, 1998, p.148). Este conceito foi também adotado por Belchior (1999), é uma concepção de Reforma Administrativa “que se distingue da Reforma do Estado, que a engloba, e que também se distingue da modernização administrativa, que é decorrência dela” (Belchior, 1999, p.12). Explicando o termo accountability, para Cruz (1999, p.25), “(...) em linhas gerais, quer dizer cobrar responsabilidade de quem é responsável”. Bresser Pereira (1998) apresenta o termo “responsabilização”, um objetivo intermediário fundamental de qualquer regime democrático é aumentar a “responsabilização” (accountability) dos governantes. Para Duncan (1999) accountability democrática é assegurar por mecanismos institucionais, cultura e prática que o público obtenha informação, que possa ser compreendida, sobre a efetividade das políticas governamentais. 4. Aspectos a considerar no uso da TI por um governo na sociedade da informação – o acesso como um direito, a privacidade, a segurança. A prática democrática “eletrônica”, ou a participação num espaço público eletrônico passa pelo acesso do cidadão a esse espaço. Cada cidadão deve ter acesso a um conjunto de ferramentas computacionais e de telecomunicações, associado a conhecimento de utilização, que lhe permita receber informação, transmitir informação e usufruir de serviços eletrônicos (Cruz, 1999), (Eisenberg, 1999). Outro autor, 4


Munn (1999), estudou o problema de acesso pela análise de discurso das reivindicações feitas pelos grupos de interesse público envolvidos no debate da política de telecomunicações nos EUA (desde a reforma das transmissões, no final da década de 60, ao debate da NII – National Information Infrastructure, no governo Clinton). Quanto a segurança e privacidade, estes são termos tão comentados nos trabalhos de comércio eletrônico e Internet quanto naqueles que falam de informática pública e de governo na sociedade da informação. Para embasar este tópico, usaram-se as referências estabelecidas por Duncan (1999), Andersen e Dawes (1991), Garson (1997), Kalakota e Winston (1997) e Albertin (1997). Construído em paralelo à investigação do referencial teórico, a tabela 1 - Visão consolidada do referencial teórico, ao final do trabalho, resume os itens que estruturam o modelo de referência para o estudo de um portal de serviços e de informação ao cidadão na Web. 3

Metodologia

Como o estudo da aplicação das Tecnologias de Informação e Comunicação na área pública inclui diferentes perspectivas, requer uma abordagem holística e qualitativa. A pesquisa é um estudo de múltiplos casos (multiple study case). Esta escolha foi feita pela utilização de conceitos expostos em Yin (1989) e Creswell (1994), procedimento também seguido em Pardo (1998) e Albertin (1997), que usou as situações relevantes de Yin (1989) para optar por uma estratégia de pesquisa no seu trabalho, exemplo que é aqui seguido. Seguindo esta orientação, a forma das questões básicas de pesquisa (como e por quê), a não possibilidade do controle sobre eventos comportamentais nas áreas e organizações, ou sobre os cidadãos e demais envolvidos neste trabalho, e a ênfase em eventos contemporâneos fundamentaram a escolha pelo estudo de caso. Mais precisamente, por um estudo de múltiplos casos, já que não é possível atender às condições para o estudo de um único caso, que são (Albertin, 1997): a) o caso representa um caso crítico de teoria bem formulada; b) o caso representa um caso extremo ou único; e c) o caso representa um caso revelatório. 3.1

Questões de pesquisa

As questões básicas de pesquisa são: 1) como está sendo utilizada a World Wide Web na prestação de serviços públicos e de informação pelo governo ao cidadão; 2) por que esta tecnologia está sendo ou será utilizada (objetivos estratégicos por parte do governo e motivação por parte do cidadão); 3) como estão sendo considerados aspectos da Sociedade Informacional na construção de portais de serviços ao cidadão e ; 4) como foram implementados os portais de serviços ao cidadão. 3.2

Unidade de pesquisa

O município é a esfera de governo mais próxima do cidadão. No entanto, os governos federal e estaduais brasileiros também são grandes fornecedores de serviços ao cidadão. Para selecionar os casos a estudar entre os sites de governos no Brasil, encontrados na Web, foram adotados os seguintes critérios: ser um portal de governo, um site que permita o acesso à carteira de serviços públicos e informações disponibilizados via WEB por um governo ao cidadão; completar todas as esferas de poder – federal, estadual e municipal e; diferentes orientações político-partidárias. Escolheu-se então: um governo municipal da grande São Paulo, que mantém as características do maior centro urbano do país – Santo André, à época dirigido pelo PT; o governo do Paraná, PFL, o primeiro governo brasileiro a ter um site na Web (1994) e pioneiro na implantação de serviços ao cidadão e ainda, na esfera federal, PSDB, a Redegoverno, site para prestação de serviços federais. 3.3

A coleta dos dados

Múltiplas estratégias de pesquisa não são mutuamente exclusivas e nem todos os processos de pesquisa precisam selecionar uma única estratégia (Yin, 1989), (Pardo,1998). Os dados para a 5


descrição dos casos neste trabalho vêm de múltiplas metodologias de coleta. Cada uma destas provê diferentes perspectivas para a descrição dos casos. A utilização da World Wide Web na prestação de serviços públicos e de informação ao cidadão é o foco da coleta de dados. Como o ambiente Web é dinâmico, todos os dias há páginas novas, alterações em conteúdos de páginas, novos serviços sendo ofertados e novas informações sendo disponibilizadas, o processo de investigação foi projetado em cinco fases, quatro delas concorrentes: 3.3.1

Pesquisa nas páginas do site – Que serviços?

A descrição do conteúdo dos sites, que serviços e informações privilegiam e em que estágio, foram obtidos a partir de observação do conteúdo dos sites. Todas as opções dos portais escolhidos foram pesquisadas para obter a totalidade dos serviços. Onde havia necessidade de acesso com senha, foi solicitada aos prestadores do serviço. A descrição dos serviços dos portais não foi concorrente às demais, foi a única etapa desenvolvida previamente. Identificou-se: 1) qual a área de governo; 2) qual o serviço público ou de informação; e 3) qual o estágio da prestação de serviço, pela classificação proposta por Reinhard (1999). 3.3.2

Avaliação das características dos sites

As características de usabilidade, eficiência, funcionalidade e conteúdo foram avaliadas por uma equipe de quatro técnicos especialistas em informática. Foi utilizada como metodologia uma adaptação de um roteiro baseado nas normas ISO/IEC 14598-1 e NBR 13.596, que definem o processo de avaliação de produto de software. A idéia inicial, de avaliar todos os serviços públicos e de informação ofertados na Web pelos três governos, esbarrou na quantidade de páginas já existentes – só o governo do Paraná possuía, à época, 22.000 páginas a partir de www.pr.gov.br. Escolheram-se, então, serviços diferentes entre si, mas similares nas esferas federal, estadual e municipal: a presença e informações sobre planos de governo, pagamento de impostos (IR - Imposto de Renda, IPVA – Imposto sobre Propriedade de Veículos Automotores e IPTU – Imposto Predial e Territorial Urbano), fazer uma reclamação, a emissão de um documento (Passaporte, Carteira de Identidade e Habite-se) e a requisição de um serviço público (Solicitação de Aposentadoria, Pagamento de conta de luz e Solicitação de poda de árvore). O ponto de partida foi sempre o portal – www.redegoverno.gov.br, www.pr.gov.br, www.santoandre.sp.br. As fases que compuseram o trabalho de avaliação foram: a Organização do trabalho, onde se fez o planejamento do trabalho a realizar, definiram-se as tarefas e o cronograma da avaliação dos sites; na Análise dos requisitos da avaliação e especificação da avaliação, selecionaram-se as características e os atributos para avaliação (51), definiu-se o método para cada item, as escalas para medição e estabeleceramse critérios e formato para apresentação dos resultados. Os atributos para avaliação foram definidos a partir principalmente de Zhang et al. (2000), Eschenfelder et al. (1997) e CELEPAR (1998 e 1998b). Para cada atributo foi definido um método de avaliação. A escala da medição tem graus de intensidade - ótimo, bom, regular e ruim, e há espaço para que o avaliador anote suas observações. A primeira versão do formulário foi testada por uma analista experiente em avaliação de produtos de software na CELEPAR - Companhia de Informática do Paraná e suas sugestões modificaram o formulário. A Execução da avaliação foi a fase seguinte, com um processo com a) uma reunião inicial, para explicação do objetivo do trabalho, o objetivo desta avaliação, instruções (constantes do formulário, por exemplo que não emitissem opiniões sobre os sites para quaisquer pessoas fora dos grupos e que não tirassem dúvidas entre os membros do grupo) e leitura e explicação do formulário; b) a avaliação de todos os serviços e páginas de informação de um primeiro site escolhido, DETRAN/Pr, para teste do formulário; c) reunião para discussão em grupo dos resultados obtidos, tempo de avaliação, dúvidas, sugestões e; d) avaliação dos serviços públicos e de informação escolhidos nas três esferas. A avaliação ocorreu nos meses de março e abril/2000 e foi feita por quatro técnicos de informática experientes em utilização da Web – todos a 6


usam há mais de 4 anos e diariamente. Cada avaliador (4) avaliou o conjunto de atributos (51) para cada serviço público e de informações (15). Dois dos avaliadores trabalharam no horário comercial (das 07h00 às 18h30), um de noite (das 18:30 à 00h30) e outro de madrugada (da 00h30 às 06h30), para avaliar disponibilidade dos sites e tempo de resposta. Na Conclusão da avaliação, os resultados foram organizados em termos de a) características de usabilidade, eficiência, funcionalidade, confiabilidade e portabilidade e b) do posicionamento do site em relação a fatores higiênicos, aqueles que quando ausentes provocam desconforto ao usuário do ambiente, e motivacionais, cuja presença motiva o usuário a retornar ao site. 3.3.3

Perfil do usuário Web dos serviços públicos e de informação

A descrição do perfil do cidadão e motivação para uso do portal Web foi obtida com pesquisa on-line, de preenchimento voluntário, a partir de sites de governo. Um ícone foi colocado em destaque em algumas páginas do governo do Paraná, na principal e nas de alguns serviços mais visitados (para alcançar aqueles que entram diretamente na página do seu prestador de serviços, usuários habituais), do dia 20 de março de 2000 a 10 de abril de 2000. Ao clicar no ícone, abria-se um formulário de pesquisa a ser preenchido. Foram obtidos 521 questionários e tratados 508, armazenados numa base de dados SQL-Server e trabalhados no Excel e no SPSS. Análise de Cluster foi usada para identificar: a) que grupos de usuários têm uso dos sites de governo semelhante e b) que grupos de usuários têm motivações semelhantes para utilizar a Web. A identificação destes grupos pode servir de referência para desenvolvedores de páginas Web de governo, pode indicar que aspectos privilegiar na interface dependendo do grupo ao qual o serviço é destinado, pode orientar investimentos em hardware, software e facilidades de comunicação nas estruturas de informática do governo e mostrar a formuladores de políticas públicas e executivos da área pública qual o perfil da audiência dos seus sites. 3.3.4

Como estão sendo considerados aspectos da Sociedade Informacional

Para observar como estão sendo considerados alguns aspectos da Sociedade Informacional e os objetivos estratégicos que estão direcionando a construção das aplicações na Web foram feitas entrevistas com dirigentes de governo e dirigentes de organizações de Tecnologia de Informação que hospedam e/ou desenvolvem os portais. Embora haja recomendação acadêmica de identificar os entrevistados e as organizações a que pertencem, tal procedimento não foi seguido neste trabalho. Alguns dos participantes sentiram-se mais à vontade para dar suas respostas se seu nome não fosse citado. Das estruturas de informática, foram entrevistados membros da diretoria e superintendência do Serviço Nacional de Processamento de Dados - SERPRO, Companhia de Informática do Paraná - CELEPAR e da Prefeitura de Santo André. Na administração direta foram entrevistados secretários de estado do governo federal, estadual e municipal, diretores gerais e gerentes de projetos de governo nas áreas de planejamento, administração, educação, fazenda e ciência e tecnologia. As entrevistas foram feitas durante os meses de março e abril de 2000 e todas as entrevistas foram transcritas. Mais recentemente, estudou-se o Livro Verde da Sociedade da Informação no Brasil (Takahashi, 2000). 3.3.5

Processo de implementação

A descrição do processo de implementação foi obtida a partir de entrevistas com gerentes de projeto e/ou webmasters nas organizações responsáveis pela hospedagem do portal, nas três esferas de governo, federal, estadual e municipal. No Paraná foi também entrevistado o técnico responsável pelo site da Companhia Paranaense de Energia - COPEL, um dos portais de muito sucesso na prestação de serviços ao cidadão através da Web. Foram conduzidas durante os meses de março e abril de 2000, com o formato de entrevista pessoal. Estas entrevistas tiveram o propósito de servir de base à descrição do caso, com o processo de 7


implementação em relação aos aspectos considerados relevantes na implementação de tecnologia: alinhamento estratégico, adaptação da organização e adaptação da área de Tecnologia de Informação interna (Albertin, 2000). Estes três tópicos são uma leitura dos aspectos de tecnologia, pessoas, estrutura, processos (ou tarefas) e ambiente segundo Bloch, Pigneur e Segev (1996). Foi construída uma tabela para registrar os dados obtidos nas entrevistas. 4

Análise dos dados

Este trabalho, numa versão mais extensa, constrói uma descrição dos múltiplos casos estudados e de cada “sub-pesquisa” desenvolvida. Aqui, é apresentada apenas a resposta às indagações de pesquisa. 4.1 Como está sendo utilizada a World Wide Web na prestação de serviços públicos e de informação pelo governo ao cidadão ? Os portais de governo brasileiros privilegiam, ainda, a apresentação de informações sobre as instituições e orientação quanto a serviços e procedimentos de órgãos públicos. Já há oferta de serviços públicos pela rede que permitem consulta a arquivo de transações, a realização de transações (mais) e mesmo de processos completos (menos). São raros os exemplos de funções que permitem ao cidadão executar processos que, para serem finalizados, envolvem o relacionamento com mais de uma instituição. A tecnologia pode viabilizar a integração entre processos e informações de organizações governamentais distintas, de diferentes esferas de poder (Reinhard, 1999). Os portais podem, e devem, apresentar uma visão integrada dos processos da administração pública. Esta oferta de processos integrados ainda é muito restrita, os exemplos encontrados estão associados à arrecadação de tributos. Não basta a integração no negócio, tem que haver organização da informação para o compartilhamento das informações entre estruturas, o que representa um desafio também no aspecto tecnológico. A integração é, então, de um lado limitada pelas dificuldades de integrar processos da administração pública isolados e, por outro, pela dificuldade de integração dos dados em meio eletrônico, dos sistemas de informação e das arquiteturas tecnológicas já existentes em cada estrutura de governo. Diversos processos da administração pública já prescindem da presença do cidadão no balcão da “repartição”. É objetivo de todos os governos que, a médio e longo prazo, os processos de atendimento ao cidadão tenham uma alternativa Web para a solicitação, prestação do serviço ou informação (quando for possível por meio eletrônico), pagamento de taxas e acompanhamento do processo. O relacionamento entre o governo e empresas e entre o governo e profissionais (advogados, despachantes e contabilistas, por exemplo) deverá ser totalmente eletrônico num prazo menor. As entrevistas também mostram que num futuro próximo haverá a implantação de uma avalanche de serviços pela Web, mas há que resolver questões de integração, legislação, privacidade e segurança. O estudo de casos evidenciou que os serviços públicos e de informação propostos pela Web são similares aos oferecidos pelo poder público nos canais tradicionais. A rede ainda é apenas mais um canal alternativo de entrega do resultado dos processos tradicionais da administração pública. Esta conclusão mostra coerência com as de Albertin (1997 e 2000), na sua análise sobre Comércio Eletrônico onde, apesar dos grandes investimentos que estão sendo feitas na área, “as aplicações que estão sendo desenvolvidas e implementadas têm sólida base nas aplicações de Tecnologia de Informação tradicional. As facilidades guardam grande similaridade com aquelas já oferecidas pelas empresas por meio das aplicações existentes”. Na avaliação dos portais os serviços propostos estavam disponíveis, os sites são estáveis, os programas funcionam quase corretamente, as entidades hospedeiras dos portais são reconhecidas como de “alta reputação”. Por outro lado, foram identificados problemas quanto 8


à atualização da informação e aspectos relacionados à privacidade e segurança. Em relação às características que dizem respeito ao uso, usabilidade, o desafio na construção dos portais é torná-los agradáveis de se visitar. Os portais têm boa avaliação nos itens relacionados à aparência visual, mas não é suficiente para fazê-los um ambiente agradável, foram descritos pelos avaliadores como “muito chato” e “dá sono”. Eficiência diz respeito ao comportamento da aplicação em relação ao tempo, onde os serviços foram bem avaliados. A Funcionalidade, o quão apropriadas são as funções e se gera os resultados conforme o esperado, tem os atributos relacionados a segurança e privacidade sistematicamente mal avaliados. Não há preocupação dos governos em garantir segurança ao usuário dos seus serviços, e nem especificar o uso que será feito dos seus dados, a garantia de privacidade. Confiabilidade, mostrou alguns problemas em relação à violação de interfaces (os programas aceitavam até digitação de dados com erros). Portabilidade, a característica pior avaliada, mostrou os governos construindo serviços públicos e de informação que podem ser acessados apenas pela plataforma Microsoft. Este trabalho também mostrou a avaliação dos serviços em relação a fatores higiênicos que, ausentes, trazem desconforto, e motivacionais que, presentes, deixam o site agradável de se visitar. O desenvolvimento de uma política de comunicação que previsse o atendimento aos fatores higiênicos em qualquer serviço disponibilizado na Web, melhoraria, em alguns casos sem muito esforço, a marca atingida (33% dos atributos higiênicos foram avaliados como regular ou ruim). O atendimento aos fatores motivacionais pode representar o aumento da audiência do portal. Denota-se pouca preocupação com a forma, o conteúdo e atualização de muitas páginas governamentais na Web, o que é um tratamento quase leviano de um canal de comunicação com o cidadão. 4.2 Por que esta tecnologia está sendo ou será utilizada? (Objetivos estratégicos por parte do governo e motivação por parte do cidadão) O objetivo estratégico para utilização da tecnologia Web na construção de portais é eficiência na prestação do serviço ao cidadão. Ao selecionar portais em diferentes esferas de governo, com governantes de orientações político-partidárias diferentes, havia a expectativa que diferentes motivações estratégicas fossem encontradas, o que não aconteceu. A Web ainda é vista pelo nível estratégico apenas como um canal de prestação de serviços alternativo aos atuais. A melhoria na qualidade do atendimento, o evitar deslocamentos, a disponibilidade permanente do serviço e a diminuição de tempos, são argumentos mais fortes que diminuir custos, o que também é buscado. A ampliação da capacidade de atendimento, sem investimentos em locais e pessoal, também é citada, bem como transparência, normalmente associada a processos de licitação, gastos públicos e Responsabilidade Fiscal. A Web pode facilitar a prática democrática, mas esse não é o motor que, hoje, impulsiona os governos na implementação dos sites. Também não é a motivação que leva o cidadão ao portal. O uso atual da Web sugere que, embora já haja suporte tecnológico para a abertura de canais mais estreitos entre o cidadão, organizações da sociedade e governo, esta “oportunidade” ou não está sendo viabilizada pelos governos e/ou não está sendo percebida e exercida pela sociedade. Esta conclusão tem similaridade com a de Cruz (1999), num estudo de caso no Brasil, e com a de Bimber (1999), nos Estados Unidos, que mostra o uso político da Internet como uma pequena fração do uso daqueles que têm acesso à rede. Quanto aos visitantes dos portais, assinalaram como primeiro motivo “evita deslocamentos”. Mas também porque “é mais rápido”, “está disponível fora do horário comercial” e para “não enfrentar filas”. O uso dos sites de governo é a partir do local de trabalho (74%) e muitas vezes no exercício de uma profissão (67%), o que torna o perfil do cidadão ligeiramente diferente da maioria do internauta brasileiro, que usa a Internet a partir de sua residência. Há adoção de serviços públicos eletrônicos por parte de organizações e profissionais, que a utilizam no exercício do 9


seu trabalho. A adoção é resultado da disponibilização de serviços e do fomento ao relacionamento eletrônico com a administração pública, em alguns casos já por imposição governamental. A adesão também é uma confirmação da percepção do usuário profissional dos ganhos obtidos (facilidade, tempo, custos). Por outro lado, chama-se a atenção para uma das possibilidades aberta pelo uso das Tecnologias de Informação e Comunicação que é a eliminação de intermediários no relacionamento das organizações com seus clientes e fornecedores (Albertin, 2000), traduzida na área pública como a integração do governo com seus fornecedores e com seus “clientes” – empresas, cidadãos, outros governos e organizações não-governamentais. O uso profissional dos sites, pelas facilidades oferecidas pelo governo a organizações e classes profissionais, pode apontar para a confirmação da existência de processos de intermediação, que estejam sendo cristalizados e perpetuados pelo emprego da tecnologia. Associando-se a alta taxa de adesão aos serviços para profissionais (alguns deles que poder-se-ia qualificar como “intermediários”) ao baixo acesso da população brasileira à tecnologia e ainda à informatização sem revisão de processos, a administração pública pode estar perdendo uma oportunidade de eliminar processos de intermediação anacrônicos (onde alguns serviços prestados por despachantes são um exemplo digno de nota) tornando-os mais eficientes sem que se questione a sua existência. É percebida oportunidade de exploração comercial do portal de governo. A audiência é de classe A e B (80%), profissional, de escolaridade superior (85%), disposta a comprar pela Internet e de alto poder aquisitivo, tendendo a aumentar pelas medidas de fomento ao acesso, especialmente na classe C. Seja para a divulgação institucional ou de produtos, ou como porta para vendas eletrônicas ou realização de pesquisas, há oportunidade de comercializar espaço publicitário nas páginas. Se a audiência ainda é pequena (o portal mais freqüentado, a Redegoverno, teve cerca de 16 milhões de hits às suas páginas em março de 2001), deverá aumentar pela crescente oferta de serviços a empresas e a cidadãos. Também há oportunidade para comercialização de informações e de serviços construídos sobre o acervo de dados que os governos possuem. Estas possibilidades podem ser avaliadas, mas sua implementação depende das referências ideológicas e políticas do governo para o qual esteja sendo construído o portal. Acredita-se que o perfil obtido é função dos níveis de acesso à tecnologia pela população. Um projeto de adoção da Web que considere as questões de acesso, disponibilidade de infra-estrutura, serviços de provimento, interfaces apropriadas e suporte à aprendizagem e ao uso, pode alterar o perfil do visitante de um site público. O trabalho identificou, através da análise de cluster, grupos com características diferentes entre os usuários dos sites de governo: a) no perfil de uso e b) na motivação para o uso. Os quatro grupos que representam diferentes perfis de uso do portal são: “Uso pessoal”, “Iniciante”, “Cidadão Virtual” e “Curioso”. Entre estes, remarca-se o “Cidadão Virtual” e o “Iniciante”. O primeiro vem utilizando todo o leque de opções de relacionamento com o governo disponível na rede, é um usuário experiente em Web que conhece bem os serviços disponíveis. O segundo, o “Iniciante” está começando a usar os serviços virtuais, ainda é o maior grupo entre os quatro, e representa as novas adesões ao uso das facilidades de serviços pela Web, define a audiência futura dos sites. Os grupos que representam diferentes motivações para o uso são: “Sou ocupado”, “É rápido”, “Sou moderno” e “Ainda não sei”. O “Sou ocupado” vai ao site de governo porque, aparentemente, não tem tempo disponível – não quer ir até o órgão competente, não quer enfrentar filas e precisa de atendimento fora do horário comercial. O grupo “É rápido” assinalou este motivo, que deu nome ao grupo, mais que qualquer outro. O “Sou moderno” valoriza aspectos como ser confortável e ser moderno utilizar a Internet. O grupo “Ainda não sei” não tem uma motivação definida para ir ao portal, fazem parte dele muitos dos usuários dos grupos de perfil de uso “Iniciante” e “Curioso”.

10


4.3 Como estão sendo considerados aspectos da Sociedade Informacional na construção de portais de serviços ao cidadão? Não foi percebida uma visão comum, em cada um dos governos, do que é a sociedade informacional e as habilidades que serão necessárias para nela viver, “uma forma específica de organização social em que a geração, o processamento e transmissão da informação tornam-se as fontes fundamentais de produtividade e poder” (Castells, 1999). Esta visão integraria projetos e estratégias para desenvolvê-los, em cada esfera de poder (Kahin e Wilson, 1997). A definição desta visão não é uma tarefa técnica, tem caráter político, e deve ser um dos pilares a servir de base à formulação de políticas públicas. Em relação à universalização do acesso, há programas nas três esferas de governo que visam o aumento do número de pessoas com acesso às Tecnologias de Informação e Comunicação, com ênfase na área de educação de crianças e adolescentes. Face à escassez de recursos para investimentos, imagina-se a parceria entre governo, comunidade e empresas como uma alternativa para a viabilização de soluções para o problema de acesso. Mesmo com a alavancagem produzida pelo programa Sociedade da Informação do Ministério de Ciência e Tecnologia - MCT que engloba recursos de 3,4 bilhões de reais até 2003 (Takahashi, 2000), as soluções são tímidas face aos desafios de ampliação de acesso e alfabetização digital a enfrentar no Brasil. Com a aplicação dos recursos do FUST – Fundo para a Universalização dos Serviços de Telecomunicações, o panorama poderá ser alterado, por ora o perfil do visitante dos sites de governo evidencia que os programas de ampliação do acesso à tecnologia ainda não estão obtendo resultados. A maioria dos usuários dos sites de governo é das classes A e B e com alto grau de educação formal. Se a Web se tornar um canal de comunicação mais efetivo entre governo e cidadão não o será para todos, salvo se as medidas empreendidas, que promovem o acesso à tecnologia e à competência para utilizá-la, sejam bem sucedidas. O grande desafio do poder público é a inclusão do conjunto da população aos ganhos obtidos com o uso da tecnologia. Também uma melhor prestação de serviços e comunicação com o governo mas, fundamentalmente, a inclusão do cidadão num mundo global onde não ter acesso à tecnologia (seja pela ausência dos recursos ou pelo nãodesenvolvimento de habilidades para usá-los) pode vir a representar exclusão da cidadania. A utilização das Tecnologias de Informação e Comunicação e o acesso ao conjunto de informações disponíveis na rede podem ser considerados como uma nova geração de bens públicos – aqueles que quando consumidos não se excluem. Aumentar a quantidade de computadores de uso público, prover a infra-estrutura de comunicação, os serviços de provimento e os serviços de suporte ao uso, todos necessários para o acesso às informações e serviços disponíveis na rede, pode ser alternativa ao aumento da renda que seria necessário para que as famílias dispusessem de acesso em suas casas. O desenho de uma comunicação apropriada ao perfil dos grupos que se utilizam (ou se utilizarão) dos serviços públicos eletrônicos também pode facilitar o acesso. A segurança dos ambientes e das informações de que o governo é depositário é considerada um aspecto técnico e está sendo abordado dentro das estruturas de informática. No entanto, existem sites desprotegidos e práticas de uso dentro da administração pública que ameaçam a integridade, tanto de ambientes como de informações. A construção dos serviços que individualizam informações e permitem o pagamento eletrônico terá que considerar a robustez da segurança dos ambientes que fornecerão esses serviços. Em relação a privacidade, tanto as entrevistas como a avaliação dos portais evidenciou a fragilidade deste aspecto. A defesa da privacidade é uma discussão que ultrapassa as fronteiras do governo, devendo ser exigida e trabalhada pela sociedade. Já existem projetos de lei no legislativo sobre a matéria, mas o mundo virtual está apresentando demandas numa velocidade acelerada, a tendência é o país adotar a legislação internacional. 11


4.4

Como foram implementados os portais de serviços ao cidadão?

Os portais de serviços públicos e de informação foram implementados com alinhamento estratégico entre o governo e a estrutura de informática, obtido, ou pela participação do dirigente na equipe de governo, ou pelo conhecimento do líder de projeto dos objetivos de governo e dos mecanismos para viabilizar a inovação. Em relação aos portais implantados em 1995, o federal e estadual, houve coincidência de disponibilidade de tecnologia com a entrada de novos governos, recém-eleitos, que modificaram as estruturas existentes. Em Santo André, o dirigente de informática faz parte da equipe que elaborou o programa de governo e assumiu a prefeitura após as eleições de 1996. No governo federal, apesar do esforço coordenado no projeto do site inicial, com a participação de representantes de vários ministérios, não foi percebido um alinhamento estratégico entre os objetivos do Ministério da Administração e Reforma do Estado - MARE, à época, e os de desenvolvimento do portal. Hoje, os esforços de alinhamento são conduzidos pelo projeto de governo eletrônico, e-gov (www.redegoverno.gov.br/e-gov). Os projetos dos portais ganham o comprometimento e motivação da equipe técnica. A tecnologia é nova e há liberdade para tentativas e abordagens de implementação diferentes das tradicionais. A natureza do conteúdo das páginas e a diversidade de serviços exige a criação de equipes multidisciplinares, com conhecimento técnico em design, comunicação e conteúdo. O líder da equipe deve ter conhecimento e experiência na área pública, com habilidades de projeto, e políticas, para garantia de trânsito nas estruturas de governo. Sublinha-se como estratégia bem sucedida o esforço do Paraná para viabilizar, quando da oferta do portal de serviços, uma parceria entre grandes organizações estaduais que prestam serviços ao cidadão – Secretaria da Fazenda, DETRAN/Pr, COPEL, SANEPAR. A parceria confirmou-se na disponibilização de serviços no portal e em ações de divulgação do site. A integração dos serviços deve ser negociada no nível estratégico do governo. A integração de dados e processos pode ser preparada no nível técnico, mas a alteração de forças que a integração e a disponibilidade de informações provoca exigem negociação política. Apesar de medidas quantitativas que confirmem esta afirmação não terem sido tomadas no trabalho, os processos de atendimento que foram revistos e reprojetados com o uso de TI, perseguindo a integração, trouxeram para administração pública a percepção de maiores ganhos obtidos e de maior adesão pelo cidadão. A prefeitura de Santo André conseguiu alterar todo o seu processo de atendimento à população, do qual a Web é apenas uma parte. 5

Conclusão

Algumas observações neste trabalho são de menção obrigatória. Primeiro, o uso do site de governo reflete as diferenças sociais do Brasil - 80% dos respondentes são das classes A e B. Este é um número sobre o qual formuladores de políticas públicas devem refletir. A concentração nas classes A e B também se observa para a Internet no Brasil, mas se ações não forem tomadas podemos estar observando a formação de um “abismo informacional” difícil de ser transposto. São necessárias medidas que democratizam eventuais ganhos obtidos por uma parcela da população, com a Internet, para os demais usuários de serviços públicos. Como há grupos com características diferentes no perfil de uso e na motivação para o uso entre os usuários dos sites de governo, a eles podem ser oferecidas interfaces diferentes, facilidades específicas e as informações propostas pelo portal, na sua abertura, podem ser adequadas a quem está nele entrando. Esta construção customizada é possível no estágio atual da tecnologia. Segundo, o uso da Web na prática democrática sugere que embora já haja suporte tecnológico para a abertura de canais mais estreitos entre o cidadão, organizações da sociedade e governo, esta possibilidade não está sendo fomentada pelos governos e não está sendo exercida pelo cidadão e sociedade organizada. O objetivo estratégico na prestação dos serviços é a obtenção 12


de eficiência, um resultado pequeno em relação ao que poderá ser obtido pelo poder público. Mesmo neste objetivo, níveis maiores de integração entre aplicações e organizações governamentais podem avançar em direção à obtenção de um governo visto como um ente só, funcionando em rede, por contraposição a um governo compartimentalizado em diversos órgãos e organizações. Terceiro, uma política governamental de oferta de serviços na Web, com regras e padrões a serem obedecidos na produção de páginas, sua atualidade e conteúdo, melhorariam significativamente a qualidade dos serviços oferecidos e o conforto do usuário que os utiliza. Finalmente, o grande desafio do poder público é a inclusão do conjunto da população aos ganhos obtidos com o uso da tecnologia, não só na possibilidade de melhor prestação de serviços, mas principalmente pela inclusão do cidadão num mundo global onde não ter esse acesso (seja pela ausência dos recursos de tecnologia ou pelo não-desenvolvimento de habilidades para usá-los) pode vir a representar exclusão da cidadania. Referências Bibliográficas: ALBERTIN, Alberto. L. Comércio eletrônico : um estudo no setor bancário. São Paulo, 1997. Tese (Doutorado) - Faculdade de Economia, Administração e Contabilidade da Universidade de São Paulo. ALBERTIN, Alberto. L. Comércio eletrônico : modelo, aspectos e contribuição de sua utilização. 2. ed. São Paulo: Atlas, 2000. ANDERSEN, D. F.; DAWES, S. Government information management : a primer and casebook. New Jersey : Prentice Hall, 1991. 227 p. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 13596 : tecnologia de informação - avaliação de produto de software - características de qualidade e diretrizes para o seu uso. Rio de Janeiro, 1996. 10 p. BELCHIOR, Miriam. A aplicação de planejamento estratégico situacional em governos locais : possibilidades e limites. São Paulo, 1999. Dissertação (Mestrado) – Escola de Administração de Empresas de São Paulo da Fundação Getúlio Vargas. p. 100. BIMBER, Bruce. Data on internet users and on political use of the Internet. Santa Barbara : Disponível na Internet. http://www.polsci.ucsb.edu/~bimber/research/demos.html. Aug. 1999. BLOCH, M.; PIGNEUR, Y.; SEGEV, A. On the road of electronic commerce : a business value framework, gaining competitive advantage and some research issue. Lausanne : Institut d´Informatique et Organisation; Ecole des Hautes Etudes Commerciales, Université de Lausanne, 1996. BRESSER PEREIRA, L.C. E SPINK, P. (Orgs.). Reforma do Estado e administração pública gerencial. Rio de Janeiro: Fundação Getúlio Vargas, 1998. CASTELLS, Manuel. A sociedade em rede : a era da informação, economia, sociedade e cultura. São Paulo : Paz e Terra, 1999. 3 v. CELEPAR – COMPANHIA DE INFORMÁTICA DO PARANÁ. Roteiro para avaliação de produtos de software. Curitiba: Celepar. 1998. CELEPAR – COMPANHIA DE INFORMÁTICA DO PARANÁ. Biblioteca de atributos e ítens de medição. Curitiba: Celepar. 1998b. CRESWELL, John W. Research design : qualitative and quantitative approaches. California : Sage Publications, 1994. CRUZ, Maurício S. Tecnologia de Informação no espaço público : o caso Telecidadão no Paraná. São Paulo, 1999. Dissertação (Mestrado) – Escola de Administração de Empresas de São Paulo da Fundação Getúlio Vargas.

13


DUNCAN, G. T. Managing information privacy e information access in the public sector. In : GARSON, David G. Information Technology and computer applications in public administration : issues and trends. USA : Idea Group Publishing, 1999. p.304. EISENBERG, José. Internet popular e democracia nas cidades. Informática Pública, Belo Horizonte, v. 1, p. 7-24, jun. 1999. ESCHENFELDER, K. R.; BAECHBOARD, J. C; MCCLURE, C. R.; WYMAN, S. K. Assessing U.S. federal government web-sites. Government Information Quarterly, v. 14, n. 2, p. 173189, 1997. GARSON, D. G. Information technology and computer applications in public administration : issues and trends. USA : Idea Group Publishing, 1999. p. 304. GARSON, G. D. Computer technology and social issues. USA : Idea Group Publishing, 1997. 444 p. GILL, T. G. Expert systems usage : task change and intrinsic motivation. MIS Quarterly, p. 301-329, Summer.1996. HEEKS, R.; DAVIES A. Different approaches to information age reform. In : HEEKS, R. (ed.). Reinventing government in the information age : international practice in IT-enabled public sector reform. London : Routledge, 1999. 386 p. INTERNATIONAL ORGANIZATION FOR STANDARTIZATION. ISO/IEC 14598-1: Information Technology - Evaluation of software product - Part 1: general overview. KAHIN, Brian; WILSON, Ernest. (ed.) National information infrastructure initiatives : vision and policy design. USA : The MIT Press, 1997. KALAKOTA, R. Whinston A. Electronic commerce : a manager’s guide. New York : Addison-Wesley, 1997. MUNN, William G. Constructing the problem of access to Information Technology : a discursive analysis of the claims of public interest groups. California : Claremont University, 1999. PARDO, Theresa A. Reducing the risks of innovative uses of information technology in the public sector : a multidisciplinary model. New York : University at Albany, State University of New York, 1998. REINHARD, Nicolau. A Internet mudou tudo? In : CONGRESSO NACIONAL DE INFORMÁTICA PÚBLICA. São Paulo, 1999. (Anotações livres não revisadas pelo autor). WEBSTER, Frank. Theories of the information society. London : Routledge, 1997. p. 257. TAKAHASHI, Tadao (org.). Sociedade da Informação no Brasil : Livro Verde. Brasília : Ministério de Ciência e Tecnologia, 2000. YIN, Robert K. Case study research : design and methods. Newburry Park : Sage Publications, 1989.

14


Tabela 1 - Visão consolidada do referencial teórico Dimensões 1. O cidadão

2. O portal e sua implementação

3. Objetivos Estratégicos do uso da TI na Reforma do Estado

Tópicos Características do cidadão usuário do site

Descrição Características demográficas do cidadão usuário do site governamental e motivação para o uso. Serviços oferecidos e estágio da Os estágios são: Informações sobre a prestação de serviços instituição, orientação quanto a serviços e procedimentos, consultas a arquivos transacionais, realização de transações online, realização de processos completos, execução de processos interorganizacionais. Implementação Tarefas, pessoas, tecnologia, estrutura, ambiente, estruturados em: 1) o alinhamento estratégico, 2) a adaptação da organização e 3) a adaptação da área de Tecnologia de Informação Interna. Características do site Em relação a 1) fatores higiênicos e motivacionais (teoria de Herzberg adaptada ao ambiente Web); e 2) em relação às características de usabilidade, eficiência, funcionalidade, confiabilidade e portabilidade Eficiência Melhoria da proporção entre entradas e saídas no setor público. Descentralização

A descentralização e coordenação de atividades governamentais, seja para o poder local, seja para fora do Estado. Accountability Assegurar por mecanismos institucionais, cultura e prática que o cidadão e organizações obtenham informações, que possam ser compreendidas, sobre a efetividade das políticas governamentais. Democratização Utilização dos recursos de tecnologia da informação e comunicação como exercício para a prática democrática. Melhoria da gestão dos recursos Redefinição da maneira como os recursos (humanos, financeiros e outros) são planejados, medidos e gerenciados. Adoção de práticas de gestão de Uso de práticas de gestão da iniciativa mercado privada para diminuir custos e aumentar eficiência e efetividade da prestação de serviços. 4. Aspectos do uso da TI pelos Acesso O acesso à tecnologia de informação e governos na Sociedade da comunicação, o acesso à informação, o acesso Informação a uma conexão física e a facilidade no uso (até competência e o domínio pelo cidadão da leitura e escrita). Privacidade Habilidade dos indivíduos de controlar onde, como e para quem as informações sobre eles são comunicadas a outros. Segurança Mecanismos de detecção/prevenção a defeitos de segurança física, de software e de prática técnica inconsistente.

15


13潞 encontro do F贸rum de Executivos Municipais de TI


Controle Externo e Controle Interno: aspectos importantes da boa gestão em TI Renato Braga, CISA Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Abril de 2008


Do pedido 

“Nessa apresentação, o convidado tratará de aspectos importantes de governança em TI nos órgãos públicos, de pontos importantes que um órgão de controle externo avalia para uma boa gestão em TI, do relacionamento entre os órgãos de controle externo e os de controle interno (auditoria, controladoria etc.) e de formas de apoio que os órgãos de controle podem dar aos gestores de TI.” (grifei) Secretaria de Fiscalização de Tecnologia da Informação

3


Agenda    

Histórico Governança de TI Contratação de serviços de TI Controle

Secretaria de Fiscalização de Tecnologia da Informação

4


Antes da Sefti 

Fiscalizações de TI (1994 - 2006)   

29 fiscalizações de TI (coordenação, participação) Foco: auditorias de sistemas e dados Alguns exemplos:      

sistemas de arrecadação federal sistemas do Bacen e CEF Siape, Siafi e Sipia sistemas da Previdência Social Programa E-Gov Infoseg Secretaria de Fiscalização de Tecnologia da Informação

5


Antes da Sefti 

Normatização (1997-1998)    

Procedimentos de auditoria de sistemas Roteiro de acompanhamento via Siafi Roteiros de extração de dados (Siafi e Siape) Manual de auditoria de sistemas

Orientações aos gestores (2003) 

Cartilha “Boas práticas em segurança da informação” Secretaria de Fiscalização de Tecnologia da Informação

6


Antes da Sefti 

Cursos de auditoria de TI (1998 - 2006)   

servidores do TCU servidores da Administração Pública Federal servidores de países de língua portuguesa e membros da Olacefs

Participação em comitês internacionais 

Comitê de auditoria de TI da Intosai (desde 1997) Comissão de TIC da Olacefs (desde 2005)

Secretaria de Fiscalização de Tecnologia da Informação

7


Criação da Sefti 

Resolução TCU nº 193 (agosto 2006) 

“Art. 27-A A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de Tecnologia da Informação pela Administração Pública Federal.”

Secretaria de Fiscalização de Tecnologia da Informação

8


Gorvennança de TI

Abordagens

Abordagem Gestão Aquisições Segurança Tecnologia Sistemas Dados Programas de Governo

Foco Gestão organizacional, pessoas, serviços e investimentos Conformidade com leis e regulamentos Gestão da segurança, controle de acesso Infra-estrutura tecnológica Processos automatizados Integridade/ Consistência/ Confiabilidade Governo Eletrônico

Secretaria de Fiscalização de Tecnologia da Informação

9


Repercussão na mídia Infoseg Siape - Consignações

Secretaria de Fiscalização de Tecnologia da Informação

10


Estrutura da Secretaria Secretaria de Fiscalização de Tecnologia da Informação Assessoria

Serviço de Administração

Diretoria de Auditoria de TI

Diretoria de Fiscalização de Aquisições de TI

(Dati)

(Difati)

Secretaria de Fiscalização de Tecnologia da Informação

11


Quantos somos 

Secretário + Assessora + SA

Dati

Difati

25

Secretaria de Fiscalização de Tecnologia da Informação

12


Desenvolvimento Profissional 

Formação em áreas de tecnologia 

Ciência da Computação, Engenharia

Certificações 

cinco servidores com Certified Information Systems Auditor (CISA) um servidor com Certified Information Systems Security Professional (CISSP)

Secretaria de Fiscalização de Tecnologia da Informação

13


Atividades 2006/2007 

Fiscalizações 

   

4 Auditorias (Infraero, Receita Federal, DPF e consignações Siape) 4 Levantamentos (três julgados, um finalizando) TMS/FOC Terceirização TI (em fase de relatório) Auditoria no Sistema de Tráfego Aéreo Modelo de Contratação Serviços TI

Cartilha de Boas Práticas em Segurança da Informação - 2º Edição Éramos em menor quantidade! Secretaria de Fiscalização de Tecnologia da Informação

14


Secretaria de Fiscalização de Tecnologia da Informação

15


Site da http://www.tcu.gov.br/fiscalizacaoti

Secretaria de Fiscalização de Tecnologia da Informação

16


Negócio Controle externo da governança da tecnologia da informação na Administração Pública Federal

Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade Secretaria de Fiscalização de Tecnologia da Informação

17


Levantamento acerca da Governança de TI na Administração Pública Federal


Agenda    

Objetivos do levantamento Como se desenvolveu o trabalho Exemplos de verificações Benefícios do levantamento

Secretaria de Fiscalização de Tecnologia da Informação

19


Objetivos do levantamento 

Levantar informações para elaboração de mapa com a situação da Governança de TI na Administração Pública Federal com vistas a subsidiar o planejamento das fiscalizações da Sefti Identificar os principais sistemas e bases de dados da Administração Pública Federal Identificar as áreas onde o TCU pode (e deve) atuar como indutor do processo de aperfeiçoamento da Governança de TI Secretaria de Fiscalização de Tecnologia da Informação

20


Como se desenvolveu o trabalho 

Envio de questionário aos 300 principais órgãos/entidades da APF Respostas são declarativas, com solicitação da anexação de evidências Tabulação dos resultados e análise da situação geral, em cada área da Governança de TI e em cada segmento da APF

Secretaria de Fiscalização de Tecnologia da Informação

21


Exemplos de verificações 

Há planejamento estratégico para a área de TI em vigor? Qual o grau de terceirização da equipe que atua na área de TI desse Órgão/Entidade? Há carreiras específicas para a área de TI no plano de cargos do Órgão/Entidade? O desenvolvimento de sistemas segue alguma metodologia? Secretaria de Fiscalização de Tecnologia da Informação

22


Exemplos de verificações 

Existe uma área específica, com responsabilidades definidas, para lidar estrategicamente com segurança da informação? Existe Plano de Continuidade de Negócios em vigor? Existe Política de Segurança da Informação – PSI em vigor? É feita classificação de informações? Secretaria de Fiscalização de Tecnologia da Informação

23


Exemplos de verificações 

É efetuada a gestão dos níveis de serviços acordados para as soluções de TI do Órgão/Entidade oferecidas aos seus clientes, assim como para os serviços de TI prestados ao Órgão/Entidade? O Órgão/Entidade possui equipe própria para realizar auditorias de TI? Quantas pessoas se dedicam a esta atividade? Secretaria de Fiscalização de Tecnologia da Informação

24


Benefícios do levantamento 

Conhecimento do estado da Governança de TI nos principais órgãos/entidades da APF Informações para o planejamento das ações a serem realizadas pela Sefti com intuito de aperfeiçoar a Governança de TI da APF Repositório com os contatos dos gestores de TI dos principais órgãos/entidades

Secretaria de Fiscalização de Tecnologia da Informação

25


Contratação de serviços de TI


Agenda    

Antecedentes Terceirização de TI na APF Fiscalização em 2007 Ação Conexa

Secretaria de Fiscalização de Tecnologia da Informação

27


Antecedentes Acórdão 1.558/2003 - TCU - Plenário 

9.7. determinar à Secretaria-Geral de Controle Externo Segecex que, com auxílio da Secretaria de Tecnologia da Informação - Setec, realize estudo sobre os parâmetros que devem balizar a contratação de serviços técnicos de informática, levando em consideração os fatores mencionados nos itens 33 a 38 do Voto, bem com os critérios de delimitação e parcelamento do objeto licitado, a forma de execução desses serviços, se contínua ou não, e o regime de contratação dos empregados das empresas prestadoras de serviço (celetistas, cooperados, etc.), entre outros aspectos, a fim de propiciar elementos para manifestação do Tribunal sobre o assunto; Secretaria de Fiscalização de Tecnologia da Informação

28


Antecedentes Acórdão 2.094/2004 - TCU - Plenário 

9.2. determinar à Segecex que avalie a conveniência e oportunidade de, após concluído o estudo de que trata o item 9.7 do Acórdão 1.558/2003 - Plenário, incluir nos Planos de Fiscalizações, Fiscalização de Origem Centralizada - FOC para continuar avaliando a legalidade e oportunidade das aquisições dos bens e serviços de informática, sobretudo nos órgãos e entidades que não foram fiscalizados nesta auditoria e naqueles em que foram constatados problemas graves; Secretaria de Fiscalização de Tecnologia da Informação

29


Antecedentes Acórdão 140/2005 - TCU - Plenário 

9.4. determinar à Secretaria-Geral de Controle Externo que adote providências para realizar, por intermédio das unidades técnicas competentes, auditoria nos órgãos da Administração Direta do Poder Executivo com vistas a avaliar a estrutura de recursos humanos dos respectivos setores de informática, verificando se o quantitativo e a qualificação dos servidores são suficientes ao desempenho das atribuições da área e ao atendimento das necessidades das demais unidades integrantes do órgão, sobretudo se as atividades ligadas ao planejamento estratégico de informática, à coordenação, à fiscalização e ao controle das ações do setor são executadas com eficiência e eficácia e, ainda, se essas atividades estão acometidas a servidores do órgão, entre outros aspectos considerados relevantes na fase de planejamento dos trabalhos; Secretaria de Fiscalização de Tecnologia da Informação

30


Abordagem da Sefti 

Normas e Jurisprudência sobre TI 

Governança de TI na APF 

TC 007.973/2007-5, Acórdão 1.934/2007-TCUPlenário TC 008.380/2007-1, não apreciado

Gastos e fontes para formação de preços de TI 

TC 007.972/2007-8, não apreciado Secretaria de Fiscalização de Tecnologia da Informação

31


Relevância do gasto 

Hoje não é possível identificar a despesa com TI na Administração Pública 

nem a despesa autorizada nem a executada

Estimam-se gastos na APF da ordem de R$ 6 bilhões em 2006 (fonte: Siafi)

Secretaria de Fiscalização de Tecnologia da Informação

32


Despesa (de TI) liquidada no SIAFI em 2006 (por subelemento de despesa) Serviços de Processamentos de Dados 60,15%

Equipamentos de Processamento de Dados 13,59% Despesas de Teleproc. 7%

M aterial de Processamento de Dados 5,83% Aquisicao De Softwares De Base 0,41% M anut. Cons. Equip. de Processamento de Fonte: TC 007.972/2007-8 Dados Origem da classificação: Portaria STN 448/02 1,78%

Locação de Softwares 2,39%

Aquisição de Softwares de Aplicação M anutenção de5,55% Software 3,93%

Secretaria de Fiscalização de Tecnologia da Informação

33


Relevância da informação 

TI é setor estratégico (também) na Administração Pública e os problemas na área são grandes vulnerabilidades na organização.

Os acórdãos do TCU vêm sinalizando que na APF a TI está toda terceirizada e sem controle. Secretaria de Fiscalização de Tecnologia da Informação

34


Alguns exemplos não tão bons... 

Dataprev x Unisys 

MTE x Datamec 

Acórdão 355/2006-TCU-Plenário

Infoseg (Senasp/MJ) x Politec 

Acórdão 2.023/2005-TCU-Plenário

BNDES x IBM 

Decisão 1.459/2002-TCU-Plenário

Acórdão 71/2007-TCU-Plenário

AFIS (DPF) x Sagen 

Acórdão 889/2007-TCU-Plenário Secretaria de Fiscalização de Tecnologia da Informação

35


O problema não é terceirizar ... 

A própria Lei (Decreto-Lei 200/67) determina que se terceirize... 

Art. 10 A execução das atividades da Administração Federal deverá ser amplamente descentralizada. 

... 7º Para melhor desincumbir-se das tarefas de planejamento, coordenação, supervisão e controle e com o objetivo de impedir o crescimento desmesurado da máquina administrativa, a Administração procurará desobrigar-se da realização material de tarefas executivas, recorrendo, sempre que possível, à execução indireta, mediante contrato, desde que exista, na área, iniciativa privada suficientemente desenvolvida e capacitada a desempenhar os encargos de execução.“ Secretaria de Fiscalização de Tecnologia da Informação

36


O problema é terceirizar mal...  

É não saber o que nem como terceirizar. É não avaliar os riscos:   

É não criar controles: 

Estamos terceirizando coisas estratégicas? Temos pessoal para controlar a terceirização? O pessoal que temos está capacitado? Como criar controle sem processos de contratação e gestão contratual?

É se ver completamente dependente dos terceiros: 

Temos um plano “B”? Secretaria de Fiscalização de Tecnologia da Informação

37


O problema é terceirizar sem estratégia!

Secretaria de Fiscalização de Tecnologia da Informação

38


A estratégia de terceirização é decisiva para uma boa governança de TI.

Secretaria de Fiscalização de Tecnologia da Informação

39


Fiscalização em 2007 

Objetivo geral 

Avaliar a terceirização no setor de TI de entes da APF selecionados, em especial a adequação da estrutura da unidade e seus processos de aquisição e gestão de serviços terceirizados.

Abrangência 

12 unidades (6 ministérios, 2 tribunais, 2 bancos, 1 universidade e 1 estatal).

Secretaria de Fiscalização de Tecnologia da Informação

40


Fiscalização em 2007 

Critérios de auditoria   

Cobit 4.1 NBR 17799:2005 Parâmetros para contratações de serviços 

Estudo do Acórdão 1.558/2003 - TCU - Plenário

Secretaria de Fiscalização de Tecnologia da Informação

41


Estrutura e processos de TI 

Validação (ou não) das informações do levantamento sobre governança de TI Avaliação de alguns processos com base no Audit Guidelines do Cobit 3.0

Secretaria de Fiscalização de Tecnologia da Informação

42


Planejamento estratégico e contratações Objetivos estratégicos institucionais

Alinhados com

Desmembrados nos

Objetivos estratégicos de TI

Operacionalizados pelas

Meio para atingir

Contratações

Secretaria de Fiscalização de Tecnologia da Informação

43


Projeto básico mínimo e exemplos de riscos 

O que contratar ? 

Por que contratar? 

Não considerar alinhamento com PETI

Como contratar? 

Não caracterizar a contratação como prestação de serviços (e.g., contratar horas de analista)

Questão da divisibilidade, medir por esforço e não por resultados

Qual o preço de mercado? 

Não considerar uma “cesta de preços” Secretaria de Fiscalização de Tecnologia da Informação

44


Projeto básico mínimo e riscos 

Como escolher o fornecedor? 

Com que critérios escolher o fornecedor? 

Não utilizar pregão para aquisição de serviços comuns Exagerar ou negligenciar os critérios de habilitação

Como garantir que receberemos o que queremos? 

Negligenciar mecanismos de gestão contratual Secretaria de Fiscalização de Tecnologia da Informação

45


Provocação O que (bens e serviços) existe hoje no mercado de tecnologia da informação que não se pode especificar segundo “padrões de desempenho e qualidade [que] possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado”?

Secretaria de Fiscalização de Tecnologia da Informação

46


E depois do projeto básico ainda há um longo caminho... 

O edital e o contrato estão em conformidade com o previsto na legislação e no edital? Os procedimentos realizados na fase externa da licitação estão em conformidade com o previsto na legislação e no edital? A fiscalização (técnica e administrativa) do contrato é executada de forma satisfatória? Na etapa de pagamento dos são executados os procedimentos necessários? O processo de ajustes dos contratos é executado de forma satisfatória? O benefício previsto com a contratação foi gerado? Secretaria de Fiscalização de Tecnologia da Informação

47


Como fazer para melhorar?


A solução passa por ...    

Criar processos Identificar riscos Implementar controles Monitorar os controles

Secretaria de Fiscalização de Tecnologia da Informação

49


Processos incluem...    

Etapas Insumos (o que entra em cada etapa) Artefatos (o que sai de cada etapa) Papéis e responsabilidades (quem faz o quê)  Dentro

e fora da TI!

Secretaria de Fiscalização de Tecnologia da Informação

50


Riscos 

Inexistência de controles ou existência de controles “ad hoc” e sua não monitoração  

 

no planejamento da contratação (projeto básico) na seleção do fornecedor (fase externa da licitação) na gestão contratual na verificação da conformidade legal (em todas as etapas)

Secretaria de Fiscalização de Tecnologia da Informação

51


NĂŁo devemos esquecer que hĂĄ necessidade de pessoas capacitadas em quantidade suficiente para conduzir os processos.


Ação conexa 

Modelo de contratação a ser elaborado pela SLTI  

Item 9.4 do Acórdão 786/2006-TCU-Plenário Em monitoramento no TC 006.030/2007-4  

Acórdão 1.480/2007-TCU-Plenário Acórdão 1.999/2007-TCU-Plenário

Secretaria de Fiscalização de Tecnologia da Informação

53


Controles externo e interno


Atuação típica do controle externo 

Avaliar os controles internos 

1 - Ações do Controle Interno 

2 - Controles internos do gestor 

Na nossa área, normalmente não há

Testes de aderência 

Na nossa área, normalmente não há

Normalmente não é possível realizar, diante da ausência de processos

Testes substantivos 

Aparecem muitos problemas Secretaria de Fiscalização de Tecnologia da Informação

55


Apoio do controle interno ao gestor ... 

Atuação preventiva e corretiva 

 

Orientações

Difundir necessidade de evidenciação Controle ME 3.1 do Cobit 4.1 (conformidade com requisitos legais) Caso Treinamento interno 

 

Riscos Controles Monitoração

necessário, o controle interno deve-se capacitar.

Secretaria de Fiscalização de Tecnologia da Informação

56


Apoio do TCU ao gestor ...   

 

 

Cartilhas Base de normas e jurisprudência Indução da criação do processo de contratação Segregação do orçamento de TI Indução da avaliação do gap de governança de TI (levantamento de governança) Diálogo público ... Secretaria de Fiscalização de Tecnologia da Informação

57


Diretriz na Sefti 

“Ver as árvores para entender a floresta” e atuar preferencialmente nos agentes multiplicadores        

 

SLTI/MP – órgão central do SISP e do SISG GSI/PR – segurança da informação Sepin/MCT, STI/MDIC – política de informática SOF/MP – orçamento SEGES/MP – pessoal Enap – capacitação CGU – riscos e controle AGU – legalidade CNJ – tudo para o poder judiciário TCE, TCM - replicação para outras esferas (e.g., caso do FGTS) Secretaria de Fiscalização de Tecnologia da Informação

58


Conclusão 

Chegamos onde queríamos? 

“...aspectos importantes de governança em TI nos órgãos públicos...” “...pontos importantes que um órgão de controle externo avalia para uma boa gestão em TI...” “...relacionamento entre os órgãos de controle externo e os de controle interno (auditoria, controladoria etc.)...” “...formas de apoio que os órgãos de controle podem dar aos gestores de TI.” Secretaria de Fiscalização de Tecnologia da Informação

59


Grato pela atenção. Renato Braga, CISA Missão da Sefti: “Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública.” http://www.tcu.gov.br/fiscalizacaoti sefti@tcu.gov.br


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.