Академический Документы
Профессиональный Документы
Культура Документы
1. Introduo
Por muito tempo, profissionais da rea de Tecnologia da Informao dirigiram sua
ateno somente em entender o problema do cliente, sem uma preocupao com riscos
envolvidos no decorrer do desenvolvimento e inerentes a qualquer natureza de projetos.
Empresas privadas e rgos governamentais de todo o mundo chegaram concluso da
importncia de haver um gerenciamento adequado de seus projetos, atravs de tcnicas
comprovadamente eficientes e at mesmo daquelas ainda esto no campo da inovao, de
metodologias ordenadas, assim assegurando que os resultados obtidos sejam expressivos e
eficazes, minimizando seu impacto exposio de inconvenientes que possam gerar crises e
at mesmo corromper a segurana de um governo.
Um Sistema de Informao um sistema de trabalho cujos processos e atividades so
voltados ao processamento de informao, isso capturar, transmitir, armazenar, receber,
manipular e apresentar informao (ALTER, 2008).
Conceitualmente, a gesto de risco, em qualquer dos modelos adotados nos setores
pblicos
vilegia o alcance de
resultados (TCU, 2013). Assim, a gesto de riscos de Tecnologia da Informao (TI) pode ser
entendida como fator crtico de sucesso para que a organizao atinja seus objetivos. Porm,
crucial tambm que se identifique a eficincia com que o processo de gesto de riscos de TI
est sendo implementado em uma organizao (ARAUJO E OLIVEIRA, 2014).
O gerenciamento de riscos em Sistemas de Informao (SI) contribui com a proteo
dos itens de valor do SI. Ele protege das perdas causas por eventos indesejveis, impactando
os objetivos do Sistema de Informao e, consequentemente, a sua estratgia. Alm disso,
Sistemas de Informao exercem um papel importante na tomada de deciso em relao a
novas oportunidades. Portanto, crucial que se estabelea um sistema de medio eficiente e
bem definido, tendo em vista que s possvel controlar o que se pode medir.
No Brasil ainda no h uma consolidada gesto de riscos no Setor Pblico. Em vista
disso, o presente artigo busca apresentar um Modelo de Maturidade voltado administrao
pblica, no campo da Tecnologia da Informao, o GR-TISP (Gerenciamento de Risco em
Tecnologia da Informao no Setor Pblico). Tal modelo foi desenvolvido junto ao Ministrio
do Planejamento, Oramento e Gesto MPOG.
2 . Desenvolvimento do Modelo
2.1 Modelos de Maturidade
Descrio
A empresa tem um conhecimento bsico sobre o processo de gesto de riscos, porm
1. Vulnervel
ainda no o implementa. Indica que o processo no tem, ainda, uma metodologia
estvel e organizada para a implementao de usabilidade.
A organizao tem um bom conhecimento sobre o processo de Gesto de riscos,
porm poucas pessoas da rea de segurana da informao detm esse conhecimento.
2. Reativo
So essas as pessoas que realizam a gesto de riscos na empresa de forma dispersa e
intuitiva, ou seja, nenhuma abordagem formal foi desenvolvida para a gesto de
riscos.
A empresa adotou um padro para os processos de gesto de riscos com o uso de uma
metodologia. Essa metodologia pode ter sido desenvolvida, com base na ISO 27005
3. Complacente
(ABNT 2008) ou ISO 31000, pela prpria empresa, ou a empresa adotou uma
metodologia j existente no mercado, como por exemplo a Octave
(OperationallyCriticalThreat, Asset, andVulnerabilityEvaluation).
O processo de Gesto de Riscos da empresa auditado e sua avaliao utilizada
pela direo para tomada de deciso. O conhecimento sobre Gesto de Riscos
amplo e difundido. implementado um processo de Gerenciamento de Incidentes, o
4. Proativo
qual baseado no ITIL (Information Technology Infrastructure Library), que tem
como foco principal restabelecer o servio o mais rpido possvel minimizando o
impacto negativo no negcio, uma soluo de contorno ou reparo rpido.
A empresa atingiu um nvel de excelncia, pois consegue estimar de forma precisa os
5. Tenacidade
riscos, impactos e probabilidades de seus processos, assim elimina desperdcios,
(Otimizado)
falhas e retrabalhos, conseguindo nveis elevados de eficcia.
Quadro 1 Nveis de Maturidade. Fonte: Elaborao Prpria.
verificao ser baseada nas prticas presentes nos documentos de referncia. Ser realizada a
avaliao do nvel de adoo por parte da organizao para cada item de verificao e os itens
de verificao de cada item de controle, por sua vez, compem as 06 dimenses estabelecidas
para o GR-TISP: Estratgias e Planos; Informao; Processos; Liderana; Resultados;
Pessoas.
Modelos de maturidade podem ser descritivos ou prescritivos. A classificao
l
l -
GR-TISP e informa o
Fi
gura 1 - Interface "Instrues de Uso". Fonte: Elaborao Prpria.
preenchida. Para cada um dos onze Itens de Controle, um carto de resposta foi elaborado
contendo os respectivos itens de verificao. Para um diagnstico real e eficaz sobre o
desempenho do processo de Gesto de Risco de TI, importante que o questionrio seja
respondido de maneira sincera e de acordo com a realidade da organizao, e no com o que
se espera que seja realizado. Todos os cartes de resposta seguem o mesmo modelo e padro.
A figura 6 apresenta parte do carto resposta do item de controle P
Figura 6 - C
S fw
organizao. O carto de resposta permite que apenas uma das cinco escolhas de adoo da
prtica possa ser selecionada.
Quadro 2 - Escala de resposta para o nvel de adoo da prtica. - Fonte: Elaborao Prpria.
Para cada uma dessas etapas, o carto de resposta permite que, ao clicar na clula
imediatamente abaixo etapa, uma lista com 4 opes aparea: No Adota, Adota
Parcialmente, Iniciou plano para adot-la e Adota Integralmente. Apesar dos nomes similares,
estas opes no tem relao com as opes de nvel de adoo da prtica.
Na figura 6, observa-se que cada item de verificao recebe duas pontuaes
P
l. A
pontuao se refere quela relacionada s etapas da ISO 31000. Um peso foi atribudo para
cada etapa da ISO 31000 e para cada uma das 04 opes possveis dentro de cada etapa. Os
pesos se mantm o mesmo independentemente do item de verificao ou item de controle. O
quadro 03 apresenta os pesos atribudos s etapas da ISO 31000 e o quadro 04 apresenta os
pesos atribudos a cada uma das quatro opes. Os pesos foram estabelecidos em conjunto
com o MPOG de acordo com o grau de importncia da etapa da ISSO 31000.
Comunicao e
Estabelecimento do
Avaliao do
Tratamento do
Monitoramento e
Consulta
Contexto
Risco
Risco
Reviso
20
10
20
30
20
Quadro 03 - Peso atribudo a cada etapa da ISO 31000. Fonte: Elaborao Prpria.
No Adota
Adota Parcialmente
Adota Integralmente
Adot-la
1
Quadro 04 - Peso atribudo a cada escolha para as etapas. Fonte: Elaborao Prpria.
: V
J P
f
F
!.
P
a cada umas das cinco escolhas para o nvel de adoo da prtica. O quadro 05 apresenta a
distribuio dos pesos para os nveis de adoo da prtica.
No se Aplica
No Adota
Adota
Adota
Adot-la
Parcialmente
Integralmente
Quadro 05 - Peso atribudo aos nveis de adoo da prtica. Fonte: Elaborao Prpria.
10
simplesmente a mdia aritmtica das notas obtidas em cada item de verificao. (ver figura 6,
esquerda).
A l
. So apresentados trs
3. Consideraes finais
Desenvolvido a partir da leitura de artigos e pesquisas, em discusses com o
Ministrio do Planejamento, Oramento e Gesto (MPOG), o GR-TISP se estabelece como o
primeiro modelo de maturidade de Gerenciamento de Risco em Tecnologia da Informao no
11
setor pblico brasileiro. Espera-se que, por meio dele, a organizao da administrao pblica
consiga avaliar a maturidade de seu processo e identificar quais pontos devem ser atacados
para alavancar a maturidade do processo.
O produto GR-TISP obtido atravs de um questionrio, apesar de isso ser comum a
outros modelos, sua abordagem pode ser considerada inovadora. O principal diferencial se d
quanto ao processo de abordagem frente aos itens de verificao para cada um dos 11 itens de
controle, avaliados a partir de dois diferentes critrios, um quanto ao nvel de adoo da
prtica e outro em relao s etapas estabelecidas pelo ISO 31000.
importante mencionar que, pelo fato do GR-TISP se tratar de um modelo de
maturidade descrito, o resultado afinal apenas apresenta o nvel de maturidade final em forma
de anlises grficas a fim de auxiliar o respondente a identificar quais itens de controle devem
receber mais ateno e prioridade. Portanto, cabe organizao, e no ao GR-TISP elaborar
planos de ao e recomendar caminhos a serem seguidos.
Procurou-se ao mximo desenvolver uma interface amigvel e intuitiva para que os
respondentes no possuam dvidas no momento de preenchimento do questionrio. Alm
disso, o questionrio possui algumas protees para que erros por parte dos respondentes
sejam evitados.
Referncias
Antunes, Pedro, Carreira, Paulo Silva, Miguel Mirada. Towards an Energy Management Maturity Model. Energy
Policy, Lisboa, 73, p 803814, 2014.
Avaliao da gesto de riscos na administrao pblica indireta. Tribunal de Contas da Unio. Ficha-Sntese
sobre as Contas do Governo da Repblica. 2013.
Batenburg, Ronald; Neppelenbroek, Matthijs; Shahim, Abbas. A Maturity Model for Governance, Risk
Management and Compliance in Hospitals. Journal of Hospital Administration. Utrecht, Vol. 3, No. 4. 2014.
Becker, Jrg;. Knackstedt, Ralf; Pppelbu, Jens. Developing Maturity Models for IT Management A
Procedure Model and its Application. BISE RESEARCH PAPER, 10 f, 2009.
Elmaallam, Mina; Kriouile, Abdelaziz. A Model of Maturity for IS Risk Management Case Study. Computer and
Information Science, Agdal Rabat, Vol. 5, No. 3, 2012.
Maallam, Mina El; Kriouile, Abdelaziz. Development of the ISR3M Model for IS Risk Management Evaluation
using the Focus Area Structure according to the MMDPIS Generic Process. Society for Science and Education,
Vol 2, Issue 6, 2015.
12
Pppelbu, Jens; Rglinger, Maximilian. What Makes a Useful Maturity Model? A Ramework of General
Design Principles for Maturity Models and its Demonstration in Business Process Management. AIS Electronic
Library, 13 f, 2011.
SOTILLE, Mauro A. et al. Gerenciamento do Escopo em projetos. 2. Ed. Rio de Janeiro, Fundao Getlio
Vargas, 2009.
Raza, Ari; Capretz, Luiz Fernando; Ahmed, Faheem. An Open Source Usability Maturity Model (OS-UMM).
Computers in Human Behavior, 28, p. 1109-1121, 2012.
Rovai, Ricardo Leonardo. Modelo Estruturado para Gesto de Riscosem Projetos: Estudo de Mltiplos Casos.
2005, 364 f. Tese ( Doutorado em Engenharia da Produo). Escola Politcnica da Universidade de So Paulo.
Universidade de So Paulo.
Unger, C.J; Lechner, A.M; Kenway, J; Glenn, V; Walton, A. A Jurisdictional Maturity Model for Risk
Management, Accountability and Continual Improvement of Abandoned Mine Remediation Programs.
Resources Policy. 43, St Lcia, p 1-10, 2015.
Wendler, Roy. The Maturity of Maturity Model Research: a Systematic Mapping Study. Information and
Software Technology, 54, p 1317-1319, 2012.
13