anexo v nt 2016/558 - bbtecno.com.br · anexo v – nt 2016/558 peti ... as iniciativas de ti a...
TRANSCRIPT
#pública
Anexo V – NT 2016/558
PETI
PLANEJAMENTO ESTRATÉGICO DE
TECNOLOGIA DA INFORMAÇÃO
2017 – 2021
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 2 de 77
Apresentação
A.1 O Planejamento Estratégico de Tecnologia da Informação (PETI) é um instrumento da BB
Tecnologia e Serviços, que traça a direção da Tecnologia da Informação (TI), definindo o plano
estratégico que visa promover a melhoria contínua da gestão e governança de TI alinhada à
Estratégia Corporativa.
A.2 Na atual conjuntura, a BB Tecnologia e Serviços se concentra na eficiência operacional
e inovação, com capacidade de atender em tempo hábil as demandas de seus clientes, em
especial do seu controlador, o Banco do Brasil.
A.3 Este documento apresenta o PETI da BB Tecnologia e Serviços para o período 2017-
2021, elaborado, sob a coordenação da DITEC, e com a participação de membros de todas as
diretorias da Empresa por meio da colaboração do Comitê de TI (ComTI) e da Diretoria Executiva
(DIREX).
A.4 O PETI 2017-2021 estabelece seis objetivos estratégicos de TI distribuídos em quatro
perspectivas: Contribuição para o Negócio (Financeira), Orientação ao Cliente (Cliente),
Excelência Operacional (Processos) e Orientação ao Futuro (Aprendizagem e Crescimento).
A.5 Alinhados ao COBIT 5 foram definidos objetivos e estabelecidos indicadores e suas
respectivas metas, de forma a mensurar objetivamente os resultados alcançados pela área de
TI da BB Tecnologia e Serviços. Sinalizadores foram atribuídos para auxiliar na medição e
controle da gestão de TI.
A.6 O documento é um instrumento efetivo de comunicação da estratégia de TI, justificando
as iniciativas de TI a partir das quais deverão ser definidas ações no Plano Diretor de Tecnologia
da Informação (PDTI), garantindo o alinhamento estratégico-tático.
A.7 Assim, a atual versão do PETI sinaliza para a busca contínua do amadurecimento da BB
Tecnologia e Serviços na gestão e governança de TI, conforme preconizado pelo COBIT 5, na
busca da integração da TI nos processos de negócios e demais atividades da BB Tecnologia e
Serviços.
A.8 Como resultado da execução desse plano, espera-se que os objetivos estratégicos sejam
alcançados, consolidando as conquistas dos últimos anos e construindo novos caminhos para
solidificar o papel da TI como um ativo integrador com poder de promover a excelência na
prestação de serviços, reconhecendo a TI como elemento estratégico para a BB Tecnologia e
Serviços.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 3 de 77
APOIO
DIRETORIA EXECUTIVA da BB Tecnologia e Serviços
Luis Aniceto Silva Cavicchioli - Presidente - PRESI
Anderson Luís Cambraia Itaborahy - Diretor de Tecnologia da Informação - DITEC
Expedito Afonso Veloso - Diretor de Operações - DIDOP
Marcelo Cavalcante de Oliveira Lima - Diretor Financeiro e de Serviços Internos - DIFIS
Paulo Eduardo Rangel - Diretor de Serviços de Infraestrutura Bancária - DISIB
COMITÊ DE TI da BB Tecnologia e Serviços
Davidson Baptista Teixeira (DIDOP/GCC)
Rodrigo Bruschi Scanavachi (DISIB/GIS)
Jeferson José de Quadros (DIFIS/GFC)
Paulo Roberto Costa e Souza (PRESI/GPO)
Rodrigo Negrão de Almeida (DINEG/GRE I)
Manoel Enison Ramos Viana (DITEC/GPG)
Gerentes Executivos da DITEC
Jayran Bispo de Oliveira Nascimento (DITEC/GTI)
Manoel Enison Ramos Viana (DITEC/GPG)
Sérgio Camelo de Almeida (DITEC/GDM)
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 4 de 77
Sumário
Apresentação ............................................................................................................................................. 2
1 Histórico .............................................................................................................................................. 5
2 Metodologia de Trabalho .................................................................................................................. 7
3 Estrutura Organizacional de TI ........................................................................................................ 9
4 Referencial Estratégico ................................................................................................................... 10
4.1 Papel da TI ............................................................................................................................... 10
4.2 Objetivo Principal da TI ........................................................................................................... 10
4.3 Diretrizes Estratégicas da TI .................................................................................................. 10
5 Mapa Estratégico ............................................................................................................................. 11
6 Objetivos, Indicadores, Metas e Sinalizadores ........................................................................... 12
6.1 Perspectiva Contribuição para o Negócio ........................................................................... 12
6.2 Perspectiva Orientação ao Cliente ....................................................................................... 13
6.3 Perspectiva Excelência Operacional .................................................................................... 16
6.4 Perspectiva Orientação ao Futuro ........................................................................................ 18
7 Desafios Estratégicos e Inovações ............................................................................................... 20
8 Investimentos Orçados ................................................................................................................... 24
9 Riscos de TI ...................................................................................................................................... 25
10 Fatores Críticos de Sucesso ...................................................................................................... 26
11 Considerações Finais.................................................................................................................. 27
12 Anexos ........................................................................................................................................... 28
12.1 Alinhamento Estratégico (EC-BBTS 2017-2021 x PETI 2017-2021) .............................. 28
12.2 Indicadores ............................................................................................................................... 29
12.3 Sinalizadores ............................................................................................................................ 42
12.4 Matriz de Maturidade de SI da DITEC na ISO 27002 ........................................................ 48
12.5 Riscos de TI .............................................................................................................................. 70
12.6 Riscos de Segurança da Informação ................................................................................... 73
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 5 de 77
1 Histórico
1.1 O PETI alinhado ao planejamento estratégico da organização, visa garantir que as metas
e objetivos de TI alinhados aos preconizados pelo COBIT 5, estejam totalmente vinculados aos
objetivos de negócio e as metas da organização.
1.2 Em 2013 aprovou-se o primeiro PETI da BBTS com validade de 4 anos (o PETI 2013-
2016) e em 2014, já alinhado à Estratégia Corporativa (EC-BBTS 2014-2016), o mesmo foi
revisado para o período 2014-2016. Em 2015 foi feita a revisão para o período 2015-2017 e em
2016 foi feita a revisão para o período 2016-2018. Esta é a quinta versão do Planejamento
Estratégico de TI da BBTS, com foco nos próximos cinco anos (PETI 2017-2021), também
alinhado com a EC-BBTS para o mesmo período.
1.3 Assim, diante da definição da Estratégia Corporativa, foi possível definir os horizontes da
empresa e ajustar as expectativas da alta direção em relação à TI.
1.4 O papel previsto para a TI na BB Tecnologia e Serviços é o de prover soluções para apoio
a gestão e apoio aos negócios para os desafios de tecnologia de operações bancárias, fábrica
de soluções de software e de serviços de infraestrutura de TI, tanto para clientes externos como
internos.
1.5 O foco da BB Tecnologia e Serviços são os processos e serviços sensíveis ou essenciais
ao negócio do Banco do Brasil para os quais ele prefira deter governança, mas cuja execução
realizada pela controlada BB Tenologia e Serviços seja mais eficiente para o Conglomerado BB.
Hoje estes negócios e produtos são aqueles apresentados na EC-BBTS 2017-2021, conforme
reproduzido abaixo.
Quadro 1.1: Negócios da BBTS com os seus respectivos produtos
NEGÓCIO DESCRIÇÃO DO NEGÓCIO PRODUTOS
Assistência
Técnica
Instalação e manutenção para terminais de
autoatendimento (TAA), impressoras e outros
equipamentos essenciais ao negócio, além de suporte
presencial aos usuários destes e do serviço de
sustentação a Data Center.
Instalação e Manutenção de
Equipamentos; e Suporte e
Atendimento onsite.
Monitoramento
de
Equipamentos
e Serviços
Monitoramento, em tempo integral, de TAAs e salas de
ambiência de autoatendimento, identificando
rapidamente inoperâncias e outros problemas. Nosso
suporte logístico inclui o acionamento de técnicos e o
acompanhamento de chamados.
Gestão de Mantenedores; e
Monitoramento de
Equipamentos.
Segurança
Eletrônica
Instalação e manutenção de sistemas especializados de
segurança bancária em agências e ambientes de
valores que incluem circuito fechado de TV, no-breaks,
portas giratórias detectoras de metais (PGDM), controle
de acessos, alarmes e softwares para gestão da
Instalação e Manutenção de
Equipamentos de Segurança;
e Suporte em soluções de
segurança.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 6 de 77
segurança.
Contact Center Com estrutura própria, o Contact Center atende mais de
4 milhões de chamados e realiza mais de um milhão de
operações de telecobrança por ano.
Suporte Técnico; e
Telemarketing.
Gerenciamento
de
Documentos e
Impressão
Execução de serviços de impressão de grande porte
com tratamento de arquivos, envelopamento,
acabamento, manuseio, auditagem e entrega de
documentos para o Banco do Brasil e empresas do
Conglomerado além dos serviços de Gestão Eletrônica
de Documentos (GED) por imagem digitalizada e
microfilmagem.
Gráfica e Serviços de
Impressão; e Gerenciamento
de Documentos.
Outsourcing
em Tecnologia
e Serviços
Um dos pilares de negócios da BBTS está nas soluções
de Outsourcing de Tecnologia e Serviços, oferecendo a
gestão completa em Business Process Outsourcing –
BPO, utilizando o que o mercado oferece de mais
moderno em Tecnologia da Informação e customizando
os negócios à necessidade de cada cliente.
Soluções de Conectividade;
Soluções em Terminais de
Autoatendimento;
Telecomunicações; Soluções
de Telefonia; e Soluções em
Impressão.
Suporte a
Negócios e
Serviços
Bancários
Oferecemos soluções completas que geram a eficiência
operacional necessária aos processos especializados
complementares ao negócio bancário, deixando o
cliente livre para trabalhar a estratégia e desenvolver
sua atividade principal.
Suporte a Operações de
Crédito; Abertura de Contas;
e Processamento de
Documentos e Numerário.
Soluções de TI
Atuamos permanentemente no desenvolvimento e
aperfeiçoamento de soluções de TI.
Os sistemas gerados recebem manutenção adaptativa e
preventiva, com medições e testes constantes para
garantir o melhor desempenho.
Fábrica de Software;
Infraestrutura de TI;
Mobilidade; e Suporte de
Software.
Fonte: Intranet BBTS – nov. 2016
1.6 Esta nova versão do PETI foi produzida alinhada à Estratégia Corporativa - EC-BBTS
2017-2021, como um anexo da mesma.
1.7 Quando da próxima revisão do Planejamento Estratégico Institucional, este PETI será
novamente revisado a fim de manter o seu alinhamento com a Estratégia Corporativa da BB
Tecnologia e Serviços.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 7 de 77
2 Metodologia de Trabalho
2.1 O PETI é tratado pelo COBIT e pela ISO 38.500 como um dos processos
fundamentais para a evolução da governança de TI na instituição. Fundamentalmente o PETI
visa o essencial alinhamento da estratégia de TI (sua orientação, seus objetivos, suas metas e
iniciativas de investimentos) com a estratégia de negócio corporativa.
2.2 Desta forma, o PETI contribui para que as gerencias executivas e de divisões das
áreas de negócio e as gerencias executivas e de divisões da área de TI atuem juntos para
garantir que a estratégia de TI suporte e amplie a estratégia do negócio.
2.3 Enfatiza-se assim que o PETI direcione as metas e objetivos de TI para atender e
ampliar os objetivos do negócio e as metas da organização, ou seja, o Planejamento Estratégico
da TI deve estar alinhado com a Estratégia Corporativa da Organização e não substituí-la no que
tange aos negócios de TI.
2.4 Utilizou-se, para a construção conjunta do PETI da BB Tecnologia e serviços a
metodologia Balanced Scorecard – BSC para TI. O BSC de TI é um sistema de gestão
estratégica e avaliação de desempenho da área de TI cujo principal diferencial é reconhecer que
os indicadores econômico-financeiros, por si só, não são suficientes para mostrar a realidade
atual e as tendências do desenvolvimento de uma empresa, pois não contemplam os "drivers"
de rentabilidade em longo prazo.
2.5 Assim, o modelo complementa as questões econômico-financeiras com questões
que direcionam o desempenho futuro, de forma a traduzir a missão e a visão num conjunto
abrangente de objetivos e metas estratégicas, com iniciativas e medidas de desempenho que
servem de base para avaliar a situação atual e construir o futuro desejado da TI.
2.6 Os principais benefícios para a BB Tecnologia e Serviços oriundos do PETI são:
a) Alinhamento com a estratégia da BB Tecnologia e Serviços com visão atual e de futuro;
b) Contribuição efetiva com a transformação da BB Tecnologia e Serviços , preparando a
empresa para melhorar a gestão e governança de TI num business que é altamente
dependente de TI.
2.7 Nesta revisão do PETI para o período 2017-2021 os principais desafios para sua
execução são:
a) Integrar a estratégia de TI ao dia-a-dia operacional da empresa;
b) Manter o PETI no centro das decisões de TI e da BB Tecnologia e Serviços;
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 8 de 77
c) Tornar a formulação e a implementação da estratégia de TI um processo contínuo de
evolução e aprendizagem;
d) Traduzir e evoluir a estratégia de TI em um conjunto de indicadores de desempenho para
medir a eficiência e a eficácia para geração de valor.
2.8 Nesta versão do PETI buscou-se concentrar o foco nos temas mais estruturais e
internos da TI, evitando referências diretas a resultados do negócio ITO ou a projetos específicos
de BPO, os quais serão tratados, respectivamente, na Estratégia Corporativa da empresa e no
PDTI. Desta forma, o PETI reúne uma série de objetivos internos da TI que evidenciam as
capacidades necessárias ao cumprimento da estratégia de negócios e indica as iniciativas de TI
que viabilizam esses objetivos.
2.9 Este plano tem validade de cinco anos, segue a NI 681 e deverá ser revisto
periodicamente, no mínimo uma vez por ano, e nas revisões da Estratégia Corporativa, de modo
a atualizar as diretrizes, objetivos, metas, iniciativas financeiras estratégicas e subsidiar a
proposta orçamentária de TI para o exercício seguinte, previsto no PDTI.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 9 de 77
3 Estrutura Organizacional de TI
3.1 A atual estrutura organizacional para a TI, refletida pela NI 025 pode ser representada
pelo organograma a seguir:
Quadro 3.1: Estrutura Organizacional DITEC
3.2 Esta estrutura é monitorada pela PRESI/GPO (Gerência de Planejamento
Organizacional) e Comitê de Administração (CADMI) da DITEC a fim de verificar se está
preparada e responde às expectativas da BB Tecnologia e Serviços e se ela tem a necessária
robustez e flexibilidade para responder aos desafios, objetivos e metas estratégicas que se
apresentam para o horizonte de cinco anos, proposto para este PETI.
Fonte: Intranet em 25.11.2016 (Institucional / Organograma e Centros de Custo / Organograma)
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 10 de 77
4 Referencial Estratégico
A BB Tecnologia e Serviços declara, em sua Estratégia Corporativa, sua Missão,
Visão e Valores, os quais orientam as decisões de TI e a atuação da DITEC. Além deles, no que
se refere particularmente à TI e à DITEC, são definidos um conjunto de direcionadores, tendo
em vista a responsabilidade da DITEC na gestão da TI corporativa, conforme a seguir:
4.1 Papel da TI
Ser o principal instrumento da BB Tecnologia e Serviços capaz de criar, desenvolver,
sustentar e aperfeiçoar processos tecnológicos para suportar as soluções de TI da BB Tecnologia
e Serviços oferecidas a seus clientes e usuários internos a fim de que percebam excelência nos
serviços internos de TI.
4.2 Objetivo Principal da TI
Garantir excelência na construção, integração, implantação, e manutenção dos
mecanismos que suportam soluções de TI para clientes internos da BB Tecnologia e Serviços.
4.3 Diretrizes Estratégicas da TI
Prover soluções de TI de excelência para os negócios e produtos da BB Tecnologia
e Serviços.
Contribuir com a criação de valor para a BB Tecnologia e Serviços por meio de
serviços de TI que otimizem recursos, gerenciem riscos e busquem benefícios.
Aprimorar o modelo de Governança Corporativa de TI na BB Tecnologia e Serviços.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 11 de 77
Fonte: BBTS/DITEC.
5 Mapa Estratégico
Pa
pe
l d
a T
I
Ser o principal instrumento da BB Tecnologia e Serviços capaz de criar, desenvolver, sustentar e
aperfeiçoar processos tecnológicos para suportar as soluções de TI da
BB Tecnologia e Serviços oferecidas a seus clientes e usuários internos a fim de que percebam excelência nos
serviços internos de TI.
Ob
jeti
vo
da T
I
Garantir excelência na construção, integração, implantação, e
manutenção dos mecanismos que suportam soluções de TI para
clientes internos da BB Tecnologia e Serviços.
Co
ntr
ibu
içã
o p
ara
o
Neg
óc
io
Ori
en
taç
ão
ao
Cli
en
te
Ex
ce
lên
cia
Op
era
cio
na
l
Ori
en
taç
ão
ao
Fu
turo
O1. Reduzir custos e riscos de TI
O2. Prestar Serviços de TI de acordo com as
necessidades dos negócios
O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e
usuários
O4. Aprimorar os processos operacionais da Gestão de
TI
O5. Evoluir a maturidade dos mecanismos da
Governança de TI
O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia
corporativa
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 12 de 77
6 Objetivos, Indicadores, Metas e Sinalizadores
6.1 Perspectiva Contribuição para o Negócio
Objetivo O1
1. Reduzir custos e riscos de TI.
Descrição: Disponibilizar a informação para todas as partes interessadas, ajudando a empresa
a conduzir suas ações gerenciais e a gerar valor para o negócio. Como ganho secundário, a
transparência também colabora com o aumento do clima de confiança estabelecido entre a
DITEC e os seus clientes.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.1.1 abaixo, por meio da disponibilização de informações de TI que
possam ser úteis para as partes interessadas, contribuindo para o apoio à decisão e para o
melhor direcionamento do negócio, possibilitando gerar resultado sustentável e entrega de
produtos e serviços socioambientais responsáveis.
Quadro 6.1.1 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Contribuição para o Negócio
O1- Reduzir custos e riscos de TI
Resultado
OE1. Gerar resultado sustentável P
OE2. Expandir o faturamento da empresa S
OE3. Melhorar a eficiência operacional S
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência S
OE5. Elevar o nível de qualidade e eficiência dos processos S
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
S
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida.
P
OE8. Fortalecer as competências técnicas e gerenciais N/A
OE9. Elevar a satisfação dos funcionários no trabalho N/A
LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 13 de 77
Indicadores:
BSC de TI Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S)
Meta 2017
Contribuição para o negócio
– Resultado
O1. Reduzir custos e riscos de TI
I1- Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento
da aquisição. I1 80%
I2- Percentual de projetos de TI que explicitam riscos de TI.
I2 70%
S1- Custo de manutenção das aplicações de TI em função do custo administrativo total de TI.
S1 -
S2- Quantidade de projetos aprovados na ferramenta vigente que tiveram parecer da área de TI em relação a custo.
S2 -
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
6.2 Perspectiva Orientação ao Cliente
Objetivo O2
2. Prestar Serviços de TI de acordo com as necessidades dos
negócios.
Descrição: Prover serviços de TI orientados ao negócio, ajudando a empresa a atingir os seus
objetivos, com prazos e custos dentro de um limite admissível.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.2.1 abaixo, por meio da entrega de produtos e serviços de negócios com
excelência para possibilitar a percepção pelo Banco do Brasil e entidades ligadas da BB
Tecnologia e Serviços como parceiro estratégico.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 14 de 77
Quadro 6.2.1 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Orientação ao Cliente
O2. Prestar Serviços de TI de acordo com as necessidades dos negócios
Resultado
OE1. Gerar resultado sustentável S
OE2. Expandir o faturamento da empresa S
OE3. Melhorar a eficiência operacional S
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência P
OE5. Elevar o nível de qualidade e eficiência dos processos N/A
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
S
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida S
OE8. Fortalecer as competências técnicas e gerenciais S
OE9. Elevar a satisfação dos funcionários no trabalho N/A
LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.
Indicadores:
BSC de TI Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S)
Meta 2017
Orientação ao Cliente –
Experiência do Cliente
O2. Prestar Serviços de
TI de acordo com as necessidades dos
negócios
I3- Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.
I3 70%
I4- Disponibilidade da Infraestrutura de TI. I4 99,74%
I5- Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.
I5 80%
I7-Nível de satisfação dos usuários, em relação à
qualidade das soluções disponibilizadas pela área de
TI I7 80%
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 15 de 77
Objetivo O3
3. Entregar Soluções de TI conforme expectativas de benefícios aos
clientes e usuários.
Descrição: Entregar soluções de TI no prazo preestabelecido, permitindo ótima relação custo x
benefício a fim de atender as expectativas dos clientes e usuários de TI.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.2.2 abaixo, por meio da entrega de produtos e serviços de negócios com
excelência a fim de expandir o faturamento e melhorar a eficiência operacional da BBTS.
Quadro 6.2.2 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Orientação ao Cliente
O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e usuários
Resultado
OE1. Gerar resultado sustentável S
OE2. Expandir o faturamento da empresa P
OE3. Melhorar a eficiência operacional P
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência P
OE5. Elevar o nível de qualidade e eficiência dos processos N/A
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
N/A
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida S
OE8. Fortalecer as competências técnicas e gerenciais S
OE9. Elevar a satisfação dos funcionários no trabalho N/A
LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 16 de 77
Indicadores:
Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S)
Meta 2017
Orientação ao Cliente -
Resultado
O3. Entregar Soluções de TI conforme expectativas de
benefícios aos clientes e usuários
I6- Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS.
I6 80%
S3- Tempo médio (minutos) para atender a incidentes de TI.
S3 -
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
6.3 Perspectiva Excelência Operacional
Objetivo O4
4. Aprimorar os processos operacionais da Gestão de TI.
Descrição: Assegurar que os processos internos de TI estejam em conformidade com as
orientações do Planejamento Estratégico da Empresa, com as orientações dos Órgãos
Reguladores Externos, da Auditoria Interna e da Gerência de Controles Internos.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.3.1 abaixo, por meio da busca em elevar o nível de qualidade e eficiência
operacional dos processos de TI.
Quadro 6.3.1 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Orientação ao Cliente
O4. Aprimorar os processos operacionais de Gestão de TI
Resultado
OE1. Gerar resultado sustentável S
OE2. Expandir o faturamento da empresa S
OE3. Melhorar a eficiência operacional P
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência S
OE5. Elevar o nível de qualidade e eficiência dos processos P
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
S
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida S
OE8. Fortalecer as competências técnicas e gerenciais S
OE9. Elevar a satisfação dos funcionários no trabalho S
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 17 de 77
LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.
Indicador(es):
BSC de TI Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S)
Meta 2017
Excelência Operacional -
Experiência do Cliente
O4. Aprimorar os processos
operacionais de Gestão de TI
I8- Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de
sistemas da BBTS. I8 75%
I9- Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.
I9 18hrs
S4- Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por
infraestrutura e aplicações de TI. S4 -
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
Objetivo O5
5. Evoluir a maturidade dos mecanismos da Governança de TI.
Descrição: Melhorar os níveis de maturidade em governança de TI com foco em gerência de
projetos de TI, desenvolvimento de softwares, segurança da informação, operação, suporte e
continuidade do negócio.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.3.2 abaixo, por meio da entrega de produtos e serviços socioambientais
responsáveis com evolução do nível de qualidade e eficiência dos processos de TI.
Quadro 6.3.2 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Orientação ao Cliente
O5. Evoluir a maturidade dos mecanismos da Governança de TI
Resultado
OE1. Gerar resultado sustentável S
OE2. Expandir o faturamento da empresa S
OE3. Melhorar a eficiência operacional S
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência S
OE5. Elevar o nível de qualidade e eficiência dos processos P
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
P
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida P
OE8. Fortalecer as competências técnicas e gerenciais S
OE9. Elevar a satisfação dos funcionários no trabalho S
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 18 de 77
LEGENDA: P - Primário; S - Secundário; N/A – Não se aplica.
Indicador(es):
BSC de TI Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S) Meta 2017
Excelência Operacional – Experiência do
Cliente
O5. Evoluir a maturidade dos mecanismos da
Governança de TI
I10- Maturidade dos Processos de TI do iGovTI 2016.
I10 97%
I11- Maturidade da Segurança da Informação. I11 Nivel5 22,5%
S5- Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.
S5 -
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
6.4 Perspectiva Orientação ao Futuro
Objetivo O6
6. Desenvolver competências técnicas e gerenciais para a realização
da estratégia corporativa.
Descrição: Capacitar à equipe por meio de treinamento e certificação, buscando a valorização
profissional, motivação, comprometimento e relacionamento pessoal, assim como os usuários
envolvidos nos processos de tecnologia.
Alinhamento Estratégico:
Este objetivo de TI viabiliza o atendimento dos objetivos estratégicos da EC-BBTS 2017-2021
constantes no quadro 6.4.1 abaixo, por meio do Fortalecimento das competências técnicas e
gerenciais e da elevação da satisfação dos funcionários no trabalho, promovendo inovação nos
negócios, processos, produtos e serviços da empresa.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 19 de 77
Quadro 6.4.1 – Relacionamento entre os Objetivos Estratégicos da EC-BBTS 2017-2021 e os Objetivos de TI
PERSPECTIVAS
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Orientação ao Futuro
O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa
Resultado
OE1. Gerar resultado sustentável S
OE2. Expandir o faturamento da empresa S
OE3. Melhorar a eficiência operacional S
Experiência do Cliente
OE4. Entregar produtos e serviços com excelência S
OE5. Elevar o nível de qualidade e eficiência dos processos P
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
P
Clima Organizacional
OE7. Impactar positivamente a comunidade onde a BBTS está inserida
S
OE8. Fortalecer as competências técnicas e gerenciais P
OE9. Elevar a satisfação dos funcionários no trabalho P
Indicador(es):
BSC de TI Objetivos de TI da
BBTS Indicadores (I) e Sinalizadores (S)
Meta 2017
Orientação ao Futuro – Clima Organizacional
O6. Desenvolver competências
técnicas e gerenciais para a
realização da estratégia
corporativa
I12- Nível de satisfação dos funcionários da DITEC com as atividades que desempenham na área de TI.
I12 70%
I13- Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano
de capacitação formalizado. I13 80%
S6- Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.
S6 -
Nos anexos 12.2 e 12.3 estão os detalhes dos atributos dos indicadores e sinalizadores.
Para o sinalizador (S6) “Número de iniciativas aprovadas resultantes de ideias
inovadoras propostas pela área de TI”, dedicamos o capítulo 7 abaixo para explorar iniciativas
de inovações como desafios estratégicos para a DITEC.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 20 de 77
7 Desafios Estratégicos e Inovações
7.1 Historicamente o sucesso com a exploração de novas ideias sempre proporcionou
oportunidades para que a empresa inovadora se destaque no seu mercado de atuação, obtendo
maior visibilidade e tornando-se única e superior aos seus principais concorrentes. Dessa forma,
a empresa cria um diferencial competitivo e oferece aos seus clientes vantagens e benefícios
que o mercado ainda não havia conseguido disponibilizar.
7.2 Na prestação de serviços em tecnologia da informação, mesmo que considerado em
um nível de maturidade satisfatório, novos desafios estratégicos e de inovações devem ser
lançados. Assim, como proposta de evolução, deve ser estudada a possibilidade de
implementação de novos recursos e soluções de TI que possam auxiliar ainda mais na
alavancagem dos negócios da BB Tecnologia e Serviços.
7.3 O Quadro 7.1 abaixo relaciona um conjunto sugerido de desafios de inovação, para
os quais a DITEC poderá realizar conforme seu apetite de inovação e capacidade produtiva
estudos de viabilidade, considerando aspectos técnicos (incluindo a análise de riscos),
funcionais, operacionais, geográficos, econômicos, financeiros, temporais, jurídicos, de
segurança da informação e de responsabilidade social, cujo produto entregue será um
documento que sintetizará as possíveis soluções cabíveis no cenário da BBTS para possível
execução via futuros PDTI.
Id Assunto Conceito Algumas utilidades Alguns riscos
1 BI - Business Intelligence
Refere-se ao processo de coleta, organização, análise, compartilhamento e monitoramento de informações que são utilizadas como orientação para auxiliar na gestão de negócio. Transforma dados brutos de origens variadas em informações úteis para tomadas de decisões.
Base para tomada de decisões. Ajuda a conhecer os processos de informações; ajuda a controlar as receitas e despesas; proporciona maior rapidez na análise de informações; ajuda a planejar e simular com maior segurança; proporciona maior velocidade na análise de informações; e retorno rápido do investimento.
Barreira cultural; falta de visão estratégica; inexistência ou má qualidade dos dados; centralização da solução; escolha incorreta da ferramenta; e vazamento de informações sensíveis.
2 Big Data
“Definido genericamente como a captura, gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. (SIEWERT, 2013)
Base para tomada de decisões. Grandes volumes de dados podem ser tratados mais rapidamente, permitindo que informações possam ser encontradas, analisadas e utilizadas, de acordo com a demanda; ajuda a identificar tendências de fraudes em operações financeiras; ajuda a identificar o público alvo; ajuda no direcionamento de produtos e serviços; e auxilia na resolução de problemas e na implementação de melhorias.
Violação das leis de privacidade, através de acessos não autorizados às mídias sociais. Compartilhamento de fotos, e-mails e pesquisas em buscadores, por exemplo, permitem a geração de dados sobre o perfil do usuário na Internet.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 21 de 77
3
BYOD (Bring Your Own Device - traga seu próprio dispositivo) e variações
Utilização de dispositivos pessoais no ambiente de trabalho.
Aumento da produtividade com mobilidade. Para os funcionários que trabalham em trânsito e que utilizam o seu próprio equipamento, é observada uma significativa redução de custos.
Perda de controle de hardware software e de suas atualizações; vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; dificuldade para recuperação de informações quando o funcionário se desliga da empresa e o equipamento é próprio; infecção por vírus; e aplicativos maliciosos. Também ficar atento para as questões de RH, como por exemplo, a discussão de horas extras e sobreaviso.
4
Computação em Nuvem (Cloud computing)
“um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. (NIST, 2011)
IaaS: Infrastructure as a Service ou Infraestrutura como Serviço - quando se utiliza uma percentagem de um servidor, geralmente com configuração que se adeque às necessidades do cliente (nuvem da Softlayer, Locaweb, Amazon); PaaS: Platform as a Service ou Plataforma como Serviço - utilização de apenas uma plataforma, como um banco de dados ou um web-service (nuvem da Microsoft Azure); SaaS: Software as a Service ou Software como Serviço - uso de um software em regime de utilização web (nuvem Google Docs , nuvem Microsoft SharePoint Online); outros tipos: DevaaS, CaaS, EaaS, DBaas. Existem as opções de nuvem pública, híbrida e privada.
Desafios de conformidade; perda de reputação da empresa; intrusão maliciosa ou papéis com altos privilégios de acesso; intimação; encerramento do serviço do provedor (CSP); aquisição do CSP por um concorrente; exaustão de recursos; interceptação de dados; perda de dados; mudanças de jurisdição do PSC com requisitos legais diferentes; falha nas condições de licenciamento; roubo de equipamentos nas instalações do CSP e desastres naturais.
5 Data Mining
Agregação e organização de dados que permitem encontrar padrões, associações, mudanças e anomalias consideradas relevantes para o negócio.
Descoberta de associações (exemplo: cervejas e fraldas); classificação (exemplo: clientes adimplentes e inadimplentes); regressão (exemplo: predição do risco de determinados investimentos); agrupamento ou clusterização (exemplo: agrupar clientes com comportamento de contas-correntes similares); sumarização; detecção de desvios (exemplo: comportamento do cliente no cartão de crédito); descoberta de sequências; e previsão de séries temporais.
Vazamento das informações obtidas após a aplicação da técnica.
6 Gamefication
Gamification é a estratégia de interação entre pessoas e empresas com base no oferecimento de incentivos que estimulem o engajamento do público com as marcas de maneira lúdica.
Melhorar o marketing da Empresa e clientes através do desenvolvimento de aplicativos gamificados, ou seja, um programa de recompensas para os clientes que realizarem tarefas relacionadas a recomendação, divulgação ou capitação de novos clientes.
A sazonalidade do uso de gamificação ou até mesmo a saturação do conceito, visto que existem muitas empresas querendo adicionar conceitos de gamification em suas plataformas de contato com os clientes.
7 GEO processing
Tratamento das informações geográficas ou de dados georreferenciados, através de softwares.
Sensoriamento remoto - SR (exemplo: obtenção de imagens e outros dados da superfície terrestre); sistema de informação geográfica - SIG (exemplo: estudo de mapas); e sistema de posicionamento global - GPS (exemplo: localização através das coordenadas longitude, latitude e altitude).
Ações realizadas a partir de informações erradas.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 22 de 77
8 Home Office (Tele-trabalho)
Trata-se de um tipo de trabalho realizado em um local que se encontra afastado da empresa e que se caracteriza pela separação física e por uma tecnologia que possa sustentar a comunicação entre as partes envolvidas em uma determinada atividade.
Aumento de produtividade. Empresa: redução de custos fixos; redução do absenteísmo; redução de custos de acidente de trabalho; contratação de colaboradores em locais distantes, sem custos adicionais e podendo ampliar o raio de operações; e a empresa passa a ser percebida pela sociedade como uma empresa inovadora. Trabalhador: horário flexível; aumento da motivação e da satisfação com o emprego; nítida percepção na melhoria de qualidade de vida; fortalecimento das relações familiares; melhor equilíbrio físico e mental, melhorando a saúde; redução dos custos pessoais. Sociedade e meio ambiente: diminuição do trânsito; redução do nível de poluição; desaquecimento global; aumento da oportunidade de trabalho para as pessoas com dificuldade de locomoção.
Defeitos nos equipamentos do trabalhador; falta de disponibilidade do link de comunicação; falta de controle da duração do serviço; efeito rebote, com o uso dos recursos por outros integrantes da família e elevação do consumo de energia; esgotamento cognitivo devido ao aumento do fluxo de informações; e síndrome da fadiga visual.
9 IoT (Internet of Things)
Conectar à Internet os recursos que são utilizados no dia a dia.
Conectar o mundo físico ao mundo digital. Design e marketing de produto (exemplo: utilização de sensores para informar onde, quando e como um produto é utilizado).
Ataques contra dispositivos inteligentes; e questões legais.
10
Li-FI - Light-Fi (previsão de mercado 2018-2021)
Li-Fi, do inglês Light Fidelity, refere-se a sistemas de comunicação que empregam a luz LED para transmitir em alta velocidade, sendo apontado como uma especie de evolução do Wi-Fi.
A pesquisar. A pesquisar.
11
Métodos ágeis, Manager 3.0 e Design Thinking
Métodos ágeis trata-se de um framework para desenvolvimento de software que tenta minimizar o risco através curtos períodos ou ciclos de desenvolvimento que entregam valor ao criar versões incrementais do software que realmente funcionam (MVP). Design Thinking trata-se de um framework para abordar problemas que utiliza análise de conhecimento, aquisição de informações e proposta de soluções.
Usar o desenvolvimento ágil em projetos complexos onde, apesar do tamanho, entende-se (ou dispõe-se de alguém que entenda) o que deve ser construído, ganhando-se em produtividade. Por outro lado, o design thinking deve ser utilizado quando não se conhece o que deve ser feito e uma solução deve ser proposta, de preferência quando a inovação é desejada.
Adaptação da equipe com novo processo de desenvolvimento, o que pode ser minimizado com treinamentos. Quanto ao uso de Design Thinking, assim como todo projeto de P&D, existem riscos de o projeto mostrar-se inviável ao final e os custos da pesquisa serem realizados. Esse é o ônus de toda pesquisa.
12 Midias sociais Espaços virtuais de interação entre pessoas.
As interações nesses espaços passaram a influenciar bastante a decisão de compra dos consumidores, fato que acabou despertando o interesse das organizações e consequentemente fazendo com que elas passassem a considerar as mídias sociais presentes na Internet nas suas estratégias de negócio.
Vazamento de informação; furto de identidade; dano a imagem ou a reputação da empresa; perda de dados; e perda de capacidade operacional.
13
Mobile Computing (Computação Móvel)
Sistemas computacionais que possuem como característica a
total mobilidade do usuário. Pode-se acessar a informação de
qualquer lugar e a qualquer momento.
Aumento da produtividade com mobilidade. Acesso à informação de qualquer lugar e a qualquer momento; comodidade; necessidade; criação de novas soluções; redução de custos; e otimização do tempo.
Vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; infecção por vírus; e aplicativos maliciosos.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 23 de 77
14 MultiBiometria
Conjunto de métricas do corpo, medidas que se transcrevem em assinaturas biológicas, que associadas a outras, se tornam por composição em chave única na identificação de indivíduos, ou o seu perfil biométrico (face + íris + voz).
Métodos de autenticação - Em substituição aos métodos convencionais (senhas, tokens, cartões magnéticos ou com 'chip'. Reconhecimento de suspeitos - Em sistemas de vigilância em vídeo, é possível a identificação de 'suspeitos' mediante aplicação de regras de reconhecimento de indivíduos. Exemplo, indivíduo não identificado (não-correntista) faz visitas sistemáticas em horários suspeitos às instalações do BB. Atendimento personalizado - Em substituição ao método atual, onde ocorre uma pre-identificação do cliente em totem na entrada da agência. Poderia ser uma câmera de reconhecimento facial logo após a porta magnética, indicando ao gerente a presença do cliente na agência. Prova de vida - Em substituição às visitas obrigatórias de clientes à agências, através do uso de soluções biométricas via web ou app o cliente poderia realizar prova de vida à distância, por face + alguma outra biometria (íris ou voz).
Spoofing - algumas soluções ainda são carentes de mecanismos de excelência na detecção de fraudes, no reconhecimento facial, não há garantias de anti-spoofing para imagens impressas de alta definição (4K). Porém, este risco é dirimido quando adotada a utilização de segunda biometria na composição de um score biométrico composto. Jurídico - Por falta de precedentes, as soluções que envolvem uso de biometria, podem ser alvo de especulações de ordem jurídica, como por exemplo, violação de privacidade ou mesmo falsidade ideológica.
15 Shadow IT
Consumo de aplicações e
recursos de tecnologia sem o
conhecimento do departamento
de TI.
Área de Negócios: Agilidade e independência da área de TI. Área de TI: CIO se posicionar de forma estratégica, investindo na criatividade e estimulando a inovação.
Perda de controle. Crescimento significativo de tecnologias de consumo relacionadas com a computação em nuvem (cloud); segundo o Gartner, 35% das despesas empresariais com TI ultrapassarão o orçamento da área de TI já em 2015 (há 10 anos eram 10%); demanda represada proporcionando novos aplicativos desenvolvidos fora da área de TI; utilização de tecnologia não aprovada pela área de TI; serviços desintegrados; e vulnerabilidades relacionadas com a segurança da informação.
Quadro 7.1 – Desafios Estratégicos e Inovações de TI.
7.4 A constante evolução da tecnologia vem alterando a forma como nos comunicamos,
permitindo um ambiente de troca de informações mais fluido e dinâmico, capaz de compartilhar
a informação de maneira mais rápida e intuitiva. A implementação de um ambiente colaborativo,
por meio da utilização de várias ferramentas que conversam entre si de maneira transparente
para o usuário, facilita ao colaborador, e a empresa por sua extensão, captar e divulgar ideias,
solucionar problemas e atender demandas de maneira rápida e funcional. A criação de um
ambiente colaborativo requer um novo paradigma que integre ferramentas antigas, como e-mail
e telefone, com "novas" ferramentas como wikis, blogs, ferramentas de mensagens instantâneas
e recursos de áudio e video-conferência, dentre outras. A criação de um ambiente colaborativo
na BB Tecnologia e Serviços deverá ser planejada de forma a implementar adequadamente cada
ferramenta, indicando como cada uma se integra com as demais e como melhor tirar proveito
desse conjunto.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 24 de 77
8 Investimentos Orçados
8.1 A fim de viabilizar a implementação dos objetivos de TI associados aos objetivos
estratégicos foram orçados para a DITEC e submetidos para a aprovação os investimentos fixos
para ativos de informática em 2017, apresentados na tabela 8.1 abaixo.
Diretoria Demandante
Descrição
Verba
Orçamentária
Descrição do
Investimento Necessidade/Motivo 2017
DITEC Equip. Proc. Dados Outsorcing Telefonia Ampliação de negócios
(12.310)
DITEC Equip. Proc. Dados Investimento Data Center Ampliação de negócios
(5.000)
DITEC Equip. Proc. Dados Modernização de rede Substituição de equipamentos antigos
(1.000)
DITEC Equip. Proc. Dados Atualização
microinformatica
Modernização/ampliação de parque
de equipamentos
(635)
DITEC Equip. Proc. Dados Servidores Locais Substituição de equipamentos antigos
(300)
DITEC Equip. Proc. Dados Videoconferencia Ampliação de rede vedeoconferencia
(200)
TOTAL
(19.445)
Tabela 8.1 – Investimentos Orçados 2017-2018 (Valores em milhares de Reais).
Pela primeira vez, o PETI 2017 - 2021 está sendo submetido para aprovação à DIREX e ao
CONAD em conjunto com a Estratégia Corporativa, com o orçamento também em aprovação.
8.2 O orçamento de custos e despesas serão tratados no Plano Diretor de TI - PDTI.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 25 de 77
9 Riscos de TI
9.1 O processo de Gestão de Riscos de TI da BB Tecnologia e Serviços deve
estar alinhado ao planejamento estratégico da empresa, Política de Gestão de Riscos, à
Política de Segurança da Informação e as recomendações do Banco do Brasil e Órgãos
Reguladores.
9.2 A Gestão de Riscos de TI não está limitada ao escopo das ações de
segurança da informação, as quais se restringem às medidas de proteção dos ativos de
informação, independentemente do meio ou da tecnologia utilizados.
9.3 O termo Risco é utilizado para designar o resultado objetivo da combinação
entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que
independa da vontade humana, e o impacto resultante caso ele ocorra.
9.4 O Risco Operacional relacionado a TI é a possibilidade de perdas resultantes
de falha, deficiência ou inadequação de Sistemas. São fatores abrangentes de falhas,
deficiências ou inadequação dos sistemas da BBTS: Hardware; Software; Rede de
comunicação; Segurança lógica; Análise e Programação. São categoria de eventos de
Risco Operacional em TI: Fraudes Internas; Fraudes e Roubos Externos; Problemas
Trabalhistas; Falhas nos Negócios; Danos ao Patrimônio Físico; Interrupção das
Atividades; Falhas de Sistemas e Falhas em Processos.
9.5 O processo de gestão de riscos de TI segue as normas NI 629 (Gestão de
Risco em Segurança da Informação), NI 904 (Política de Gestão de Risco) e NI905
(Gestão de Risco Operacional).
9.6 Os riscos identificados para a DITEC estão relacionados no anexo 12.4
(Maturidade da Segurança da Informação na DITEC), 12.5 (Matriz de Risco Operacional
de TI) e 12.6 (Matriz de Risco de Segurança da Informação) e identificados nas Matrizes
de Risco Operacional e Plano de Continuidade de Negócios (PCN) de cada gerencia
executiva da diretoria acompanhada pela GCI (área de controles internos).
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 26 de 77
10 Fatores Críticos de Sucesso
10.1 Os fatores críticos de sucesso traduzem as principais variáveis relacionadas ao
sucesso da execução do PETI da BB Tecnologia e Serviços, que se não presentes, ou não
suficientemente trabalhadas podem trazer dificuldades no alcance dos desafios e objetivos a
serem alcançados.
10.2 Para execução deste PETI 2017-2021, considera-se os seguintes fatores críticos de
sucesso:
a) Patrocínio da Alta Direção – Necessário o envolvimento da Alta Direção no
acompanhamento da execução do PETI.
b) Orçamento – Compatível com as necessidades de infraestrutura e recursos necessários
a execução do PETI.
c) Priorização de projetos – Tem por objetivo o foco no desenvolvimento de projetos
prioritários em razão dos recursos disponíveis.
d) Controle e acompanhamento – Suprir a organização com informações gerenciais
corporativas sistematizadas para controle e acompanhamento eficiente dos planos de
ação e indicadores de desempenho do PETI.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 27 de 77
11 Considerações Finais
11.1 Mesmo compreendendo os conceitos, as decisões e as escolhas que resultaram
neste PETI da BB Tecnologia e Serviços, não se deve perder nunca de vista que se trata de uma
estrutura cognitiva para entender, simplificar e explicar a percepção da realidade atual e a
concepção ou imaginação sobre a realidade futura, e com isso facilitar a ação coordenada,
necessária à execução do PETI que foi construído de forma colaborativa.
11.2 A realidade e sua percepção têm seu próprio dinamismo e estão sempre em evolução.
Por um lado, a execução do PETI exige foco para realizar aquilo que foi decidido, e por outro,
exige visão periférica e percepção aguçada, para não deixar de olhar ao redor e se adaptar às
susceptibilidades do contexto e do ambiente.
11.3 Ser guardião da própria identidade institucional da BB Tecnologia e Serviços
continuará exigindo estar atento à missão, visão, valores, desafios e objetivos que constituem a
estratégia de TI materializada neste PETI.
11.4 Todos os envolvidos com a construção desta quarta revisão deste PETI, baseado
nos novos rumos que a empresa está visando, e nas expectativas de seus dirigentes, têm
convicção de que este trabalho simboliza e significa a manutenção de uma jornada para a criação
do futuro almejado, e de um fórum permanente de pensar e agir que possibilitará a BB Tecnologia
e Serviços ser cada vez mais competitiva e eficiente para ajudar nossos clientes e usuários a
obterem melhores resultados, entregando-lhes produtos e serviços de TI de alto valor agregado.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 28 de 77
12 Anexos
12.1 Alinhamento Estratégico (EC-BBTS 2017-2021 x PETI 2017-2021)
PE
RS
PE
CT
IVA
S
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE TI
Contribuição para o
Negócio Orientação ao Cliente Excelência Operacional
Orientação ao Futuro
O1- Reduzir custos e
riscos de TI
O2. Prestar Serviços de TI de acordo
com as necessidades dos negócios
O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e
usuários
O4. Aprimorar os processos operacionais de Gestão de
TI
O5. Evoluir a
maturidade dos
mecanismos da
Governança de TI
O6. Desenvolve
r competências técnicas e gerenciais
para a realização
da estratégia
corporativa
Resu
lta
do
OE1. Gerar resultado sustentável
P S S S S S
OE2. Expandir faturamento da empresa
S S P S S S
OE3. Melhorar a eficiência operacional
S S P P S S
Exp
eriê
ncia
do
Clie
nte
OE4. Entregar produtos e serviços com excelência
S P P S S S
OE5. Elevar o nível de qualidade e eficiência dos processos
S N/A N/A P P P
OE6. Promover inovação nos negócios, processos, produtos e serviços da empresa
S S N/A S P P
Clim
a O
rga
niz
acio
na
l
OE7. Impactar positivamente a comunidade onde a BBTS está inserida
P S S S P S
OE8. Fortalecer as competências técnicas e gerenciais
N/A S S S S P
OE9. Elevar a satisfação dos funcionários no trabalho
N/A N/A N/A S S P
LEGENDA: P - Primário; S – Secundário; N/A – Não se
aplica
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 29 de 77
12.2 Indicadores
I1 - Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento da aquisição.
Contribuição para o negócio – Resultado
Nome do Indicador I1
Percentual de serviços de TI contratados de acordo com os processos de “make or buy” e de planejamento da aquisição.
Definição Este indicador verifica se o processo de planejamento de aquisição de serviços ou produtos de TI foram realizados de acordo com a NI640 (Make or Buy) e NI 642 e respectivos PRO e FQ.
Objetivo Estratégico de TI O1. Reduzir custos e riscos de TI
Alinhamento estratégico
OE1. Gerar resultado sustentável; OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência
Fórmula de cálculo
Quantidade total de serviços de TI contratados e renovados pela DITEC/Gerência no período, de acordo com a NI640 e NI642 (AP) DIVIDIDO pela quantidade total de serviços de TI contratados e renovados pela DITEC/Gerência no período (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
I1 = 𝐴𝑃
𝑇𝑇 x100
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Anual (com visões trimestrais)
Responsável pela disponibilização do dado
Sintético: DIFIS/GLC; analítico: DITEC/GPG, DITEC/GTI, DITEC/PET, DITEC/GDM
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado
2012 2013 2014 2015 2016
- - n/a
90% na GPG
n/a nas demais
73,14%
Proposta de Meta
2017 80%
2018 82%
2021 85%
2020 87%
2021 90%
Obs: 2016 - Dados obtidos até outubro
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 30 de 77
I2 - Percentual de projetos de TI que explicitam riscos de TI
Contribuição para o negócio – Resultado
Nome do Indicador I2 Percentual de projetos de TI que explicitam riscos de TI
Definição Este indicador avalia a quantidade de projetos de TI que estão sendo realizados e que consideraram o Plano de Gerenciamento do Riscos de Projetos de TI (FQ635-006).
Objetivo Estratégico de TI O1. Reduzir custos e riscos de TI
Alinhamento estratégico
OE1. Gerar resultado sustentável; OE5. Impactar positivamente a comunidade onde a BBTS está inserida OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa
Fórmula de cálculo
Quantidade total de projetos de TI da DITEC/Gerência que estão sendo realizados ou encerrados no período e que consideraram os riscos de TI
FQ635-006 (AP) DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência que estão sendo realizados ou encerrados no período (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
I2 = 𝐴𝑃
𝑇𝑇 x100
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Trimestral
Responsável pela disponibilização do dado
DITEC/GDM, DITEC/GPG, DITEC/GTI, DITEC/PET
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a 27,40%
Proposta de Meta
2017 70%
2018 72,5%
2021 75%
2020 77,5%
2021 80%
Obs: 2016 - Dados obtidos até setembro/2016
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 31 de 77
I3- Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.
Orientação ao Cliente – Experiência do Cliente
Nome do Indicador I3 Nível de satisfação gerencial em relação à transparência das informações fornecidas pela DITEC.
Definição
Este indicador é obtido através de uma pesquisa de satisfação que deverá ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Respondido apenas por gerentes executivos e de divisão.
Objetivo Estratégico de TI O2. Prestar Serviços de TI de acordo com as necessidades dos negócios
Alinhamento estratégico OE1. Gerar resultado sustentável; e OE5. Impactar positivamente a comunidade onde a BBTS está inserida
Fórmula de cálculo
Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questoes A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
Unidade de medida Percentual (%)
Critérios de acompanhamento Pesquisa semestral
Polaridade Positiva (Quanto maior o percentual, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a 63,00%
Proposta de Meta
2017 70%
2018 72,5%
2021 75%
2020 77,5%
2021 80%
Obs: 2016 - Dados obtidos até junho
I3 (𝑝𝑟𝑎𝑧𝑜 "𝑃") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I3 (𝐶𝑢𝑠𝑡𝑜 "𝐶") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I3 (𝑅𝑖𝑠𝑐𝑜 "𝑅") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I3 = 𝑃+𝐶+𝑅
3
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 32 de 77
I4 - Disponibilidade da Infraestrutura de TI
Orientação ao Cliente – Experiência do Cliente
Nome do Indicador I4 Disponibilidade da Infraestrutura de TI
Definição Este indicador verifica a disponibilidade da infraestrutura de TI para os sistemas de apoio a gestão e apoio a negócios definidos como críticos na TAB630-003.
Objetivo Estratégico de TI O2. Prestar Serviços de TI de acordo com as necessidades dos negócios
Alinhamento estratégico OE4. Entregar produtos e serviços com excelência
Fórmula de cálculo Soma do percentual total de disponibilidade máxima dos sistemas críticos da TAB630-003 (AP), DIVIDIDO pela soma do percentual total de disponibilidade dos sistemas críticos da TAB630-003 apurado pelo sistema GDD no período (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no mês
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Mensal
Responsável pela disponibilização do dado
DITEC/GTI- SISTEMA DE GESTÃO DE TI
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
n/a 98,53% 99,70% 99,94% 99,63%
Proposta de Meta
2017 99,74% (~23hrs/ano de indisponibilidade)
2018 99,75%
2021 99,76%
2020 99,77%
2021 99,78%
Obs: 2016 - Dados obtidos até outubro
I4 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 33 de 77
I5- Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.
Orientação ao Cliente – Experiência do Cliente
Nome do Indicador I5 Nível de satisfação gerencial com a capacidade de atendimento de TI para novas necessidades.
Definição
Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Respondido apenas por Gerentes Executivos.
Objetivo Estratégico de TI O2. O2. Prestar Serviços de TI de acordo com as necessidades dos negócios
Alinhamento estratégico OE4. Entregar produtos e serviços com excelência
Fórmula de cálculo
Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questões A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.
NOTA: Informar a quantidade de possíveis respondentes para a qual foi enviada a pesquisa.
Representação da fórmula de apuração
Representação da fórmula de consolidação
Unidade de medida Percentual (%)
Critérios de acompanhamento Pesquisa semestral
Polaridade Positiva (Quanto maior o percentual, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - - 93,18
Proposta de Meta
2017 80%
2018 81%
2021 82%
2020 83%
2021 84%
Obs: 2016 – Dados obtidos até junho
I5 (𝑁𝑜𝑣𝑎𝑠 𝐷𝑒𝑚𝑎𝑛𝑑𝑎𝑠 "𝑁") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I5 (𝐶𝑜𝑟𝑟𝑒çõ𝑒𝑠 𝑑𝑒 𝑒𝑟𝑟𝑜𝑠 "𝐶") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5I x100
I5 (𝑆𝑢𝑝𝑜𝑟𝑡𝑒 "𝑆") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I5 (𝐶𝑜𝑛𝑠𝑢𝑙𝑡𝑎𝑠 "𝐶𝑂") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I5 = 𝑁+𝐶+𝑆+𝐶𝑂
4
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 34 de 77
I6 - Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS
Orientação ao Cliente – Experiência do Cliente
Nome do Indicador I6 Projetos de TI entregues no prazo conforme a metodologia de gestão de projetos de TI da BBTS.
Definição Este indicador verifica o percentual de projetos de TI entregues no prazo e de acordo com os artefatos obrigatórios do anexo I da NI635 (MGP).
Objetivo Estratégico de TI O3. O3. Entregar Soluções de TI conforme expectativas de benefícios aos
clientes e usuários
Alinhamento estratégico
OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência;
Fórmula de cálculo
Quantidade total de projetos de TI da DITEC/Gerência, entregues no prazo, no período, e que possuem todas as FQ's do anexo I da NI635 (AP), DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência previstos para serem entregues no período (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o percentual, melhor)
Periodicidade Mensal
Responsável pela disponibilização do dado
DITEC/GPG/DGTI
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
n/a - - - 35,90%
Proposta de Meta
2017 80%
2018 81%
2021 82%
2020 83%
2021 84%
Obs: 2016 - Dados obtidos até outubro
I6 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 35 de 77
I7-Nível de satisfação dos usuários, em relação à qualidade das soluções disponibilizadas pela área de TI
Orientação ao Cliente – Experiência do Cliente
Nome do Indicador I7 Nível de satisfação dos usuários, em relação à qualidade das soluções disponibilizadas pela área de TI.
Definição
Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. Qualificar a solução pela TAB630-003, ou em relação à usabilidade das soluções disponibilizadas pela área de TI – Informando o (s) aplicativo (s) em referência (quantos forem necessários da TAB630-003) ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito
Objetivo Estratégico de TI O2. Prestar Serviços de TI de acordo com as necessidades dos negócios
Alinhamento estratégico OE4. Entregar produtos e serviços com excelência;
Fórmula de cálculo
Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta DIVIDIDO pela quantidade total de respondentes das questoes A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.
Representação da fórmula de apuração
Representação da fórmula de consolidação
Unidade de medida Percentual (%)
Critérios de acompanhamento Pesquisa semestral
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a 78,08%
Proposta de Meta
2017 80%
2018 81%
2021 82 %
2020 83%
2021 84%
I7 (𝑅𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠 "𝑅") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I7 (𝑈𝑠𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 "𝑈") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I7 (𝐷𝑒𝑠𝑒𝑚𝑝𝑒𝑛ℎ𝑜 "𝐷") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I7 = 𝑅 + 𝑈 + 𝐷
3
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 36 de 77
I8 – Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de sistemas da BBTS.
Excelência Operacional – Experiência do Cliente
Nome do Indicador I8 Nível de execução do processo de software em conformidade à metodologia de desenvolvimento de sistemas da BBTS.
Definição Este indicador informa o percentual de uso dos artefatos FQ obrigatórios nos projetos de desenvolvimento de software conforme anexo I da NI641 (MDS).
Objetivo Estratégico de TI O4. Aprimorar os processos operacionais de Gestão de TI
Alinhamento estratégico OE3. Melhorar a eficiência operacional
OE6. Elevar o nível de qualidade e eficiência dos processos.
Fórmula de cálculo
Quantidade total de projetos de TI da DITEC/Gerência, para Desenvolvimento de Software, entregues no período, e que possuem todas as FQ's obrigatórias do anexo I da NI641 (AP) DIVIDIDO pela quantidade total de projetos de TI da DITEC/Gerência, para Desenvolvimento de Software, entregues no período (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Trimestral
Responsável pela disponibilização do dado
SINTÉTICO: DITEC/GPG/DGTI; ANALÍTICO: DITEC/GPG/DCSI, DITEC/GPG/DSPD, DITEC/PET, DITEC/GTI.
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - 80% 87,5% 66,67%
Proposta de Meta
2017 75%
2018 76%
2021 77 %
2020 78%
2021 79%
Obs: 2016 - Dados obtidos até setembro
I8 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 37 de 77
I9 - Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.
Excelência Operacional – Experiência do Cliente
Nome do Indicador I9 Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.
Definição Tempo médio para atender a concessão, alteração, e exclusão de privilégios de acesso.
Objetivo Estratégico de TI O4. Aprimorar os processos operacionais de Gestão de TI
Alinhamento estratégico OE3. Melhorar a eficiência operacional
OE6. Elevar o nível de qualidade e eficiência dos processos.
Fórmula de cálculo
Tempo útil total (horas) transcorridos das aberturas (open) de chamados de privilégios de acesso até seus respectivos atendimentos (close), acumulado até o período do ano corrente (AP) DIVIDIDO pela quantidade total de chamados de privilégios de acesso atendidos (close), acumulado até o período do ano corrente (TT)
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida horas
Critérios de acompanhamento Mensal
Polaridade Negativa (Quanto menor o valor, melhor)
Periodicidade Mensal
Responsável pela disponibilização do dado
DITEC/GTI/DPOP
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - n/a 56h35min 18h36min
Proposta de Meta
2017 18 hrs (média)
2018 17 hrs (média)
2019 16 hrs (média)
2020 15 hrs (média)
2021 14 hrs (média)
Obs: 2016 - Dados obtidos até outubro
I9 (Tempo médi𝑜 𝑒𝑚 ℎ𝑜𝑟𝑎𝑠) = 𝐴𝑃
𝑇𝑇
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 38 de 77
I10- Maturidade dos Processos de TI do iGovTI 2016 sob responsabilidade da DITEC
Excelência Operacional – Experiência do Cliente
Nome do Indicador I10 Maturidade dos Processos de TI do iGovTI 2016 sob responsabilidade da DITEC.
Definição Este indicador busca acompanhar a evolução dos processos de governança de TI do levantamento iGovTI 2016 do TCU sob papel e responsabilidade exclusiva da própria DITEC conforme NI025.
Objetivo Estratégico de TI O5. Evoluir a maturidade dos mecanismos da Governança de TI
Alinhamento estratégico
OE5. Impactar positivamente a comunidade onde a BBTS está inserida. OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa
Fórmula de cálculo
Quantidade total de práticas recomendadas no iGovTI do TCU sob responsabilidade exclusiva da DITEC plenamente e parcialmente adotadas (AP) DIVIDIDO quantidade total de práticas recomendadas no iGovTI do TCU sob responsabilidade exclusiva da Ditec (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Trimestral
Responsável pela disponibilização do dado
DITEC/GPG/DGTI
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- n/a 90,82% 94,12% 96,65%
Proposta de Meta
2017 97%
2018 97,5%
2021 98%
2020 98,5%
2021 99%
Obs: 2016 - Dados obtidos até setembro
I10 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 39 de 77
I11 - Maturidade da Segurança da Informação
Excelência Operacional – Experiência do Cliente
Nome do Indicador I11 Maturidade da Segurança da Informação.
Definição Este indicador verifica o nível de maturidade da segurança da informação na BBTS, em relação aos controles estabelecidos pela ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.
Objetivo Estratégico de TI O5. Evoluir a maturidade dos mecanismos da Governança de TI
Alinhamento estratégico
OE5. Impactar positivamente a comunidade onde a BBTS está inserida. OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa
Fórmula de cálculo Percentual por nível otimizado N5
Representação da fórmula de apuração
Níveis apurados N5 na planilha da matriz de maturidade da Segurança da Informação BBTS
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Quanto maior o nível otimizado melhor
Periodicidade semestral
Responsável pela disponibilização do dado
DITEC/GPG/DGTI
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado
2012 2013 2014 2015 2016
- - N5 = 11,54%
N5 = 16,15%
N5 = 22%
Proposta de Meta
2017 N5 = 22,5%
2018 N5 = 23 %
2021 N5 = 23,5%
2020 N5 = 24%
2021 N5 = 24,5%
Obs: 2016 - Dados obtidos até junho
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 40 de 77
I12 - Nível de satisfação dos funcionários com as funções que desempenham na área de TI.
Orientação ao Futuro – Clima Organizacional
Nome do Indicador I12 Nível de satisfação dos funcionários da DITEC com as atividades que desempenham na área de TI.
Definição
Este indicador utiliza uma pesquisa de satisfação que deve ser respondida como pré-requisito para utilização na fórmula de cálculo do resultado. PERGUNTA: Qual é o nível de satisfação com a sua atividade executada na área de TI? ( ) Completamente satisfeito ( ) Muito satisfeito ( ) Satisfeito ( ) Pouco Satisfeito ( ) Nada satisfeito NOTA: Esta pergunta deve ser respondida apenas pelos funcionários da área de TI
Objetivo Estratégico de TI O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa
Alinhamento estratégico
OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho.
Fórmula de cálculo
Quantidade de respondentes A1 (Completamente Satisfeito), A2 (Muito Satisfeito) e A3 (Satisfeito) para a pergunta, DIVIDIDO pela quantidade total de respondentes das questões A1, A2, A3, A4 e A5 para a pergunta: MULTIPLICADO por 100.
Representação da fórmula de apuração
Representação da fórmula de consolidação
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a 67,35%
Proposta de Meta
2017 70%
2018 72%
2021 75%
2020 77%
2021 80%
Obs: 2016 - Dados obtidos até junho
I12 (𝐶𝑜𝑛ℎ𝑒𝑐𝑖𝑚𝑒𝑛𝑡𝑜 "𝐶") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I12 (𝐻𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 "𝐻") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I12 (𝐴𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒 "𝐴") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I12(𝐷𝑖𝑣𝑒𝑟𝑠𝑖𝑓𝑖𝑐𝑎çã𝑜 "𝐷") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I12 (𝐼𝑛𝑠𝑝𝑖𝑟𝑎çã𝑜 "𝐼") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I11 = 𝐴+𝐶+𝐻+𝐶𝐼+𝐷+𝐼
6
I12 (𝐶𝑟𝑖𝑎𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒 "𝐶𝐼") = 𝐴1+𝐴2+𝐴3
𝐴1+𝐴2+𝐴3+𝐴4+𝐴5 x100
I12 = 𝐴+𝐶+𝐻+𝐶𝐼+𝐷+𝐼
6
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 41 de 77
I13 - Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano de
capacitação formalizado.
Orientação ao Futuro – Clima Organizacional
Nome do Indicador I13 Percentual de funcionários da área de TI com lacunas (GAP) de competências identificadas e plano de capacitação formalizado.
Definição
Este indicador contabiliza o percentual de funcionários da área de TI que possuem identificação de competência para o desempenho de sua atividade e respectivo plano de capacitação pelo gestor para atuar de acordo com seu perfil.
Objetivo Estratégico de TI O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa
Alinhamento estratégico
OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho.
Fórmula de cálculo
Quantidade total de funcionários de TI da DITEC com lacunas (GAP) de competências identificadas e plano de capacitação formalizado (AP) DIVIDIDO pela quantidade total de funcionários de TI Lotados na DITEC (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
Sintético: DIFIS/GGP, Analítico: DITEC (todas as gerências)
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado
2012 2013 2014 2015 2016
- - -
90% na GPG
n/a nas demais
55,91%
Proposta de Meta
2017 80%
2018 82%
2021 85%
2020 87%
2021 90%
Obs: Dados obtidos até junho /2016
I13 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 42 de 77
12.3 Sinalizadores
S1 - Custo de manutenção das aplicações de TI em função do custo administrativo total de TI
Contribuição para o negócio – Resultado
Nome do indicador S1 Custo de manutenção das aplicações de TI em função do custo administrativo total de TI.
Definição do indicador
Este indicador considera a soma dos custos de todas as manutenções corretivas e preventivas das aplicações de TI e contabiliza quanto esse custo representa percentualmente, quando comparado com o custo administrativo total, representado por todas as despesas administrativas das áreas envolvidas, como por exemplo, GPG e PET/FSB.
Objetivo Estratégico de TI 01-Reduzir custos e riscos de TI
Alinhamento estratégico OE1. Gerar resultado sustentável; e
OE5. Impactar positivamente a comunidade onde a BBTS está inserida.
Fórmula de cálculo (Custo total com Manutenção Preventiva/Evolutiva e Corretiva/Incidente (AP) DIVIDIDO pelo custo administrativo total de TI (TT)) MULTIPLICADO por 100
Representação da fórmula de apuração
S1(Preventiva/Evolutiva “P” )= 𝐴𝑃
𝑇𝑇 x1 00
𝑆1(𝐶𝑜𝑟𝑟𝑒𝑡𝑖𝑣𝑎/𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒 "𝐶") = 𝐴𝑃
𝑇𝑇 x 100
Representação da fórmula de consolidação
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no mês, independente do fechamento do chamado.
Polaridade Negativa (Quanto menor o percentual, melhor)
Periodicidade Mensal
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - - 8,35%
Obs: custo médio da manutenção das aplicações, em relação ao custo administrativo da GPG em outubro 2016
S1 = 𝑃 + 𝐶
2
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 43 de 77
S2 - Quantidade de Notas Técnicas de Investimentos de Negócios que tiveram parecer da área de TI em relação a custo.
Contribuição para o negócio – Resultado
Nome do Sinalizador S2 Quantidade de projetos aprovados na ferramenta vigente que tiveram parecer da área de TI em relação a custo.
Definição Quantidade de projetos aprovados no Supravizio que tiveram parecer da área de TI em relação a custo.
Objetivo Estratégico de TI O1. Reduzir custos e riscos de TI
Alinhamento estratégico OE1. Gerar resultado sustentável; e
OE5. Impactar positivamente a comunidade onde a BBTS está inserida.
Fórmula de cálculo
Quantidade de projetos aprovados no Portal de Projetos de Negócios que tiveram parecer da área de TI em relação a custo (AP) DIVIDIDO quantidade total de Projetos aprovados no Portal de Negócios (TT) MULTIPLICADO por 100
Representação da fórmula de
apuração
Representação da fórmula de
consolidação -
Unidade de medida Percentual (%)
Critérios de acompanhamento Pesquisa semestral
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do
dado DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado
2012 2013 2014 2015 2016
- - - n/a n/a
𝑆2 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 44 de 77
S3- Tempo médio (minutos) para atender a incidentes de TI.
Orientação ao Cliente – Experiência do Cliente
Nome do Sinalizador S3 Tempo médio (minutos) para atender a incidentes de TI.
Definição Tempo médio para atender a incidentes.
Objetivo Estratégico de TI O3. Entregar Soluções de TI conforme expectativas de benefícios aos clientes e usuários
Alinhamento estratégico
OE2. Expandir faturamento da empresa OE3. Melhorar a eficiência operacional OE4. Entregar produtos e serviços com excelência
Fórmula de cálculo
Tempo útil total (horas) transcorridos das aberturas (open) de chamados de Incidente de TI até seus respectivos atendimentos (close), no período do ano corrente (AP) DIVIDIDO pela quantidade total de chamados de Incidente de TI atendidos (close), no período do ano corrente (TT)
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Minutos
Critérios de acompanhamento Mensal
Polaridade Negativa (Quanto menor o valor, melhor)
Periodicidade Mensal
Responsável pela disponibilização do dado
DITEC/GPG/DSPD (SUPRAVIZIO) DITEC/GTI /DERP(OTRS)
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a 137:56:13
Obs: Tempo médio apurado até outubro /2016
S3 (Tempo médi𝑜 𝑒𝑚 ℎ𝑜𝑟𝑎𝑠) = 𝐴𝑃
𝑇𝑇
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 45 de 77
S4- Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI.
Excelência Operacional – Experiência do Cliente
Nome do Sinalizador S4 Percentual de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI.
Definição Este indicador verifica o percentual de processos críticos de negócio que está sendo suportado por infraestrutura e aplicações de TI.
Objetivo Estratégico de TI O4. Aprimorar os processos operacionais de Gestão de TI
Alinhamento estratégico OE3. Melhorar a eficiência operacional
OE6. Elevar o nível de qualidade e eficiência dos processos.
Fórmula de cálculo
Quantidade de processos críticos de negócios ou serviços, essenciais para a BBTS, suportados por infraestrutura e aplicações de TI (AP), DIVIDIDO pela quantidade de processos críticos de negócios ou serviços, essenciais para a BBTS (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual (%)
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
PRESI/GPO
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a n/a
𝑆4 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 46 de 77
S5 - Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.
Excelência Operacional – Experiência do Cliente
Nome do Sinalizador S5 Percentual de projetos aprovados no portal de negócios que tiveram parecer da DITEC em relação a risco de TI.
Definição Projetos aprovados no Portal de Negócios que tiveram parecer da área de TI em relação a risco de TI.
Objetivo Estratégico de TI O5. Evoluir a maturidade dos mecanismos da Governança de TI
Alinhamento estratégico
OE5. Impactar positivamente a comunidade onde a BBTS está inserida. OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa
Fórmula de cálculo
Quantidade de Projetos aprovados no Portal de Negócios que tiveram parecer da área de TI em relação a risco (AP) DIVIDIDO quantidade total de Projetos aprovados no Portal de Negócios (TT) MULTIPLICADO por 100
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Percentual %
Critérios de acompanhamento Notes ou Supravizio
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC/GPG/DSPD
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a n/a
𝑆5 = 𝐴𝑃
𝑇𝑇 x100
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 47 de 77
S6 - Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.
Orientação ao Futuro – Clima Organizacional
Nome do Sinalizador S6 Quantidade de iniciativas de TI resultantes de ideias inovadoras implementadas.
Definição Este indicador informa o percentual de iniciativas propostas resultantes de ideias inovadoras pela área de TI.
Objetivo Estratégico de TI O6. Desenvolver competências técnicas e gerenciais para a realização da estratégia corporativa
Alinhamento estratégico
OE6. Elevar o nível de qualidade e eficiência dos processos OE7. Promover inovação nos negócios, processos, produtos e serviços da empresa OE8. Fortalecer as competências técnicas e gerenciais OE9. Elevar a satisfação dos funcionários no trabalho
Fórmula de cálculo (Número de iniciativas propostas resultantes de ideias inovadoras pela área de TI)
Representação da fórmula de apuração
Representação da fórmula de consolidação
-
Unidade de medida Quantidade
Critérios de acompanhamento Acumulado no ano
Polaridade Positiva (Quanto maior o valor, melhor)
Periodicidade Semestral
Responsável pela disponibilização do dado
DITEC
Responsável pela gestão do dado DITEC/GPG/DGTI
Status Disponível
Frequência de atualização Até o 5º dia útil do mês subsequente.
Histórico do Resultado 2012 2013 2014 2015 2016
- - - n/a n/a
𝑆6 (𝑄𝑢𝑎𝑛𝑡𝑖𝑑𝑎𝑑𝑒)
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 48 de 77
12.4 Matriz de Maturidade de SI da DITEC na ISO 27002
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
5 -
Po
líti
ca d
e s
eg
ura
nça
5.1 - Orientação da direção para segurança da informação
Prover uma orientação e apoio da direção para a
segurança da informação, de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes.
5.1.1 Políticas para segurança da informação
Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
SIM SIM N5 –
Otimizado
NI 600 à NI 629 em conjunto compõe a PSI aprovada pela NT 2015/526.
5.1.2 Análise crítica das políticas para segurança da informação
Convém que as políticas para a segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
SIM SIM N5 –
Otimizado
PAINT? Todas as normas de segurança são revistas anualmente ou reativamente a qualquer momento quando necessário.
6 -
O
rga
niz
an
do
a s
eg
ura
nça d
a i
nfo
rmação
6.1 - Organização interna
Estabelecer uma estrutura de gerenciamento, para
iniciar e controlar a implementação da
segurança da informação dentro da organização.
6.1.1 Responsabilidades e papéis pela segurança da informação
Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas. SIM SIM
N5 – Otimizado
A matriz RACI indica a responsabilidades de cada divisão acerca da segurança da informação. NI 629 v.05 - Gestão de risco em segurança da informação.
6.1.2 Segregação de funções
Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.
SIM SIM N5 –
Otimizado
A segregação dos responsáveis pelo mantenimento dos sistemas da BBTS é definida pelas normas 650 v.00, 651 v.00, 652 v.00, 653 v.00, 655 v.00 e 656 v.01. A segregação dos responsáveis pela integridade dos dados dos sistemas da BBTS, pela concessão de acesso e sua manutenção é definida pela TAB 630-003 v.06.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 49 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
6.1.3 Contato com autoridades
Convém que contatos apropriados com autoridades relevantes sejam mantidos. SIM NÃO
N4 – Gerenciado
Existe o registro dos contatos relevantes, como corpo de bombeiros, Light, Embratel, Polícia e defesa civil entre outros.
6.1.4 Contato com grupos especiais
Convém que contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos. SIM NÃO
N4 – Gerenciado
Os grupos são entre outros: fórum de segurança da informação, fórum das empresas coligadas do BB onde temos discussões de gestão de risco e segurança da informação. (ELBB - Entidades Ligadas Banco do Brasil) CSIRT-UNICAMP lista de discursão.
6.1.5 Segurança da informação no gerenciamento de projetos
Convém que a segurança da informação seja considerada no gerenciamento de projetos, independentemente do tipo do projeto.
SIM SIM N4 –
Gerenciado
O item 6.5 da PRO 635-001 v.03 informa que todos os artefatos dos projetos devem seguir a NI600 v.06.
6.2 - Dispositivos móveis e trabalho
remoto
Garantir a segurança das informações no trabalho
remoto e no uso de dispositivos móveis.
6.2.1 Política para o uso de dispositivo móvel
Convém que uma política e medidas que apoiam a segurança da informação sejam adotadas para gerenciar os riscos decorrentes do uso de dispositivos móveis.
SIM SIM N4 –
Gerenciado
Item 4.39 da NI 603 v.05.
6.2.2 Trabalho remoto Convém que uma política e medidas que apoiam a segurança da informação sejam implementadas para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto.
SIM SIM N3 –
Organizado
Não existe procedimento formal para monitoramento de acesso via VPN, mas é possível identificar este acesso. Não existe monitoração do que é acessado.
7 -
Seg
ura
nç
a
em
recu
rso
s
hu
man
os
7.1 - Antes da contratação
Assegurar que funcionários e partes
externas entendam suas responsabilidades e
estejam em conformidade com os papéis para os
7.1.1 Seleção Convém que verificações do histórico sejam realizadas para todos os candidatos a emprego, de acordo com a ética, regulamentações e leis relevantes, e seja proporcional
SIM NÃO N4 –
Gerenciado
Item 12.1.28 da NI 137 v.09 solicita a apresentação de histórico de bons antecedentes por parte do candidato.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 50 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
quais eles foram selecionados.
aos requisitos do negócio, aos riscos percebidos e à classificação das informações a serem acessadas.
7.1.2 Termos e condições de contratação
Convém que as obrigações contratuais com funcionários e partes externas, declarem as suas responsabilidades e a da organização para a segurança da informação.
SIM NÃO N4 –
Gerenciado
Item 12.1.28 da NI 137 v.09 solicita a apresentação de histórico de bons antecedentes por parte do candidato.
7.2 - Durante a contratação
Assegurar que os funcionários e partes
externas estão conscientes e cumprem
as suas responsabilidades pela
segurança da informação.
7.2.1 Responsabilidades da direção
Convém que a Direção solicite a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.
SIM SIM N4 –
Gerenciado
Termo de aceite de login/senha FQ602-001 com suas obrigações deve ser confirmado por todos os colaboradores para acesso aos sistemas da BBTS. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.
7.2.2 Conscientização, educação e treinamento em segurança da informação
Convém que todos os funcionários da organização e, onde pertinente, partes externas devem recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
SIM SIM N3 –
Organizado
Há divulgação de tempos em tempos sobre assuntos relativos a segurança na Intranet, mas não há monitoramento sobre sua leitura. Para os terceiros e contratados sugiro enviar digitalmente a cartilha institucional de segurnaça da informação disponível na Intranet com termo de confirmação de leitura.
7.2.3 Processo disciplinar
Convém que exista um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação.
SIM SIM N5 –
Otimizado
Item 4 da PSI e item 2.1.4.3 da NI 116 pune a quebra de sigilo de informações.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 51 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
7.3 - Encerramento e mudança da contratação
Proteger os interesses da organização como parte
do processo de mudança ou encerramento da
contratação.
7.3.1 Responsabilidades pelo encerramento ou mudança da contratação
Convém que as responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação, sejam definidas, comunicadas aos funcionários ou partes externas e cumpridas.
SIM SIM N5 –
Otimizado
Item 4.2 da NI 602.
8 -
Gestã
o d
e a
tivo
s
8.1 - Responsabilidade
pelos ativos
Identificar os ativos da organização e definir as
responsabilidades apropriadas para a
proteção dos ativos.
8.1.1 Inventário dos ativos
Convém que os ativos associados com informação e com os recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido.
SIM SIM N4 –
Gerenciado
NI 623 - Inventário e mapeamento de ativos da Informação. Realizado na GTI/DPOP por meio de software de inventário eletrônico.
8.1.2 Proprietário dos ativos
Convém que os ativos mantidos no inventário tenham um proprietário.
SIM NÃO N3 –
Organizado
FQ 603-001 informado no item 4.36 da NI 603 para equipamentos. O proprietário dos dados seria o da TAB 630-003 v.06?
8.1.3 Uso aceitável dos ativos
Convém que regras para o uso aceitável das informações, dos ativos associados com a informação e dos recursos de processamento da informação, sejam identificadas, documentadas e implementadas.
SIM N3 –
Organizado
NI 600 para informações e NI 603 para os demais recursos.
8.1.4 Devolução de ativos
Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.
SIM SIM N3 –
Organizado
Não há especificamente item sobre devolução de ativos.
8.2 - Classificação da informação
Assegurar que a informação receba um
nível adequado de proteção, de acordo com
8.2.1 Classificação da informação
Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para
SIM SIM N4 –
Gerenciado
Segundo a NI 612 todos os documentos devem ser classificados de #pública,
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 52 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
a sua importância para a organização.
evitar modificação ou divulgação não autorizada.
#interna, #confidencial e #ultraconfidencial.
8.2.2 Rótulos e tratamento da informação
Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.
SIM SIM N4 –
Gerenciado
NI 612 - Classificação e Tratamento da Informação.
8.2.3 Tratamento dos ativos
Convém que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.
SIM SIM N4 –
Gerenciado
NI 612 - Classificação e Tratamento da Informação.
8.3 - Tratamento de mídias
Prevenir a divulgação não autorizada, modificação,
remoção ou destruição da informação armazenada
nas mídias.
8.3.1 Gerenciamento de mídias removíveis
Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis, de acordo com o esquema de classificação adotado pela organização.
SIM SIM N4 –
Gerenciado
Item 4.18.4 da NI 612 v.04
8.3.2 Descarte de mídias
Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.
SIM SIM N3 –
Organizado
Item 4.20.5 da NI 612 v.04. Não há formulário ou documento que comprove a destruição, embora esta ocorra.
8.3.3 Transferência física de mídias
Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou corrupção, durante o transporte.
SIM SIM N4 –
Gerenciado
Item 4.21.6 da NI 612 v.04 - Criptografia antes do transporte.
9 -
Co
ntr
ole
de
acesso
9.1 - Requisitos do negócio para
controle de acesso
Limitar o acesso à informação e aos
recursos de processamento da
informação.
9.1.1 Política de controle de acesso
Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.
SIM SIM N4 –
Gerenciado
Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 53 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.
9.1.2 Acesso às redes e aos serviços de rede
Convém que os usuários somente recebam acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar. SIM SIM
N4 – Gerenciado
Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.
9.2 - Gerenciamento de acesso do
usuário
Assegurar acesso de usuário autorizado e prevenir acesso não
autorizado a sistemas e serviços.
9.2.1 Registro e cancelamento de usuário
Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.
SIM SIM N4 –
Gerenciado
Item 4.2 da Ni 602 v.04.
9.2.2 Provisionamento para acesso de usuário
Convém que um processo formal de provisionamento de acesso do usuário seja implementado para conceder ou revogar os direitos de acesso do usuário para todos os tipos de usuários em todos os tipos de sistemas e serviços.
SIM SIM N4 –
Gerenciado
Item 4.1 da NI 602 v.04.
9.2.3 Gerenciamento de direitos de acesso privilegiados
Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.
SIM SIM N4 –
Gerenciado
Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 54 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
9.2.4 Gerenciamento da informação de autenticação secreta de usuários
Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal.
SIM SIM N4 –
Gerenciado
Item 4.1 da NI 602 v.04. Considerando-se que informação de autenticação secreta seja o par login/senha.
9.2.5 Análise crítica dos direitos de acesso de usuário
Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares.
SIM SIM N4 –
Gerenciado
Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um documento que a SI possui com os acessos básicos que cada função pode ter.
9.2.6 Retirada ou ajuste de direitos de acesso
Convém que os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação sejam retirados logo após o encerramento de suas atividades, contratos ou acordos, ou ajustados após a mudança destas atividades.
SIM SIM N5 –
Otimizado
Item 4.2 da NI 602 v.04.
9.3 - Responsabilidades
dos usuários
Tornar os usuários responsáveis pela proteção das suas
informações de autenticação.
9.3.1 Uso da informação de autenticação secreta
Convém que os usuários sejam orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta.
SIM SIM N5 –
Otimizado
Termo de aceite de login/senha FQ602-001 com suas obrigações deve ser confirmado por todos os colaboradores para acesso aos sistemas da BBTS.
9.4 Controle de acesso ao sistema e
à aplicação
Prevenir o acesso não autorizado aos sistemas e
aplicações.
9.4.1 Restrição de acesso à informação
Convém que o acesso à informação e às funções dos sistemas de aplicações seja restrito, de acordo com a política de controle de acesso.
SIM SIM N4 –
Gerenciado
Item 4.4 da NI 602 v.04. No sistema da SI quando solicitado os acessos são verificados entre outros itens a aprovação do gestor da informação e qual função do colaborador. A planilha com os papeis e perfis e um
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 55 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
documento que a SI possui com os acessos básicos que cada função pode ter.
9.4.2 Procedimentos seguros de entrada no sistema (log-on)
Convém que, onde aplicável pela política de controle de acesso, o acesso aos sistemas e aplicações sejam controlados por um procedimento seguro de entrada no sistema (log-on).
SIM SIM N5 –
Otimizado
NI 602 v.04 - Logins e senhas
9.4.3 Sistema de gerenciamento de senha
Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
SIM SIM N5 –
Otimizado
Item 4.20 da Ni 602 v.04.
9.4.4 Uso de programas utilitários privilegiados
Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações sejam restrito e estritamente controlado.
SIM SIM N4 –
Gerenciado
Não há uso de programas utilitários na BBTS com as funcionalidades descritas na isso 27002:2013. Item 4.1 da NI 607 v.03 restringe o acesso aos servidores dos sistemas da BBTS.
9.4.5 Controle de acesso ao código-fonte de programas
Convém que o acesso ao código-fonte de programa seja restrito.
SIM SIM N3 –
Organizado
O acesso é restrito aos desenvolvedores, mas a classificação da NI 612 v.04. ainda não é aplicada.
10 C
rip
tog
rafi
a
10.1 Controles criptográficos
Assegurar o uso efetivo e adequado da criptografia
para proteger a confidencialidade,
autenticidade e/ou a integridade da
informação.
10.1.1 Política para o uso de controles criptográficos
Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.
SIM SIM N4 –
Gerenciado
Item 4.21 da NI 612 v.04.
10.1.2 Gerenciamento de chaves
Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.
SIM SIM N3 –
Organizado
NI612 - Classificação e tratamento da Informação item 4.21
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 56 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
11 S
eg
ura
nç
a f
ísic
a e
do
am
bie
nte
11.1 Áreas seguras
Prevenir o acesso físico não autorizado, danos e interferências com os
recursos de processamento das
informações e as informações da
organização.
11.1.1 Perímetro de segurança física
Convém que perímetros de segurança sejam definidos e usados para proteger tanto as áreas que contenham as instalações de processamento da informação como as informações críticas ou sensíveis.
SIM SIM N4 –
Gerenciado
As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa.
11.1.2 Controles de entrada física
Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.
SIM SIM N4 –
Gerenciado
As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa.
11.1.3 Segurança em escritórios, salas e instalações.
Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações.
SIM SIM N4 –
Gerenciado
As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa.
11.1.4 Proteção contra ameaças externas e do meio-ambiente
Convém que sejam projetadas e aplicadas proteção física contra desastres naturais, ataques maliciosos ou acidentes.
SIM NÃO N3 –
Organizado
Implementação do PRN nos sites SPO, RIO e BSN em andamento.
11.1.5 Trabalhando em áreas seguras
Convém que sejam projetados e aplicados procedimentos para o trabalho em áreas seguras.
SIM SIM N4 –
Gerenciado
As áreas de processamento (Data Center), estão com acessos restritos por meio de controle biométrico, NI619. e NI306. Existe orientação por parte da SI quanto a proteção do imóvel da empresa e PCN das áreas.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 57 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
11.1.6 Áreas de entrega e de carregamento
Convém que pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, sejam controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado. Diretrizes para implementação.
SIM SIM N4 –
Gerenciado
Item 4.9.4 da NI 306 e NI619.
11.2 Equipamento
Impedir perdas, danos, furto ou roubo, ou
comprometimento de ativos e interrupção das
operações da organização.
11.2.1 Localização e proteção do equipamento
Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio-ambiente, bem como as oportunidades de acesso não autorizado.
SIM SIM N4 –
Gerenciado
Item 4.1.1 da Ni 603.
11.2.2 Utilidades Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.
SIM SIM N4 –
Gerenciado
Item 4.1.18.i da NI 607 v.03.
11.2.3 Segurança do cabeamento
Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação, interferência ou danos.
SIM SIM N4 –
Gerenciado
NI619 (Segurança física em data center e controle de acesso ao ambiente de TI) itens 4.3.15 e 4.5.3, PCO da DPOP.
11.2.4 Manutenção dos equipamentos
Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanente.
SIM SIM N2 –
Informal (Inicial)
Item 4.1.21 da NI 607 v.03 para servidores. Não há formalização da manutenção para equipamentos de usuários, embora esta seja feita.
11.2.5 Remoção de ativos
Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.
SIM SIM N5 –
Otimizado
Necessário FQ301-001 para movimentar bens físicos. Aplicar a NI 612 v.04 para informações.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 58 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
11.2.6 Segurança de equipamentos e ativos fora das dependências da organização
Convém que sejam tomadas medidas de segurança para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
SIM SIM N5 –
Otimizado
Item 4.39.3 e 4.39.7 da NI 603 v.05.
11.2.7 Reutilização e alienação segura de equipamentos
Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes da reutilização, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança.
SIM SIM N5 –
Otimizado
Item 4.35 da NI 603 v.05.
11.2.8 Equipamento de usuário sem monitoração
Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada.
SIM SIM N4 –
Gerenciado
Item 4.39 da NI 603 v.05.
11.2.9 Política de mesa limpa e tela limpa
Convém que sejam adotadas uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.
SIM SIM N4 –
Gerenciado
Artigos e palestras de conscientização de segurança da informação, NI603 (equipamento de trabalho) e NI612 (Classificação e tratamento da informação).
12 S
eg
ura
nç
a n
as o
pe
raçõ
es
12.1 Responsabilidades e
procedimentos operacionais
Garantir a operação segura e correta dos
recursos de processamento da
informação.
12.1.1 Documentação dos procedimentos de operação
Convém que os procedimentos de operação sejam documentados e disponibilizados a todos os usuários que necessitem deles.
SIM SIM N5 –
Otimizado
NI 650 v.00 e NI 651 v.00.
12.1.2 Gestão de mudanças
Convém que mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação, sejam controladas.
SIM SIM N4 –
Gerenciado
NI652 Gerenciamento de Mudanças e liberação.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 59 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
12.1.3 Gestão de capacidade
Convém que a utilização dos recursos seja monitorada e ajustada e as projeções sejam feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema.
SIM SIM N5 –
Otimizado
NI 655 v.00.
12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção Controle
Convém que ambientes de desenvolvimento, teste e produção sejam separados para reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção.
SIM SIM N2 –
Informal (Inicial)
Não há normatização sobre a segregação de ambientes, embora seja aplicado na prática.
12.2 Proteção contra malware
Assegurar que as informações e os
recursos de processamento da informação estão
protegidos contra códigos maliciosos.
12.2.1 Controles contra códigos maliciosos
Convém que sejam implementados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, combinado com um adequado programa de conscientização do usuário.
SIM SIM N5 –
Otimizado
Item 4.1.27 da NI 607 v.03 para servidores e item 4.9 da NI 603 v.05.
12.3 Cópias de segurança
Proteger contra a perda de dados.
12.3.1 Cópias de segurança das informações
Convém que cópias de segurança das informações, dos software e das imagens do sistema, sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.
SIM SIM N5 –
Otimizado
NI 627
12.4 Registros e monitoramento
Registrar eventos e gerar evidências.
12.4.1 Registros de eventos
Convém que registros (log) de eventos das atividades do usuário, exceções, falhas e eventos de segurança da informação sejam produzidos, mantidos e analisados criticamente, a intervalos regulares.
SIM SIM N4 –
Gerenciado
NI606 - Registros de Eventos
12.4.2 Proteção das informações dos registros de eventos (logs)
Convém que as informações dos registros de eventos (log) e seus recursos sejam protegidos
SIM SIM N4 –
Gerenciado
Itens 4.8 e 4.9 da NI 606
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 60 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
contra acesso não autorizado e adulteração.
12.4.3 Registros de eventos (log) de administrador e operador
Convém que as atividades dos administradores e operadores do sistema sejam registradas e os registros (logs) protegidos e analisados criticamente, a intervalos regulares.
SIM SIM N4 –
Gerenciado
NI606 - Registros de Eventos
12.4.4 Sincronização dos relógios
Convém que os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, sejam sincronizados com uma única fonte de tempo precisa.
SIM SIM N4 –
Gerenciado
Item 4.10 da NI 606
12.5 Controle de software operacional
Assegurar a integridade dos sistemas operacionais.
12.5.1 Instalação de software nos sistemas operacionais
Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados.
SIM SIM N4 –
Gerenciado
Incluir item 4.15 da NI 603 e excluir NI 650, 651, 652, 655 e 656.
12.6 Gestão de vulnerabilidades
técnicas
Prevenir a exploração de vulnerabilidades técnicas.
12.6.1 Gestão de vulnerabilidades técnicas
Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas em tempo hábil; convém com a exposição da organização a estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para lidar com os riscos associados.
SIM SIM N4 –
Gerenciado
NI 629 - Gestão de Risco em Segurança da Informação
12.6.2 Restrições quanto à instalação de software
Convém que sejam estabelecidas e implementadas regras definindo critérios para a instalação de software pelos usuários.
SIM SIM N4 –
Gerenciado
Item 4.15 da NI 603.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 61 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
12.7 Considerações quanto à auditoria
de sistemas de informação
Minimizar o impacto das atividades de auditoria
nos sistemas operacionais.
12.7.1 Controles de auditoria de sistemas de informação
Convém que as atividades e requisitos de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio.
SIM SIM N2 –
Informal (Inicial)
Há uma preparação prévia e avisos com antecedência por parte da auditoria, mas não existe normatização a respeito.
13 S
eg
ura
nç
a n
as c
om
un
icaçõ
es
13.1 Gerenciamento da segurança em
redes
Garantir a proteção das informações em redes e
dos recursos de processamento da informação que os
apoiam.
13.1.1 Controles de redes
Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações.
SIM SIM N4 –
Gerenciado
NI609 Gerenciamento de Rede.
13.1.2 Segurança dos serviços de rede
Convém que mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.
SIM SIM N4 –
Gerenciado
NI609 Gerenciamento de Rede.
13.1.3 Segregação de redes
Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes.
SIM SIM N4 –
Gerenciado
NI609 Gerenciamento de Rede.
13.2 Transferência de informação
Manter a segurança da informação transferida
dentro da organização e com quaisquer entidades
externas.
13.2.1 Políticas e procedimentos para transferência de informações
Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação.
SIM SIM N4 –
Gerenciado
NI612 - Classificação e tratamento da Informação
13.2.2 Acordos para transferência de informações
Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
SIM SIM N4 –
Gerenciado
NI612 - Classificação e tratamento da Informação
13.2.3 Mensagens eletrônicas
Convém que as informações que trafegam em mensagens
SIM SIM N4 –
Gerenciado NI 604 - Uso do correio eletrônico e NI 612 -
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 62 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
eletrônicas sejam adequadamente protegidas.
Classificação e tratamento da informação.
13.2.4 Acordos de confidencialidade e não divulgação
Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados.
SIM SIM N5 –
Otimizado
NI 600 v.06 para colaboradores BBTS. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.
14 A
qu
isiç
ão
, d
esen
vo
lvim
en
to e
man
ute
nç
ão
de s
iste
mas
14.1 Requisitos de segurança de sistemas de informação
Garantir que a segurança da informação é parte
integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços
sobre as redes públicas.
14.1.1 Análise e especificação dos requisitos de segurança da informação
Convém que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes.
SIM SIM N4 –
Gerenciado
NI 652 e NI 653 somente.
14.1.2 Serviços de aplicação seguros em redes públicas
Convém que as informações envolvidas nos serviços de aplicação que transitam sobre redes públicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas.
SIM SIM N4 –
Gerenciado
NI 603, NI 612 somente.
14.1.3 Protegendo as transações nos aplicativos de serviços
Convém que informações envolvidas em transações nos aplicativos de serviços sejam protegidas para prevenir transmissões incompletas, erros de roteamento, alteração não autorizada da mensagem, divulgação não autorizada, duplicação ou reapresentação da mensagem não autorizada.
SIM SIM N4 –
Gerenciado
NI 607 e NI 609.
14.2 Segurança em processos de
desenvolvimento e de suporte
Garantir que a segurança da informação está
projetada e implementada no desenvolvimento do
14.2.1 Política de desenvolvimento seguro
Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos
SIM SIM N4 –
Gerenciado
NI 641 e NI 645.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 63 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
ciclo de vida dos sistemas de informação.
realizados dentro da organização.
14.2.2 Procedimentos para controle de mudanças de sistemas
Convém que as mudanças em sistemas no ciclo de vida de desenvolvimento sejam controladas utilizando procedimentos formais de controle de mudanças.
SIM SIM N4 –
Gerenciado
NI 652 v.00
14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
Quando plataformas operacionais forem modificadas, convém que as aplicações críticas de negócio sejam analisadas criticamente e testadas para assegurar que não ocorreu nenhum impacto adverso nas operações da organização ou na segurança.
SIM SIM N4 –
Gerenciado
NI 652 v.00
14.2.4 Restrições sobre mudanças em pacotes de Software
Convém que modificações em pacotes de software sejam desencorajadas e estejam limitadas às mudanças necessárias, e todas as mudanças sejam estritamente controladas.
SIM SIM N4 –
Gerenciado
NI 652 v.00
14.2.5 Princípios para projetar sistemas seguros
Convém que princípios para projetar sistemas seguros sejam estabelecidos, documentados, mantidos e aplicados para qualquer implementação de sistemas de informação.
SIM SIM N4 –
Gerenciado
NI 641 v.00, NI 642 v.11 e NI 645 v.00
14.2.6 Ambiente seguro para desenvolvimento
Convém que as organizações estabeleçam e protejam adequadamente ambientes de desenvolvimento seguros para os esforços de desenvolvimento e integração de sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema.
SIM SIM N4 –
Gerenciado
NI 641 v.00, NI 642 v.11 e NI 645 v.00 NI 306?
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 64 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
14.2.7 Desenvolvimento terceirizado
Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado.
SIM SIM N4 –
Gerenciado
NI 642 v.11
14.2.8 Teste de segurança do sistema
Convém que os testes de funcionalidades de segurança sejam realizados durante o desenvolvimento de sistemas.
SIM SIM N4 –
Gerenciado
NI 641 v.05
14.2.9 Teste de aceitação de sistemas
Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos sistemas de informação, atualizações e novas versões.
SIM SIM N4 –
Gerenciado
NI 641 v.05
14.3 Dados para teste
Assegurar a proteção dos dados usados para teste.
14.3.1 Proteção dos dados para teste
Convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados.
SIM SIM N4 –
Gerenciado
NI 675 v.03
15 R
ela
cio
nam
en
to n
a c
ad
eia
de
su
pri
men
to
15.1 Segurança da informação na
cadeia de suprimento.
Garantir a proteção dos ativos da organização que
são acessíveis pelos fornecedores
15.1.1 Política de segurança da informação no relacionamento com os fornecedores
Convém que os requisitos de segurança da informação para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organização sejam acordados com o fornecedor e documentados.
SIM SIM N4 –
Gerenciado
NI 612 v.04. NI 619 v.05 Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.
15.1.2 Identificando segurança da informação nos acordos com fornecedores
Convém que todos os requisitos de segurança da informação relevantes sejam estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover componentes de infraestrutura de TI para as informações da organização.
SIM SIM N4 –
Gerenciado
NI 612 v.04. Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 65 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
15.1.3 Cadeia de suprimento na tecnologia da comunicação e informação
Convém que acordos com fornecedores incluam requisitos para contemplar os riscos de segurança da informação associados com a cadeia de suprimento de produtos e serviços de tecnologia das comunicações e informação.
SIM SIM N4 –
Gerenciado
NI 612 v.04. NI 642 v.11 Contratos com empresas e terceirizados são baseados na FQ408-09 v.06 que contém a cláusula 13 sobre confidencialidade das informações.
15.2 Gerenciamento da entrega do
serviço do fornecedor
Manter um nível acordado de segurança da
informação e de entrega de serviços em
consonância com os acordos com fornecedores.
15.2.1 Monitoramento e análise crítica de serviços com fornecedores
Convém que a organização monitore, analise criticamente e audite a intervalos regulares, a entrega dos serviços executados pelos fornecedores.
SIM SIM N4 –
Gerenciado
NI642, NI408, NI412, PRO412-008 e PRO413-001.
15.2.2 Gerenciamento de mudanças para serviços com fornecedores
Convém que mudanças no provisionamento dos serviços pelos fornecedores, incluindo manutenção e melhoria das políticas de segurança da informação, dos procedimentos e controles existentes, sejam gerenciadas, levando-se em conta a criticidade das informações do negócio, dos sistemas e processos envolvidos, e a reavaliação de riscos.
SIM SIM N4 –
Gerenciado
NI642, NI408, NI412, PRO412-008 e PRO413-001.
16 G
estã
o d
e in
cid
en
tes d
e
seg
ura
nça d
a i
nfo
rmação
16.1 Gestão de incidentes de segurança da informação e
melhorias
Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação
sobre fragilidades e eventos de segurança da
informação.
16.1.1 Responsabilidades e procedimentos
Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.
SIM SIM N4 –
Gerenciado
Grupo ETIR-BBTS definido na NI 625 v.04 é o responsável pela avaliação dos riscos de SI.
16.1.2 Notificação de eventos de segurança da informação
Convém que os eventos de segurança da informação sejam relatados através dos canais apropriados da direção, o mais rapidamente possível.
SIM SIM N4 –
Gerenciado
Item 4.4.5.3 da NI 625 v.04
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 66 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
16.1.3 Notificando fragilidades de segurança da informação
Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização, sejam instruídos a notificar e registrar quaisquer fragilidades de segurança da informação, observada ou suspeita, nos sistemas ou serviços.
SIM SIM N3 –
Organizado
Orientar os colaboradores a comunicar fragilidades de SI e qual canal utilizar.
16.1.4 Avaliação e decisão dos eventos de segurança da informação
Convém que os eventos de segurança da informação sejam avaliados e seja decidido se eles são classificados como incidentes de segurança da informação.
SIM SIM N4 –
Gerenciado
Grupo ETIR-BBTS definido na NI 625 v.04 avalia e define a criticidade do evento.
16.1.5 Resposta aos incidentes de segurança da informação
Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos documentados.
SIM SIM N4 –
Gerenciado
Grupo ETIR-BBTS definido na NI 625 v.04 avalia e reporta incidentes de SI.
16.1.6 Aprendendo com os incidentes de segurança da informação
Convém que os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros.
SIM SIM N4 –
Gerenciado
Grupo ETIR-BBTS definido na NI 625 v.04 documenta e divulga os relatórios advindos de um incidente de SI.
16.1.7 Coleta de evidências
Convém que a organização defina e aplique procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.
SIM SIM N4 –
Gerenciado
Grupo ETIR-BBTS definido na NI 625 v.04 tem responsabilidade sobre todo o ciclo de vida de um incidente de SI.
17 A
sp
ecto
s d
a
seg
ura
nça d
a
info
rmação
na
ge
stã
o d
a
co
nti
nu
ida
de d
o
ne
gó
cio
17.1 Continuidade da segurança da
informação
Convém que a continuidade da
segurança da informação seja contemplada nos sistemas de gestão da
continuidade do negócio da organização.
17.1.1 Planejando a continuidade da segurança da informação
Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.
SIM SIM N5 –
Otimizado
NI 905 v.04 NI 629 v.05
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 67 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
17.1.2 Implementando a continuidade da segurança da informação
Convém que a organização estabeleça, documente, implemente e mantenha processos, procedimentos e controles para assegurar o nível requerido de continuidade para a segurança da informação, durante uma situação adversa.
SIM SIM N5 –
Otimizado
NI 905 v.04 NI 629 v.05
17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação
Convém que a organização verifique os controles de continuidade da segurança da informação, estabelecidos e implementados, a intervalos regulares, para garantir que eles são válidos e eficazes em situações adversas.
SIM SIM N5 –
Otimizado
NI 905 v.04 NI 629 v.05 Revisão das normas internas anualmente.
17.2 Redundâncias
Assegurar a disponibilidade dos
recursos de processamento da
informação.
17.2.1 Disponibilidade dos recursos de processamento da informação
Convém que os recursos de processamento da informação sejam implementados com redundância suficiente para atender aos requisitos de disponibilidade.
SIM SIM N5 –
Otimizado
NI 607 v.03 e NI 627 v.02
18 C
on
form
idad
e
18.1 Conformidade com requisitos
legais e contratuais
Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou
contratuais relacionadas à segurança da informação e de quaisquer requisitos
de segurança.
18.1.1 Identificação da legislação aplicável e de requisitos contratuais
Convém que todos os requisitos legislativos estatutários, regulamentares e contratuais pertinentes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
SIM SIM N4 –
Gerenciado
Para a criação e revisão da Política de Segurança da Informação e seus documentos são utilizados os requisitos legais da ABNT, DSIC (Departamento de Segurança da Informação e Comunicações) e Banco do Brasil.
18.1.2 Direitos de propriedade intelectual
Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade intelectual, e sobre o uso de
SIM SIM N4 –
Gerenciado
Política de Segurança da Informação, NI627 (Gerenciamento de Backup e Armazenamento das Informações).
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 68 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
produtos de software proprietários.
18.1.3 Proteção de registros
Convém que registros sejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
SIM SIM N5 –
Otimizado
NI 627 v.03.
18.1.4 Proteção e privacidade de informações de identificação pessoal
Convém que a privacidade e proteção das informações de identificação pessoal sejam asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável.
SIM SIM N5 –
Otimizado
NI 612 v.05
18.1.5 Regulamentação de controles de criptografia
Convém que controles de criptografia sejam usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.
SIM SIM N5 –
Otimizado
NI 612 v.05
18.2 Análise crítica da segurança da
informação
Assegurar que a segurança da informação
esteja implementada e operada de acordo com
as políticas e procedimentos da
organização.
18.2.1 Análise crítica independente da segurança da informação
Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, objetivo dos controles, controles, políticas, processos e procedimentos para a segurança da informação) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas.
SIM SIM N4 –
Gerenciado
A periodicidade de revisão da Política de Segurança é de um ano, onde são revisados todos os seus documentos, quando da existência de fatos relevantes a revisão é realizada prontamente.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 69 de 77
MATRIZ MATURIDADE SEGURANÇA DA INFORMAÇÃO BBTS - ISO 27002:2013
Seções Objetivo Objetivo de Controle Controle Descrição Controle
aplicável? Controle
implementado? Escala de
maturidade Situação Observada
18.2.2 Conformidade com as políticas e procedimentos de segurança da informação
Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informação, dentro das suas áreas de responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação.
SIM SIM N4 –
Gerenciado
A Política de Segurança da Informação, e o Check list de Segurança da Informação.
18.2.3 Análise crítica da conformidade técnica
Convém que os sistemas de informação sejam analisados criticamente, a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação da organização.
SIM SIM N5 –
Otimizado
Definido na PSI que as revisões devem ocorrer pelo menos uma vez ao ano.
N1 – Inexistente Não existe nenhum processo relativo ao item.
N2 – Informal (Inicial) Existe um processo relativo ao item, porém não existe a formalização do processo, mas os envolvidos demonstram conhecer o processo.
N3 – Organizado Existe a formalização do processo e este é conhecido e disponibilizado a todos os envolvidos no processo.
N4 – Gerenciado Existe um processo formal e conhecido por todos os envolvidos. Além disso, o processo é controlado por indicadores de avaliação.
N5 – Otimizado
Existe um processo formal e com indicadores de acompanhamento. Além disso, o processo é submetido periodicamente à reavaliação para melhoria contínua.
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 70 de 77
12.5 Riscos de TI
1- REMOTO 1 - INSIGNIFICANTE
2- IMPROVÁVEL 2 - BAIXO
3 - POSSÍVEL 3 - MODERADO
4 - PROVÁVEL 4 - ELEVADO
5 - QUASE CERTO 5 - CRÍTICO
Habilidade e
conhecimentos
específicos
necessários à
realização de tarefas
PESSOAS 1 2
Compatibilização das
demandas de trabalho
à capacidade
operacional e à
jornada de trabalho
PESSOAS 2 3
Indisponibilidade de
equipamentos de
trabalho tais como:
Computadores,
periféricos, sistemas
operacionais -
software básico,
programas de
escritório - software de
apoio - e programas
aplicativos de
provedores externos .
SISTEMAS 2 3
Impossibilidade de
acesso ao local de
trabalho (Ex.: greve de
funcionários,
enchentes na cidade,
acidentes nas vias de
trânsito, grandes
eventos bloqueando
acessos nas vias de
trânsito)
EVENTOS
EXTERNOS3 3
Ris
co
s G
en
éri
co
s
SU
BP
RO
CE
SS
O
OBJETIVO DO
SUBPROCESSO
PRINCIPAIS RISCOS
OPERACIONAISCAUSA DO RISCO
FONTE DO
RISCO
AVALIAÇÃO DO RISCO
PROBABILIDADE IMPACTO
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 71 de 77
1- REMOTO 1 - INSIGNIFICANTE
2- IMPROVÁVEL 2 - BAIXO
3 - POSSÍVEL 3 - MODERADO
4 - PROVÁVEL 4 - ELEVADO
5 - QUASE CERTO 5 - CRÍTICO
Atu
ali
za
çã
o e
Co
bra
nç
a d
as
Aç
õe
s d
o P
DT
I
Acompanhar o
progresso das
ações e
indicadores do
PDTI.
Transmitir uma
informação errada para
a Administração
Dar uma ação como
concluída sem
evidência
/confirmação.
PROCESSOS 3 3
No
va
s C
on
tra
taç
õe
s
Contratar Novas
Soluções de TI
necessários às
atividades
desenvolvidas
pelas áreas da
BBTS
Atrasar ou impedir o
desenvolvimento das
atividades que
dependem da nova
solução de TI
Demora no
procedimento de
aquisição da
contratação.
PROCESSOS 2 3
No
rma
tiza
çã
o d
a S
eg
ura
nç
a d
a I
nfo
rma
çã
o n
a
Em
pre
sa
.
Documentação
das Orientações /
Legislações /
Recomendações
de Segurança da
Informação na
Empresa.
Descumprimento das
leis e normas
regulamentares
- Não cumprimentos
das Orientações /
Legislações /
Recomendações
estabelecidas
- Não cumprimento dos
prazos estabelecidos
para a criação e
publicação das
normas.
PROCESSOS 1 4
Fo
rmu
lar
Es
tra
tég
ia d
a D
ITE
C
Alinhar a
Estratégia de TI à
Estratégia
Corporativa
Estratégia de TI
apresenta desvios em
relação a Estratégia
Corporativa
Falha na Definição dos
Objetivos de TI ou
Objetivos de TI estão
incompletos ou não
relacionados com
alguma Iniciativa
Estratégica
PROCESSOS 1 5
FONTE DO
RISCO
AVALIAÇÃO DO RISCO
PROBABILIDADE IMPACTO
SU
BP
RO
CE
SS
O
OBJETIVO DO
SUBPROCESSO
PRINCIPAIS RISCOS
OPERACIONAISCAUSA DO RISCO
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 72 de 77
1- REMOTO 1 - INSIGNIFICANTE
2- IMPROVÁVEL 2 - BAIXO
3 - POSSÍVEL 3 - MODERADO
4 - PROVÁVEL 4 - ELEVADO
5 - QUASE CERTO 5 - CRÍTICO
Ge
stã
o d
o P
ET
I
Acompanhar a
execução do
Planejamento e
sua
transformação
até o próximo
ciclo de revisão,
informar os
gestores, e,
tomar medidas
corretivas quando
necessário
Objetivos estratégicos
de TI não atingem suas
metas
Recursos insuficientes
para atendimento das
demandas
PESSOAS 3 4
Ge
stã
o d
o P
DT
I
Acompanhar a
execução do
Planejamento e
sua
transformação
até o próximo
ciclo de revisão,
informar os
gestores, e,
tomar medidas
corretivas quando
necessário
Planejamento
tático/operacional de TI
apresenta desvios do
planejamento
estratégico de TI.
Falha no alinhamento
estratégico
operacional entre PETI
e PDTI
PROCESSOS 1 5
Ca
pa
cit
aç
ão
de
pe
ss
oa
l
Desenvolvimento
profissional
Falta de
conhecimentos /
habilidades
necessários no projeto
Recursos não
capacitados ou sem
competência para
atendimento das
demandas
PESSOAS 4 1
Pa
dro
niz
aç
ão
/ M
eto
do
log
ia
Utilização de
melhores práticas
Falta de metodologia
efetiva de
gerenciamento de
projetos
Falta de maturidade
para desenvolvimento
do processo
PROCESSOS 2 3
Re
cu
rso
s
Dimensionamento
dos recursos
Ferramentas impróprias
para o
desenvolvimento
Não aquisição de
ferramenta apropriadaSISTEMAS 2 2
PROBABILIDADE IMPACTO
SU
BP
RO
CE
SS
O
OBJETIVO DO
SUBPROCESSO
PRINCIPAIS RISCOS
OPERACIONAISCAUSA DO RISCO
FONTE DO
RISCO
AVALIAÇÃO DO RISCO
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 73 de 77
12.6 Riscos de Segurança da Informação
PR
OC
ES
SO
SU
BP
RO
CE
SS
O
OBJETIVO DO SUBPROCESSO
12.6- Matriz de Risco de segurança da Informação (FQ629) APETITE AO
RISCO
CA
TE
GO
RIA
S D
E
AM
EA
ÇA
S
PRINCIPAIS AMEAÇAS
VULNERABILIDADES CONHECIDAS
CONSEQUÊNCIAS
AVALIAÇÃO DE RISCOS
RESPOSTA AO RISCO
IMPACTO PROBABILIDADE
NÍVEL DO
RISCO
AVALIAÇÃO
RB -RISCO BAIXO 1 - INSIGNIFICANTE 1- REMOTO
2 - BAIXO 2- IMPROVÁVEL RM - RISCO MODERADO
ACEITAR
3 - MODERADO 3 - POSSÍVEL TRANSFERIR
4 - ELEVADO 4 - PROVÁVEL RA - RISCO ALTO
MINIMIZAR
5 - CRÍTICO 5 - QUASE CERTO EVITAR
Gestã
o d
e C
on
trato
s
Gestã
o d
e C
on
trato
s
Realizar a gestão de contratos no que tange: o
acompanhamento da validade e da qualidade
dos contratos de TI, mantendo em execução os serviços contratados
pela GPG e assegurando o cumprimento do que foi
estabelecido contratualmente;
assessoria às áreas da BBTS na contratação de
novas soluções de TI.
Fa
lha
Hum
ana
Problemas com fornecedores e terceiros (que
causem impacto à
confidencialidade, integridade ou disponibilidade
dos dados e informações da
empresa)
Renovação de serviços que no momento não atendam aos normativos internos de
segurança
Vazamento de informações
sensíveis
4 4 44 RA MINIMIZAR
Quebra unilateral de contrato por parte do fornecedor
(Impacto na disponibilidade dos serviços prestados)
Paralização parcial ou total dos
serviços prestados, causando impacto na disponibilidade ou integridade das
informações e sistemas da
empresa ou de terceiros
Interrupção dos serviços prestados devido ao atraso
na resposta das áreas usuárias sobre a necessidade da manutenção dos contratos
próximos ao vencimento
Contratação de serviços que possuam histórico de
ocorrência de falhas de segurança
Perda de dados
Defi
niç
ão
da
s d
iretr
izes d
e
Seg
ura
nça d
a In
form
ação
No
rmati
zação
da
Seg
ura
nça d
a
Info
rmação
na E
mp
resa
Elaboração da Documentação das
Orientações / Legislações / Recomendações de
Segurança da Informação na Empresa.
Deficiê
ncia
s
Org
aniz
acio
nais
Conhecimento insuficiente das
políticas, normas e procedimentos
de segurança
Usuários não cumprem os preceitos observados nos
normativos de SIC, levando à perda dos preceitos de
confidencialidade, integridade e disponibilidade de
Segurança da Informação
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação
4 4 44 RA MINIMIZAR
Falta de Pessoal Taxa de turnover elevada
Não cumprimento dos prazos
estabelecidos para a criação e
publicação das normas
4 4 44 RA MINIMIZAR
Falta de expertise dos colaboradores
Falta de conhecimento da
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 74 de 77
legislação vigente na qual a norma se
baseia
Falha na execução de procedimentos
relacionados à segurança da
informação
Pla
neja
men
to E
str
até
gic
o d
e T
I
Gestã
o d
o P
ET
I (p
lan
eja
men
to e
str
até
gic
o
de
TI)
e d
o P
DT
I (p
lan
o d
ireto
r d
e T
I)
Colher subsídios para o Alinhamento entre a
Estratégia Corporativa e o PETI. Traduzir o
conjunto de elementos estratégicos formulados
em produtos mensuráveis (objetivos) e nas
condições (necessidades) para
obtê-los. Acompanhar a execução do
Planejamento e sua transformação até o
próximo ciclo de revisão, informar os gestores, e,
tomar medidas corretivas quando necessário.
Deficiê
ncia
s
Org
aniz
acio
nais
Falta de Pessoal Falta de conhecimento dos
colaboradores em SIC
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
4 4 44 RA MINIMIZAR
Gerê
nc
ia d
e P
roje
tos
Le
van
tam
en
to d
as
ne
cessid
ad
es
Identificação das necessidades de informações para
construção do projeto - Análise de Requisitos
Deficiê
ncia
sO
rganiz
aci
onais
Falta de Pessoal Falta de conhecimento dos
colaboradores em SIC
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
4 4 44 RA MINIMIZAR
Esp
ecif
icação
Especificação do software a ser desenvolvido,
preferencialmente de uma forma
matematicamente rigorosa
Deficiê
ncia
s
Org
aniz
acio
nais
Falta de Pessoal Falta de conhecimento dos
colaboradores em SIC
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
4 4 44 RA MINIMIZAR
Conhecimento insuficiente das
políticas, normas
Falta de conhecimento dos colaboradores
Perda dos preceitos de
confidencialidade, 4 4 44 RA MINIMIZAR
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 75 de 77
e procedimentos de segurança
integridade e disponibilidade de
Segurança da Informação
relacionados ao processo
Arq
uit
etu
ra Construção das
especificações detalhadas para o projeto selecionado (interfaces,
banco de dados, hardware, etc)
Danos
Inte
ncio
nais
Malware
Ausência de controle sobre uso de dispositivos de
armazenamento removível nas estações
Vazamento de informações
sensíveis 5 3 53 RA MINIMIZAR
Gerê
nc
ia d
e P
roje
tos
Arq
uit
etu
ra Construção das
especificações detalhadas para o projeto selecionado (interfaces,
banco de dados, hardware, etc) F
alh
a H
um
ana
Descumprimento das políticas de
segurança
Falta de conhecimento dos colaboradores
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
5 3 53 RA MINIMIZAR
Uso imprórpio dos recursos de
TI
Falta de expertise dos colaboradores
Perda de dados
5 3 53 RA MINIMIZAR
Danos à integridade dos
dados
Vazamento de informações
sensíveis
Problemas com fornecedores e
terceiros
Falta de conhecimento das políticas de segurança da informação e regras de conduta por parte dos
fornecedores e terceiros que atuam na área
Perda de dados
5 3 53 RA MINIMIZAR
Danos à integridade dos
dados
Vazamento de informações
sensíveis
Administração imprópria de
sistemas
Falta de documentação nos sistemas desenvolvidos
internos e externos
Atraso nas saídas do processo devido
aos erros de integração durante manutenções ou
melhorias, devido à falta de
informações
5 3 53 RA MINIMIZAR
Manipulação imprópria dos
dados e informações de
Concessão indevida de acessos aos sistemas e
bases de dados.
Perda de confidencialidade
dos dados do projeto ou processo
5 3 53 RA MINIMIZAR
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 76 de 77
sistemas e processos
Deficiê
ncia
s
Org
aniz
acio
nais
Acesso não autorizado a
ambiente restrito
Medidas de controle de acesso insuficientes
Presença de funcionarios e terceiros não autorizados e
desacompanhados fora do horário do
expediente
5 3 53 RA MINIMIZAR
Uso não autorizado de
direitos
Não remoção permissão de acessos dos colaboradores
ao mudar de função
Perda de confidencialidade
dos dados do projeto ou processo
5 3 53 RA MINIMIZAR
Falha na gestão de processos
Falta de procedimentos e conhecimento
Impacto na entrega dos produtos
5 3 53 RA MINIMIZAR
Falta de Pessoal Falta de conhecimento dos
colaboradores em SIC
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
5 4 54 RA MINIMIZAR
Conhecimento insuficiente das
políticas, normas e procedimentos
de segurança
Não realização de treinamentos em segurança da informação por parte dos
colaboradores
Perda dos preceitos de
confidencialidade, integridade e
disponibilidade de Segurança da
Informação relacionados ao
processo
5 4 54 RA MINIMIZAR
Gerê
nc
ia d
e P
roje
tos
Arq
uit
etu
ra Construção das
especificações detalhadas para o projeto selecionado (interfaces,
banco de dados, hardware, etc) Fa
lhas T
écnic
as
Falha da infraestrutura de
rede e comunicações
Pontos de rede ativos expostos em baias vazias,
permitindo que colaboradores ou terceiros utilizem
equipamentos infectados na rede
Perda de dados
5 4 54 RA MINIMIZAR
Danos à integridade dos
dados
Vazamento de informações
sensíveis
Falha na infraestrutura
elétrica
Colaboradores da área trabalhando em locais que não possuem infraestrutura elétrica adequada (falta de nobreak, gerador e rede
estabilizada)
Perda de dados
5 4 54 RA MINIMIZAR
Danos à integridade dos
dados
Atraso nas saídas do processo
BBTS - Planejamento Estratégico de Tecnologia da Informação 2017-2021
#pública
PETI 2017-2021 Página 77 de 77
Falha de hardware
Falta de manutenção e atualização periódica de
hardware das estações de trabalho
Perda de dados
5 3 53 RA MINIMIZAR Configuração de hardware insuficiente ou incompatível com as tarefas realizadas
pela equipe
Danos à integridade dos
dados
Paralização parcial ou total do processo
Vulnerabilidade de hardware
Firmware desatualizado (roteadores e switches)
Perda de dados
5 3 53 RA MINIMIZAR
Firmware desatualizado (hardware de servidores)
Danos à integridade dos
dados
Falha de software
Configuração inadequada do serviço de atualização do sistema operacional das estações, que as reinicia automaticamente ao após
aplicar patches, sem qualquer aviso ou interação do usuário
Perda de dados
5 3 53 RA MINIMIZAR Danos à
integridade dos dados
Vulnerabilidade de software
Uso de ferramentas não homologadas ou não
licenciadas adequadamente
Perda de dados 5 3 53 RA MINIMIZAR Atraso nas saídas
do processo