terça-feira, 16 de junho de 2009

ANÁLISE DA SITUAÇÃO ATUAL DA TI NA APF

I. Ausência de planejamento estratégico institucional em vigor
a) MÓDULO - 2006:
É grande o número de companhias (33%) que não sabem quantificar as perdas ou sequer identificar os responsáveis pelo problema (21%). O motivo pode ser a falta de um planejamento formal de segurança, que muitas destas empresas não possuem (35%) ou usam há apenas um ano (31%).
b) TCU – 2008
Um percentual expressivo dos 255 órgãos/entidades pesquisados (47% ) não tem planejamento estratégico institucional em vigor. O fato de haver planejamento estratégico institucional não garante que haverá planejamento estratégico institucional de TI. Em 40% das organizações que dispunham do primeiro, não havia o segundo.
II. Ausência de comitê diretivo de TI
a) MÓDULO – 2006:
Por conta desta dificuldade em apontar responsáveis, as companhias acabam se dedicando apenas a corrigir a falha (48%), quando descoberta, ou tomam providências internas (25%), acionando por conta própria o causador do problema. Quando conseguem identificar os responsáveis, as empresas descobrem que a maioria das falhas de segurança é causada por funcionários (24%) e hackers (20%) e que problemas como vírus (15%), spam (10%) e fraudes (8%) são os que mais causam danos financeiros.
b) TCU – 2008:
Menos de um terço (32%) dos órgãos/entidades pesquisados declararam possuir um comitê diretivo de TI ou algo equivalente. Por não haver um fórum competente para discussão, as decisões sobre investimentos em TI correm maior risco de serem equivocadas e levarem ao desperdício de recursos, e ainda de não estarem alinhadas aos objetivos da organização.
III. Quantidade reduzida de servidores na área de TI
a) MÓDULO – 2006 :
O maior motivador para a tomada de decisões visando à segurança é o nível de consciência dos executivos e usuários (31%), segundo os pesquisados.
B) TCU – 2008:
Uma quantidade expressiva de órgãos/entidades (95%) informou que possui algum servidor do seu quadro atuando na área de TI. É importante ressaltar que não existe uma resposta definitiva na literatura especializada, nem em estatísticas, para a questão de quanto podemos terceirizar. Uma grande quantidade de terceirizados e de outros colaboradores, no entanto, representa um aumento do risco organizacional.
Além desses problemas identificados tanto por uma empresa privada quanto pelo TCU, este último também listou os seguintes:
Ausência de política de segurança da informação em vigor.
Ausência de plano de continuidade de negócios em vigor.
Ausência de gestão de mudanças.
Ausência de gestão de acordos de níveis de serviços prestados internamente.
Ausência de gestão de acordos de níveis de serviços contratados externamente.
Ausência de processo formal de trabalho para contratações de TI.
Ausência de análise de custo/benefício da solução de TI contratada.
Não-exigência de demonstrativo de formação de preço antes da adjudicação do contrato.
Ausência de processo formal de trabalho para gestão de contratos de TI
Não-realização de reuniões periódicas para avaliar o andamento dos contratos de TI.

Nenhum comentário: