A partir do estudo desses requisitos, as ferramentas selecionadas anteriormente, foram novamente analisadas em busca da conformidade e o resultado obtido pode ser visualizado na tabela 4.6, constante do Apêndice A, desta pesquisa.
Capítulo 5
Análise e Especificação de Requisitos
e Critérios para uma Ferramenta que
atenda à demanda do contexto
5.1
Especificação da nova ferramenta
A análise de risco de uma infraestrutura de tecnologia de informação proposta para a pesquisa seria uma que, ao invés de ter como ponto focal as vulnerabilidades técnicas, teria como foco os detalhes técnicos pertinentes a uma contratação de bens ou serviços. Assim, fatores como atualizações de drivers de componentes físicos, atualização de licenças de software, ou ainda varreduras para verificação de portas de comunicação, que deveriam estar configuradas de um modo ou de outro, não são requisitos essenciais desta pesquisa. O levantamento dos requisitos de um sistema, software ou framework deve ser listado pela necessidade de se avaliar o grau de prioridade que a atenção a um determinado ativo tenha ou não para ser observado pelo gestor de TI. Essa observação seria objeto de outra análise, agora puramente para investimentos.
A decisão de qual tipo de investimento fazer depende agora de quanto recurso pode ser alocado ao ativo que tem a prioridade de investimento. As ações sobre um ativo variam de acordo com a natureza do ativo. O Guia de Boas Práticas em Contratações de Soluções de TI, expedido pela SLTI do MPOG – indica no art, 4o, da Instrução Normativa IN
04/2014 [8], o seguinte:
Art. 4o As contratações de que trata esta IN deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnolo- gia da Informação – PDTI. § 1o O PDTI deverá estar alinhado à EGTI e ao plano estratégico institucional e aprovado pelo Comitê de Tecno- logia da Informação do órgão ou entidade. § 2o Inexistindo o PDTI, o órgão ou entidade deverá proceder à sua elaboração, observando, no que couber, o Guia de Elaboração de PDTI do SISP, acessível no Portal do SISP. § 3o Inexistindo o plano estratégico institucional, sua ausên-
cia deverá ser registrada no PDTI e deverá ser utilizado um documento equivalente, como o Plano Plurianual – PPA. (2014)
Assim, após terem sido estabelecidas as prioridades dos ativos de rede, elas devem ser submetidas ao previsto na IN 04 e precedidas de planejamento. e para executar esta fase, é necessário cumprir as seguintes etapas:
• instituição da equipe de planejamento da contratação; • estudo técnico preliminar da contratação;
• análise de riscos; e
• elaboração do termo de referência ou projeto básico.
A etapa de estudo técnico preliminar da contratação deve ser realizada pelos integrantes Técnico e Requisitante, e é composta pela definição e especificação das necessidades do negócio e tecnológicas e do levantamento de requisitos necessários para a correta escolha da solução de tecnologia da informação a ser contratada ou adquirida.
Tendo como premissa a necessidade de encontrar uma ferramenta de análise de risco para a tomada de decisão de investimentos na área de tecnologia da informação (ativos de rede), os requisitos necessários a uma ferramenta seriam os estabelecidos e, contidos no plano de definição de software.
5.1.1
Objetivos
A especificação dos requisitos deve conter o conjunto de ações que devem ser atendidas pelo software de análise de risco com ênfase em investimentos de tecnologia da informação, de forma que satisfaça as necessidades do gestor de TI do órgão, assim como estabelecer o escopo do produto a ser futuramente desenvolvido.
O público-alvo desse conjunto de requisitos são os clientes (gestores de TI e desenvolve- dores do provável software).
5.1.2
Escopo do software
O produto não possui um nome determinado, mas seria um software composto por um componente único, cuja finalidade destina-se ao apoio aos gestores de TI na análise de risco de ativos de rede com ênfase em investimentos.
5.1.3
Limites do software
• o software não realizará análise de riscos voltadas a vulnerabilidades dos ativos; • o software não realizará inventário de ativos de rede automaticamente através de
agentes ou plug-ins;
• o software não possuirá um módulo de ajuda online. No entanto, contará com um manual de uso;
• o software não realizará back-up das suas bases de dados automaticamente. As rotinas de back-up deverão ser realizadas pela administração de dados dos órgãos. • o software não realizará indicação sobre qual tipo de investimento deve ser realizado
no ativo. Ele apenas indicará qual o ativo que deve ser priorizado para investimento. Convém destacar que, no processo de contratação, de acordo com a IN 04/2014, na etapa de estudo técnico preliminar da contratação é que será decidido qual a linha de ação a ser tomada com relação ao ativo.
5.1.4
Benefícios esperados do Software
O software irá proporcionar uma lista de prioridades dos ativos a serem observados, sob a óptica de investimento. Seus cálculos possibilitarão ao Gestor se basear em critérios matemáticos bem definidos e alinhados com suas perspectivas financeiras.
É importante destacar que a ferramenta utiliza o método de análise hierárquica (AHP) para mensurar os valores indicados para cada ativo. Assim, fica evidente que o software agregará qualidade no processo decisório, se comparado com processos puramente empí- ricos utilizados no cotidiano da maioria dos órgãos públicos da APF.
Os itens, que se seguem nesse capítulo, apresentam os requisitos e critérios que atendam à demanda do contexto. Todos os requisitos e critérios estão inseridos no Plano de Definição de Software, detalhado adiante.