Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional Mário Lavado itsmf Portugal

•

Workshop

•

Maturidade da Governação e Gestão de TI

em Portugal

•

Inquérito Nacional 2011

•

Mário Lavado

•

itSMF Portugal

Agenda

•

Apresentação dos resultados do estudo de maturidade do ITSM &

ITGovervance em Portugal - Mário Lavado (itSMF Portugal)

•

Governance das TIC na Administração Pública – André Vasconcelos

(AMA)

•

Apresentação da versão 2011 da norma ISO20000 e modo de integração

com o IT Governance - Susana Velez (Onlyconcept)

Maturidade da governação e gestão de TI em

Portugal

Inquérito, a nível nacional, com 48 questões no total (nesta apresentação, apenas um

excerto), destinado a avaliar o estado actual do Governação das TI, Gestão dos

Serviços de TI e da Segurança da Informação

Iniciativa da itSMF Portugal e com a colaboração da APDSI, ISACA Lisbon Chapter

e Instituto Superior Técnico.

Disponibilizado aos associados da itSMF Portugal e da APDSI, entre os dias 20 e 31

de Julho de 2011

Disponibilizado através da Rede Interministerial para as TIC, a representantes dos

vários Ministérios, entre os dias 18 e 31 de Julho de 2011

Foram preenchidos 122 inquéritos (90 com todas as questões respondidas, 81%

destes oriundos do sector público)

Executivos de nível estratégico (CEO, CFO, COO, MD ou equivalente), decisores de

topo para as TI, responsáveis operacionais pelas TI, assessores, docentes

Iniciativas planeadas para os próximos 12 meses

0% 10% 20% 30% 40% 50% 60% Iniciativas de Green IT / sustentabilidade

Outsourcing de serviços de TI Alterar os acordos internos de custeio das TI Iniciativas relacionadas com dados / informação Iniciativas suportadas pelas TI para conformidade com

regulamentação

Iniciativas de gestão dos riscos das TI Iniciativas de redução dos custos das TI Grandes implementações ou upgrades de sistemas de TI Grandes iniciativas de infra-estruturas de TI

0%

10%

20%

30%

40%

50%

60%

70%

Sector Público

Sector Privado

Iniciativas de Green IT / sustentabilidade Outsourcing de serviços de TI Alterar os acordos internos de custeio das TI (p.ex. implementar a cobrança dos serviços de TI aos departamentos) Iniciativas relacionadas com dados / informação Iniciativas suportadas pelas TI para conformidade com regulamentação Iniciativas de gestão dos riscos das TI Iniciativas de redução dos custos das TI Grandes implementações ou upgrades de sistemas de TI Grandes iniciativas de infra‐estruturas de TI

Factores mais importantes para a governação

efectiva das TI

0%

10%

20%

30%

40%

50%

60%

70%

Sector Público

Sector Privado

Frameworks/standards relacionados com a

governação das TI (p.ex., COBIT, ISO 38500)

Outras boas práticas, frameworks /standards de

TI (p.ex., ITIL)

Toolkits para suportar a implementação ou a

melhoria da governação das TI

Capacidades de benchmarking

White papers ou outra investigação sobre

governação das TI

Certificações relacionadas com a governação

das TI (p.ex., CGEIT)

Networking presencial (conferências,

seminários, workshops)

Networking por via electrónica (e‐conferências,

redes sociais, comunidades de interesse, fóruns

de discussão)

Não sei

0%

10%

20%

30%

40%

50%

60%

Sector Público

Sector Privado

Nós  achamos  que não é importante

Entendemos  é uma ques tão a ter em

conta, mas  es tamos  apenas  a avaliar o

que necess ita de s er realizado

Nós  entendemos  e estamos

cons cientes que é algo importante e

temos  um conjuntos de medidas ad

hoc em prática

Nós  temos  medidas  de avaliação de IT

Governance bem definidas e process os

implementados

Nós  temos  em prática uma boa

governação dos  process os  IT e um

sistema de medição de desempenho

em vigor

Os  proces s os  relacionados com IT

Governance s ão melhorados

continuamente baseado na

performance e avaliação res ultados

Não s ei

Frameworks e standards em que se baseia

o modelo de gestão das TI

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% COBIT

Val IT Risk IT IT Assurance Framework ISO 17799, ISO 27000, Information Security Framework ou

outros standards de segurança

ITIL ou ISO 20000 ITIL ISO 20000 ISO 38500 PMI/PMBOK Six Sigma CMMI for Services CMM ou CMMI

Grau de implantação das frameworks e standards

(itSMF Portugal)

Resultados das práticas de IT Governance

0% 10% 20% 30% 40% 50% 60% 70% Melhoria da gestão dos riscos ligados às TI

Melhoria no retorno dos investimentos em TI Redução de custos de TI Melhoria da transparência no uso das TI e suas actividades Melhoria da comunicação e das relações entre a área de

negócio e das TI

Melhoria no rastreamento e melhoria na performance das TI Melhoria na inovação através de TI Melhoria na entrega de valor dos objectivos de negócio pelas

TI

Melhoria na competitividade do negócio Nenhuma das mencionadas

0%

10%

20%

30%

40%

50%

60%

70%

Sector Público

Sector Privado

Mel hori a  da  ges tã o dos  ri s cos  l i ga dos  à s

TI

Mel hori a  no retorno dos  i nves ti mentos  em

TI

Reduçã o de cus tos  de TI

Mel hori a  da  tra ns pa rênci a  no us o da s  TI e

s ua s  a cti vi da des

Mel hori a  da  comuni ca çã o e da s  rel a ções

entre a  á rea  de negóci o e da s  TI

Mel hori a  no ra s trea mento e mel hori a  na

performa nce da s  TI

Mel hori a  na  i nova çã o a tra vés  de TI

Mel hori a  na  entrega  de va l or dos

objecti vos  de negóci o pel a s  TI

Mel hori a  na  competi ti vi da de do negóci o

Nã o s ei

Desafios na implementação de mecanismos de IT

Governance

0% 10% 20% 30% 40% 50% 60% 70% Gestão da mudança

Problemas de comunicação Falta de apoio e compromisso da gestão de topo Dificuldade na demonstração de valor e benefícios Obtenção da necessária participação das áreas de negócio Ineficaz governação actual da organização Alto níveis de complexidade organizacional Tentar fazer muitas coisas ao mesmo tempo Não sei Nenhuma das mencionadas

0%

10%

20%

30%

40%

50%

60%

70%

Sector Público

Sector Privado

Ges tã o da  muda nça

Ques tões  de comuni ca ções

Fa l ta  de a poi o e compromi s s o da s  pos i ções

de chefi a

Di fi cul da de na  demons tra çã o de va l or e

benefíci os

Recol ha  de pa rti ci pa çã o neces s á ri a  na  á rea

de negóci o

Governa çã o i nefi ca z  da  orga ni za çã o

Al to nívei s  de compl exi da de orga ni za ci ona l

(model o opera ci ona l , orga ni za ci ona l )

Tenta r fa zer mui ta s  coi s a s  a o mes mo

tempo

Nã o s ei

Situação do Cloud Computing

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Para serviços TI missão-não-critica (itSMF Portugal)

Para serviços TI missão-não-critica (ITGI/ISACA) Para serviços TI missão-critica (itSMF Portugal) Para serviços TI missão-critica (ITGI/ISACA)

0%

10%

20%

30%

40%

50%

60%

Sector Público

Sector Privado

Planeado

Não planeado

Não sei

Principais motivos para a não utilização de Cloud

Computing

0% 10% 20% 30% 40% 50% 60% 70% Preocupações de segurança

Preocupações de privacidade dos dados Preocupações de conformidade Preocupações de fiabilidade Investimentos em infra-estrutura legacy Outros

Iniciativas implementadas em 2009 ou 2010 para

responder ao abrandamento económico

0% 10% 20% 30% 40% 50% 60% Redução do número de funcionários

Redução do número de prestadores de serviços Consolidação de sites/centro de dados Consolidação de infra-estruturas (servidores, redes,

etc.)

Redução de licenciamento de aplicações Consolidaçãodo portfólio aplicacional Optimização do porfólio de projectos Implementados indicadores para avaliação dos

investimentos

Centralização na compra de TI Redefinição dos SLAs com os prestadores de serviços

externos

Redefinição dos SLAs com o negócio Investir em tecnologias que permitam reduzir custos Reorganização da política de aquisições Alteração da abordagem de IT Govenance Nenhuma das referidas Não sei

ITGI/ISACA itSMF Portugal

Utilização das redes sociais pelos colaboradores

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Os benefícios superam os riscos

Os riscos superam os benefícios Os riscos e benefícios estão

equilibrados

Não sei

Grau de implementação das actividades

de IT Service Management

-30 -20 -10 0 10 20 30 40 50 60 Ge stão d e Acessos Ge stão Fin anceira Resposta a Pe dido s Ge stão d e In cid entes G e s tã o de S e g u ra n ç a da I n fo rm aç ão Ge stão d e Prob lemas Ge stão d e Forneced ore s Repo rting do s Serviços Avaliação Ge stão d a Co ntinuid ade d o s Serviço s de TI Ge stão d e Re leases e De ploymen ts G e s tã o de A lte ra çõ es Med içã o dos Serviços Ge stão d a Ca pacida d e Ge stão d e Co

nfigurações de Activos e…

G e s tã o de N íve is de S e rv iço Gestão da Disponibilidade Teste e Valida ç ã o de Serviços Ge stão d e Even to s Ge stão d o Ca tá logo d e Se rviços Ge stão d o Co nhe c imen to Ge st ão d e Ne ce ss ida des Ges tão do P o rtfolio de Serviç os Plane ame n to e Su porte de Transição G e ra çã o da Es tr at ég ia

•itSMF Portugal      itSMF International

Grau de implementação das ferramentas

de suporte ao IT Service Management

0 10 20 30 40 50 60 Incidentes Monitorização Alterações Problemas Configurações Workflow Eventos e Alertas Documentos Projectos Escalada Níveis de Serviço Catálogo Financeiro de Serviços Dashboard de SLA’s Discovery Capacidade Collaborativas Disponibilidade Desenho de Serviços Modelação Acessos Implementada Em curso Planeada Não planeada

•itSMF International

•

itSMF Portugal

Planos para certificação ISO/IEC 20000-1 e 27001

0% 10% 20% 30% 40% 50% 60% 70% Sim, ainda este ano

Sim, nos próximos 2 anos Sim, dentro de 3 a 5 anos Não planeia

Responsabilidades de gestão da segurança da

informação

Não existe formalmente uma grupo para a segurança da informação. Não existe um gestor da segurança a tempo inteiro ou grupo central de membros responsáveis pela segurança

Foram definidas e implementadas algumas responsabilidades ao nível da segurança, mas a coordenação é limitada e não existe um gestor a tempo inteiro para a segurança. As funções de segurança são efectuadas em part-time. As responsabilidades ao nível da se

As responsabilidades ao nível da segurança encontram-se razoavelmente bem definidas e implementadas. Existe um responsável/gestor da segurança a tempo inteiro. A maioria das responsabilidades ao nível da segurança foi atribuída.

As responsabilidades ao nível da segurança, foram completamente definidas e implementadas. Existe um responsável/gestor da segurança a tempo inteiro e membros permanentes da equipa de segurança. As responsabilidades ao nível da segurança foram claramente

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Sector Público

Sector Privado

Não existe formalmente uma grupo para a segurança da informação. Não existe um gestor da segurança a tempo inteiro ou grupo central de membros responsáveis pela segurança Foram definidas e implementadas algumas responsabilidades ao nível da segurança, mas a coordenação é limitada e não existe um gestor a tempo inteiro para a segurança. As funções de segurança são efectuadas em part‐time. As responsabilidades ao nível da se As responsabilidades ao nível da segurança encontram‐se razoavelmente bem definidas e implementadas. Existe um responsável/gestor da segurança a tempo inteiro. A maioria das responsabilidades ao nível da segurança foi atribuída. As responsabilidades ao nível da segurança, foram completamente definidas e implementadas. Existe um responsável/gestor da segurança a tempo inteiro e membros permanentes da equipa de segurança. As responsabilidades ao

Situação formal das Políticas e Normas

de Segurança da Informação

Não existe uma política de segurança formal, normas ou quaisquer outros documentos para a organização

Algumas políticas e normas estão documentadas e distribuídas, no entanto não estão formalizadas

Existem políticas de segurança de informação formais e normas, e são do conhecimento da organização. No entanto estão

desactualizadas e/ou são omissas em áreas chave

Existem políticas de segurança de informação formais, padrões e normas, são do conhecimento da organização, e são alvo de actualizações contínuas

0%

10%

20%

30%

40%

50%

60%

70%

Sector Públ i co

Sector Pri va do

Nã o exi s te uma  pol íti ca  de s egura nça

forma l , norma s  ou qua i s quer outros

documentos  pa ra  a  orga ni za çã o

Al guma s  pol íti ca s  e norma s  es tã o

documenta da s  e di s tri buída s , no enta nto

nã o es tã o forma l i za da s

Exi s tem pol íti ca s  de s egura nça  de

i nforma çã o forma i s  e norma s , e s ã o do

conheci mento da  orga ni za çã o. No enta nto

es tã o des a ctua l i za da s  e/ou s ã o omi s s a s

em á rea s  cha ve

Exi s tem pol íti ca s  de s egura nça  de

i nforma çã o forma i s , pa drões  e norma s ,

s ã o do conheci mento da  orga ni za çã o, e

s ã o a l vo de a ctua l i za ções contínua s

Conclusões

Os resultados comparativos com outros países

(ITGI/ISACA e itSMF Internacional) confirmam a

esperada menor maturidade das organizações

portuguesas

Os resultados comparativos entre sector público e

privada contrariam algumas das convicções tradicionais

...

Propostas

Elaboração de um relatório detalhado, para divulgação

aos associados do itSMF, apdSI, ISACA e aos

participantes até ao final do ano

Reedição do inquérito em 2012, contemplando eventuais

sugestões dos associados e participantes

Equipa

Mário Lavado (Vogal da Direcção “Qualificação e

Certificação”)

•

Luís Azevedo (Secção Técnica de IT Governance)

•

Sergio Sá (Secção Técnica de Segurança da Informação)

Agradecimentos:

•

Jorge Araújo (Instituto Superior Técnico)

•

Bruno Soares (ISACA Lisbon Chapter, Presidente)