Governança de TIC: Gestão de orçamento
A questão de priorizar os projetos na área de TIC – (prioridade de atuação na área de TIC x orçamento disponível), sempre será um desafio para os gestores de TIC, visto que as demandas por melhorias, inovação, segurança, projetos sistêmicos, dentre outros, muitas vezes serão maiores do que o orçamento disponível e/ou aprovações da alta administração.
O ideal é que a área de TIC estruture suas demandas, projetos e evolução dentro de um Plano Diretor de TI (PDTI), desta forma, a TIC começa a atuar conforme as boas práticas de mercado e inicia o famoso ‘Alinhamento Estratégico entre TI e Negócio’, visto que, o PDTI apresenta não somente uma fotografia da situação área de TIC, mas também, o seu direcionamento e evolução para os próximos anos, sempre alinhado aos objetivos estratégicos do negócio.
Mesmo sem o PDTI, é possível realizar algumas ações pontuais para uma melhor assertividade no momento de definir prioridades, conforme o exemplo:
Cenário: O gestor de TIC possui um orçamento que permite aprovar somente um dos três projetos a seguir:
- Revitalização da estrutura de backup – Troca da autoloader de backup e suas fitas LTO, utilização de backup incremental na nuvem e formalização do backup por meio de um processo de backup, contemplando seus jobs, procedimentos operacionais, matriz RACI, etc.
- Implantação de um novo firewall corporativo – O firewall atual não possui funcionalidades que firewalls corporativos possuem, tais como, melhor gestão e controle das regras de navegação; perfis de acesso; IPS/IDS, VPN com IPSEC, antivírus; melhor suporte do fabricante; dentre outros.
- Estruturação da Política de Segurança da Informação (PSI) – Atualmente, a empresa não possui nenhuma PSI formalizada, e as ações de segurança da informação são feitas pontualmente após algum tipo de incidente no ambiente. Cenário 100% reativo e com baixa aderência dos colaboradores.
Os três cenários apresentados são considerados de extrema importância para qualquer empresa atualmente, o que torna o desafio do gestor de TIC ainda maior. A seguir, algumas ações que podem ser realizadas para definir as prioridades de atuação.
O primeiro passo seria levantar os números para tomada de decisão:
- Na parte de backup, levante se o cenário atual atende as demandas do negócio, podendo contemplar: Volume atual de backup x capacidade do backup; tempo de recuperação das informações (RTO); periodicidade do backup (RPO); quantidade de falhas e/ou erros na realização de backup e na realização de restore; principais problemas, reclamações; riscos envolvidos; dentre outros.
- Na parte do firewall, levante informações de mercado sobre as funcionalidades, benchmarking com outras empresas, quantidade de incidentes de SI originados pelo meio externo, o quanto a empresa está exposta ao risco de incidentes de Segurança da Informação, quais seriam os impactos de acessos não autorizados, ausência de logs (conformidade), etc.
- Na parte da Política de Segurança da Informação (PSI), podem ser realizados, por exemplo, testes de phishing para validar o nível de maturidade dos colaboradores em relação à Segurança da Informação; mapeamento dos principais controles em não conformidade; riscos de segurança envolvidos nas operações rotineiras, quais processos de SI estão formalizados e outros.
O próximo passo é entender a visão da empresa perante estes cenários, podendo ser realizada a seguinte atividade:
Pesquisa de satisfação dividida em duas frentes (operacional e estratégico). Na pesquisa operacional, desenvolva perguntas para que o colaborador apresente o nível de satisfação perante o cenário.
- Exemplo: Como você avalia o nível de qualidade que a área de TIC apresenta em relação ao backup? Se você já precisou solicitar recuperação de arquivos, todas as vezes foram recuperados com êxito?
- Satisfação A (muito alto) B (Alto) C (Médio) D (Baixo) E (Muito Baixo).
- Criar um campo comentários, como opcional.
Repetir o mesmo conceito do exemplo anterior, para os demais cenários que você deseja obter um feedback dos colaboradores em geral.
Já para as pesquisas com o nível estratégico, recomendo mesclar perguntas fechadas do tipo apresentado anteriormente, com perguntas abertas, ou seja, que tenham respostas discursivas, desta forma, é possível obter um resultado mais aprimorado com insights interessantes.
- Exemplo: (Vamos seguir a linha do backup para simplificar o artigo). Atualmente, o backup é realizado uma vez por dia, o que resulta em uma possibilidade de perder até 24 horas de informação (RPO), e o tempo de recuperação do ambiente atual seria em torno de 30 horas (RTO). Este cenário atende as necessidades da sua área? Qual seria o impacto para o negócio, caso ocorresse um incidente e necessitasse recuperar o backup nestas condições apresentadas?
- Satisfação A (muito alto) B (Alto) C (Médio) D (Baixo) E (Muito Baixo).
- Informe nos comentários qual seria o impacto para sua área/negócio e qual seria o cenário ideal para evitar impactos indesejados ao negócio.
Repetir o mesmo conceito do exemplo anterior, para os demais cenários que você deseja obter uma visão do nível tático e estratégico da empresa.
Após realizar as duas etapas (coletar as informações iniciais e ter o feedback do nível operacional e estratégico por meio das pesquisas de satisfação), será necessário consolidar estas informações em indicadores para o negócio. Estes indicadores e informações relevantes, devem ser apresentadas a alta administração, a qual irá direcionar qual projeto deve ser iniciado com maior prioridade e/ou aprovar novos investimentos com base no trabalho realizado. Esta decisão também deve levar em conta sempre a questão de “riscos envolvidos x mitigação”, “investimento x retorno” x “projeto realizado x nível de maturidade atingido”, dentre outros fatores importantes para a tomada de decisão estratégica.
Para finalizar, o Plano Diretor de TI (PDTI) pode auxiliar nestas frentes de estruturação para tornar a área de TIC mais estratégica e alinhada aos objetivos estratégicos do negócio.
A PDCA TI possui expertise em projetos de Segurança da Informação. Clique aqui para conhecê-los