Governança de TIC: Gestão de orçamento

A questão de priorizar os projetos na área de TIC – (prioridade de atuação na área de TIC x orçamento disponível), sempre será um desafio para os gestores de TIC, visto que as demandas por melhorias, inovação, segurança, projetos sistêmicos, dentre outros, muitas vezes serão maiores do que o orçamento disponível e/ou aprovações da alta administração.

O ideal é que a área de TIC estruture suas demandas, projetos e evolução dentro de um Plano Diretor de TI (PDTI), desta forma, a TIC começa a atuar conforme as boas práticas de mercado e inicia o famoso ‘Alinhamento Estratégico entre TI e Negócio’, visto que, o PDTI apresenta não somente uma fotografia da situação área de TIC, mas também, o seu direcionamento e evolução para os próximos anos, sempre alinhado aos objetivos estratégicos do negócio.

Mesmo sem o PDTI, é possível realizar algumas ações pontuais para uma melhor assertividade no momento de definir prioridades, conforme o exemplo:

Cenário: O gestor de TIC possui um orçamento que permite aprovar somente um dos três projetos a seguir:

1. Revitalização da estrutura de backup – Troca da autoloader de backup e suas fitas LTO, utilização de backup incremental na nuvem e formalização do backup por meio de um processo de backup, contemplando seus jobs, procedimentos operacionais, matriz RACI, etc.
2. Implantação de um novo firewall corporativo – O firewall atual não possui funcionalidades que firewalls corporativos possuem, tais como, melhor gestão e controle das regras de navegação; perfis de acesso; IPS/IDS, VPN com IPSEC, antivírus; melhor suporte do fabricante; dentre outros.
3. Estruturação da Política de Segurança da Informação (PSI) – Atualmente, a empresa não possui nenhuma PSI formalizada, e as ações de segurança da informação são feitas pontualmente após algum tipo de incidente no ambiente. Cenário 100% reativo e com baixa aderência dos colaboradores.

Os três cenários apresentados são considerados de extrema importância para qualquer empresa atualmente, o que torna o desafio do gestor de TIC ainda maior. A seguir, algumas ações que podem ser realizadas para definir as prioridades de atuação.

O primeiro passo seria levantar os números para tomada de decisão:

• Na parte de backup, levante se o cenário atual atende as demandas do negócio, podendo contemplar: Volume atual de backup x capacidade do backup; tempo de recuperação das informações (RTO); periodicidade do backup (RPO); quantidade de falhas e/ou erros na realização de backup e na realização de restore; principais problemas, reclamações; riscos envolvidos; dentre outros.
• Na parte do firewall, levante informações de mercado sobre as funcionalidades, benchmarking com outras empresas, quantidade de incidentes de SI originados pelo meio externo, o quanto a empresa está exposta ao risco de incidentes de Segurança da Informação, quais seriam os impactos de acessos não autorizados, ausência de logs (conformidade), etc.
• Na parte da Política de Segurança da Informação (PSI), podem ser realizados, por exemplo, testes de phishing para validar o nível de maturidade dos colaboradores em relação à Segurança da Informação; mapeamento dos principais controles em não conformidade; riscos de segurança envolvidos nas operações rotineiras, quais processos de SI estão formalizados e outros.

O próximo passo é entender a visão da empresa perante estes cenários, podendo ser realizada a seguinte atividade:

Pesquisa de satisfação dividida em duas frentes (operacional e estratégico). Na pesquisa operacional, desenvolva perguntas para que o colaborador apresente o nível de satisfação perante o cenário.

• Exemplo: Como você avalia o nível de qualidade que a área de TIC apresenta em relação ao backup? Se você já precisou solicitar recuperação de arquivos, todas as vezes foram recuperados com êxito?
  • Satisfação A (muito alto) B (Alto) C (Médio) D (Baixo) E (Muito Baixo).
  • Criar um campo comentários, como opcional.

Repetir o mesmo conceito do exemplo anterior, para os demais cenários que você deseja obter um feedback dos colaboradores em geral.

Já para as pesquisas com o nível estratégico, recomendo mesclar perguntas fechadas do tipo apresentado anteriormente, com perguntas abertas, ou seja, que tenham respostas discursivas, desta forma, é possível obter um resultado mais aprimorado com insights interessantes.

• Exemplo: (Vamos seguir a linha do backup para simplificar o artigo). Atualmente, o backup é realizado uma vez por dia, o que resulta em uma possibilidade de perder até 24 horas de informação (RPO), e o tempo de recuperação do ambiente atual seria em torno de 30 horas (RTO). Este cenário atende as necessidades da sua área? Qual seria o impacto para o negócio, caso ocorresse um incidente e necessitasse recuperar o backup nestas condições apresentadas?
  • Satisfação A (muito alto) B (Alto) C (Médio) D (Baixo) E (Muito Baixo).
  • Informe nos comentários qual seria o impacto para sua área/negócio e qual seria o cenário ideal para evitar impactos indesejados ao negócio.

Repetir o mesmo conceito do exemplo anterior, para os demais cenários que você deseja obter uma visão do nível tático e estratégico da empresa.

Após realizar as duas etapas (coletar as informações iniciais e ter o feedback do nível operacional e estratégico por meio das pesquisas de satisfação), será necessário consolidar estas informações em indicadores para o negócio. Estes indicadores e informações relevantes, devem ser apresentadas a alta administração, a qual irá direcionar qual projeto deve ser iniciado com maior prioridade e/ou aprovar novos investimentos com base no trabalho realizado. Esta decisão também deve levar em conta sempre a questão de “riscos envolvidos x mitigação”, “investimento x retorno” x “projeto realizado x nível de maturidade atingido”, dentre outros fatores importantes para a tomada de decisão estratégica.

Para finalizar, o Plano Diretor de TI (PDTI) pode auxiliar nestas frentes de estruturação para tornar a área de TIC mais estratégica e alinhada aos objetivos estratégicos do negócio.

A PDCA TI possui expertise em projetos de Segurança da Informação. Clique aqui para conhecê-los