Mostrar mensagens com a etiqueta Segurança. Mostrar todas as mensagens
Mostrar mensagens com a etiqueta Segurança. Mostrar todas as mensagens

terça-feira, novembro 21, 2017

O que é um PMO?

Os Project Management Office (PMO) estão nas notícias sobre a mudança nas organizações sobretudo nos setores financeiros e de tecnologia. OK, não terá lido sobre isso no seu jornal. Enquanto os PMOs existem há muito tempo, a incorporação desta estrutura nas metodologias de gestão foi um grande passo em frente para o reconhecimento do trabalho que eles fazem. E eles fazem muito mais do que apenas produzir relatórios.

O papel do PMO

Um PMO é a espinha dorsal de uma abordagem bem-sucedida de gestão de projetos numa organização. É uma função que fornece informações de suporte à decisão, embora não tome por si nenhuma decisão. Um PMO sustenta os mecanismos de realização do projeto garantindo que todas as mudanças de negócio numa organização são geridas de forma controlada. Os PMO com maior maturidade oferecem:
  • Governação: garantir que as decisões sejam tomadas pelas pessoas certas, com base nas informações certas. O papel da governação também pode incluir revisões de auditoria ou de pares, desenvolvimento de estruturas de projetos e programas e garantia de responsabilidade.
  • Transparência: fornecendo informações com uma única fonte da verdade. As informações devem ser relevantes e precisas para apoiar a tomada de decisões efetivas.
  • Reutilização: impedir que as equipes do projeto reinventem a roda ao ser um ponto central para lições aprendidas, modelos e melhores práticas.
  • Suporte de entrega: facilitando a tarefa das equipes de projeto, reduzindo a burocracia, fornecendo formação, orientação e garantia de qualidade.
  • Rastreabilidade: fornecendo a função de gestão de documentação, histórico de projetos e conhecimento organizacional.

Então, o que significa isto na prática realmente? As equipes do PMO cumprem uma variedade de funções no dia-a-dia, incluindo:
       Reunir dados sobre o progresso do projeto e produzir relatórios
       Desenvolvimento de padrões e processos
       Incentivar (ou impor, quando necessário) o uso dessas normas e processos
       Gerir recursos para projetos
       Realização de formação e disponibilidade de mentores de membros da equipe do projeto
       Gerir dependências em vários projetos
       Rastreamento de benefícios
       Relatórios sobre informações financeiras, como o retorno sobre o investimento.

Como parte disto, o PMO também é o guardião das ferramentas de Gestão de Projetos da empresa e métodos de gestão de projetos. Haverá um especialista (ou vários) no PMO que pode suportar, normalmente, os gestores de projetos e suas equipes no uso de qualquer software relacionado com o projeto.

Diferentes tipos de PMO

Os PMOs parecem diferentes nas diferentes organizações, como seria de esperar. Um estudo recente realizado pela ESI descobriu que quase 60% das empresas possuem mais de um PMO, de modo que a descentralização é de longe a norma.
Mais de um terço dos PMOs tem mais de 10 membros da equipe, e a localização do PMO é dividida uniformemente entre TI, outra função de negócios e no nível corporativo, para que os PMOs possam ser encontrados praticamente em qualquer lugar numa organização.

Em algumas empresas, os gestores de projetos informam diretamente ao PMO, embora isso não seja tão comum quanto imagina. Mais da metade dos gestores de projetos nas empresas pesquisadas pela ESI reportam em outro lugar. A crescente maturidade da função PMO significa que é provável que, no futuro, vejamos mais e mais gestores de projetos informando no PMO, o que, por sua vez, proporciona uma melhor oportunidade para padronização e incorporação de ferramentas e processos.
O PMO pode ser uma função central que reporta ao Conselho, ou pode ser um departamento dentro de uma divisão. Você pode ter um modelo de hub-and-spoke com um PMO central e unidades divisórias em diferentes locais. O PMO pode até ser uma equipe temporária, agrupada para apoiar um grande programa. Pode incorporar um centro de excelência para formação e padrões, ou que pode ser separado. Em suma, há uma série de maneiras diferentes para um PMO operar, e todos eles têm o objetivo de proporcionar eficiências operacionais e apoiar a entrega bem-sucedida de mudanças.

Em suma

Seja qual for o modelo que escolher para o PMO, obter a implementação corretamente fará, sem dúvida, a diferença entre uma função que aumenta o sucesso dos projetos e uma que apenas se concentra em relatórios retrospetivos. Um PMO maduro pode realmente ajudar uma organização a aproveitar ao máximo as ferramentas, os métodos e a equipe qualificada que eles possuem, assegurando que todos esses recursos sejam utilizados da melhor maneira possível para apoiar os objetivos estratégicos da organização.

Traduzido e adaptado de Ten Six

quinta-feira, junho 14, 2012

Proteger e servir

Vem esta conversa a propósito de estar 3 dias a falar sobre a auditoria das TI e a dificuldade de manter o investimento quando a auditoria é utilizada para garanntir que é suficiente a proteção em posição.

Este lema é certamente bom para as TI, como para outras actividades mais ‘bélicas’. Ouvimos dizer muito este lema, por que parece ser o lema da polícia dos EUA e soa como uma coisa das «berças» que se usa nos filmes.

Quando olhamos para as TI parece-nos que estas só existem para criar novas respostas de TI para satisfazer as necessidades do negócio. De facto, isto não é verdade!

Servir sabemos que é o seu propósito mas também protegem.

O Departamento Financeiro não existe somente para encontrar dinheiro para quaisquer que sejam as necessidades do negócio. O departamento financeiro também existe para se preocupar com a saúde e a segurança da organização. Por vezes o departamento financeiro irá resistir a novas iniciativas simplesmente porque a organização não tem possibilidade para as custear. Esta então faz tudo para que a sua posição seja escalada para o Executivo ou para o Conselho de Administração para este decidir se prossegue ou não contra a opinião do responsável financeiro.

Da mesma forma, o departamento de TI existe para proteger os interesses das TI, dos responsáveis da organização, ao mesmo tempo que servem os seus clientes e os utilizadores. Os dois interesses algumas vezes não se alinham. A fixação corrente no Cliente – o culto do Cliente – pode ser errada e perigosa. O departamento de TI deve proteger os activos de TI da organização. Esta actividade inclui:

· A própria informação, a sua confidencialidade, integridade e disponibilidade;

· O investimento nos sistemas existentes para gerir, suportar e usar a informação;

· A capacidade para implementar sistemas novos e alterados: arquitectura, análise, desenho, desenvolvimento e implementação.

Algumas vezes, não é do melhor interesse da organização abandonar estes investimentos ou aumentar os riscos para a confidencialidade, integridade e disponibilidade da informação, de forma a responder a novas necessidades para novas TI para os clientes ou, por outro lado, por que o departamento financeiro considera que não há dinheiro para os custear.

Em qualquer dos casos, as TI devem resistir (aconselhar em desfavor) à mudança e escalar para o Executivo ou para o Conselho de Administração para este decidir se prossegue ou não.

As TI não podem ser encaradas só como um centro de custo, pelo contrário, se as suas principais actividades têm a ver a defesa da informação avultam sempre as destinadas ao prosseguimento do investimento e em apoio e resposta às necessidades dos seus clientes – o negócio. Sem este esforço de investimento, a resposta do negócio ao ambiente seria inadequada e impediria a obtenção dos resultados positivos que permitem a afirmação e desenvolvimento da organização.

Luis Quintino

segunda-feira, novembro 14, 2011

Quanto tempo para implementar a ISO 27001

Esta é a segunda pergunta mais comum no que respeita à implementação da ISO 27001. A primeira é, evidentemente, «quanto é que vai custar?». Bem, mas a resposta não é muito encorajante – porque a maioria das pessoas acha que se faz num par de meses. Só que isto não é realista – a duração mais aproximada se tudo correr bem é: cerca de 1 ano.

Claro que se pode continuar a produzir 50 documentos com fluxos, regras e normas em alguns dias e reclamar que temos regras em conformidade com a norma ISO 27001, mas isto não é aquilo que importa. O que queremos falar é sobre a implementação que faz sentido, que produz resultados – um menor número de incidentes, crescimento da eficiência, poupança de custos, etc.image

Tempo para as fases de PLANEAR e FAZER

O esforço principal da implementação será gasto nas fases de Planear e fazer, ou seja, nas primeiras fases mandatórias nas quais são realizadas a avaliação de risco e análise de impacto no negócio e nas quais todos os controlos (incluindo os planos da continuidade do negócio) são implementados. A duração para estas duas fases depende, em primeiro lugar, da dimensão da organização.

  • Organizações mais pequenas (até 50 colaboradores) normalmente implementam o standard em 8 meses.
  • Organizações médias (até 500 colaboradores) implementam o standard de 8 a 12 meses.
  • Organizações grandes (mais de 500 colaboradores) a implementação leva de 12 a 15 meses.

As companhias que arrastam estes projectos demasiado tempo, não conseguem terminar – em tais organizações nunca há suficiente reconhecimento da importância do standard, e assim os recursos financeiros e humanos dedicados ao projecto nunca são suficientes.

Quando falamos de tempo de implementação é importante referir que o trabalho de implementação da ISO 77001 e da ISO 25999 não termina com as fases Planear e Fazer – estes sistemas de gestão necessitam ser mantidos e melhorados (fases Verificar e Agir), o que significa que o trabalho na segurança da informação e na continuidade de negócio não é uma vez mas sim contínuo. Contudo, o esforço para manter e melhorar o sistema de gestão é bem menor que o necessário nas duas primeiras fases.

As coisas que aceleram a implementação

A duração que referimos acima depende de muitos factores, mas geralmente os seguintes factores irão acelerar a implementação:

Realizar a implementação como um projecto – se souber com exactidão quais são os objectivos, quem é o responsável e por quê, se os recursos estiverem dispo níveis e quais são os resultados, não só irá acelerar o processo, mas também aumentará as usas oportunidades de sucesso.

Se já tiver a ISO 9001 ou outro sistema de gestão – os standards não são diferentes de outros sistemas de gestão, o que permite utilizar alguns dos procedimentos e processo existentes e poupar entre 20 a 30% de tempo.

Se já possuir a funcionar muitos dos procedimentos e políticas de segurança / continuidade de negócio – a oportunidade de que a documentação existente seja aceitável para a ISO 27001/25999 irá reduzir o tempo de implementação; também por que já possui na organização uma compreensão acerca da segurança da informação e continuidade de negócio.

Possuir os modelos de documentação adequados – não quero dizer quaisquer modelos de documentação, mas modelos na própria língua, apropriados para a dimensão da companhia e feitos para o propósito das ISO 27001 e 25999. Os modelos livres da internet obrigam à tradução e adaptação, com frequentes revisões.

Possuir o conhecimento – este pode obter-se através da leitura, formação pessoal, cursos online, ou pela contratação de um consultor; sem o conhecimento o seu projecto irá levar mais tempo, e provavelmente nunca será concluído.

A última mas certamente a primeira – o apoio e compromisso da gestão – se este não for obtido e se não for comprometido efectivamente em recursos e em dinheiro, o projecto irá demorar mais ou será concluído mesmo antes de começar.

Em conclusão – a implementação de standards com o estes toma muito tempo o que força a que se faça com este propósito em mente. Se a implementação for realizada de forma superficial ou sem objectivos claros, não irá somente perder uma quantidade de tempo mas também perder uma oportunidade para ajudar a companhia a melhorar e a crescer.

LQ