Quanto ganham os diretores de TI no Brasil

Por Tatiana Americano, da CIO e Computerworld

O levantamento da Robert Half aponta também que, neste ano, as empresas têm demandado profissionais com um perfil mais estratégico.

Um levantamento divulgado pela empresa de recrutamento de executivos Robert Half aponta que, em 2010, a remuneração paga aos diretores de TI no Brasil teve um incremento. Pela pesquisa, no caso de grandes empresas, o salário inicial de um executivo em posição de direção varia entre 18 mil reais e 22 mil reais, enquanto que, em 2009, esse valor era de 17 mil reais a 20 mil reais.

Já no caso de empresas consideradas de pequeno e médio portes, o salário médio de um diretor de TI iniciante varia hoje entre 10 mil reais e 15 mil reais. No ano passado, o mesmo levantamento apontava que a remuneração desses profissionais estava entre 9 mil reais e 13,5 mil reais.

“Não foi um aumento absurdo, mas é interessante”, analisa a especialista em recrutamento de tecnologia da Robert Half, Maria Paula Menezes. Ela acredita que o salário reflete um pouco as políticas de retenção dos profissionais implementadas pelas companhias e que incluem uma série de incentivos, entre eles, uma remuneração atraente.

Maria Paula relata também que, junto com um incremento nos salários, tem acompanhado outro movimento importante entre as empresas instaladas no País. “Elas têm buscado profissionais de TI com visão estratégica de negócios”, pontua a especialista. “Há muito tempo se fala sobre isso, mas agora vem acontecendo na prática”, complementa.

Entre os requisitos mais buscados nos gestores e diretores de TI estão capacidade de entender como as demais áreas de negócio das organizações funcionam. Uma competência que, segundo a especialista, pode ser obtida com a experiência prática ou a partir do interesse dos executivos em aprender.

Guia Salarial Robert Half 2010


Diretores de TI (grandes empresas*):

Experiência de 0-2 anos – R$ 18 mil a R$ 22 mil

Experiência de 3-5 anos – R$ 19,5 mil a R$ 24 mil

Experiência de 6-9 anos – R$ 22 mil a R$ 32,5 mil

Experiência de 10-15 anos – R$ 26 mil a R$ 22 mil

Experiência de mais de 15 anos – R$ 30 mil a R$ 45 mil

*Com faturamento a partir de R$ 500 milhões


Diretores de TI (pequenas e médias empresas**)

Experiência de 0-2 anos – R$ 10 mil a R$ 15 mil

Experiência de 3-5 anos – R$ 12 mil a R$ 17 mil

Experiência de 6-9 anos – R$ 14 mil a R$ 19 mil

Experiência de 10-15 anos – R$ 16,5 mil a R$ 22 mil

Experiência de mais de 15 anos – R$ 18 mil a R$ 25 mil

**Com faturamento de até R$ 500 milhões

Gestão de TI - Questões de Concurso

(Cespe TCU/2009 – 193) Constituem métricas que apoiam diretamente o alcance do objetivo de controle sobre processos de TI: o percentual de papéis da organização de TI com posição e responsabilidades documentadas; e a quantidade de unidades organizacionais não apoiadas pela organização de TI, mas que deveriam sê-lo, conforme apresenta a estratégia organizacional. Tal objetivo de controle pertence ao domínio de planejamento e organização do COBIT.

Bom... o ideal para respondermos essa questão seria sabermos as todas as métricas dos 34 processos definidos pelo COBIT, porém isso é simplesmente impossível!

Vamos iniciar a análise pela parte final da questão. Para isso, primeiramente, precisamos saber quais são os domínios definidos pelo COBIT. Conceito básico!

Relembrando...

• Planejar e Organizar (PO) - Provê direção para entrega de soluções (AI) e entrega de serviços (DS)

• Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços

• Entregar e Suportar (DS) - Recebe as soluções e as torna passíveis de uso pelos usuários finais

• Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida.

Percebam que a questão exige apenas que saibamos se as métricas descritas pertencem ao domínio de planejamento e organização sem nos questionar o processo especificamente. Assim fica um pouco mais fácil.

Em qual domínio a métrica de “percentual de papéis da organização de TI com posição e responsabilidades documentadas” seria mais útil?

Acredito que essa informação seria utilizada para o planejamento e priorização de ações para ampliar a definição de papéis e responsabilidades dentro da organização, concordam? Dessa forma, o domínio de planejamento e organização é o mais adequado para contemplar tal métrica.

Analogamente, em qual domínio a métrica “quantidade de unidades organizacionais não apoiadas pela organização de TI” seria mais útil?

Essa informação é essencial para o planejamento e redirecionamento dos investimentos da TI junto às áreas de negócio. Portanto, aparece mais uma vez o domínio de planejamento e organização do COBIT.

Questão CORRETA!

A título de informação seguem as métricas do processo PO4 - Definir os Processos, Organização e Relacionamentos de TI pertencente ao domínio Planejar e Organizar (PO):

-Percentual de funções com posições e descrições de autoridade documentadas;

-Número de unidades/processos de negócios não suportados pela organização de TI, mas que deveriam ser suportados de acordo com a estratégia;

-Número de atividades centrais de TI realizadas fora da organização de TI e que não são aprovadas ou submetidas aos padrões organizacionais de TI

Resposta do gabarito definitivo: C

Gestão de TI - Questões de Concurso

(Cespe TCU/2009 – 192) O gerenciamento de recursos trata do gerenciamento apropriado de recursos críticos de TI, os quais são processos, pessoas, aplicações, infraestrutura e informação.

Essa foi de graça! São conceitos básicos!

O COBIT considera recursos de TI apenas quatro elementos:

1)Aplicativos são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações.

2)Informações são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios.

3)Infraestrutura refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos.

4)Pessoas são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário.

Os processos utilizam recursos de TI para atingirem certos objetivos.

Portanto, a questão está ERRADA!

Resposta do gabarito definitivo: E

Gestão de TI - Questões de Concurso

(Cespe TCU/2009 – 170) Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.

Mais uma decoreba!

Conforme a ISO 27001, a documentação do SGSI deve incluir:

a) declaração da política do sgsi documentada e objetivos;

b) o escopo do sgsi;

c) procedimentos e controles que suportam o sgsi;

d) uma descrição da metodologia de avaliação de risco;

e) o relatório de avaliação de risco;

f) o plano de tratamento de risco;

g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, operação e controle de seus processos de segurança de informação, e descrever como medir a efetividade dos controles;

h) registros requeridos por esta Norma; e

i) a Declaração de Aplicabilidade.

Devem ser mantidos registros do desempenho do processo como esboçado e de todas as ocorrências de incidentes de segurança significativos relacionados ao SGSI.

São exemplos de registros os livros de visitantes, relatórios de auditoria e formulários de autorização de acesso completo.

Questão CORRETA!

Resposta do gabarito definitivo: C

Gestão de TI - Questões de Concurso

A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue os itens 169 e 170.

(Cespe TCU/2009 – 169) No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005.

Para responder essa questão temos conhecer o alinhamento da ISO 27001 (Sistema de Gestão de Segurança da Informação - SGSI) com a ISO 27005 (Gestão de Riscos de Segurança da Informação). A primeira parte da questão afirma que “o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005”.

De acordo com a tabela abaixo extraída da ISO 27005, fica clara a sobreposição do subsistema de planejamento do SGSI (lado esquerdo) com o processo de Definição do contexto da ISO 27005 (lado direito). Até aqui a questão está correta.

Dica: Esta tabela é de suma importância!

Na segunda parte da questão, a banca faz, literalmente, um teste de memória! Não adianta reclamar... faz parte!

Afirma que “..bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005.”

Rememoremos:

Saída do subsistema de Planejamento (ISO 27001): Dentre outras, aceitar os riscos conscientemente e objetivamente, provendo a satisfação clara às políticas da organização e aos critérios para aceitação de risco.

Saída do processo de Aceitação do Risco de Segurança da Informação (ISO 27005): Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os critérios normais para aceitação do risco.

Logo, a questão está CORRETA!

Resposta do gabarito definitivo: C

Gestão de TI - Questões de Concurso

Pessoal,

Com o intuito de auxiliar os colegas que estão se preparando para o concurso TCU/2010 da área TI farei alguns comentários sobre questões relacionadas à gestão de TI.

Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os próximos itens.

(Cespe TCU/2009 – 168) A alta gestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de identificação de riscos, de definição do contexto e de análise crítica de riscos.

Conforme a ISO 27005, o processo de gestão de riscos de segurança da informação pode ter as atividades de análise/avaliação de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterativo na execução da análise/avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se uma análise/avaliação de riscos. Se ela fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração da análise/avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (ver figura, Ponto de Decisão 1).

A eficácia do tratamento do risco depende dos resultados da análise/avaliação de riscos. É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nesta situação, pode ser necessária uma outra iteração da análise/avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para a análise/avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos.

Dessa forma, fica evidente que a influência da alta gestão da organização é mais relevante no ponto de decisão 2, momento em que são tomadas decisões a exemplo da aceitação de riscos residuais ou a realização de uma outra iteração para análise/avaliação de riscos, impactando na elevação de custos. Portanto, a questão deve ser considerada ERRADA!

Resposta do gabarito definitivo: E

Gestão de TI - Questões de Concurso

Pessoal,

Com o intuito de auxiliar os colegas que estão se preparando para o concurso TCU/2010 da área TI farei alguns comentários sobre questões relacionadas à gestão de TI.

Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os próximos itens.

(Cespe TCU/2009) - 167 Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.

Comentário:

Segundo a ISO 27005, uma metodologia para a estimativa de riscos pode ser qualitativa, quantitativa ou uma combinação de ambas, dependendo das circunstâncias. Na prática, a estimativa qualitativa é frequentemente utilizada em primeiro lugar para obter uma indicação geral do nível de risco e para revelar os grandes riscos. Depois, poderá ser necessário efetuar uma análise quantitativa ou mais específica, nos grandes riscos. Isso ocorre porque normalmente é menos complexo e menos oneroso realizar análises qualitativas do que quantitativas.

A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequências potenciais (por exemplo: Pequena, Média e Grande) e a probabilidade dessas consequências ocorrerem. Uma vantagem da estimativa qualitativa é sua facilidade de compreensão por todas as pessoas envolvidas. Por outro lado, uma desvantagem é a dependência à escolha subjetiva da escala.

A estimativa quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na estimativa qualitativa) tanto para consequências quanto para a probabilidade, usando dados de diversas fontes. A qualidade da análise depende da exatidão e da integralidade dos valores numéricos e da validade dos modelos utilizados. A estimativa quantitativa, na maioria dos casos, utiliza dados históricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização. Uma desvantagem é a falta de tais dados sobre novos riscos ou sobre fragilidades da segurança da informação. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditáveis não estão disponíveis. Nesse caso, a exatidão da análise/avaliação de riscos e os valores associados tornam-se ilusórios.

Abstraindo sobre a possibilidade de erro ortográfico na comparação da análise quantitativa com ela mesma vamos à análise:

Note que o examinador contextualiza a questão indicando que se trata do início da adoção da gestão de riscos em uma determinada organização. Ora, qual é a metodologia para estimativa de riscos mais adequada para uma organização que está no início do processo de adoção da gestão de riscos? Certamente, seria a menos complexa e onerosa, ou seja, a metodologia qualitativa.

O trecho: “..sobretudo quando os ativos no escopo apresentam elevada intangibilidade” também nos remete a concluir que a análise qualitativa é mais indicada pela provável insuficiência de valores numéricos e/ou dados históricos. Dessa forma, a questão deve ser considerada ERRADA!

Resposta do gabarito definitivo: E