Professional Documents
Culture Documents
AQUISIÇÃO DE SOLUÇÃO DE
ANTIVIRUS
Versão 1.0
Página 1 de 37
SUMÁRIO
ANÁLISE DE RISCO - AR 30
1. INTRODUÇÃO 30
2. ESTRATÉGIA DE GERENCIAMENTO DE RISCOS 30
3. TABELA DE TRATAMENTO DE RISCO 32
4. ASSINATURAS 35
ANEXOS 36
ESTUDO TÉCNICO
PRELIMINAR - ETP
Página 3 de 37
1. DESCRIÇÃO DA SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO
A presente análise tem por objetivo verificar a viabilidade técnica e do fornecimento de solução
centralizada de Antivírus Corporativo com garantia de atualização contínua, serviços de treinamento,
implantação, manutenção preventiva e suporte técnico especializado 24x7, pelo período de 36 (trinta e seis)
meses para a segurança e proteção do ambiente de TIC da SECRETARIA DE SAÚDE DO DISTRITO FEDERAL,
bem como fornecer informações necessárias para subsidiar o respectivo processo de contratação.
2.1. Caracteriza-se como comum, pois os padrões de desempenho e de qualidade podem ser
objetivamente definidos com base em especificações usuais no mercado, conforme Acórdão nº
2.471/2008-TCU-Plenário. Assim sugere-se a adoção da modalidade pregão.
2.2. Esse instrumento guarda observância à lei de licitações para contratação de serviços na
administração pública e ao Plano Diretor de Tecnologia da Informação.
2.3. Cabe salientar que a referida análise e elaboração desse instrumento não afasta a apreciação da
Consultoria Jurídica da Secretaria de Saúde do Distrito Federal.
Tal aquisição está prevista no PDTI 2019-2022, necessidades identificadas no quadro a seguir:
2.4. O quadro abaixo demonstra o alinhamento do PDTI
PDTI
ITEM
AÇÕES ESTRATÉGICAS DEMANDANTE
Equipar, modernizar e dar suporte à infraestrutura de CTINF
A7
computadores e de rede nas unidades de saúde. FHB
Modernizar e ampliar a infraestrutura de TIC das unidades de
A11 CTINF
saúde.
A19 Implantar a Política de Segurança da Informação da SES-DF. CTINF
CTINF
Definir e Implantar serviços de segurança da informação, incluindo
A20 SAIS
o serviço continuado de Certificação Digital.
SUGEP
A23 Implantar solução para garantir a continuidade dos serviços de TIC. CTINF
3. NECESSIDADES DE NEGÓCIO
3.1. Ao longo dos anos a Secretaria de Saúde do Distrito Federal tem investido em serviços e recursos de
tecnologia da informação e comunicação, de forma a assegurar o desempenho de suas atividades
institucionais, possibilitando o tratamento e segurança de um grande e variado volume de informações
em constante crescimento e com complexas integrações sistêmicas.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
3.2. A evolução da complexidade das demandas e soluções inerentes às atividades institucionais,
decorrentes do desafio de Gestão do Ambiente de TIC, exige uma adequação e constante atualização das
medidas que visam proteger e assegurar a segurança, qualidade e desempenho dos serviços prestados,
de forma contínua e interrupta.
3.3. A pretendida contratação faz-se indispensável, pois visa prover segurança, proteção e automação do
monitoramento da rede da Secretaria de Saúde do Distrito Federal e de suas respectivas unidades, de
forma a minimizar e, em grande parte, coibir a contaminação dos serviços e sistemas informatizados por
programas ou atividades digitais maliciosas, contribuindo para a garantia do nível mínimo adequado e
desejado de proteção dos dados e informações do Órgão.
3.4. É fundamental manter recursos tecnológicos que garantam a segurança dos dados e informações de
propriedade ou sob custódia das áreas de negócio Secretaria de Saúde do Distrito Federal, haja vista a
necessidade precípua de proteção de tais ativos, de grande valor para a Secretaria, contra os mais
diversos tipos de ameaças, conforme estabelecido nas diretrizes da Política de Segurança da Informação
e Comunicações – POSIC do SES.
3.5. A aquisição da solução de antivírus centralizada permitirá que as áreas responsáveis pela
administração dos recursos de Infraestrutura de Tecnologia da Informação da SES mantenham os níveis
exigidos de segurança das informações trafegadas em rede e os controles e políticas necessárias para
certificar que tais informações estão sendo acessadas e manipuladas somente por pessoas autorizadas.
Tal fato resulta em otimização da infraestrutura de segurança dos dados armazenados na instituição e,
também, provê serviços com confidencialidade para as informações trafegadas e armazenadas nas
estações de trabalho e nos mais diversos sistemas corporativos da SES e suas unidades.
3.6. A solução de antivírus corporativo atual adotada é composta de uma dashboard centralizada e
software de proteção antivírus instalado nas estações de trabalho, computadores portáteis, dispositivos
móveis e servidores do ambiente de TIC da Secretaria de Saúde.
3.7. Apesar da solução de antivírus corporativo atual encontrar-se instalada no ambiente de TIC, o
contrato garantia de atualização contínua (vacinas) e suporte técnico especializado está vencido,
impossibilitando a rotina de atualizações completas das políticas de segurança, vacinas e software de
gerenciamento, assim como o upgrade de toda a solução, já disponibilizada no mercado com novas
funções e políticas.
3.8. Sem o upgrade da versão da solução, a atualização das políticas e vacinas contra os novos vírus e
malwares ficam obsoletas, não garantindo cobertura completa da solução, além de deixar descobertos
os serviços de suporte especializado.
3.9. É essencial que os serviços de implantação, treinamento, manutenção preventiva e suporte
especializado da solução sejam contratados em conjunto para que o ambiente de TIC fique seguro e não
comprometa as informações inerentes ao funcionamento do negócio da Instituição, uma vez que
poderemos contar com o apoio de serviços especializados e necessários para a qualidade e preservação
do investimento.
Página 5 de 37
4. DETALHAMENTO DOS BENS E SERVIÇOS QUE COMPÕE A SOLUÇÃO
O gráfico acima considerou as seguintes funcionalidades dos produtos ofertados, em termos de categorias
de visão:
1. Capacidade de Prevenção e Detecção Antimalware;
2. Capacidade de Gerenciamento e disponibilização das informações;
3. Capacidade de Gerenciamento da aplicação;
4. Plataformas suportadas;
5. Inovação;
6. Estratégia Geográfica.
Neste quadrante, entende-se como Líder (Leaders) o conjunto de empresas que demostrou esforço
e um progresso equilibrado na execução de todas as categorias de visão apresentadas. As Desafiadoras
(Challengers) são aquelas empresas que possuem produtos antimalware sólidos que abordam as
necessidades fundamentais de segurança exigidos pelo mercado de massa. As visionárias (Visionaries) são
aquelas que investem em recursos inovadores como o malware avançado e recursos de proteção e
gerenciamento que serão significativos na próxima geração de produtos, com possibilidade de ofertar aos
compradores acesso antecipado a uma melhor segurança e gerenciamento. Por fim, as empresas de nicho
1
https://www.gartner.com/technology/about.jsp
Página 7 de 37
de mercado (Niche Player) oferecem soluções sólidas de antimalware, mas raramente lideram o mercado
em recursos ou funções.
Diante desta breve análise do mercado de soluções de proteção centralizada antimalware, constata-
se que o mercado é diversificado, está aquecido com a entrada de novos players, apesar de manter o mesmo
grupo de empresas líderes em comparação aos últimos 4 anos.
Contudo, o rápido ritmo de inovação das soluções requer uma revisão da postura das contratantes
com vistas a reduzir o grau de dependência tecnologia ou contratual a determinada solução.
Além disso, depreende-se dessa análise de mercado que as funcionalidades apresentadas pelas
soluções antimalware são comuns a diversos tipos de produtos, possibilitando ampla competitividade e
diversidade na oferta de diferentes soluções com resultados e benefícios similares.
O modelo de negócio adotado pelo mercado de antivírus consiste na venda da subscrição do produto
com direito a atualização do software período pré-definido, além da prestação de serviços correlatos, tais
como suporte técnico, instalação e treinamento.
Uma vez contratada a subscrição, o modelo de negócio deste tipo de solução apresenta um
mecanismo de fidelização por meio de renovações mediante descontos pré-definidos que variam de
fabricante para fabricante.
Com vistas a verificar o eventual ganho na adoção dessas políticas de descontos mediante renovação
das licenças, colacionou-se, no gráfico e tabela a seguir, de diversos fabricantes os respectivos preços
praticados na aquisição e na renovação para soluções similares de End Protection.
Gráfico 1 – Custo de renovação vs custo de aquisição (por usuário) entre algumas soluções de mercado Gartner 2017
CUSTO DE AQUISIÇÃO CUSTO DE RENOVAÇÃO REDUÇÃO DO CUSTO DA
POR USUÁRIO (U$) POR USUÁRIO (U$) RENOVAÇÃO
TREND MICRO ENTERPRISE SECURITY FOR ENDPOINTS 31,98 24,55 23%
ADVANCED 3 YEAR
5.1.1. Cenário 1
5.1.1.1. Descrição: Contratação de empresa especializada para a renovação de assinatura
(subscription) de 200 (duzentas) licenças de uso de software da suíte McAfee Complete Endpoint
Protection Enterprise. Commented [I3]: Este não é o objeto do Pregão 004/2019 do
CFMV. O processo foi de aquisição e não de renovação
5.1.1.2. Fornecedor: Conselho Federal de Medicina Veterinária – Pregão Nº 004/2019
5.1.1.3. Análise da Solução: Aderente.
5.1.2. Cenário 2
5.1.2.1. Descrição: RENOVAÇÃO e AQUISIÇÃO DE LICENÇAS ANTIVIRUS E DE LICENÇAS ANTISPAM. Commented [I4]: Acho que seria interessante considerar
contratações exclusivamente de antivírus e não com outra solução
5.1.2.2. Fornecedor: Procuradoria Geral de Justiça do Estado de Roraima – Pregão Nº 00011/2018 (antispam) agregada
(SRP)
5.1.2.3. Análise da Solução: Aderente.
Página 9 de 37
5.1.3. Cenário 3
5.1.3.1. Descrição: Licenças de solução corporativa de antivírus, em conformidade com o Termo
de Referência e demais exigências do Edital.
5.1.3.2. Fornecedor: Secretaria de Estado de Planejamento e Gestão – Nº 00125/2018 (SRP)
5.1.3.3. Análise da Solução: Aderente.
6. SOLUÇÃO ESCOLHIDA
Todos os cenários expostos são aderentes às necessidades da Secretaria de Saúde do Distrito Federal.
A equipe de planejamento da contratação constatou que a prática comum em órgãos públicos é a aquisição
da licença do software e o período de assinatura, que corresponde ao período que as vacinas serão
atualizadas para as novas ameaças incluindo serviços de instalação, repasse de conhecimento com
treinamento oficial, manutenção preventiva, suporte técnico on-site, garantia e atualização por 36 (trinta e
seis) meses.
7.1. Todos os espaços físicos, mobiliários e equipamentos necessários à boa execução contratual já estão
disponíveis no ambiente da CONTRATANTE, não necessitando adequação.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
8.1. A partir da análise dos modelos de contratação disponíveis e levando em consideração a evolução
tecnológica, o Secretaria de Saúde do Distrito Federal adquirirá a solução de Antivírus Corporativo or meio
de empresa que se responsabilize em fornecer os bens objetos deste instrumento, pois o Secretaria de
Saúde ganhará na economia de escala ao realizar a aquisição de maior vulto.
8.2. Cabe salientar que a compra pelo menor preço não significa a aquisição de produtos com baixa
qualidade, visto que a administração deverá definir especificações técnicas necessárias para o sucesso do
certame, sem restringir a competição.
8.3. A tabela abaixo descreve a justificativa para cada requisito de negócio especificado para esta
contratação.
PDTI
ITEM
AÇÕES ESTRATÉGICAS DEMANDANTE
A7 Equipar, modernizar e dar suporte à infraestrutura de CTINF
computadores e de rede nas unidades de saúde. FHB
Modernizar e ampliar a infraestrutura de TIC das unidades de CTINF
A11
saúde.
Implantar a Política de Segurança da Informação da SES- CTINF
A19
DF.
Definir e Implantar serviços de segurança da informação, incluindo CTINF
A20 o serviço continuado de Certificação Digital. SAIS
SUGEP
A23 Implantar solução para garantir a continuidade dos serviços de TIC. CTINF
O fornecimento deve ser provido por meio da implantação de tecnologia que possua capacidade de
gerenciar de forma centralizada os clientes instalados nas estações de trabalho, servidores e mobile,
utilizando-se de licença de software com função de Antivírus, Anti-Spyware, Firewall, Controle de
Dispositivos, Controle de Aplicações, entre outras.
As licenças que serão ativadas nos servidores de gerência deverão ser flutuantes entre, no mínimo, dois
nós em balanceamento de carga e caso isso não seja possível, cada um dos componentes deve ser
licenciado para que as funcionalidades permaneçam ativas no caso de indisponibilidade de um dos nós.
A solução que suportará os serviços deve ainda ser implantada no Datacenter do Secretaria de Saúde do
Distrito Federal e ativadas 15.000 licenças. Ainda neste contexto neste contexto de gerência centralizada
a implantação dos serviços deve contemplar a desinstalação completa de quaisquer soluções similares
atualmente existentes nas estações de trabalho do Secretaria de Saúde do Distrito Federal
Em resumo os serviços devem ser entregues de modo a prover segurança na camada de usuário,
mitigando riscos capazes de impactar a produtividade dos colaboradores do Secretaria de Saúde do
Página 11 de 37
Distrito Federal e degradar o desempenho dos sistemas e redes corporativas, sendo que o conjunto dos
requisitos especificados podem ser atendidos por meio de outros equipamentos e softwares.
Assim, a solução com função de proteção de Endpoint que será implantada deve suportar aos seguintes
requisitos mínimos:
9.1. Possuir uma única console de gerenciamento para gestão e configurações do antivírus,
antispyware, firewall, detecção de intrusão, controle de dispositivos, controle de aplicações e
criptografia de discos.
9.2. A solução deverá ter a capacidade de remoção do atual antivírus instalado e ser capaz de instalar
de forma remota o agente do antivírus pela console de gerenciamento;
9.3. O produto deverá possuir no mínimo os seguintes módulos e funcionalidades:
9.3.1. Console de gerenciamento fornecendo funcionalidades de gestão e configurações de
políticas;
9.3.2. Módulos para estações físicas, notebooks e servidores;
9.3.3. Módulo para ambientes virtualizados, sendo criado especialmente para ambientes virtuais;
9.3.4. Módulo para dispositivos móveis no mínimo para tablets e smarthpones com sistema
operacional iOS e Android;
9.3.5. Utilizar o conceito de heurística para combate e ações contra possíveis malwares;
9.3.6. Oferecer tecnologia onde a solução explore vulnerabilidades de softwares instalados no
intuito de reduzir o risco de infecções (anti-exploit);
9.3.7. Oferecer tecnologia nativa no intuito de eliminar ameaças que sequestram dados, do tipo
ransomware;
9.3.8. Oferecer inventário de softwares;
9.3.9. Oferecer tecnologia onde a solução teste arquivos potencialmente perigosos em ambiente
isolado antes da execução do mesmo no ambiente de produção;
9.3.10. Oferecer proteção por base de assinaturas (vacinas).
Página 13 de 37
9.4.2.7.1.4. Eventos de antimalware.
9.4.2.8. Deverá prover o acesso via HTTPS;
9.4.2.9. Deverá permitir a importação de certificados digitais;
9.4.2.10. O gerenciamento e a comunicação com dispositivos móveis deve ser feito de forma
segura utilizando certificados digitais.
9.4.3. Monitoramento
9.4.3.1. Baseado em “portlets” configuráveis com no mínimo as seguintes especificações:
9.4.3.1.1.1. Nome;
9.4.3.1.1.2. Tipo de relatório;
9.4.3.1.1.3. Alvo do relatório;
9.4.3.2. Deverá disponibilizar “portlets” para gerência e monitoramento de qualquer tipo de
endpoint, máquinas físicas, virtuais e dispositivos móveis.
9.4.5. Políticas
9.4.5.1. Modelo único para todos os equipamentos, sejam físicos ou virtuais;
9.4.5.2. Cada serviço de segurança deve ter seu modelo configurável de política com opções
específicas de ativar/desativar;
9.4.5.3. Através da console de gerenciamento o administrador poderá ser capaz de enviar
uma política única para configurar o antivírus;
9.4.5.4. Deverá configurar as funcionalidades como escaneamento do antivírus, firewall de
duas vias de detecção de intrusão, controle de acesso a rede, controle de aplicação, controle
de acesso web, criptografia (Windows, Mac e Android), localização de dispositivo (Mobile),
autenticação e ações para serem aplicadas em caso de vírus e dispositivos em não
conformidade.
9.4.6. Relatórios
9.4.6.1. Deverá apresentar as seguintes funcionalidades:
9.4.6.1.1.1. Relatório para cada serviço de segurança;
9.4.6.1.1.2. Facilidade de usar e visualização simplificada;
9.4.6.1.1.3. Agendamento, com opção de envio por e-mail para qualquer destinatário
conforme escolha do administrador;
9.4.6.1.1.4. Filtros de agendamento de relatórios;
9.4.6.1.1.5. Arquivo com todas as instâncias de relatório agendados;
9.4.6.1.1.6. Exportar o relatório nos formatos .pdf e/ou .csv;
9.4.6.1.1.7. Oferecer possibilidade de criar relatórios de maneira dinâmica no dashboard
da da console de gerenciamento.
9.5.5. Quarentena
9.5.5.1. Deverá permitir restauração remota, com configuração de localidade e deleção;
9.5.5.2. Criação e exclusão para arquivos restaurados;
9.5.5.3. Deverá permitir o envio automático de arquivos da quarentena para o laboratório de
vírus;
9.5.5.4. Deverá fazer a remoção automática de arquivos antigos, pré-definidos pelo
administrador;
9.5.5.5. Deverá permitir a movimentação do arquivo da quarentena para seu local original ou
outro destino que o administrador definir;
9.5.5.6. Deverá de forma automática criar exclusão para arquivos restaurados da quarentena;
9.5.5.7. Deverá permitir escanear a quarentena após a atualização de assinaturas.
9.5.8. Criptografia
9.5.8.1. Deverá oferecer:
9.5.8.1.1.1. Possibilidade de criptografia de disco através da mesma console de
gerenciamento do antivírus, seja em nuvem (cloud) ou local (on-premise);
9.5.8.1.1.2. Deverá utilizar quando necessário serviços de criptografia sem agentes
nativos da estação de trabalho seja baseada em Windows ou Mac;
9.5.8.1.1.3. Deverá solicitar autenticação quando iniciado o sistema operacional do
equipamento;
9.5.8.1.1.4. Deverá ser compatível com Mac OS X Moutain, Mavericks, Yosemite, Sierra.
9.5.9. Atualização
9.5.9.1. Após a atualização o administrador deverá ter a capacidade de configurar uma
reinicialização;
9.5.9.2. Possibilidade de utilizar um servidor local para efetuar as atualizações das estações
de trabalho;
9.5.9.3. Permitir atualizações de assinatura de hora em hora;
9.5.9.4. Permitir motor de varredura local, no servidor de rede ou em nuvem afim de
aumentar o desempenho da estação de trabalho quando a mesma estiver sendo escaneada.
9.6.2. Recursos
9.6.2.1. Permitir atribuir dispositivo com usuário do Active Directory;
9.6.2.2. A ativação do dispositivo da console de gerenciamento deverá ser através de um QR
code;
9.6.2.3. Os pacotes de instalação devem estar disponíveis nas lojas dos Sistemas
Operacionais;
9.6.2.4. Deverá permitir no mínimo as seguintes ações:
9.6.2.4.1.1. Impor bloqueio de tela e autenticação;
9.6.2.4.1.2. Desbloquear o dispositivo;
9.6.2.4.1.3. Restaurar as configurações de fábrica;
9.6.2.4.1.4. Localizar o Dispositivo;
9.6.2.4.1.5. Análise de dispositivos para o Sistema Operacional Android;
9.6.2.4.1.6. Criptografia de memória do dispositivo para o Sistema Operacional Android.
Página 21 de 37
9.7. SEGURANÇA DE E-MAILS
9.7.1.1. Fornecer proteção de antispam para ambiente com instalação local (on-premise) do
MS Exchange;
9.7.1.2. Oferecer análise comportamental e proteção para zero-day;
9.7.1.3. Oferecer proteção contra vírus e tentativas de phishing.
9.7.3. Do Treinamento
9.7.3.1. A capacitação deverá ser fornecida a no mínimo 08 (oito) colaboradores da área de
tecnologia da CONTRATANTE;
9.7.3.2. A capacitação deverá consistir em treinamento oficial em acordo com as políticas do
fabricante da solução fornecida;
9.7.3.3. Deverá ser ministrado por instrutor certificado na solução e deverá fornecer, para todos
os participantes, material didático oficial impresso ou eletrônico e em português;
9.7.3.4. O treinamento deverá ser realizado presencialmente, em infraestrutura disponibilizada
pela CONTRATANTE e deverá possuir carga horária mínima de 8 (oito) horas;
9.7.3.5. Após a realização da capacitação, a empresa deverá fornecer certificado de conclusão
para cada participante;
9.7.3.6. O treinamento deverá ser realizado no prazo máximo até 30 (trinta) dias corridos, após a
assinatura do contrato.
9.7.4. Da Implantação
9.7.4.1. Entende-se como fase em que se dará a instalação e configuração dos produtos, ou seja,
efetiva implementação do projeto especificado;
9.7.4.2. A instalação e testes dos produtos devem estar inclusos no custo do produto;
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.7.4.3. A implementação deverá ser realizada de tal forma que as interrupções no ambiente de
produção sejam as mínimas possíveis e estritamente necessárias, e, ainda, não causem
transtornos aos usuários finais do órgão;
9.7.4.4. A CONTRATADA deverá executar uma série de testes funcionais básicos para verificar o
perfeito funcionamento do ambiente. Estes testes deverão ser realizados nos componentes de
hardware e software envolvidos no projeto;
9.7.4.5. Durante a execução dos serviços, pelo menos um representante do CONTRATANTE
participará e fará composição na equipe designada para as atividades.
Não se aplica
Fiscal Técnico Servidor da Área de Tecnologia da Informação, indicado pela autoridade máxima dessa
área.
Fiscal Administrativo Servidor da área administrativa, indicado pela autoridade máxima dessa área.
Fiscal Requisitante Servidor da Área Requisitante da Solução, indicado pela autoridade máxima dessa área.
Profissional da
CONTRATADA responsável Especialista da CONTRATADA que será responsável pela instalação, configuração e testes
pela instalação e da ferramenta nos ambientes do CONTRATANTE.
configuração do produto
12.3.1. O item 1 terá garantia de 36 (meses) meses a partir da data de assinatura do contrato.
12.3.2. O item 2 terá garantia de 12 meses contados do recebimento definitivo e pagos
mensalmente respeitando os acordos de nível de serviço estabelecidos no termo de referência.
12.3.3. Durante o período acima mencionado, qualquer defeito, erro ou falha deverá ser
reparado sem ônus para o CONTRATANTE. Essa garantia deverá incluir todos os produtos e
serviços relacionados aos itens.
Página 25 de 37
12.3.4. Durante o período de garantia, todas as despesas com a equipe necessária para o
atendimento das demandas serão custeadas pela CONTRATADA.
12.3.5. A não resolução dos defeitos nos prazos estabelecidos neste instrumento ensejará
aplicação de sanções que deverão estar previstas no Termo de Referência.
13.1. A SECRETARIA DE SAÚDE DO DISTRITO FEDERAL tem a necessidade de definir uma Estratégia de
Independência. Neste contexto, com objetivo de adequar-se às políticas públicas do GDF, passou a exigir
em suas contratações a elaboração de uma Estratégia de Independência fundamentada nas boas práticas
tais como: ITIL, COBIT, PMBOK, ISO27001, além da Instrução Normativa nº 4/14, do MPOG.
13.2. Dessa forma, a CONTRATADA deverá documentar todos os processos e atividades pertinentes
durante a execução do contrato. Essa prática garantirá ao SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
continuidade do negócio em caso de interrupção do contrato.
14.1. No período de 6 (seis) meses antes do término do contrato, o órgão CONTRATANTE realizará uma
análise a respeito da vantajosidade de sua renovação da garantia dos itens.
14.2. Após o término do contrato, a CONTRATADA deverá retirar qualquer bem de que seja proprietária
e que, eventualmente, esteja no espaço do CONTRATANTE.
14.3. Após o término do contrato, o CONTRATANTE deverá cancelar os acessos a sistemas de informação
e às localidades que tenham sido disponibilizadas à CONTRATADA.
14.4. Qualquer pendência deverá ser resolvida entre as partes antes da data de conclusão do contrato.
Prevenção Contingência
Evento
Ação Responsável Ação Responsável
Equipe de
Descumprimento Fiscais e Gestor do
Previsão de Multa Planejamento da Aplicação de multa
das fases de serviço Contrato
Contratação
16.1. O presente planejamento foi elaborado em harmonia com a Instrução Normativa nº 4/2014 –
Secretaria de Tecnologia da Informação do Ministério do Planejamento, Desenvolvimento e Gestão
(SETIC/MP), bem como em conformidade com os requisitos técnicos necessários ao cumprimento das
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
necessidades e objeto da aquisição. O presente planejamento está em conformidade com os requisitos
administrativos necessários ao cumprimento do objeto e está de acordo com as necessidades técnicas,
operacionais e estratégicas do órgão.
16.2. No mais, atende adequadamente às demandas de negócio formuladas, os benefícios pretendidos
são adequados, os custos previstos são compatíveis e caracterizam a economicidade, os riscos envolvidos
são administráveis e a área requisitante priorizará o fornecimento de todos os elementos aqui
relacionados necessários à consecução dos benefícios pretendidos, pelo que recomendamos a aquisição
proposta.
16.3. Nos termos do § 1º do Art. 12 da IN 04/2014 SLTI/MP, o presente Estudo Técnico Preliminar é
aprovado e assinado pelos Integrantes Requisitante e Técnico da Equipe de Planejamento da
Contratação.
17. ASSINATURAS
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxx
Integrante Técnico
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxxxxx
Responsável pela Área de Tecnologia da Informação
Página 27 de 37
17.3. Integrantes Administrativos
A presente ETP está em conformidade com os requisitos administrativos necessários ao cumprimento
do objeto.
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxx
Integrante Administrativo
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxx
Integrante Requisitante
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxxxxxxx
Autoridade Competente da Área Requisitante
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
ANÁLISE DE RISCO - AR
Página 29 de 37
1. INTRODUÇÃO
1.1. A Análise de Riscos, conforme Art. 13 da IN 04/2014, permite identificar os riscos que possam
comprometer o sucesso da contratação e da gestão contratual, e os riscos de a Solução não alcançar os
resultados que atendam às necessidades do CONTRATANTE.
1.2. Para cada risco identificado, devem ser relacionados os potenciais danos que a ocorrência do evento
relacionado ao risco pode provocar, bem como sua probabilidade e as ações de prevenção e contingência
e seus respectivos responsáveis.
1.3. Reserva de contingência: Será considerado como reserva de contingência o percentual de 25% do
valor do contrato originário deste instrumento conforme determinação legal para aditivo contratual.
1.4. Frequência de avaliação dos riscos: Os riscos identificados no projeto devem ser avaliados sempre
que necessário durante a vigência contratual ou período de garantia dos equipamentos, pelo Fiscal do
Contrato, que oficializará a Assessoria de Tratamento da Informação e a CONTRATADA para que sejam
tomadas as medidas cabíveis.
2.1. O Gestor do contrato deve manter uma planilha para gerenciamento com os principais riscos de
impactos negativos que porventura forem identificados no decorrer do contrato. A identificação de
oportunidades (riscos positivos) não é mandatória, mas pode ser incluída para os casos em que o gestor
do contrato considere relevantes para ser tratadas formalmente. O Gestor pode decidir pelo
agrupamento de riscos similares se considerar que seu tratamento será equivalente, de modo a
simplificar o processo.
2.2. Análise dos Riscos: a Análise Quantitativa é de difícil mensuração e não se justifica para este processo
de aquisição. A Análise Qualitativa será feita categorizando-se a Probabilidade e a gravidade dos riscos
em ALTA, MÉDIA ou BAIXA, e atribuindo-se valores para estas: ALTA (3), MÉDIA (2) ou BAIXA (1). A
exposição aos riscos equivalerá à prioridade de tratamento desses, e será calculada multiplicando-se os
valores de probabilidade e gravidade para cada risco. Quanto maior o valor deste produto, maior a
exposição e por consequência a prioridade para tratamento do risco.
2.2.1. Exemplo: Probabilidade MÉDIA x Gravidade ALTA = 2 x 3 = 6.
2.3. Planejamento das Respostas aos Riscos: salvo quando mencionado explicitamente, o gestor do
contrato é o responsável pelo tratamento, resposta e acompanhamento de todos os riscos. As respostas
serão categorizadas de acordo com lista abaixo, e uma ação correspondente deve ser detalhada e
acompanhada até que a exposição ao risco não seja mais significativa ou o processo de suporte seja
encerrado.
2.4. Tipos de respostas ao risco:
2.4.1. EVITAR: eliminar a possibilidade do risco se materializar, ou neutralizar as suas
consequências.
2.4.2. MITIGAR: diminuir a possibilidade do risco se materializar, ou minimizar as suas
consequências.
2.4.3. TRANSFERIR: transferir as consequências negativas e a responsabilidade pelo tratamento do
risco a um terceiro.
2.4.4. ACEITAR: assumir as consequências da realização do risco.
2.5. Monitoramento e Controle: Revisão e atualização dos riscos, respostas, ações e resultados, devem
ser feitas pelo gestor do contrato, com frequência mensal (mínima) ou sempre que um evento importante
ocorrer ou um novo risco relevante for identificado. Notificação ao chefe da ATI e interação com a equipe
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
interna de TI do SECRETARIA DE SAÚDE DO DISTRITO FEDERAL deve ser feita sempre que for considerado
necessário.
Página 31 de 37
3. TABELA DE TRATAMENTO DE RISCO
Baixa capacidade de
Realizar ajustes,
Contratação de fornecedor fornecer a solução. Incluir critérios de qualificação técnica no
realizar nova consulta Equipe de Planejamento da
Contratação com baixa qualificação Média Alta Evitar Planejamento da Contratação que objetivem a
pública, publicar novo Contratação
técnica Fornecer a solução com contratação de empresas capacitadas.
edital.
baixa qualidade.
Definir requisitos da ferramenta com base nas
Cancelar pregão,
Contratar ferramenta que necessidades de negócio da área requisitante.
Inexecução total ou realizar ajustes, realizar Equipe de Planejamento da
Contratação não atenda aos requisitos Média Alta Evitar
parcial do contrato. nova consulta pública, Contratação, TI e ADM
de negócio do órgão Realizar pesquisa de mercado para avaliar
publicar novo edital.
aderência das soluções candidatas.
Previsão de inclusão no TR de sanções por
atraso não justificado por parte da empresa Equipe de Planejamento da
Execução Atraso na liberação da Atraso na implantação da
Baixa Média Mitigar contratada. Aplicar sanção Contratação e
Contratual licença do software solução
Gestor do Contrato
Vincular o pagamento a implantação da solução.
Sobrecarga da equipe
técnica na fiscalização e
Aumento de carga
Execução gestão devido a existência Separar a contratação em lotes distintos de Equipe de Planejamento da
Baixa Média administrativa para Evitar Contratar lote único
Contratual de vários contratos acordo com a especificidade da solução. Contratação
integrantes da CGTI
originados desta
contratação
Descontinuidade de
Execução Cancelamento ou não fornecimento dos Elaboração de plano de contingência e de Realizar nova Equipe de Planejamento da
Baixa Média Mitigar
Contratual renovação do contrato serviços pela Contratada continuidade. contratação Contratação e Gestor do Contrato
Indisponibilidade da
Solicitar com antecedência a infraestrutura de TI
Execução infraestrutura no órgão Atraso na implantação da
Média Alta Mitigar os recursos necessários à implantação da Solicitar à SEPLAG Gestor do Contrato
Contratual para implantação da solução
solução.
solução
Página 33 de 37
MATRIZ DE TRATAMENTO DOS RISCOS
Pagamento de serviços
Prever em edital que o pagamento deverá ser
Execução sem a correspondente Ressarcimento de erário Fiscais requisitantes, técnico e
Baixa Alta Evitar vinculado à efetiva entrega do produto Aplicar sanção
Contratual contraprestação do serviço ao Contratante Gestor do Contrato
solicitado pela área requisitante.
Exigir a estimativa de
novo prazo e coletar a
aprovação das áreas
Descumprimento dos
Tentar dividir grandes entregas em menores e envolvidas.
Execução prazos estipulados no Atraso na entrega da Fiscal Técnico e
Média Média Mitigar parciais.
Contratual Planejamento da solução. Gestor do Contrato
Aplicar deduções
Contratação
relativas a Níveis
Mínimos de Serviço
Exigidos (NMSEs).
Capacitar servidores da TI no domínio da
arquitetura de gerenciamento e
Cancelamento ou não Descontinuidade do
Encerramento desenvolvimento da solução. Efetuar nova licitação
renovação do contrato – Baixa Alta suporte à solução. Mitigar Gestor do Contrato e CGTI
Contratual de suporte à solução.
ITEM 2, 3 e 4
Prever em edital fornecimento de licenças
perpétuas da solução.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
4. ASSINATURAS
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxx
Integrante Requisitante
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxxxxxxxxxxxx
Integrante Técnico
Brasília-DF, de 20_____.
xxxxxxxxxxxxxxxxxxxxxxxx
Integrante Administrativo
Página 35 de 37
ANEXOS
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
CONSELHO
ASSEMBLEIA SECRETARIA DE
FEDERAL DE PROCURADORIA VALOR
UNIDADE LEGISLATIVA ESTADO DE MEDIANA MÉDIA
ITEM DESCRIÇÃO QUANT FLS. MEDICINA GERAL DE JUSTIÇA UNIT TOTAL ESTIMADO
DE MEDIDA DO ESTADO DO PLANEJAMENTO E FINAL FINAL
VETERINARIA - DO ESTADO DE RR ESTIMADO
CEARÁ GESTÃO - DF
DF
Licença de R$ R$ R$
1 UNIDADE 15000 R$ 118,80 R$ 94,82 R$ 90,86 R$ 1.362.900,00
Antivírus 54,99 100,00 89,64 R$ 90,86
R$ 1.362.900,00
Commented [I9]: Atualizar conforme alterações ocorridas no
*Em conformidade com os Decretos n° 36.220/2014 e 36.519/2015, a estimativa do preço máximo foi elaborada por meio de ampla pesquisa de preços públicos item 5. do ETP
em atas vigentes e licitações similares obtidos nos Sistemas de Compras Governamentais, bem como em propostas de mercado fornecidas por empresas do ramo
e pesquisas em sítios eletrônicos.
*Metodologia utilizada para fins de cálculo de valores discrepantes: Mediana.
Página 37 de 37