Вы находитесь на странице: 1из 62

Governança de

Tecnologia da Informação

Pós-Graduação a Distância

Brasília-DF, 2010.

Direito reservado ao Posead. 1


Elaboração:

Mauricio Santos Evangelista

Produção:

Equipe Técnica de Avaliação, Revisão Linguística e Editoração


Governança de Tecnologia da Informação

2
Sumário

Apresentação .......................................................................................................................................... 04
Organização do Caderno de Estudos e Pesquisa .................................................................................. 05
Organização da Disciplina ..................................................................................................................... 06
Introdução .............................................................................................................................................. 07
Unidade I – Governança de TI e suas Melhores Práticas .................................................................... 09
Capítulo 1 – Conceitos Básicos sobre Governança Corporativa e de TI .......................................... 09
Capítulo 2 – Tecnologia da Informação um Ativo da Organização .................................................. 15
Capítulo 3 – Arquétipos da Governança de TI ................................................................................ 21
Capítulo 4 – Mecanismos para Elaboração da Governança de TI .................................................... 24
Unidade II – Metodologias e Padrões .................................................................................................... 29
Capítulo 5 – Information Technology Infrastructure Library – ITIL ................................................ 29
Capítulo 6 – Control Objectives for Information and Related Technology – CobiT .......................... 39
Capítulo 7 – BSS 7799 (ISO17799) .............................................................................................. 48
Unidade III – A Norma ISO 20000 ......................................................................................................... 53
Capítulo 8 – Conceituações da Norma ISO 20000 ......................................................................... 53
Capítulo 9 – Abordagem do Processo ........................................................................................... 55
Para (não) Finalizar ................................................................................................................................ 57
Referências ............................................................................................................................................. 58

Pós-Graduação a Distância

3
Apresentação

Caro aluno,

Bem-vindo à disciplina Governança de Tecnologia da Informação.

Este é o nosso Caderno de Estudos e Pesquisa, material elaborado com o objetivo de contribuir para a realização e o
desenvolvimento de seus estudos, assim como para a ampliação de seus conhecimentos.

Para que você se informe sobre o conteúdo a ser estudado nas próximas semanas, conheça os objetivos da disciplina, a
organização dos temas e o número aproximado de horas de estudo que devem ser dedicadas a cada unidade.

A carga horária deste módulo é de 40 (quarenta) horas, cabendo a você administrar o tempo conforme a sua disponibilidade.
Mas, lembre-se, há um prazo para a conclusão da disciplina, incluindo a apresentação ao seu tutor das atividades
avaliativas indicadas.

Os conteúdos foram organizados em unidades de estudo, subdivididas em capítulos, de forma didática, objetiva e coerente.
Eles serão abordados por meio de textos básicos, com questões para reflexão, que farão parte das atividades avaliativas do
curso; serão indicadas, também, fontes de consulta para aprofundar os estudos com leituras e pesquisas complementares.

Desejamos a você um trabalho proveitoso sobre os temas abordados nesta disciplina. Lembre-se de que, apesar de
distantes, podemos estar muito próximos.

A Coordenação do PosEAD
Governança de Tecnologia da Informação

4
Organização do Caderno de Estudos e Pesquisa

Organização do Caderno de Estudos e Pesquisa

Apresentação: Mensagem da Coordenação do PosEAD ao cursista.

Organização da Disciplina: Apresentação dos objetivos e carga horária das unidades.

Introdução: Contextualização do estudo a ser desenvolvido pelo aluno na disciplina, indicando a importância desta para
a sua formação acadêmica.

Ícones utilizados no material didático:

Provocação: Pensamentos inseridos no material didático para provocar a reflexão sobre sua prática e
seus sentimentos ao desenvolver os estudos em cada disciplina.

Para refletir: Questões inseridas durante o estudo da disciplina, para estimulá-lo a pensar a respeito do
assunto proposto. Registre aqui a sua visão, sem se preocupar com o conteúdo do texto. O importante
é verificar seus conhecimentos, suas experiências e seus sentimentos. É fundamental que você reflita
sobre as questões propostas. Elas são o ponto de partida de nosso trabalho.

Textos para leitura complementar: Novos textos, trechos de textos referenciais, conceitos de
dicionários, exemplos e sugestões, para apresentar novas visões sobre o tema abordado no texto
básico.

Sintetizando e enriquecendo nossas informações: Espaço para você fazer uma síntese dos textos
e enriquecê-los com a sua contribuição pessoal.

Sugestão de leituras, filmes, sites e pesquisas: Aprofundamento das discussões.

Praticando: Atividades sugeridas, no decorrer das leituras, com o objetivo pedagógico de fortalecer o
processo de aprendizagem.
Pós-Graduação a Distância

Para (não) finalizar: Texto, ao final do Caderno, com a intenção de instigá-lo a prosseguir na
reflexão.

Referências: Bibliografia citada para a elaboração do curso.

5
Organização da Disciplina

Ementa:
Conceitos relacionados à Governança de Tecnologia da Informação e sua necessidade atual nas empresas; Conceitos
e aplicações que tornam importantes a aplicação da Governança Corporativa nas Organizações, sejam elas do ramo de
prestadoras de serviços de Tecnologia da Informação ou empresas que utilizam a tecnologia como suporte aos seus
processos; As melhores práticas de Governança de Tecnologia da Informação; Metodologias e padrões de governança
em Tecnologia da Informação; A norma ISO 20000.

Objetivos:
– Apresentar as principais metodologias voltadas para a área da Governança de Tecnologia da Informação.
– Conhecer os procedimentos para um alinhamento entre as áreas de Tecnologia da Informação e a estratégia
de negócios de uma empresa.
– Apresentar os mecanismos para a implantação da Governança de Tecnologia da Informação.
– Refletir sobre o Alinhamento Estratégico, a Governança de Tecnologia da Informação e o Desempenho das
Organizações.
– Identificar e apresentar as normas que interagem com a Governança de Tecnologia da Informação.

Unidade I – Governança de TI e suas Melhores Práticas


Carga horária: 15 horas
Conteúdo Capítulo
Conceitos Básicos sobre Governança Corporativa e de TI 1
Tecnologia da Informação um Ativo da Organização 2
Arquétipos da Governança de TI 3
Mecanismos para elaboração da Governança de TI 4

Unidade II – Metodologias e Padrões


Carga horária: 15 horas
Conteúdo Capítulo
Information Technology Infrastructure Library – ITIL 5
Control Objectives for Information and Related Technology – CobiT 6
Governança de Tecnologia da Informação

BSS 7799 (ISO17799) 7

Unidade III – A Norma ISO 20000


Carga horária: 10 horas
Conteúdo Capítulo
Conceituações da Norma ISO 20000 8
Abordagem do Processo 9

6
Introdução

O que não se pode medir, não se pode gerenciar.


Peter Drucker

A ênfase dos gestores de Tecnologia da Informação, hoje, está direcionada ao desenvolvimento global da organização,
enfocando sempre o negócio ou a atividade principal da organização. Para uma boa gestão da Tecnologia da Informação,
recomenda-se uma gestão participativa, vinculada à alta administração e com trabalhos conjuntos com os clientes ou
usuários.

Como as informações das empresas estão, na maioria, armazenadas em sistemas de informações, em forma digital, o
setor de Tecnologia da Informação passou a desempenhar um papel fundamental na governança das organizações. As
demandas por mais controle, a transparência e a previsibilidade das organizações tornaram ainda mais necessária a
Governança de Tecnologia da Informação – TI. As origens dessas demandas datam do começo dos anos 1990, quando
as questões relativas à qualidade ganharam uma enorme importância no cenário mundial.

Nesse sentido, o primeiro momento do curso tem, como proposta, mostrar os principais conceitos e as aplicações que
tornam importante a utilização da Governança de Tecnologia da Informação nas organizações; em seguida, percorreremos
as principais metodologias, os padrões e as melhores práticas da Governança de Tecnologia da Informação, incluindo
ITIL, COBIT e ISO 17799.

Finalizando este Caderno, estudaremos a norma ISO 20000, destinada para a área de serviço. Tal norma se tem mostrado
importante na composição da Governança de Tecnologia da Informação, devido esse último recurso nada mais ser do
que um conjunto de preciosos serviços.

Pós-Graduação a Distância

7
8
Governança de Tecnologia da Informação
Governança de TI e suas Melhores Práticas Unidade I Unidade I

Governança de TI e suas Melhores


Práticas

Capítulo 1 – Conceitos Básicos sobre Governança Corporativa e de TI

Se a empresa mudar apenas a tecnologia e continuar a realizar


as atividades da mesma forma como elas eram realizadas com a
tecnologia antiga, além de não garantir o sucesso do investimento,
pode levar a empresa à falência.
Tadeu Cruz, 1998

Não conseguimos definir ao certo quando a importância da Tecnologia da Informação ficou clara para nós. Sabemos, sim,
que esse processo ocorreu de forma gradativa ao longo dos anos, envolvendo conversas com administradores e diversos
estudos de pesquisa, e nós ficamos convencidos de que a Governança de TI é o mais importante fator de geração de valor
de negócio de Tecnologia da Informação. Nossa certeza é a de que a Governança de TI pode, em longo prazo, produzir
o paradoxo gerencial de incentivar e fomentar a engenhosidade de todas as pessoas da empresa e, ao mesmo tempo,
assegurar a observância da visão e dos princípios gerais da empresa.

Antes de entramos no conceito de Governança de TI, devemos tratar a questão mais ampla da governança corporativa
nas organizações. A Governança Corporativa tornou-se um tema dominante nos negócios por ocasião dos escândalos
corporativos ocorridos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas alguns. O interesse na governança
corporativa não é novo, mas a gravidade dos impactos financeiros desses escândalos abalou a confiança de investidores
e criou uma preocupação com a habilidade e a determinação das empresas privadas de proteger seus administradores,
funcionários, acionistas, parceiros, clientes e usuários. Uma boa governança corporativa é importante para os investidores
profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros
quando avaliam decisões de investimento.

Um excelente exemplo de diretrizes para uma boa governança corporativa foi publicado, em 1999, pela Organização e o
Desenvolvimento Econômico – OCDE, chamado de Princípios de Governança Corporativa. Tais diretrizes definem a
governança corporativa como a criação de uma estrutura que determinasse os objetivos organizacionais e monitorasse
o desempenho para assegurar a concretização desses objetivos. É válido lembrar que não existe um modelo único de boa
Pós-Graduação a Distância

governança corporativa. A seguir, veremos um diagrama elaborado pelo Center for Information Systems Research – CISR,
da MIT Sloan School, que serve para associar as Governanças Corporativas e de TI.

9
Governança de TI e suas Melhores Práticas Unidade I

Figura 1 – Associação entre as governanças corporativas e de TI

A parte superior do diagrama mostra os relacionamentos no conselho. A equipe executiva sênior, como agente do conselho,
articula estratégias e comportamentos desejáveis para cumprir as determinações do conselho. A metade inferior identifica
os seis ativos principais por meio dos quais as empresas concretizam suas estratégias e geram valor de negócio. As
equipes executivas seniores criam mecanismos para governar a administração e a utilização de cada um desses ativos,
tanto independentemente quanto em conjunto. Os elementos essenciais de cada ativo são:

• ativos humanos – pessoas, habilidades, planos de carreira, treinamento, relatórios, competências;

• ativos financeiros – dinheiro, investimentos, passivo, fluxo de caixa, contas a receber;

• ativos físicos – prédios, fábricas, equipamentos, manutenção, segurança, utilização;


Governança de Tecnologia da Informação

• ativos de propriedade intelectual – expertise da organização no desenvolvimento de produtos, prestação


de serviços e processos devidamente patenteados, registrado ou embutido nas pessoas e nos sistemas da
empresa;

• ativos de informação e TI – dados digitalizados, informações e conhecimentos sobre clientes, desempenho


de processos, finanças, sistemas de informação;

• ativos de relacionamento – relacionamentos dentro da empresa, bem como marca e reputação junto a
clientes, fornecedores, unidade de negócio, órgãos reguladores, concorrentes, revendas autorizadas.

A governança dos principais ativos ocorre por meio de mecanismos organizacionais, tais como: estruturas, processos,
comitês, procedimentos e auditorias. Alguns mecanismos são exclusivos de um dado ativo, como, por exemplo, o comitê de
arquitetura de TI, e outros cruzam e integram vários tipos de ativos, assegurando a sinergia entre esses ativos. A maturidade
10
Governança de TI e suas Melhores Práticas Unidade I

na governança desses seis ativos principais varia, significativamente, na maioria das corporações, com os ativos financeiros
e físicos sendo tipicamente os mais bem-governados, e os ativos de informação figurando entre os piores.

Ainda analisando Figura 1, vemos que, na base do diagrama, encontram-se os mecanismos utilizados para governar cada um
dos seis ativos. Quando temos a empresa com mecanismos comuns para vários ativos, obtemos um melhor desempenho.

Como exercício de esclarecimento, esboce rapidamente uma lista


dos mecanismos utilizados em sua empresa para governar cada um
dos seis ativos.

Não somente a criação de mecanismos de governança comuns entre os ativos aumentará a integração, como um número
menor resultante de mecanismos os tornará mais fáceis de comunicar e implantar. A educação da equipe de alta gerência
sobre como os mecanismos de governança se combinam e atuam em favor da empresa é uma tarefa essencial e constante
para que se tenha uma governança efetiva. Costuma-se afirmar que muitos benefícios tangíveis estão à espera de uma
Governança de TI melhor.

Governança Corporativa é o sistema pelo qual, as sociedades são dirigidas e monitoradas, envolvendo
os relacionamentos entre acionistas/cotistas, conselho de administração, diretoria, auditoria
independente e conselho fiscal. As boas práticas de Governança Corporativa têm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.
(Instituto Brasileiro de Governança Corporativa – IBGC).

A definição é do Instituto Brasileiro de Governança Corporativa – IBGC, criado em 1994, no intuito de tornar-se referência
em Governança Corporativa. É uma entidade cultural de âmbito nacional sem fins lucrativos, destinada a colaborar com
a qualidade da alta gestão das organizações brasileiras.

Origem de uma boa Governança:


<http://www.ibgc.org.br>

Após ter apresentado e definido a Governança Corporativa, e antes de ingressarmos de fato na Governança de TI, veja,
a seguir, algumas definições importantes que são comuns nesse ambiente e que são importantes para o nosso curso.

• Chief Executive Officer – CEO: pessoa que exerce o cargo de diretor-executivo ou diretor-geral de uma
organização ou empresa.
Pós-Graduação a Distância

• Chief Financial Officer – CFO: pessoa que exerce o cargo de diretor-financeiro de uma empresa.
• Chief Information Officer – CIO: pessoa que exerce o cargo de diretor de Tecnologia da Informação de uma
empresa.
• Stakeholders: pessoas que possuem algum tipo de envolvimento profissional ou pessoal com uma empresa
(administradores, funcionários, acionistas, parceiros, clientes, usuários etc.).
• Framework: expressão muito utilizada em Governança de TI, para definir qualquer atividade, processo, ação
e melhores práticas para se atingir um objetivo.
11
Governança de TI e suas Melhores Práticas Unidade I

Desses conceitos descritos, procure se aprofundar sobre os de um


CIO. Identifique as suas funções, seu poder de influência em uma
empresa e a constituição da sua equipe subordinada.

Para governar TI, podemos aprender muito com uma boa governança financeira e corporativa. Por exemplo, o CFO (diretor
financeiro) não assina todos os cheques nem autoriza todos os pagamentos. Em vez disso, estabelece uma governança
financeira especificando quem pode tomar essas decisões e como. Em seguida, examina a carteira de investimentos da
empresa e administra o fluxo de caixa e a exposição a riscos. Ele acompanha uma série de indicadores para administrar os
ativos financeiros da empresa, intervindo somente quando houver problemas ou oportunidades de melhorias no processo.
Princípios similares aplicam-se a quem pode comprometer a empresa com um contrato ou parceria. Toda essa analogia
deve ser aplicada à Governança de Tecnologia da Informação.

Governança de TI: a especificação dos direitos decisórios e do framework de responsabilidades para


estimular comportamentos desejáveis na utilização da TI. (PETER WEILL e JEANNE W. Ross,2004
Governança de TI, p. 8)

Nessa definição da Governança de TI, Perter Weill e Jeanne W. Ross tentam capturar sua simplicidade – direitos
decisórios e responsabilidade – e sua complexidade – comportamentos desejáveis que diferem de empresa para empresa.
A governança determina quem toma decisões. A administração é o processo de tomar e implantar decisões. Por exemplo,
a governança determina quem tem direito de decidir sobre quanto a empresa investirá em TI. A administração determina
a quantia efetivamente a ser investida num dado ano e as áreas em que ocorrerá o investimento.

Como exercício, esboce rapidamente uma lista contendo os


nomes das pessoas que são responsáveis pelas decisões na sua
organização.

A alta gerência estabelece os direitos decisórios e as responsabilidades pela TI para estimular os comportamentos
desejáveis na empresa. Se o comportamento desejável envolver unidades de negócio independentes e empreendedoras, as
decisões de investimento em TI caberão primariamente aos líderes dessas unidades. Em contraste, se o comportamento
desejável envolve uma visão unificada da empresa por parte do cliente, com um único ponto de contato, um modelo mais
Governança de Tecnologia da Informação

centralizado de governança de investimentos em TI funcionará melhor.

Para termos uma Governança de TI eficaz, devemos dar tratamento a três questões:

1. Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI?

2. Quem deve tomar essas decisões?

3. Como essas decisões serão tomadas e monitoradas?

A seguir, veremos na tabela 1, Matriz de Arranjos de Governança, que representa as duas primeiras questões referentes
à Governança de TI: quais decisões devem ser tomadas e quem deve tomá-las? Os títulos das colunas listam cinco
decisões de TI inter-relacionadas.

12
Governança de TI e suas Melhores Práticas Unidade I

• Princípios de TI – esclarecendo o papel de negócio da TI.

• Arquitetura de TI – definindo os requisitos de integração e padronização.

• Infraestutura de TI – determinando serviços compartilhados e de suporte.

• Necessidade de aplicações de negócio – especificando a necessidade comercial de aplicações de TI, compradas


ou desenvolvidas internamente.

• Investimentos e priorização de TI – escolhendo quais iniciativas financiar e quanto gastar.

Essas cinco decisões-chave estão inter-relacionadas e requerem vinculação para que haja uma governança eficaz –
tipicamente fluindo da esquerda para a direita na tabela. Por exemplo, os princípios de TI motivam a arquitetura, que
leva à infraestrutura. A infraestrutura habilita o desenvolvimento de aplicações com base nas necessidades de negócio,
especificadas, frequentemente, pelos detentores dos processos comerciais. Finalmente, os investimentos em TI devem
ser motivados pelos princípios, pela arquitetura, pela infraestrutura e pelas necessidades de aplicações. Sabemos que na
prática uma ou mais pessoas são responsáveis por tomar cada uma dessas decisões. Tipicamente, muito mais pessoas
contribuem para o processo decisório. A Governança de TI envolve a definição de quem será responsável por tomar as
decisões ou contribuir para elas. Os títulos das linhas da Tabela 1 listam um conjunto de arquétipos* para especificar os
direitos decisórios. Em Governança de TI, os grandes autores e pesquisadores do tema adotaram os arquétipos políticos,
embora exagerados a grande maioria dos administradores identificam-se com esses estereótipos. Cada arquétipo identifica
o tipo de pessoa envolvida em tomar uma decisão em TI.

• Monarquia de negócio – os altos gerentes.

• Monarquia de TI – os especialistas em TI.

• Feudalismo – cada unidade de negócio toma decisões independentes.

• Federalismo – combinação entre o centro corporativo e as unidades de negócio, com ou sem envolvimento do
pessoal de TI.

• Duopólio de TI – o grupo de TI e algum grupo.

• Anarquia – tomada de decisões individual ou por pequenos grupos de modo isolado.

Tabela 1 – Matriz de Arranjos de Governança

Decisão Estratégias de Necessidades


Arquitetura Investimentios
Princípios de TI Infraestrutura de aplicações
Arquético de TI em TI
de TI de negócio
Monarquia de negócio
Monarquia de TI
Feudalismo
Federalismo
Pós-Graduação a Distância

Duopólio
Anarquia
Não se sabe

Juntos, esses arquétipos descrevem todos os arranjos decisórios que já foram encontrados. A maioria das empresas
utiliza uma variedade de arquétipos para as cinco decisões. O desafio no preenchimento dessa tabela (Tabela 1) está em
determinar quem deve ter a responsabilidade por tomar e contribuir com cada tipo de decisão de governança.
* É o primeiro modelo de alguma coisa. Modelo político de governança.

13
Governança de TI e suas Melhores Práticas Unidade I

Se a Matriz de Arranjos de Governança (Tabela 1) organiza os tipos de decisões e os arquétipos do processo decisório,
a terceira questão – como essas decisões serão tomadas e monitoradas – requer a formulação e a implantação de
mecanismos de governança, como comitês, funções e processos formais.

Vimos que as empresas tomam cinco tipos de decisões de TI, em vários níveis organizacionais, empregando uma
variedade de mecanismos. Fica claro para nós a constatação de como as ações individuais podem agir contra, ao invés
de harmonizarem-se. A complexidade e dificuldade de explicar a Governança de TI é uma das mais sérias barreiras ao
seu aprimoramento. Um estudo feito pelo Center for Information Systems Research – CISR constatou que o melhor
indicador de desempenho para Governança de TI é a porcentagem de administradores em cargos de liderança capazes de
descrevê-la corretamente. Algo que agrava os problemas de governança é o fato de que a maioria dos altos executivos
não tem familiaridade com sua governança. Nesse estudo, constatou-se também que, em média, somente 38% dos
administradores em cargos de liderança nas empresas poderiam descrever com precisão sua Governança de TI. Em
empresas com desempenho de governança acima da média, 45% ou mais dos administradores conseguiam descrevê-la
corretamente. Em umas poucas empresas de altíssimo desempenho, 80% dos executivos seniores estavam familiarizados
com sua Governança de TI.

Qual a porcentagem de administradores em cargo de liderança que


sabem descrever qual a Governança de TI da sua empresa?

Para nos ajudar a entender, comunicar e sustentar uma governança eficaz, o CISR propôs um Framework de Governança
de TI aqui esboçado na Figura 2. Esse Framework ilustra a harmonização (setas horizontais) entre a estratégia e a
organização da empresa, os arranjos de Governança de TI e as metas de desempenho do negócio. A estratégia da empresa,
os arranjos de governança e as metas de desempenho são postos em práticas, respectivamente, pela organização da TI e
comportamentos desejáveis, por mecanismos de governança e por métricas. O Framework ilustra, também, a necessidade
de harmonizar a Governança de TI com a governança dos outros ativos principais.
Governança de Tecnologia da Informação

Figura 2 – Framework de Governança de TI

14
Governança de TI e suas Melhores Práticas Unidade I

Uma Governança de TI eficaz requer uma quantidade significativa de tempo e de atenção da administração. A pergunta
que você deve estar se fazendo é: A Governança de TI vale a pena? A dependência crescente das empresas em relação à
informação e a TI sugere que sim. Uma boa Governança de TI harmoniza decisões sobre a administração e a utilização de
TI com comportamentos desejáveis e objetivos do negócio. Sem estruturas de governança, cuidadosamente, projetadas
e implantadas, as empresas deixam essa harmonia ao acaso. Há muitas razões para que a tomada de decisões sobre TI
não sejam deixadas ao léu e, então, requeira sempre uma boa governança.

Pós-Graduação a Distância

15
Governança de TI e suas Melhores Práticas Unidade I

Capítulo 2 – Tecnologia da Informação um Ativo da Organização

Toda empresa precisa tomar cinco decisões inter-relacionadas sobre Tecnologia da Informação: os princípios de TI; a
arquitetura de TI; a infraestrutura de TI; as necessidades de aplicações do negócio; os investimentos e a priorização de
TI. A Figura 3 organiza essas decisões enfatizando suas interconexões críticas. A decisão referente aos princípios de TI
fica na parte superior do diagrama, uma vez que ela, por explicitar os objetivos empresariais da TI, estabelece diretrizes
para todas as outras decisões. Se os princípios não estiverem claros, é improvável que as outras decisões sejam aderidas
de maneira significativa. As decisões sobre a arquitetura de TI convertem os princípios de TI em requisitos de integração
e padronização e, então, traçam um guia técnico para prover as capacidades necessárias. As decisões relativas aos
investimentos e à priorização da TI mobilizam recursos para converter princípios em sistemas.

Decisões sobre os Princípios de TI


Declarações de alto nível sobre como a TI é utilizada no negócio
Decisões sobre a Infraestrutura
de TI
Decisões sobre a Arquitetura de Serviços de TI, coordenados
TI de maneira centralizada e
Decisões sobre os Investimentos
compartilhados dos quais provém
Organização lógica de dados, e Priorização de TI
a base para a capacidade de TI da
aplicações e infra-estruturas, empresa. Decisões sobre quanto e onde
definida a partir de um conjunto de
Necessidade de Aplicações de investir em TI, incluindo a aprovação
políticas, relacionamentos e opções
Negócio de projetos e as técnicas de
técnicas adotadas para obter a
justificação.
padronização e a integração de Especificação da necessidade
técnicas e de negócios desejadas. de negócio de aplicações de
TI adquiridas no mercado ou
desenvolvidas internamente.

Figura 3 – Principais Decisões sobre a Governança de TI

Decisões sobre infraestrutura e aplicações podem fluir de cima para baixo dos princípios, da arquitetura e dos critérios
de investimento. Nesse caso, a infraestrutura gera as capacidades necessárias de TI e as aplicações fazem uso dessas
capacidades. Com a mesma frequência, necessidades e oportunidades de negócio identificam a necessidade de aplicações
Governança de Tecnologia da Informação

de TI, que surgem na base para gerar novos requisitos de infraestrutura. Por fim, as decisões de investimento selecionam
e financiam as iniciativas de infraestrutura e aplicações, que implantam uma arquitetura projetada para incorporar os
princípios de TI – e em última instância os princípios do negócio.

Vejamos, então, as decisões a serem tomadas no âmbito da TI para sua utilização eficaz. Essas decisões têm de ser
vistas de maneira integrada.

Estabelecendo os Princípios de TI
Os princípios na área de TI declaram sobre como esse recurso é utilizado para auxiliar o negócio da organização. Portanto,
se os negócios da empresa não estiverem claramente definidos, não conseguimos estabelecer os de TI. O CIO deve ter
acesso a essas informações. Dessa forma, os princípios de TI são um conjunto relacionado de declarações de alto nível

16
Governança de TI e suas Melhores Práticas Unidade I

sobre como a Tecnologia da Informação é utilizada no negócio. Vejamos, a seguir, um exemplo de princípios de negócio
de uma organização fabricante de papel e embalagens.

– Estímulo das economias de mercado

– Padronização de processos e tecnologias sempre que apropriado

– Ferramentas comuns e diversidade nos negócios

– Controle de custos e eficiência operacional

– Alinhamento e responsividade aos requisitos comerciais negociados

A empresa formulou seus princípios de TI articulando suas expectativas de que a Tecnologia da Informação apoiasse
sua estratégia de negócio. Dessa forma, esses princípios de negócio levaram ao seguinte conjunto de princípios de TI
(metas da Governança de TI).

– Custo Total de Propriedade – TCO, mínimo com benchmark

– Integridade arquitetônica

– Infraestrutura consistente e flexível

– Rápida implantação de novas aplicações

– Valor e responsividade mensurados, aprimorados e comunicados

O principal indicador de um conjunto efetivo de princípios de TI é uma trilha clara de evidências que conduza dos princípios
de negócio aos princípios de administração de TI. Os princípios de TI podem, também, ser utilizados como ferramenta
para educar os executivos. Eles devem definir o comportamento desejável tanto para profissionais quanto para usuários
de Tecnologia da Informação. Então, resumidamente, os princípios de TI devem:

– prover diretrizes para que a TI seja utilizada de modo a habilitar a estratégia de negócios da empresa;

– fornecer informação para os executivos tomarem decisões sobre investimentos em tecnologia;

– definir o comportamento desejável tanto para profissionais quanto para usuários dessa tecnologia;

– padronizar a integração de processos da empresa.

Criando uma Arquitetura de TI


Ao mostrar como a TI dá suporte aos princípios de negócio, os princípios de TI estabelecem – implícita ou explicitamente – os
requisitos de padronização e integração de processos numa empresa. A arquitetura de TI é a organização lógica dos dados,
aplicações e infraestruturas, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas
Pós-Graduação a Distância

para obter a padronização e a integração técnicas de negócios desejadas. Por prover o direcionamento para a infraestrutura
e aplicações, as decisões arquitetônicas são cruciais para uma gestão e utilização eficazes de Tecnologia da Informação.

Nessa área, devemos pensar em como organizar, logicamente, as informações e a infraestrutura com o objetivo de
apoiar os negócios da empresa. Para organizar as informações, a padronização dos dados é fundamental, pois só assim
promoveremos uma definição unívoca e um conjunto único de características a serem capturados da informação. A
centralização dos dados é uma grande solução. As arquiteturas devem capturar a organização lógica em políticas e
escolhas técnicas. A maioria das escolhas técnicas não precisa ser comunicada aos altos administradores. Elas são
formuladas em níveis intermediários.

17
Governança de TI e suas Melhores Práticas Unidade I

Existe a necessidade de definir dados e infraestrutura que deem suporte a aplicações mais sujeitas a mudanças. As
necessidades do negócio mudam, constantemente, por isso as empreses precisam dar flexibilidade a suas arquiteturas.
Desde que a empresa não mude sua missão básica, a infraestrutura definida pela arquitetura de TI deve dar suporte a
suas aplicações de negócios. A distinção entre infraestrutura e aplicações permite, assim, que as empresas estimulem
as economias de escala preservando flexibilidade para reagir a mudanças.

A habilidade de conceber e construir uma arquitetura baseada em componentes decorrerá da experiência da empresa com
a especificação e a posterior implementação de padrões técnicos, de processos e de informações. Algumas empresas
vêm-se movendo rapidamente em direção a arquiteturas baseadas em componentes; outras mal começaram a jornada.

A sua empresa possui uma Arquitetura de TI?

Elaborando uma Infraestrutura de TI


Já que estávamos falando sobre a infraestrutura, é melhor descrever o que temos de levar em consideração. Ela é a base
da capacidade de planejamento de TI, tanto no aspecto técnico quanto nos recursos humanos. Para isso, deve disponibilizar
serviços compartilhados e confiáveis e ter a capacidade de ser utilizada por múltiplas plataformas tecnológicas.

Para se estabelecer uma infraestrutura que atenda às necessidades da empresa, quase sempre é necessário investimentos
de grande vulto. Investir pouco resulta em implantações apressadas para cumprir prazos comerciais; em ilhas de automação
que atendem a necessidades pontuais, sem integração alguma com o restante da empresa; e no compartilhamento restrito
de recursos informacionais. Com isso, o foco e o oportunismo das iniciativas de infraestrutura podem ter um impacto
significativo no desempenho da empresa. Na figura a seguir (Figura 4), vemos os vários elementos da infraestrutura de TI.
Governança de Tecnologia da Informação

Figura 4 – Elementos da infraestrutura de TI

18
Governança de TI e suas Melhores Práticas Unidade I

Normalmente, os serviços a serem disponibilizados pela infraestrutura incluem:

– serviço de rede de comunicação de dados;

– provisão e gerenciamento de equipamentos computacionais;

– desenvolvimento de aplicações informatizadas;

– base de dados compartilhada;

– criação e acesso a Intranet e Internet.

Isso pode ser feito com recursos internos ou de maneira terceirizada. A infraestrutura interna de uma empresa,
frequentemente, conecta-se a infraestruturas externas da indústria (como sistemas de pagamento bancário) e a infra-
estruturas públicas (como a Internet e as redes de telecomunicações).

A respeito da infra-estrutura, sei que devemos descartar isto aqui e acrescentar aquilo ali todos os
anos. Você pode desativar as coisas, mas no fim você vai eventualmente acabar encurralado. Por
isso, tento disponibilizar fundos para renovar continuamente, o que não é uma opção muito popular.
(KEN LACY, CIO da UPS)

Cada um dos serviços de infraestrutura de TI pode situar-se no nível corporativo (extensível a toda a empresa) ou no
nível das unidades de negócio. Muitas organizações vêm transferindo capacidades de infraestrutura das unidades de
negócios para a empresa como um todo, na busca de objetivos de negócio como economias de escala ou um ponto único
de contato com o cliente. Determinar onde os serviços locais de infraestrutura devem ser posicionados, de que modo
devem ser apreçados, quando devem ser atualizados e se cabe ou não terceirizá-los são decisões essenciais de infra-
estrutura. Possuir a infraestrutura correta significa prover com boa relação custo/benefício que capacitem a empresa
em adotar rapidamente novas aplicações de negócio.

Quais as vantagens e desvantagens de se gerenciar a infra-


estrutura de uma empresa, utilizando recursos internos ou serviços
terceirizados? Tudo na vida tem pontos positivos e negativos.

Definindo as Necessidades de Aplicações de Negócio


Embora todas as outras ideias vistas anteriormente envolvam o valor de negócio da TI, são as decisões referentes
às necessidades de negócios específicas que geram valor diretamente. A identificação da necessidade de negócios
de aplicações de TI costuma ter dois objetivos conflitantes – a criatividade e a disciplina. A criatividade consiste em
Pós-Graduação a Distância

identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da TI e envolve a identificação de
aplicações de negócio que deem suporte a objetivos de negócio estratégicos e facilitem experimentos de negócios. A
disciplina consiste na integridade arquitetônica assegurando que as aplicações aproveitem e amplifiquem a arquitetura de
empresa, ao invés de solapar seus princípios. A disciplina envolve, também, foco, comprometendo os recursos necessários
para concretizar metas de projetos e negócios. Descreveremos agora decisões gerenciais que resultam em aplicações
de negócio criativas e disciplinadas.

As empresas precisam de um fluxo constante de experimentos para identificar e aproveitar novas oportunidades de mercado
e evitar a obsolescência. Alguns desses experimentos transformar-se-ão em melhorias; outros fracassarão rapidamente. O
19
Governança de TI e suas Melhores Práticas Unidade I

fluxo de experimentos gera energia criativa e alerta continuamente os administradores quanto às mudanças de condições
de mercado, permitindo-lhes identificar o próximo grande negócio.

As empresas precisam identificar que experimentos poderão ser aproveitados para buscar financiamento e avaliação mais
pormenorizada, de maneira que lhes sejam possível sustentar o ciclo constante de ideias criativas e, também, abandonar
projetos malsucedidos antes de terem investidos grandes quantias de dinheiro.

Todos esses procedimentos seguem o ciclo PDCA. Você o conhece?


Pesquise sobre o citado ciclo. Ele poderá ser utilizado em várias
situações na sua vida.

Soluções criativas podem gerar interessantes desafios técnicos, sobretudo, quando as empresas compram pacotes prontos
dos fabricantes para atender às suas necessidades. As empresas bem-sucedidas têm consistentemente se mostrado
dispostas a sacrificar a funcionalidade em prol de sustentar a integridade arquitetônica.

A minha função é supervisionar a arquitetura e assegurar que ela evolua com o tempo para atingir
os resultados desejados. A condição implícita é que sejam escolhidas aplicações que se ajustem ao
contexto de nossa arquitetura. Se for uma aplicação obrigatória, encontre um que funcione com esta
arquitetura. Se não encontrar, então conversaremos (Descrição do modelo empregado pelo CIO da
empresa Meadwestvaco).

Sustentar a integridade arquitetônica exige uma disciplinada coordenação de suas demandas com o portfolio de projetos
da empresa. Decisões sobre necessidades de aplicações de negócio requerem pensadores criativos e gerentes de projetos
disciplinados.

Decidindo sobre Investimentos e Priorização de TI


A decisão de investimento em TI é, frequentemente, a mais visível e controversa das cinco decisões-chave de TI. Alguns
projetos são aprovados, outros são repelidos e o restante passa pelo equivalente organizacional da animação suspensa,
com temida solicitação dos tomadores de decisão de “refazer o plano de negócio” ou “prover mais informações”. As
empresas que obtêm o valor superior de TI concentram seus investimentos em suas prioridades estratégicas, cientes da
distinção entre capacidades de TI que “precisamos ter” e que “seria bom se tivéssemos”.
Governança de Tecnologia da Informação

Investir em TI deve ter o mesmo princípio de qualquer outro investimento: o retorno precisa ser decente, senão o negócio
quebra. As decisões sobre os investimentos nesse recurso residem em três pensamentos: quanto gastar, em que gastar
e como conciliar as necessidades dos vários usuários. Para isso a governança de TI é uma ferramenta imprescindível.

Os retornos incertos de gastos com TI fazem com que muitos executivos se perguntem se estão gastando muito – ou,
até mesmo, muito pouco. Eles recorrem muitas vezes a benchmarks da indústria como meios de determinar os níveis
apropriados de gastos, concentram-se no papel estratégico que a TI desempenha na organização e estabelecem um nível
de custeio para toda a empresa, que habilitará a tecnologia a atingir o seu objetivo.

A solução para esse problema é estabelecer os indicadores de sucesso em investimentos de TI. Não existe uma fórmula
ou indicadores padronizados. Cada CIO deve ter esses indicadores previamente aprovados. As melhores empresas com
retorno de investimentos em TI obedecem esses padrões.

20
Governança de TI e suas Melhores Práticas Unidade I

Outra solução inteligente é dar um aspecto de negócios aos investimentos de TI, e empresas de diversas áreas acham
útil considerar esses investimentos como um portfolio, assim como investidores individuais têm portfolios ou carteiras
de investimentos financeiros. Isso permite que os tomadores de decisão alinhem seus portfolios com a estratégia da
empresa e balanceiem riscos e retornos.

Os investimentos e a priorização de TI põem o dinheiro e o pessoal da empresa para trabalhar. Se a alta gerência não
esclareceu ou não comunicou a estratégia da empresa, ou se a estratégia muda frequentemente que não vale a pena investir
na estratégia de hoje, o processo de investimentos de TI virá abaixo. Nenhum framework ou análise pode substituir uma
direção estratégica clara. Quando um comitê de investimento compreende seus objetivos de negócio, ele pode investir
seu dinheiro em TI e gerar retornos significativos.

Verifique se existem essas práticas na sua organização. Relacione


quais as existentes. Elas atendem aos requisitos vistos? Ela é eficaz?
O que fazer para melhorar?

Como resumo e ponto de partida para a formulação da governança, criamos uma série de perguntas representativas de
cada decisão de TI. Responder devidamente a essas e a questões similares é o trabalho das pessoas incumbidas de tomar
decisões segundo o Projeto de Governança.

Pós-Graduação a Distância

21
Governança de TI e suas Melhores Práticas Unidade I

Capítulo 3 – Arquétipos da Governança de TI

Vimos, no capítulo anterior, todas as circunstâncias que envolvem a TI em uma empresa. Com certeza, chegamos à
conclusão que esse poderoso recurso não pode mais ser visto como uma simples preocupação de comprar mais ou
menos computadores, se esses equipamentos devem ou não acessar a Internet. É um ativo imprescindível nos dias
atuais. Necessita de preocupação da alta gerência, de um alto controle e coordenação, portanto, de uma Governança. O
propósito deste capítulo é oferecer a você um conjunto de arquétipos e, consequentemente, de opções para os direitos
decisórios em TI. O capítulo utiliza tais arquétipos para descrever como as organizações tomam as decisões sobre
Tecnologia da Informação.

Normalmente, utilizam-se arquétipos políticos (monarquia, feudalismo, federalismo, duopólio e anarquia) para descrever
as combinações de pessoas que têm o direito decisório ou contribuem para a tomada de decisões de TI. Um desses seis
arquétipos pode descrever como as empresas tomam uma ou mais das cinco decisões-chave de TI ou contribui com os
tomadores de decisão.

Tabela 2 – Arquétipos de Governança de TI

Estilo Quem tem direitos decisórios ou de contribuição?


Um grupo de executivos de negócios ou executivos individuais (CxOs). Inclui comitês de
Monarquia de Negócio executivos seniores de negócios (podendo incluir o CIO). Exclui executivos de TI que atuem
independentemente.
Monarquia de TI Indivíduos ou grupos de executivos de TI.
Feudalismo Lideres das unidades de negócio, detentores de processos-chave ou seus delegados.
Executivos do nível de diretoria (c-level) e grupos de negócios; incluindo executivos de TI como
Federalismo
participantes adicionais. Equivalente à atuação conjunta dos governos federal e estadual.
Executivos de TI e algum outro grupo (os CxOs ou os líderes de unidades de negócios ou
Duopólio de TI
os líderes de processos).
Anarquia Cada usuário individual.

Monarquia de Negócio
Os altos executivos de negócios tomam decisões de TI que afetam a empresa toda. Tipicamente, as monarquias de
negócio aceitam contribuições de muitas fontes para as decisões-chave.
Governança de Tecnologia da Informação

Monarquia de TI
Os profissionais de Tecnologia da Informação tomam as decisões de TI. As empresas implantam monarquias de TI de
maneiras diferentes, frequentemente, envolvendo profissionais de TI tanto de equipes corporativas quanto de unidades
de negócio.

Feudalismo
O modelo feudal é baseado nas tradições da antiga monarquia, em que príncipes, princesas, ou os cavaleiros por eles
escolhidos, tomavam suas próprias decisões, otimizando suas necessidades locais. No caso da Governança de TI, a entidade
22
Governança de TI e suas Melhores Práticas Unidade I

feudal é, tipicamente, a unidade de negócio, a região ou a função. De forma geral, o modelo feudal não se mostra muito
comum, pois a maioria das empresas tem buscado uma sinergia entre as unidades de negócio. Esse modelo não facilita
a tomada de decisões da empresa como um todo.

Federalismo
O modelo decisório federalista tem uma longa tradição nos governos. Arranjos federalistas tentam equilibrar as
responsabilidades e cobranças de múltiplos órgãos do governo, como país e estados. Define-se o modelo federalista como
a tomada de decisões coordenada que envolve tanto o centro quanto as unidades de negócio. Os representantes das
unidades no modelo federalista podem ser os seus líderes ou os detentores de processos de negócio. Líderes de TI em
nível corporativo e/ou das unidades de negócio podem, também,se envolver na governança federalista como participantes
adicionais.

O modelo federalista é, sem dúvida, o mais difícil arquétipo para a tomada de decisões, pois os líderes da organização têm
preocupações diferentes das dos líderes das unidades de negócio. Os membros de uma empresa federalista representam
suas próprias responsabilidades exclusivas. Além disso, os sistemas de incentivo levam os administradores a focarem,
constantemente, nos resultados da unidade de negócio, e não na empresa.

Nos modelos federalistas, as unidades de negócio maiores e mais poderosas, com frequência, ganham mais atenção
e têm maior influência sobre as decisões. Consequentemente, as unidades menores estão sempre insatisfeitas e, por
vezes, separam-se da União para atender às próprias necessidades. As empresas que adotam estruturas de governança
federalista costumam fazer uso de equipes administrativas e comitês executivos para resolver conflitos inerentes.

Duopólio de TI
O duopólio de TI é um arranjo entre duas partes em que as decisões representam o consenso bilateral entre executivos de
TI e algum outro grupo. Os executivos de TI podem ser um grupo central de TI ou uma equipe composta por organizações
de TI centrais e das unidades de negócio. O outro grupo pode ser constituído de CxOs, líderes das unidades de negócio
ou detentores de processos de negócios, ou, ainda, grupos dos principais usuários de sistemas. O duopólio difere do
modelo federalista no sentido de que o arranjo federalista tem sempre representação corporativa com local, ao passo
que o duopólio tem uma ou outra, mas nunca ambas, e inclui, invariavelmente, profissionais de TI.

Anarquia
Numa anarquia, indivíduos ou pequenos grupos tomam suas próprias decisões com base somente em suas necessidades
locais. Anarquias, formalmente sancionadas, são raras, mas existem, sendo adotadas nos casos em que se requer uma
resposta muito rápida a necessidades locais ou de clientes individuais.
Pós-Graduação a Distância

A tabela, a seguir (Tabela 3), enumera as características distintivas dos diferentes arranjos de governança e como se
costuma classificar as empresas.

23
Governança de TI e suas Melhores Práticas Unidade I

Tabela 3 – Principais Participantes nos Arquétipos de Governança de TI

Líderes das Unidades de Negócio


Executivos de Diretoria TI corporativa e/ou das
ou Detentores dos Principais
(c-level) Unidades de Negócio
Processos de Negócio
Monarquia de Negócio X
Monarquia de TI X
Feudalismo X
X X X
Federalismo
X X
X X
Duopólio de TI
X X
Anarquia

Segundo estudos do Center for Information Systems Research – CISR, da MIT Sloan School, o padrão mais comum
de governança permite colaborações de base ampla, com direitos decisórios alocados a grupos que variam conforme
a decisão. No caso das três decisões de TI orientadas a negócio (princípios, necessidades de aplicações de negócio e
investimentos), mais de 80% das empresas permitem a contribuição por meio de um modelo de governança federalista.
Comitês, orçamentos e processos interfuncionais apresentavam oportunidades de contribuição e feedback referentes a tais
decisões. Estruturas federalistas também sustentam a contribuição para decisões de TI mais técnicas, mas as abordagens
das empresas em relação a aspectos técnicos são mais variadas. Os duopólios são, também, uma abordagem popular
de contribuição para as decisões técnicas. A abordagem duopolista em matéria de contribuição para decisões técnicas
tem objetivos similares aos da abordagem federalista, mas, ao passo que esta última abordagem envolve tomadas as
unidades de negócio, o duopólio emprega um conjunto de relacionamentos bilaterais entre a TI e as unidades de negócio.

Além de procurar contribuições internas para suas decisões, muitas firmas também as procuram externamente.
Fornecedores, parceiros comerciais, consultores, associações da indústria, universidades e outros grupos contribuem. Em
geral, não se recomenda a concessão de direitos decisórios a grupos externos em decisões-chave de TI (com a exceção
de empresas sem fins lucrativos), como ocorre em alguns arranjos de terceirização. Mas fontes externas podem oferecer
com frequência contribuições valiosas.

Qual ou quais seriam os arquétipos mais comuns de governança


empregado nas empresas da sua região?
Governança de Tecnologia da Informação

24
Governança de TI e suas Melhores Práticas Unidade I

Capítulo 4 – Mecanismos para Elaboração da Governança de TI

Existem duas coisas que é melhor não vermos como são feitas –
salsichas e leis.
Peter Weill e Jeanne W. Ross,2004 Governança de TI, p. 87

A sentença acima retirada do livro, Governança de TI, enfatiza que em ambos os casos de elaboração – salsichas e leis –
um produto bem-embalado resulta de processos caóticos. Similarmente, a Governança de TI pode ser caótica. Ela fomenta
debates, negociações, discórdias construtivas, educação mútua e muitas vezes frustração. O processo é desordenado,
mas bons arranjos de governança habilitam indivíduos que representam metas conflitantes a reconciliar suas visões em
benefício de sua empresa.

As empresas desenvolvem seus arranjos de governança por meio de um conjunto de mecanismos de governança
– estruturas, processos e comunicações. Mecanismos bem-concebidos, bem-compreendidos e transparentes promovem
comportamentos desejáveis em termos de TI. Por outro lado, se os mecanismos forem mal desenvolvidos, os arranjos
de governança não trarão os resultados desejados. No capítulo anterior vimos os arquétipos de governança que podem
ser implementados para cada decisão. Neste capítulo, trataremos dos mecanismos de governança comuns e como eles
empregam os diferentes arquétipos.

Na figura, a seguir, (Figura 5) observe quinze dos mecanismos mais comuns de Governança de TI. Tal pesquisa foi
realizada em 256 empresas em 23 países.

Pós-Graduação a Distância

Figura 5 – Mecanismos Comuns de Governança

25
Governança de TI e suas Melhores Práticas Unidade I

Uma governança eficaz adota três tipos diferentes de mecanismos:

• Estruturas de tomadas de decisão – Unidades e papéis organizacionais responsáveis por tomar decisões
de TI, como comitês, equipes executivas e gerentes de relacionamento entre negócios e TI;

• Processos de alinhamento – Processos formais para assegurar que os comportamentos cotidianos sejam
consistentes com as políticas de TI, e contribuam com as decisões. Incluem processos de avaliação e proposta
de investimentos em TI, processos de exceções de arquitetura, acordos de nível de serviço, cobrança reversa
e métricas;

• Abordagens de comunicação – Comunicados, porta-vozes, canais e esforços de educação que disseminam


os princípios e as políticas da Governança de TI e os resultados dos processos decisórios em TI.

Estruturas de Tomadas de Decisão


Os mecanismos mais visíveis da Governança de TI são as estruturas organizacionais que alocam responsabilidades
decisórias de acordo com os arquétipos pretendidos. Idealmente, toda empresa envolve líderes tanto de TI quanto
de negócios no processo de governança. As estruturas de tomadas de decisão são a abordagem natural para geral
comprometimento – embora alguns executivos tenham notoriamente se livrado de suas responsabilidades pela Governança
de TI. Empresas com uma governança eficaz mesclam e combinam estruturas de tomadas de decisão para implementar
arquétipos predefinidos e atingir ao final suas metas organizacionais.

Processos de Alinhamento
As estruturas de tomadas de decisão são o primeiro passo na concepção da Governança de TI. Mas uma governança
eficaz é uma questão tanto de ações quanto de decisões. Os processos de alinhamento são técnicas da administração de
TI para assegurar o envolvimento geral na administração e utilização efetiva de Tecnologia da Informação. Os processos
de alinhamento devem levar todos a bordo, tanto contribuindo para as decisões de governança quanto disseminando os
produtos das decisões de TI. Os principais processos de alinhamento incluem o processo de aprovação de investimentos,
o processo de exceções à arquitetura, os acordos de nível de serviço, a cobrança reversa, o acompanhamento de projetos
e o rastreamento formal do valor de negócios gerado da TI.

O objetivo do processo de aprovação de investimentos em TI é assegurar que os investimentos gerem retornos significativos
para a empresa em comparação com outras oportunidades alternativas de investimento. A maioria das empresas formaliza
seu processo de proposta de investimentos em TI para garantir que ideias criativas e prioridades estratégicas sejam
consideradas pelos tomadores de decisões de investimentos. Muitas empresas usam modelos padronizados de solicitação
Governança de Tecnologia da Informação

e aprovação de investimentos, procurando estimar métricas como Return On Investment – ROI, o Valor Presente Líquido
– VLP e o risco de cada projeto. Sem modelos de investimento, os tomadores de decisão têm dificuldade em comparar
projetos e podem perder oportunidades de gerar valor, fazendo investimentos com benefícios menos assegurados.

Embora as propostas padronizadas exponham os benefícios e os riscos relativos a cada projeto, elas são menos eficazes
para estabelecer de que modo um projeto proposto contribui para os objetivos estratégicos de uma empresa. A maioria
das empresas incumbe as unidades de negócio e as funções de estabelecer suas prioridades com base em seus próprios
objetivos. Comitês de investimento determinam tipicamente o conjunto de projetos que, juntos, proporcionam os maiores
benefícios estratégicos à empresa.

Ainda falando sobre os processos de alinhamento, sabemos que poucas empresas podem dar suporte a todas as plataformas
técnicas que pareçam úteis aos negócios. Os padrões tecnológicos são críticos para a eficiência de TI e dos negócios.
Mas exceções ocasionais não apenas são apropriadas, como necessárias. A questão é saber como identificar a exceção
ocasional. A resposta é o processo de exceções à arquitetura.
26
Governança de TI e suas Melhores Práticas Unidade I

É com as exceções que as empresas aprendem. As empresas adotam o processo de exceções para atender a necessidades
de negócios específicas e determinar quando os padrões existentes estão se tornando obsoletos. As exceções servem
como válvula de escape para reduzir pressões organizacionais. Sem um processo viável de exceções, as unidades de
negócio ignoram os padrões da empresa e implementam-nas sem nenhuma aprovação. Essa abordagem provoca tensões
organizacionais que se acumulam com o tempo à medida que mais exceções não autorizadas ocorrem. Pior ainda, as
exceções não autorizadas privam a empresa da oportunidade de aprender.

Os comitês de arquitetura costumam ser responsáveis pelo estabelecimento de padrões. Em muitos casos, o comitê de
arquitetura assume também a responsabilidade por autorizar exceções aos padrões. Esses comitês, entretanto, podem
facilmente se atolar em batalhas insignificantes, criando um gargalo para as implementações de TI. Para evitar esse dilema,
a maioria das solicitações de exceção de arquitetura deve ser resolvida antes de chegar ao comitê de arquitetura.

Os processos de exceção mais bem-sucedidos resolvem a maioria das questões no nível da equipe de projetos, passando
logo adiante quaisquer pedidos de exceção potencialmente estratégico. Uma abordagem é pôr um arquiteto de TI em
todas as equipes de projetos. Os arquitetos esclarecem padrões e resolvem debates menores. Também podem ajudar
a equipe de projetos a elaborar seus argumentos para exceções com valor. Em empresas em que a padronização se
ajusta facilmente, por exemplo, nas empresas que enfatizam operações de baixo custo, os pedidos de exceção são,
necessariamente, raros. Os arquitetos de projetos compreendem a expectativa de que as implementações de sistemas
devem-se conformar aos padrões.

Passemos agora para os Acordos de Nível de Serviço (Service Level Agreement – SLAs). Estes, usados pela grande maioria
das empresas, enumeram os serviços disponíveis, os níveis alternativos de qualidade e respectivos custos. Por meio de
negociações entre a unidade de serviço de TI e as unidades de negócio, um SLA permite a articulação das ofertas de
serviços de TI e de seus custos. Essas negociações esclarecem os requisitos das unidades de negócio, informando com
isso as decisões da governança sobre a infraestrutura, a arquitetura e as necessidades de aplicações de negócios. Os
SLAs estimulam, frequentemente, comparações com provedores externos. As comparações devem resultar na prestação
de serviços internos com boa relação de custo/benefício ou na decisão de terceirizar alguns serviços de infraestrutura
– em ambos os casos com resultados desejáveis.

Os SLAs estimulam também as unidades de negócio a serem mais conscienciosas em suas solicitações de TI. Tempos de
resposta, garantidos em frações de segundos para transações Web, custam tipicamente mais do que tempos de resposta
de 3 segundos. Similarmente, um tempo de resposta garantido em 30 minutos para uma estação de trabalho que sofra
panes é mais caro do que um de 4 horas. Um representante de serviços de clientes numa central de atendimento pode
justificar o custo extra de um tempo de resposta de 30 minutos mencionando a possibilidade de perda de receita. Um
assistente administrativo, no escritório de contabilidade, provavelmente não poderia utilizar a mesma justificativa.

Os SLAs obrigam as unidades de TI a pensar como provedores externos. Elas “vendem” seus serviços e por isso devem
procurar, constantemente, novos meios de poupar dinheiro. O desafio do processo de SLA está em converter os requisitos
de negócio de nível de serviço em serviços de Tecnologia da Informação. Os custos da TI resultam da mão de obra e
dos tempos de processamento, da capacidade de armazenamento e assim por diante. As unidades de negócio requerem
serviços como processamento de faturas, acesso à Web e respostas rápidas a consultas on-line. Cada vez mais as
unidades de TI vêm traduzindo seus custos em encargos que os administradores de negócio conseguem compreender.
Um SLA que enumere os cursos de TI em termos tecnológicos não ajudará as unidades de negócio a escolher entre os
Pós-Graduação a Distância

níveis de serviço de TI nem a utilizar os serviços sabiamente. Tampouco ajudará os comitês de serviços de TI a conceber
serviços compartilhados. O SLA tem valor quando a comunicação sobre as necessidades de negócio e serviços facilita
decisões que resultem em custos menores e melhor utilização dos recursos de TI.

Os SLAs devem ajudar os administradores de negócios e de TI a fazer escolhas melhores – escolhas sobre como comprar,
vender e apreçar. SLAs bem-concebidos estimulam o profissionalismo de ambas as partes da cadeia de oferta e demanda.
Os resultados são melhores serviços de Tecnologia da Informação e melhor compreensão, por parte tanto dos negócios
quanto da TI, sobre o valor de negócio gerado.

27
Governança de TI e suas Melhores Práticas Unidade I

Ainda falando sobre Processos de Alinhamento, veremos agora a Cobrança Reversa. Esta é um mecanismo contábil para
alocar os custos centrais da TI nas unidades de negócio. A princípio, ela não parece se associar às decisões de Governança
de TO. No entanto, veremos que algumas empresas usam a cobrança reversa com bons resultados para alinhar as decisões
sobre infraestrutura, necessidades de aplicações de negócios e investimentos em TI com os objetivos do negócio.

O propósito da Cobrança Reversa é alocar custos de tal modo que os custos de TI das unidades de negócio reflitam o uso
de serviços compartilhados e que a unidade de serviços compartilhados ajuste ao mesmo tempo seus custos aos negócios
a que ela dá suporte. A cobrança reversa pode funcionar juntamente com o SLA, como um mecanismo de cobrança por
serviços prestados, ou pode ser uma alternativa ao SLA no caso de serviços de TI para os quais não haja níveis alternativos
de serviço. Como no caso dos SLAs, a administração usualmente espera que a cobrança reversa resulte num uso eficaz
da TI. A maioria dos administradores reflete comportamentos baseados no mercado em resposta à cobrança reversa
de TI, ajustando sua demanda de acordo com o valor que recebem e cortando as cobranças das unidades de TI quando
elas parecem fora de linha.

Passemos agora para outro tipo de Processo de Alinhamento – o Acompanhamento de Projetos. Um passo crítico na
implementação da Governança de TI é desenvolver a disciplina para acompanhar o progresso de projetos individuais de
TI. Boa parte das empresas dizem rastrear os recursos consumidos pelos projetos. As empresas usam uma variedade
de ferramentas para dar suporte ao acompanhamento dos projetos. Nas organizações de melhor desempenho, o
acompanhamento é apenas um dos elementos de uma metodologia padronizada de gestão de projetos. Algumas empresas
fazem uso do Modelo de Maturidade da Capacidade – CMM, um processo altamente padronizado para certificar a gestão
organizacional de projetos. Outras empresas aplicam uma metodologia de gestão de projetos desenvolvida internamente.
Não existem evidências de que um tipo de métrica, ou metodologia de gestão de projetos seja mais bem-sucedida do que
um outro tipo, mas qualquer tentativa de mensurar o progresso de implementações e de identificar e corrigir problemas
rapidamente aumenta em muito a possibilidade de sucesso da implementação.

E, por fim, vejamos o Rastreamento Formal do Valor de Negócio. Grande parte do desafio de criar uma Governança de
TO eficaz decorre da dificuldade de estimar o valor da Tecnologia da Informação. Os tomadores de decisões sobre TI
decidem tanto melhor quanto melhor compreendem o valor que a empresa aufere da TI. Rastrear formalmente o valor de
negócio da TI aumenta o aprendizado organizacional sobre o valor de iniciativas habilitadas pela Tecnologia da Informação.

Rastrear inclui determinar se as expectativas de redução de custo de um projeto ou de aumento de receita realmente se
materializaram. O processo de rastreamento de valor ajuda executivos tanto de negócios quanto de TI a compreender
as fontes e os obstáculos para gerar valor a partir dos investimentos em TI. Com a prática, ele também possibilita
estimativas mais realistas dos benefícios propostos de um sistema. Como os resultados dos projetos são difíceis de isolar
– particularmente quando os projetos são parte das metas de programas maiores – um número crescente de empresas
vem formalizando objetivos intermediários.

A Governança de TI envolve a concessão de poderes a todos os funcionários da empresa. Os mecanismos de tomada de


decisões concentram-se em trabalhar a estratégia do negócio e as implicações para a TI. Os processos de alinhamento
Governança de Tecnologia da Informação

permitem que decisões estratégicas orientem ações cotidianas. Além disso, esses processos permitem que experiências
do dia a dia com a TI proporcionem feedback ao processo estratégico.

Abordagens de Comunicação
Os mecanismos de comunicação destinam-se a “difundir a palavra” por toda a empresa sobre as decisões e os processos
de Governança de TI e sobre os respectivos comportamentos desejáveis. As empresas comunicam de várias maneiras
seus mecanismos de governança. Quanto mais a administração comunica formalmente a existência de mecanismos de
governança, como esses mecanismos funcionam e quais os resultados esperados, mais eficaz será a governança.

28
Governança de TI e suas Melhores Práticas Unidade I

Neste capítulo avaliamos três tipos de mecanismos de governança de TI e identificamos os principais mecanismos dentro
de cada tipo. Cada mecanismo deve apresentar três características.

• Simples – Mecanismos definem sem ambiguidade responsabilidades ou objetivos para cada pessoa ou grupo
específico.

• Transparente – Mecanismos eficazes baseiam-se em processos formais. O funcionamento do mecanismo


deve ficar claro para todas as pessoas afetadas pelas decisões de governança ou que queiram contestá-la.

• Adequado – Mecanismos envolvem os indivíduos em melhor condição de tomar cada decisão.

No entanto, mecanismos não funcionam isoladamente. O impacto de mecanismos de governança depende de interações
mútuas entre eles. Observemos cinco princípios para conceber conjuntos eficazes de mecanismos.

• Escolher mecanismos dos três tipos – Mecanismos de tomadas de decisão, de alinhamento e de comunicação
têm objetivos diferentes. Todos são importantes para uma governança eficaz.

• Limitar as estruturas de tomadas de decisão – A tomada de decisões nas empresas não é um fenômeno de
“quanto mais, melhor”. Organizações complexas exigem múltiplas estruturas de tomadas de decisão, mas
quanto mais estruturas de tomadas de decisão, maiores serão as chances de contradições e discrepâncias. As
responsabilidades pela tomada de decisões devem ser disseminadas na empresa toda por meio de mecanismos
de alinhamento, e não de estruturas de tomadas de decisão.

• Posicionar membros comuns nas estruturas de tomada de decisão – A Governança de TI requer contribuições
sérias em decisões sobre necessidades de negócios estratégicas e capacidades tecnológicas. Para assegurar
que essas perspectivas críticas influenciem todas as decisões de Governança de TI pertinentes, os principais
órgãos de tomadas de decisão precisam ter membros em comum ou mandatos claros. O modelo da Governança
de TI deve evitar descompassos entre as decisões de negócios e as de TI.

• Implementar mecanismos em múltiplos níveis na empresa – Embora empresas diversificadas possam ter
requisitos limitados de integração e padronização, uma única unidade de negócio talvez deseje processos
estreitamente integrados. Por isso, o modelo da Governança de TI no nível da empresa reflete somente uma
camada da governança. A governança no nível da empresa influencia decisões no nível das unidades de negócio,
mas estas precisam, frequentemente, de arranjos próprios de governança, com mecanismos correspondentes.
Uma boa governança numa firma com múltiplas unidades de negócio requer conexões entre a governança
geral e a das unidades de negócio. Mecanismos como comitês de arquitetura e processos de orçamento de TI
costumam proporcionar tais conexões.

• Esclarecer a responsabilidade – Múltiplos mecanismos podem inadvertidamente gerar confusões sobre quem
é responsável pelo o quê ou limitar a habilidade dos administradores de gerar os resultados pelos quais são
responsáveis. O modelo de Governança de TI deve esclarecer os objetivos administrativos e suas métricas.
Pós-Graduação a Distância

29
Metodologias e Padrões Unidade II Unidade II

Metodologias e Padrões

Capítulo 5 – Information Technology Infrastructure Library – ITIL

Os problemas significativos que enfrentamos não podem ser


resolvidos pelo mesmo nível de pensamento que os criou.
Albert Einstein

Falaremos muito sobre processo neste capítulo. Procure identificar


o que vem a ser um processo e a sua composição (fornecedores,
insumos, input, output e realimentação).

Controle, transparência e previsibilidade passaram a ser agora ferramentas de gestão das organizações. Como as
informações estão, na maioria dos casos, no formato digital, a área de TI passou a desempenhar um papel vital na
governança. A auditoria, em geral, trabalhava com as métricas específicas de TI e comparava os resultados tanto no
âmbito interno quanto externo da empresa. No entanto, representava pouco, pois era necessário melhorar os serviços e
processos, e os CIOs passaram a adotar o ITIL e as suas melhores práticas para os serviços e processos de TI, reduzindo,
assim, os custos e melhorando a qualidade dos serviços.
O ITIL é o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi
criada pela Secretaria de Comércio (Office of Government Commerce – OGC) do governo inglês, a partir de pesquisas
realizadas por consultores, especialistas e doutores, para desenvolver as melhores práticas na gestão da área de TI, em
Governança de Tecnologia da Informação

empresas privadas e públicas. Atualmente, tornou-se a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O
foco desse modelo é descrever os processos necessários para gerenciar a infraestrutura de TI eficiente e eficazmente
de modo a garantir os níveis de serviço acordados com os clientes internos e externos.
O ITIL fornece um método comprovado para o planejamento de processos, papéis e atividades comuns, com a referência
apropriada de um para o outro e de como devem ser as linhas de comunicação entre eles. O ITIL considera que o
Gerenciamento de Serviços da Tecnologia de Informação e Comunicação – TIC (Information Technology Services
Management – ITSM) é constituído de processos estreitamente relacionados e altamente integrados.
Um de seus propósitos é alinhar a gestão da tecnologia com as necessidades de negócios, com foco integral na qualidade dos
serviços de TIC prestados, assegurando os níveis de serviços imprescindíveis à sustentação das operações críticas.
Para atingir os objetivos do ITSM, os processos devem utilizar o tripé pessoas, processos e produtos de forma eficaz, eficiente
e econômica. O ITIL define o que deve ser feito, ficando a cargo das organizações a definição de como será feito.
30
Metodologias e Padrões Unidade II

Para isso, define os objetivos e as atividades, as entradas e as saídas de cada um dos processos que normalmente as
equipes de TI desenvolvem em uma organização. Entretanto, o ITIL não dá uma descrição específica de como essas
atividades devem ser executadas, porque em cada organização estas são diferentes, ou seja, não existe receita de bolo
pronta para você implementar o ITIL. A ênfase está em sugestões que foram provadas na prática, mas, dependendo das
circunstâncias, pode ser implementada de várias formas. ITIL não é um método, ao invés disso, oferece um framework
(melhores práticas) para planejar os processos mais comuns, papéis e atividades, indicando as ligações entre elas e que
linhas de comunicação são necessárias.

É importante registrar que o ITIL é de domínio público e a utilização dessas práticas podem ser empregadas na sua
empresa.

Observe, a seguir, as principais características do modelo ITIL.

– Modelo de referência para processos de TI não proprietário

– Independência de tecnologia e fornecedor

– Modelo de referência para a implementação de processos de TI

– Padronização de terminologias

– Interdependência de processos

– Diretivas básicas para implementação

– Diretivas básicas para funções e responsabilidades dentro de cada processo

– Checklist testado e aprovado

– O que fazer e o que não fazer

As melhores práticas são os melhores modelos de trabalho identificados em situações reais considerando organizações
em atividades similares. Uma melhor prática significa que um modelo foi implementado, anteriormente, após ter sido
determinada e comprovada a sua relevância. A implantação de uma melhor prática é tudo aquilo relacionado a "não
reinvenção da roda", mas à capacidade de implementar em outras situações similares, modelos e experiências que já se
mostraram eficientes.

A técnica de implantação de uma melhor prática é baseada em ciclo de vida, cujo foco está sempre relacionado à
excelência do Gerenciamento de Serviços, podendo ser aplicada a qualquer tempo e em qualquer circunstância. O objetivo
das melhores práticas é reduzir os custos de tecnologia e melhorar o desempenho e a performance dos ativos da tecnologia
e da área de TI como um todo. Na sua última instância, o ITIL fornece indicadores para benchmarks.

Todos os indicadores atuais são excelentes na sua esfera de competência, mas nenhum deles leva o foco de TI para o
usuário. O grau ideal de interação de um usuário com tecnologia é a relação homem versus lápis, ou seja, uma pessoa
é treinada na fase de alfabetização e a partir daí ela é capaz de utilizar qualquer lápis a vida inteira, pois o processo de
aprendizado de um novo tipo de lápis é totalmente intuitivo.
Pós-Graduação a Distância

Para responder essa pergunta o primeiro passo é o entendimento da visão da alta administração sobre a tecnologia. A
seguir, temos as percepções mais comuns das gerências de negócio sobre TI.

Por que adotar o ITIL?

31
Metodologias e Padrões Unidade II

– Provisão de serviços inadequada.


– Falta de comunicação e entendimento com os usuários.
– Gastos excessivos com infraestrutura (sentimento de se tratar de uma parcela significativa nos gastos totais
do negócio).
– Justificativas insuficientes ou pouco fundamentadas para os custos da provisão dos serviços (dificuldade na
comprovação dos seus benefícios para o negócio).
– Falta de sintonia entre mudanças na infraestrutura e os objetivos de negócio.
– Entrega de projetos com atrasos e acima do orçamento.

É importante destacar que, em geral, os gestores do negócio dão pouca importância para a conquista da excelência
operacional, pois na visão deles a otimização dos recursos é o mínimo que a área de TI deveria realizar. Para os gestores
do negócio, a área de TI deve oferecer uma taxa de retorno melhor do que simplesmente funcionar com eficiência e
eficácia.

A adoção das melhores práticas de gerenciamento de serviços ITIL endereça as principais questões em relação ao
posicionamento estratégico de TI na organização, como excelência operacional, otimização do uso dos recursos,
previsibilidade, alinhamento com o negócio, entre outros. Seguem os principais desafios dos gestores de TI para conquistar
a credibilidade e a excelência operacional.
– Incrementar a efetividade dos serviços.
– Estender o ciclo de vida da tecnologia.
– Remover gargalos.
– Racionalizar a complexidade.
– Assegurar a aderência à evolução dos negócios.

Os desafios mostram que na visão do negócio os recursos de TI são subutilizados, complexos em excesso, e, em geral,
são barreiras pela falta de flexibilidade. O desafio mais comum e importante no momento é o prazo de entrega dos
projetos de TI, que demandam, em geral, por seis ou nove meses de implantação madura (sem erros) em um cenário no
qual as empresas trabalham com oportunidades de dois ou três meses. O ciclo de vida da tecnologia é, sem sombra de
dúvida, o desafio dos gestores de TI mais cobrado pelo CFO, pois um ativo diretamente ligado à produção é depreciado
em aproximadamente 60 meses.

As melhores práticas do ITIL surgiram para otimizar o uso dos recursos de TI e para a tecnologia caminhar alinhada aos
negócios, gerando benefícios importantes e relevantes. Em razão dos desafios, o mercado entende que os principais
Governança de Tecnologia da Informação

objetivos de TI são estes.


– Atuar com foco nos processos.
– Atuar de forma preventiva e proativa.
– Atuar com foco no cliente (usuário).
– Apresentar soluções integradas e de gerenciamento centralizado, mas com abrangência distribuída.
– Apresentar demonstração dos resultados obtidos de forma clara.
– Estar permanentemente alinhada ao negócio.

Esses seis pontos estão presentes nos mais diversos tipos e tamanhos de negócios e, em linha geral, constituem as
expectativas da alta administração sobre TI. Observe que os objetivos representam um forte equilíbrio entre excelência

32
Metodologias e Padrões Unidade II

operacional, otimização dos custos, alinhamento com o negócio e agregação de valor. A adoção do ITIL visa endereçar esses
seis objetivos em curto, médio e longo prazo. As melhores práticas do ITIL têm as seguintes metas em curto prazo.
– Aumentar a produtividade.
– Centralizar controle.
– Estender o ciclo de vida da tecnologia.
– Remover gargalos.
– Simplificar complexidade.

Os fatores motivacionais para adoção do ITIL podem ser classificados em três grandes grupos: financeiro, qualidade e
competitividade. A seguir, as principais motivações do ponto vista financeiro.
– Redução dos custos operacionais de TI.
– Fortalecimento dos Controles e da Gestão dos ambientes de TI.

O ITIL tem como um dos seus principais pilares de sustentação a melhoria da qualidade de serviços. A seguir, as principais
motivações do aspecto qualidade.
– Orientação de processos com significativa redução nos tempos de execução e distribuição de serviços.
– Diminuição gradativa da indisponibilidade dos recursos e sistemas de Tecnologia da Informação, causados por
falhas no planejamento das mudanças e implantações em TI.
– Elevação dos níveis de satisfação dos usuários internos e clientes com relação à disponibilidade e qualidade
dos serviços de TI.

O terceiro fator motivacional é basicamente uma consequência do sucesso dos dois anteriores. Com as melhores
práticas nas dimensões financeiras e de qualidade, é natural que a competitividade da empresa esteja sendo melhorada.
Custos menores, maior disponibilidade, aumento do ciclo de vida, usuários com melhor atendimento, redução de erros,
previsibilidade e constância são os fatores que melhoram a competitividade da empresa pelo uso das melhores práticas
do gerenciamento de serviços de TI.

Os objetivos das melhores práticas são audaciosos, porém bastante simples, e a simplicidade vem permitindo que o
mercado alcance resultados significativos.

O ITIL, na verdade, é uma biblioteca. A biblioteca não é uma propriedade privada, está disponível para todos e tem sido
produzida utilizando-se os procedimentos certificados para o padrão ISO-9001/BS5750. O núcleo dos livros do ITIL foi
revisado e publicado apenas como dois livros, um Suporte a Serviços e outro Entrega de Serviços. O quebra-cabeça do
ITIL mostra os principais elementos localizados nos seus livros. Cada um desses elementos se relaciona entre si, e se
sobrepõem em alguns tópicos.
– Perspectiva do Negócio
– Entrega do Serviço
– Suporte ao Serviço
Pós-Graduação a Distância

– Gerenciamento da Segurança
– Gerenciamento da Infraestrutura
– Gerenciamento de Aplicações
– Planejamento da Implementação do Gerenciamento de Serviços

33
Metodologias e Padrões Unidade II

Figura 6 – Principais livros que compõem a biblioteca ITIL


(baseado no livro Service Support da OGC – Office of Government Commerce)

Esses sete módulos constituem o corpo do ITIL. A seguir veremos uma descrição resumida do propósito de cada livro.

Suporte ao Serviços
Relata como um cliente consegue acesso aos serviços para suportar seus negócios. Nele são tratados os seguintes
assuntos:
– Central de Serviços;
– Gerenciamento de Incidentes;
– Gerenciamento de Problemas;
– Gerenciamento da Configuração;
– Gerenciamento de Mudanças;
– Gerenciamento de Liberação;

Entrega de Serviços
Governança de Tecnologia da Informação

Descreve os serviços que o cliente necessita, e o que é necessário para fornecer os serviços. Este livro cobre os seguintes
assuntos:
– Gerenciamento do Nível de Serviços;
– Gerenciamento Financeiro para Serviços de TI;
– Gerenciamento da Capacidade;
– Gerenciamento da Disponibilidade;
– Gerenciamento da Continuidade dos Serviços de TI;
– Gerenciamento da Segurança (com referência ao livro Gerenciamento da Segurança).

34
Metodologias e Padrões Unidade II

Gerenciamento da Infraestrutura – ICT


Aborda todos os aspectos do Gerenciamento da Infraestrutura, como identificação dos requisitos do negócio, testes,
instalações, entregas e otimização das operações normais dos componentes que fazem parte dos Serviços de TI.

Planejamento para Implementação do Gerenciamento de Serviços


Examina questões e tarefas envolvidas no planejamento, implementação e aperfeiçoamento dos processos do Gerenciamento
de Serviços dentro de uma organização. Também foca em questões relacionadas à Cultura e Mudança Organizacional.

Gerenciamento de Aplicações
Descreve como gerenciar as aplicações a partir das necessidades iniciais dos negócios, passando por todos os estágios
do ciclo de vida de uma aplicação, incluindo até a sua saída do ambiente de produção (quando o sistema é aposentado).
Esse processo dá ênfase em assegurar que os projetos de TI e as estratégias estejam corretamente alinhados com o
ciclo de vida da aplicação, assegurando que o negócio consiga obter o retorno do valor investido.

Perspectiva de Negócio
Fornece um conselho e guia para ajudar o pessoal de TI a entender como eles podem contribuir para os objetivos do
negócio e como suas funções e serviços podem estar mais bem alinhados e aproveitados para maximizar sua contribuição
para a organização.

Gerenciamento da Segurança
Detalha o processo de planejamento e gerenciamento a um nível mais granularizado da segurança da informação e
Serviços de TI, incluindo todos os aspectos associados com a reação da segurança dos incidentes. Também inclui uma
avaliação e gerenciamento dos riscos e vulnerabilidade, e implementação de custos justificáveis para a implementação
de contrarrecursos (estratégia de segurança).

As ações de TI estão, nos dias de hoje, diretamente conectadas ao faturamento, vendas, crédito das empresas. Por isso,
podemos afirmar que os principais dispositivos do negócio é a tecnologia. É fato que a lucratividade das empresas depende
de fatores como alta disponibilidade, segurança e desempenho dos serviços de TI, e é justamente por esse conjunto de
necessidades que o tema maturidade do gerenciamento dos serviços de TI ganhou força e forma no mercado.

O processo tornou-se ainda mais complexo após a terceirização dos serviços de TI de uma forma parcial ou total. Processo
Pós-Graduação a Distância

é um conjunto de atividades inter-relacionadas com um objetivo específico. Possui entradas de dados, informações e
produtos para, por meio da identificação dos recursos necessários ao processo, transformar essas entradas nos objetivos
previstos.

A Central de Serviços, um dos componentes do ITIL, também conhecida em inglês como Service-Desk, é uma função
dentro da TI que tem como objetivo ser o ponto único de contato entre os usuários/clientes e o departamento de TI. A
proposta sugerida é separar dentro das operações de TI quem faz parte do suporte aos usuários de quem vai realizar
atividades de resolução de problemas e desenvolvimento. Ter uma área específica para o suporte traz vantagens para os
usuários, propiciando um suporte com maior agilidade e qualidade, e para a equipe de TI mais eficiência, pois o técnico

35
Metodologias e Padrões Unidade II

especialista acaba não sendo mais interrompido pelas chamadas diretas dos usuários. A Central de Serviços não é um
processo do ITIL, e sim uma função. O Gerenciamento de Serviços de TI está criado em torno da entrega de níveis de
serviços estabelecidos aos usuários finais, e para isso é necessário ter uma área com o foco em dar suporte aos usuários
à medida que eles requerem ajuda para o uso dos serviços de TI e monitorar o cumprimento dos níveis de serviços
estabelecidos nos SLAs. O Gerenciamento de Nível de Serviços é um habilitador de negócio primordial para essa função.

Sendo um ponto único de contato para o Serviço de TI, a Central de Serviço deve ter um vínculo com todos os processos
do ITIL. Com alguns processos esse vínculo é mais claro do que com outros.

Gerenciamento da
Configuração

Gerenciamento de Gerenciamento de
Incidentes Central de Mudanças
Serviços

Gerenciamento de Gerenciamento do
Liberação Nível de Serviço

Figura 7 – Integração da Central de Serviços com os Processos ITIL

A Central de Serviços é, de fato, um aspecto operacional importante do processo do Gerenciamento de Incidentes, por
exemplo, controle de incidentes. Ela os registra e controla, relacionando-os aos Itens de Configuração. Se esse vínculo
for suportado por um software, teremos condições de futuramente fazer todo o rastreamento de problemas ocasionados
com determinado equipamento na infraestrutura.

Isso também permitirá à equipe da Central de Serviços resolver rapidamente os incidentes buscando soluções relacionadas
ao Item de Configuração ou ao problema relacionado. Em alguns casos, a Central de Serviços realiza mudanças pequenas
e tem um vínculo com o Gerenciamento de Mudanças e o Gerenciamento de Liberações. O vínculo entre a Central de
Serviços e o Gerenciamento do Nível de Serviço pode ser ilustrado como o resultado da Central de Serviços monitorando
os níveis de suporte e reportando se o serviço de TI foi restaurado dentro dos limites definidos nos Acordos de Nível de
Serviços – ANS. A Central de Serviços reportará ao Gerenciamento do Nível de Serviços se os serviços não estiverem
restaurados dentro do prazo e se procedimentos de escalonamento não estiverem corretamente definidos para alcançar
Governança de Tecnologia da Informação

os prazos determinados.

O ITIL preocupa-se, basicamente, com a entrega e o suporte aos serviços de forma apropriada e aderente aos requisitos
do negócio. É o modelo de referência para gerenciamento dos serviços de TI mais aceito mundialmente. Em geral, os
serviços de TI são fornecidos por meio da infraestrutura de hardware, software, procedimentos, documentação, base
de conhecimento, comunicações e pessoas.

O gerenciamento dos serviços de TI trata dos serviços e do gerenciamento da infraestrutura de TI. No mercado, também
temos os termos Entrega dos Serviços de TI e Sistema de Gerenciamento da TI para descrever essas funções.

O Suporte aos Serviços de TI e a Entrega dos Serviços de TI descrevem os processos-chave para melhorar a qualidade
dos serviços de TI.
– Gerenciamento de Incidentes
– Gerenciamento de Problemas
36
Metodologias e Padrões Unidade II

– Gerenciamento de Configuração
– Gerenciamento de Mudanças
– Gerenciamento de Liberação
– Gerenciamento de Disponibilidade
– Gerenciamento de Continuidade
– Gerenciamento de Capacidade
– Gerenciamento de Níveis de Serviço
– Gerenciamento de Finanças

Vejamos, a seguir, cada um deles.

Gerenciamento de Incidentes
Visa restaurar os serviços o mais rápido possível com o mínimo de interrupção, minimizando os impactos negativos nas
áreas de negócio. Suas ações não se assemelham as de qualquer projeto. É um dos processos mais reativos, pois entrará
em atuação a partir dos incidentes levantados por usuários ou ferramentas de monitoramento. Entretanto, esse processo
é vital para manter a agilidade dos serviços de TI. É importante considerar, também, que as informações dos incidentes
levantadas nesse processo serão de grande importância para o processo de Gerenciamento de Problemas.

Gerenciamento da Configuração
Por meio do armazenamento e gerenciamento de dados relacionados à infraestrutura de TI, o processo de Gerenciamento
da Configuração dá à organização um controle maior sobre todos os ativos de TI. Quanto mais dependentes dos sistemas
de TI as organizações são, mais importante se torna o Gerenciamento da Configuração. É, entretanto, necessário manter
um registro de todos os Itens de Configuração – IC’s dentro da infraestrutura de TI. O Gerenciamento da Configuração
tem como objetivo fornecer um modelo lógico da infraestrutura de TI, identificando, controlando, mantendo e verificando
versões de todos os IC’s.

Gerenciamento de Liberação
Processo que "protege" o ambiente de produção. A proteção vem em forma de procedimentos formais ou testes extensivos
relacionados a mudanças de software ou hardware que estão sendo propostas dentro do ambiente de produção. Objetivos
do processo de Gerenciamento de Liberação incluem:
– gerenciar, distribuir e implementar itens de software e hardware aprovados;
– prover o armazenamento físico e seguro de itens de hardware e software no Depósito de Hardware Definitivo
(DHD) e na Biblioteca Definitiva de Software (BDS);
Pós-Graduação a Distância

– assegurar que apenas versões de software autorizadas e com processo de qualidade controlado sejam usados
nos ambientes de teste e produção.

Gerenciamento de Problemas
Processo que tem como missão minimizar a interrupção nos serviços de TI por meio da organização dos recursos para
solucionar problemas de acordo com as necessidades de negócio, prevenindo a recorrência deles e registrando informações

37
Metodologias e Padrões Unidade II

que melhorem a maneira pela qual a organização de TI trata os problemas, resultando em níveis mais altos de disponibilidade
e produtividade. É importante que o Processo de Gerenciamento de Problemas venha acompanhado do Gerenciamento
de Mudanças, fazendo com que a correção dos erros seja previamente analisada em relação aos riscos. Muitas vezes a
correção de um erro acaba gerando mais incidentes e criando impacto para os usuários.

Gerenciamento da Disponibilidade
Processo que visa otimizar a capacidade da infraestrutura de TI, os serviços e o suporte para prover, a custo efetivo,
um nível de disponibilidade que permita ao negócio atender seus objetivos. Isso é obtido mediante determinação dos
requerimentos de disponibilidade do negócio e análise da capacidade da infraestrutura de TI para atender a esses
requerimentos. As lacunas entre requerimento e capacidade são preenchidas pelas alternativas disponíveis e opções de
custos associados.

Gerenciamento de Mudanças
Processo que pode ser a causa dos incidentes se uma mudança não foi executada corretamente. Consequentemente é
muito importante que o Gerenciamento de Incidentes saiba de todas as mudanças planejadas, assim poderá relacionar
os incidentes à transformação e notificar o processo de Gerenciamento de Mudanças, para que o processo de retrocesso
(back out) seja executado. De outra forma, alguns incidentes serão resolvidos por meio de uma alteração, no caso de um
equipamento defeituoso ser substituído, por exemplo.

Gerenciamento da Continuidade dos Serviços


Processo de Gerenciamento dos recursos – organizacionais, técnicos e humanos – que, logicamente ordenados, garantam
a manutenção dos serviços que suportam os negócios da organização, dentro de níveis de serviço acordados, incluindo o
suporte mínimo necessário para a continuidade das operações no caso de uma interrupção. Esse processo inclui o ciclo
contínuo de avaliação de risco e adoção de medidas de contorno, revisão dos cenários e planos de contingenciamento,
bem como garantia de aderência às orientações corporativas quanto ao estabelecimento de Planos de Continuidade de
Negócios.

Gerenciamento de Capacidade
Processo de monitoração, análise e planejamento do efetivo uso dos recursos computacionais, visando definir e estabelecer
uma metodologia apropriada para o acompanhamento e projeção da utilização dos recursos computacionais, incluindo os
meios de transmissão de dados e a especificação das métricas e condições ótimas de operação desses recursos.
Governança de Tecnologia da Informação

Gerenciamento dos Níveis de Serviço


Processo de planejamento, coordenação, elaboração, monitoração e reporte dos Acordos de Níveis de Serviço – SLA e,
adicionalmente, as revisões dos indicadores constantes dos acordos celebrados de forma a garantir que os requerimentos
de qualidade e custos estão mantidos e gradualmente melhorados. Um SLA deve prover a base para o gerenciamento do
relacionamento entre o provedor do serviço e seu usuário.

Gerenciamento de Finanças
O objetivo do processo de Gerenciamento Financeiro para os Serviços de TI em um departamento de TI interno deve ser
o de fornecer um custo efetivo para os gastos aplicados nos ativos de TI e os recursos usados para fornecer os serviços

38
Metodologias e Padrões Unidade II

de TI. O foco principal desse processo é o entendimento dos custos envolvidos na entrega de serviços de TI, atribuindo
os custos para cada serviço e cliente específico. Essa consciência dos custos melhora a qualidade de todas as decisões
tomadas em relação aos gastos de TI. A cobrança dos custos do cliente é opcional.

Gerenciamento de Liberações Suporte a Serviços


Relacionamento com o
Cliente de TI Gerenciamento de Mudanças Gerenciamento de Problemas
Gerenciamento da Configuração Gerenciamento de Incidentes

Ger. do Nível de Serviço Gerenciamento da Capacidade


Gerenciamento Financeiro para Gerenciamento da Continuidade
Serviços de TI dos Serviços Central de Serviços

Entrega de Serviços Ger. da Disponibilidade

Gerenciamento da Segurança

Figura 8 – Modelo da Metodologia ITIL

Neste momento, já sabemos o que é o ITIL, como e porque ele é implantado e a quem ele se destina. Para finalizar este
capítulo, vamos a um caso prático. Os seis grandes passos para uma implantação de sucesso desse modelo estão listados
na tabela a seguir.

Tabela 4 – Etapas para implantação do modelo ITIL

Visão executiva sobre o ITIL e seus processos. Estudo de caso com


os profissionais da organização sobre como esses processos podem
Workshop Executivo
PASSO 1 auxiliar no alinhamento da estratégia de TI com a estratégia do
Estratégia
negócio, bem como sobre os elementos típicos que compõem uma
implementação.
Diagnóstico das práticas atuais Levantamento das atuais práticas em uso na área de Tecnologia da
PASSO 2
em Tecnologia da Informação Informação, no que diz respeito à Gestão de Serviços.
Plano estratégico alinhando pessoas, processos e tecnologia,
PASSO 3 Planejamento do Projeto
conectando esses elementos aos objetivos de negócios.
PASSO 4 Implementação Execução do plano estratégico que foi definido.
Revisão dos resultados com a organização garante que a área de
Pós-Graduação a Distância

PASSO 5 Pós-Implementação Tecnologia da Informação esteja alinhada com os objetivos de


negócios.
Programas de melhoria contínua, analisando resultados, aprimorando
PASSO 6 Melhoria Contínua as práticas implementadas e atualizando os processos segundo a
realidade dos negócios.

39
Metodologias e Padrões Unidade II

Capítulo 6 – Control Objectives for Information and Related Technology – CobiT

O COBIT foi criado pelo Information Systems Audit and Control Association – ISACA por meio do IT Governance Institute,
organização independente que desenvolveu a metodologia considerada a base da governança tecnológica. É um modelo
utilizado, internacionalmente, como um instrumento (de fomento) da Governança de TI, contendo práticas e técnicas de
controle e gerenciamento, a fim de auxiliar na preparação para auditorias, acompanhamento/monitoramento, a avaliação
dos processos de TI e, finalmente, auxiliar no alcance de metas na organização.

Para isso, dizemos que o COBIT é um framework de controle (melhores práticas) e uma base de conhecimento para
os processos de TI e seu gerenciamento, assegurando dessa maneira que os recursos de TI estarão alinhados com os
objetivos da organização. Não é um padrão definitivo, tem que ser adaptado para cada empresa. É baseado na premissa
de que a TI precisa entregar a informação que a empresa necessita para atingir seus objetivos. O COBIT foi projetado
para utilização por três distintos públicos:

– administradores, para auxiliá-los na ponderação entre risco e investimento em controles num ambiente muitas
vezes imprevisível como o de TI;

– usuários, para certificarem-se da segurança e dos controles dos serviços de TI fornecidos internamente ou
por terceiros;

– auditores de sistemas, para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre
controles internos.

É cada vez mais importante, para o sucesso e a sobrevivência de uma organização, o gerenciamento efetivo da informação
e da respectiva TI, não podendo desconsiderar a crescente e constante dependência da informação e dos sistemas que os
fornece. Na mesma proporção que uma empresa e seus usuários e até mesmo um usuário doméstico tem a necessidade
em obter informações com uma maior agilidade, também cresce, na mesma proporção, e até em níveis mais elevados,
a fragilidade e vulnerabilidade em assegurar que as informações obtidas não caiam em mãos erradas e sejam usadas de
forma a prejudicar a empresa.

A missão do COBIT é pesquisar, desenvolver e promover um conjunto de objetivos de controle geralmente aceitos sobre
tecnologia da informação, para uso cotidiano por administradores e auditores. O COBIT auxilia a associação entre os
riscos do negócio, as necessidades de controle e os aspectos tecnológicos, propiciando boas práticas por meio de uma
matriz de domínios e processos estruturados, de forma lógica e gerenciável.
Governança de Tecnologia da Informação

O objetivo geral do COBIT é servir como um guia abrangente para usuários, auditores, gestores e donos de processos
de negócios que permita a Governança de TI. Para isso, o COBIT segue a seguinte linha de raciocínio: riscos de negócio,
necessidades de controles e necessidades técnicas. Visando maximizar benefícios de TI, capitalizar em oportunidades
de TI e ganhar vantagens competitivas em TI.

A governança de TI, aliada ao COBIT, pode criar um plano para que a TI esteja alinhada a planejamento, organização,
aquisição, implementação, entrega, suporte e monitoramento, sendo que estes estão relacionados a processos,
recursos, informações e objetivos da empresa, em que o conselho administrativo deverá estar orientado pelos valores
dos interessados.

Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes
em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking
com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As
recomendações de gerenciamento do COBIT, com orientação no modelo de maturidade em governança, auxiliam os gerentes

40
Metodologias e Padrões Unidade II

de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. As diretrizes de gerenciamento do


COBIT focam a gerência por desempenho usando os princípios do balanced scorecard. Seus indicadores-chave identificam
e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da
organização.

Para estruturar os processos de TI usando o framework do COBIT, é necessário avaliar os processos de TI existentes
na empresa, fazer uma análise comparativa com os processos do COBIT e modificar o que for necessário para atender
os objetivos de controles, fazendo uso de conceitos, metodologias e ferramentas disponíveis no mercado.

Isso deve ser feito com base em uma metodologia para a modelagem de processos, caso contrário, as representações e
as formas de abordagens podem diferir muito entre as várias áreas em TI, dificultando a integração nelas.

Existem várias metodologias para modelagem de processos, ferramentas de Total Quality Management – TQM, 6 Sigma,
Design for 6 Sigma, Business Process Redesign – BPR, Business Process Management – BPM, Integrated DEFinition
Methods – IDEF, e outras metodologias proprietárias de diversas consultorias de mercado. Independente da metodologia
adotada, os passos giram em torno destas ações.
– Levantamento da situação atual: é feito o mapeamento da situação atual com base em diagramas, métricas
e formulários em que são representadas as características dos processos vigentes.
– Análise e Diagnóstico: é realizada a análise de conformidade em relação ao referencial escolhido com base
em requerimentos do negócio, restrições do processo, comparação com outros processos, requerimentos dos
clientes e outras referências.
– Desenho da Situação Desejada: partindo-se da situação existente, é feito o desenho do processo que contempla
os GAP´s em relação ao referencial escolhido, respeitadas as restrições de recursos e os direcionamentos
estratégicos.
– Implementação: alteram-se políticas, normas, procedimentos, mecanismos, acordos de níveis de serviços,
indicadores e demais estruturas, conforme o novo desenho do processo.
– Monitoramento: são coletados e monitorados os indicadores conforme as faixas de conformidade acordadas,
atuando-se nos desvios e acompanhando as tendências para manter o processo em um ciclo de melhoria
contínua.

Conforme a fase da modelagem dos processos de TI, a estrutura de controles do COBIT auxilia na estruturação do
levantamento, entendimento, acompanhamento da implementação e monitoramento dos processos implementados.

É cada vez mais importante, para o sucesso e sobrevivência de uma organização, o gerenciamento efetivo da informação
e da respectiva tecnologia de informação (TI), pois é cada vez mais crescente as empresas que criam e desenvolvem
hardware e software.

Esse desenvolvimento tem como característica a alta produção de bens duráveis e não duráveis, assim como a agilidade
nos processamentos de dados em uma instituição financeira; a comodidade de fazer uma compra, fechar um contrato,
fazer um empréstimo tudo por meio do uso da Internet. Consequentemente, também cresce a indústria de roubo e
comercialização de informações confidenciais adquiridas por hackers. Para isso, é necessário que a organização tenha
Pós-Graduação a Distância

a luz de metodologias e ferramentas que lhe auxiliem no combate contra os hackers e na segurança das informações,
lembrando-se do tipo de informação que a organização pretende proteger, contra quem e o quanto está disposta a gastar,
pois não é viável que uma empresa venha a gastar um milhão de reais para proteger cem reais.

Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar. Contudo, somente as
organizações de sucesso compreendem e gerenciam os riscos associados com a implementação de novas tecnologias.

O COBIT auxilia a associação entre os riscos do negócio, as necessidades de controle e os aspectos tecnológicos.
Propicia boas práticas por uma matriz de domínios e processos estruturados de forma lógica e gerenciável. Tais práticas

41
Metodologias e Padrões Unidade II

representam o consenso de especialistas, tendo sido pesquisadas e consolidadas pela Information Systems Audit and
Control Foundation – ISACF (Fundação de Auditoria e Controle de Sistemas de Informação), com o intuito principal de
constituir-se em uma fonte educacional para profissionais de controle.

Foi desenvolvido como um padrão geralmente aceito e aplicável para boas práticas de controle e segurança de Tecnologia
de Informação, objetivando ser seu equivalente dos Princípios Contábeis Geralmente Aceitos.

A matriz de domínios e processos está composta por 34 macro-objetivos de controle, um para cada processo de TI,
agrupados em quatro domínios: planejamento e organização, aquisição e implementação, fornecimento e suporte, e
monitoração. Tal estrutura cobre todos os aspectos da informação e da tecnologia que a suporta. Outrossim, a cada um
dos 34 macro-objetivos de controle estão associadas linhas mestras para auditoria ou garantia da qualidade, possibilitando
a revisão dos processos de TI contra os 318 objetivos detalhados de controle recomendados pelo COBIT.

O COBIT está organizado em quatro domínios para refletir um modelo para os processos de TI. Os domínios podem
ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantação da Governança
Tecnológica.
– Planejamento e Organização: define as questões estratégicas ligadas ao uso da TI em uma organização;
trata de vários processos, entre eles, definição da estratégia de TI, arquitetura da informação, direcionamento
tecnológico, investimento, riscos, gerência de projetos e da qualidade.
– Aquisição e Implementação: define as questões de implementação da TI conforme as diretivas estratégicas
e de projeto predefinidos no Plano Estratégico de Informática da empresa, também conhecido como o Plano
Diretor da Tecnologia da Informação – PDTI. Possui uma série de processos como, por exemplo, identificação
de soluções automatizadas a serem aplicadas ou reutilizadas na corporação, aquisição e manutenção de
sistemas e de infraestrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e
gerência de mudanças.
– Entrega e Suporte: define as questões operacionais ligadas ao uso da TI para atendimento aos serviços para
os clientes, manutenção e garantias ligadas a esses serviços.
– Monitoração: define as questões de auditoria e acompanhamento dos serviços de TI, sob o ponto de vista de
validação da eficiência dos processos e da evolução dos mesmos em termos de desempenho e automação. Os
processos desse domínio tratam, basicamente, de supervisão das atividades dos outros processos; adequações
realizadas na empresa para garantia de procedimentos operacionais; coleta e análise de dados operacionais e
estratégicos para auditoria e para controle da organização.

O momento desses domínios é após a ativação de um serviço e sua entrega ao cliente, que pode operar ou utilizar os
serviços da empresa para operação terceirizada. Os processos relativos a esse domínio tratam da definição dos níveis de
serviço (Service Level Agreement – SLA); gerência de fornecedores integrados às atividades; garantias de desempenho,
Governança de Tecnologia da Informação

continuidade e segurança de sistemas; treinamento de usuários; alocação de custos de serviços; gerência de configuração;
gerência de dados, problemas e incidentes.

Além dos quatro domínios principais que guiam o bom uso da tecnologia da informação na organização, existe também a
questão de auditoria que permite verificar, por meio de relatórios de avaliação, o nível de maturidade dos processos da
organização. O método de auditoria segue o Modelo de Maturidade da Capacidade – CMM, que estabelece os seguintes
níveis:

– inexistente – o processo de gerenciamento não foi implantado;

– inicial – o processo é realizado sem organização, de modo não planejado;

– repetitivo – o processo é repetido de modo intuitivo, isto é, depende mais das pessoas do que de um método
estabelecido;
42
Metodologias e Padrões Unidade II

– definido – o processo é realizado, documentado e comunicado na organização;

– gerenciado – existem métricas de desempenho das atividades, o processo é monitorado e constantemente


avaliado;

– otimizado – as melhores práticas de mercado e automação são utilizadas para a melhoria contínua dos processos.

O resultado do relatório identifica o grau de evolução dos processos na organização que é avaliada, de modo concreto, com
base em relatórios confiáveis de auditoria e parâmetros de mercado. O sumário executivo do relatório traz as seguintes
informações: se existe um método estabelecido para o processo; como é definido e estabelecido; quais os controles
mínimos para a verificação do desempenho; como pode ser feita auditoria; quais as ferramentas utilizadas e o que avaliar
para sua melhoria. A partir de então, a organização define as metas, isto é, os objetivos de controle a serem atingidos.

Figura 9 – Domínios do modelo COBIT

Os domínios do COBIT, apresentados na figura anterior (Figura 9) são integrados da seguinte forma.

A informação de uma empresa é gerada/modificada pelos recursos de TI. A informação é requisito para o domínio de
Planejamento e Organização – PO (Planning and Organization) e seus processos. Os requisitos de saída do PO são requisitos
de entrada de informação para o domínio de Aquisição e Implementação – AI (Acquisition and Implementation), que, por
sua vez, definem os requisitos de entrada para o domínio de Entrega e Suporte – DS (Delivery and Support). O domínio de
Monitoração – M (Monitoring) utiliza as informações do DS nos seus processos e atividades relacionadas. Os requisitos
Pós-Graduação a Distância

da informação são dados por: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e
confiabilidade. Os recursos de TI são classificados como: pessoas, sistemas aplicativos, tecnologia, infraestrutura e dados.

Vejamos, a seguir, de forma mais detalhada os componentes que formam o domínio do COBIT.

43
Metodologias e Padrões Unidade II

Planejamento e Organização – PO
O componente Planejamento e Organização – PO é composto por dez processos que serão detalhados a seguir.

PO1 – Definir um Plano Estratégico de TI – O planejamento estratégico é requerido para gerenciar e direcionar todos os
recursos da TI em linha com as estratégias e prioridades do negócio. O plano estratégico deve aumentar a compreensão
dos stakeholders-chave em relação das oportunidades e dos limites da TI, avaliar o desempenho atual e esclarecer o nível
de investimentos requeridos. A estratégia e as prioridades do negócio devem ser refletidas nos portfolios e executadas
por meio dos planos táticos da TI, os quais estabeleçam objetivos concisos, planos e tarefas compreendidas e aceitas
pelo negócio e da TI.

PO2 – Definir a Arquitetura de Informação – A função dos sistemas de informação deve criar e atualizar regularmente
um modelo de informação de negócio e definir os sistemas apropriados para otimizar o uso da informação. Este processo
melhora a qualidade de decisões feitas pelas gerências e assegura que informações confiáveis e seguras são providas, e
isso habilita a racionalizar recursos de sistemas de informação para atender apropriadamente as estratégias de negócio.
Este processo da TI também necessita de aumentar a responsabilidade sobre a integridade e a segurança dos dados e
melhorar a efetividade e o controle sobre o compartilhamento de informação por meio de aplicações e entidades.

PO3 – Determinar a Direção Tecnológica – A função dos serviços de informação deve determinar a direção tecnológica
para suportar o negócio. Isso requer a criação de um plano da infraestrutura tecnológica e um comitê de arquitetura
que fixa e gerencia expectativas claras e realísticas: o que a tecnologia pode oferecer em termos de produtos, serviços
e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistemas,
direção tecnológica, planos de aquisição, padrões, estratégias de migração e contingência.

PO4 – Definir Processos de TI, Organização e Relacionamento – Sabe-se que uma organização da TI precisa ser definida,
considerando os requerimentos para pessoas, habilidades, funções, responsabilidade, autoridade, papéis e supervisão.
Esta organização deve estar embutida dentro um framework de processos da TI que asseguram transparência e controle,
como também envolvem os executivos seniores e gerentes de negócio. Um comitê estratégico deve assegurar uma visão
geral da TI e um ou mais comitês de direção, em quais os participantes do negócio e da TI devem determinar a priorização
dos recursos da TI em linha com as necessidades do negócio. Processos, políticas e procedimentos administrativos
necessitam de ser implementadas para todas as funções, com atenção específica para o controle, a garantia de qualidade,
o gerenciamento de riscos, a segurança de informação, a propriedade para dados e sistemas e a segregação de direitos.

PO5 – Gerenciar o Investimento em TI – Estabelece e mantém um framework para gerenciar programas que habilitam
investimentos em TI e que abrangem custos, benefícios, priorização nos orçamentos, processo formal de orçamentos e
gerenciamento em relação aos orçamentos. O processo deve favorecer os relacionamentos entre a TI e stakeholder’s do
negócio; habilitar o uso efetivo e eficiente dos recursos da TI; prover transparência e responsabilidade nos custos totais
de propriedade; relação do benefício para o negócio e retorno sobre investimentos que habilitam a TI.
Governança de Tecnologia da Informação

PO6 – Comunicar Metas e Diretivas Gerenciais – A administração deve desenvolver um framework de controle empresarial
da TI e definir e comunicar políticas. Um programa contínuo de comunicação deve ser implementado para articular missão,
objetivos de serviço, políticas e procedimentos, aprovados e suportados pela administração. A comunicação suporta o
atingimento dos objetivos da TI e assegura conscientização e compreensão em relação do negócio e os riscos, objetivos
e a direção da TI.

PO7 – Gerenciar Recursos Humanos – Deve-se adquirir, manter e motivar a força de trabalho competente para criar
e entregar serviços da TI para o negócio. Isso é atingido seguindo práticas definidas e acordadas que suportam o
recrutamento, treinamento, avaliação do desempenho, promoção e demissão.

PO8 – Gerenciar Qualidade – Um sistema de gerenciamento da qualidade deve ser desenvolvido, mantido e incluído em
um processo de desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado por meio do planejamento,
implementação e manutenção do sistema de qualidade que provêm requerimentos claros de procedimentos e políticas.

44
Metodologias e Padrões Unidade II

Requerimentos de qualidade devem ser determinados e comunicados com indicadores quantificáveis e atingíveis. Melhorias
contínuas são atingidas por intermédio de um monitoramento operacional. Gerenciamento da qualidade é essencial para
assegurar que a TI entregue valor para o negócio, melhorias contínuas e transparência para stakeholders.

PO9 – Avaliar e Gerenciar Riscos – O framework documenta um nível de riscos da TI comum e acordado, estratégias
de mitigação e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organização, causada
por eventos não planejados, deve ser identificado, levantado e avaliado. Estratégias de mitigação de riscos devem ser
adotadas para minimizar riscos residuais a um nível aceitável.

PO10 – Gerenciar Projetos – Deve assegurar a correta priorização e coordenação de todos os projetos. O framework
deve incluir um plano-mestre (portfolio), em que todos os projetos serão gerenciados. Essa abordagem reduz o risco de
custos não esperados e o cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e usuários
finais, assegura o valor e a qualidade dos entregáveis do projeto e maximiza a contribuição de programas que habilitam
investimentos em TI.

Daremos ênfase agora ao componente de Aquisição e Implementação, adotado pelo modelo COBIT. Tal componente é
formado por sete processos. Vejamos suas características.

Aquisição e Implementação – AI
AI1 – Identificar Soluções Automatizadas – A necessidade para novas aplicações ou funções requer uma análise antes
da aquisição ou criação, para assegurar que os requerimentos do negócio sejam satisfeitos numa abordagem efetiva e
eficiente. Esse processo deve definir as necessidades, considerando fontes alternativas, a revisão da viabilidade tecnológica
e econômica, a execução de análise de risco e a análise de custo/benefício e a conclusão de uma decisão final de “fazer”
ou “comprar”. Todos esses passos habilitam a organização a minimizar os custos de adquirir e implementar soluções,
enquanto asseguram que estes habilitam o negócio para atingir seus objetivos.

AI2 – Adquirir e Manter Software Aplicativo – As aplicações devem estar disponíveis e alinhadas com os requerimentos de
negócio. Esse processo envolve o desenho de aplicações, a inclusão apropriada de controles de aplicação, os requerimentos
de segurança, o atual desenvolvimento e a configuração, conforme os padrões. Isso permite às organizações suportar,
apropriadamente, as operações de negócio com as corretas aplicações automatizadas.

AI3 – Adquirir e Manter Arquitetura Tecnológica – Cria-se o processo para aquisição, implementação e atualização da
infraestrutura tecnológica. Isso requer uma abordagem planejada para aquisição, manutenção e proteção da infraestrutura
também alinhadas com as estratégias tecnológicas acordadas. Isso assegura que o suporte tecnológico operacional
suporta as aplicações de negócio.

AI4 – Manter Operação e Uso – Define que o conhecimento sobre novos sistemas necessita ser disponibilizado. Esse
processo requer a produção de documentação e manuais para usuários da TI e promove treinamento que assegura o uso
e a operação apropriados de aplicações e o perfeito uso da infraestrutura.

AI5 – Obter Recursos de TI – Define e sanciona procedimentos de aquisição, seleção de fornecedores, realização de
Pós-Graduação a Distância

arranjos contratuais e a aquisição. Dessa forma, assegura-se que a organização tem todos os recursos de TI requeridos
em tempo e de maneira efetiva em custo.

AI6 – Gerenciar Mudanças – Todas as mudanças, inclusive mudanças emergenciais e correções, relacionadas à infra-
estrutura e aplicações dentro de um ambiente de produção precisam ser gerenciadas formalmente e de uma maneira
controlada. Mudanças precisam ser registradas, avaliadas e autorizadas antes de serem implementadas. Isso assegura
a mitigação de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

45
Metodologias e Padrões Unidade II

AI7 – Instalar e Certificar Soluções e Mudanças – Trata de testes apropriados em um ambiente dedicado com dados de
teste relevantes, definição da introdução e instruções de migração, planejamento de liberações, promoção atual para a
produção e revisões pós-implementação. Isso assegura que sistemas operacionais estão alinhados com as expectativas
e resultados acordados.

Continuando o estudo do Modelo COBIT, daremos ênfase agora ao componente de Entrega e Suporte – DS, implementado
pelo modelo. Tal componente é formado por treze processos.

Entrega e Suporte – DS
DS1 – Definir Níveis de Serviços – Prioriza-se a comunicação efetiva entre a gerência da TI e os clientes de negócio,
em relação aos serviços requeridos; é habilitado por meio da documentação e do acordo de serviços de TI e dos níveis
de serviços. Esse processo também inclui o monitoramento e a comunicação em tempo para os stakeholders sobre o
cumprimento dos níveis de serviços. Esse processo habilita o alinhamento entre os serviços de TI e os requerimentos de
negócio associados.

DS2 – Gerenciar Serviços de Terceiros – A necessidade de assegurar que serviços terceirizados atendam os requerimentos
do negócio requer um processo efetivo de gestão. Esse processo é efetuado com papéis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento desses acordos
para efetividade e conformidade.

A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo para rever, periodicamente,
o desempenho e a capacidade atual desses recursos.

DS3 – Gerenciar Performance e Capacidade – Inclui a previsão das futuras necessidades baseada na carga de trabalho
e de contingência.

DS4 – Garantir Continuidade dos Serviços – Trata-se efetivamente da continuidade de serviço, minimizando a probabilidade
e o impacto de interrupções maiores de serviço sobre funções e processos de negócio.

DS5 – Garantir Segurança dos Sistemas – Mantém a integridade da informação e protege os ativos da TI. Esse
processo inclui estabelecer e manter papéis e responsabilidades, políticas, padrões e procedimentos da segurança de TI.
Gerenciamento da segurança também inclui realizar monitoramento de segurança, testes periódicos, e implementar ações
corretivas para identificar fraquezas ou incidentes de segurança. Um gerenciamento efetivo de segurança protege todos
os ativos da TI, para minimizar o impacto sobre o negócio das vulnerabilidades e incidentes de segurança.

A necessidade para um justo e imparcial sistema de alocar custos para o negócio requer a medição exata de custos da
Governança de Tecnologia da Informação

TI.

DS6 – Identificar e Alocar Custos – Inclui a criação e operação de um sistema de captura, alocação e reporte dos custos
da TI para os usuários de serviços. Um sistema justo de alocação habilita o negócio de fazer mais decisões informadas
em relação do uso de serviços da TI.

A educação efetiva de todos os usuários de sistemas de TI requer a identificação das necessidades de cada grupo de
usuários.

DS7 – Educar e Treinar Usuários – Inclui a definição e execução de uma estratégia para um treinamento efetivo e medição
de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a redução de erros de
usuários, aumenta a produtividade e aumenta a conformidade com controles-chave como as medidas de segurança de
usuários.

46
Metodologias e Padrões Unidade II

DS8 – Gerenciar Service Desk e Incidentes – Implementa-se uma central de serviços e um método de gerenciamento de
incidentes. O benefício para o negócio inclui um aumento de produtividade por meio da resolução rápida das perguntas
dos usuários.

Assegurar a integridade da configuração de hardware e software requer o estabelecimento e manutenção de um preciso


e completo repositório de configuração.

DS9 – Gerenciar a Configuração – Assegura o gerenciamento efetivo da configuração facilitando a disponibilidade maior
do sistema, minimizando assuntos de produção e resolvendo estes assuntos mais rapidamente.

DS10 – Gerenciar Problemas – Requer identificação e classificação de problemas, análise da causa-raiz e resolução de
problemas. O processo do gerenciamento de problemas inclui a identificação de recomendações para melhorar a manutenção
de registros de problemas e revisão do status de ações corretivas. Um processo do gerenciamento de problemas efetivo
melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação.

DS11 – Gerenciar Dados – Trata-se da identificação de requerimentos para dados. O processo também inclui estabelecer
procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação. Gerenciamento efetivo de dados
ajuda assegurar a qualidade, a oportunidade e a disponibilidade de dados do negócio.

A proteção para equipamentos de computação e pessoal requer instalações bem-desenhadas segundo as suas
finalidades.

DS12 – Gerenciar os Ambientes Físicos – Inclui definição dos requerimentos para um lugar físico, seleção de instalações
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e o acesso físico. Gerenciamento efetivo
do ambiente físico reduz interrupções do negócio devido a danos nos equipamentos de computação e no pessoal.

E, por fim, o processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e
a manutenção de equipamentos.

DS13 – Gerenciar Operações – Inclui a definição de políticas e os procedimentos operacionais para um gerenciamento
efetivo da infraestrutura e a manutenção preventiva dos materiais de TI. Gerenciamento efetivo da operação ajuda
manter a integridade de dados e reduz atrasos no negócio e custos da operação da TI.

Para concluirmos os domínios do COBIT, veremos a seguir o quarto e último componente do modelo: o componente
Monitoração e Avaliação – ME.

Monitoração e Avaliação – ME
A administração geral deve estabelecer um framework global de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos.

ME1 – Monitorar e Avaliar a Performance de TI – Cria esse framework que deve estar integrado com o sistema de
gerenciamento de desempenho da companhia.
Pós-Graduação a Distância

ME2 – Monitorar e Avaliar Controle Interno – Inclui monitoração e reporte de exceções de controle, resultados da auto-
avaliação e revisão de fornecedores. Um benefício principal do controle interno de monitoração é fornecer segurança
relacionada à efetividade operacional e a conformidade com leis e regulamentos.

ME3 – Assegurar Conformidade Regulatória – Inclui definição de um auditor independente; ética profissional e padrões;
planejamento; desempenho do trabalho de auditoria e relatórios de acompanhamento dessas atividades. O propósito desse
processo é fornecer uma garantia positiva relacionada à conformidade da TI com leis e regulamentos em vigor.

47
Metodologias e Padrões Unidade II

ME4 – Fornecer Governança de TI – Estabelece um framework efetivo de governança, incluindo a definição de estruturas
organizacionais, processos, liderança, papéis e responsabilidades para assegurar que os investimentos em TI empresarial
estejam alinhados e entregues de acordo com as estratégias e objetivos empresariais.

Vimos neste capítulo que o COBIT pontua o grau de Governança Tecnológica numa organização de 1 até 5, similar ao
Capability Maturity Model – CMM-I. O primeiro passo seria levantar os domínios e o grau de utilização das atividades
dos processos na organização de forma satisfatória, para poder identificar qual o grau alcançado pela organização. Esse
trabalho de levantamento é feito com a utilização de questionários e, portanto, o investimento nestas atividades não
precisa ser grande, restringe-se, basicamente, ao tempo dispendido pelas pessoas envolvidas. Dessa forma, reforça-se
o conceito de que o COBIT independe de novas tecnologias, pelo contrário, é realizado em paralelo à implementação dos
sistemas corporativos de gerenciamento e administração da organização.

A principal vantagem da qualificação do uso da tecnologia é a integração da TI aos outros departamentos da organização.
Isso não pode ser feito sem a quebra de barreiras internas e as mudanças de paradigma na organização.

O resultado da auditoria da metodologia COBIT para avaliação do nível de maturidade (grau dos processos) ajuda a área
de TI a identificar o grau atual e a evoluir para melhorar os processos da organização.
Governança de Tecnologia da Informação

48
Metodologias e Padrões Unidade II

Capítulo 7 – BSS 7799 – ISO 17799

A segurança da informação é a proteção dos sistemas de informação


contra a negação de serviço a usuários autorizados, assim como
contra a intrusão e a modificação não autorizada de dados ou
informações, armazenados, em processamento ou em trânsito,
abrangendo a segurança dos recursos humanos, da documentação
e do material, das áreas e instalações das comunicações e
computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaças a seu desenvolvimento.
NBR 17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999

Segurança é a base para dar às empresas a possibilidade e a liberdade necessária para a criação de novas oportunidades
de negócio. É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal
forma a proporcionar confidencialidade, integridade e disponibilidade – que, conforme a NBR 17799, são os princípios
básicos para garantir a segurança da informação. A confidencialidade assegura que a informação somente pode ser
acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não
autorizadas tenham acesso ao mesmo. O aspecto mais importante desse item é garantir a identificação e autenticação
das partes envolvidas. Já a disponibilidade certifica que a informação ou sistema de computador deve estar disponível no
momento em que ela for necessária. A integridade assegura que a informação deva ser retornada em sua forma original
no momento em que foi armazenada. É a proteção dos dados ou das informações contra modificações intencionais ou
acidentais não autorizadas.

Outros estudiosos defendem que, para uma informação ser considera segura, o sistema que o administra ainda deve
respeitar aos seguintes requisitos.

– Autenticidade: garante que a informação ou o usuário dela é autêntico; atesta com exatidão, a origem do dado
ou informação.

– Não-repúdio: definido que não é possível negar uma operação ou serviço que modificou ou criou uma informação,
ou seja, não é possível negar o envio ou recepção de uma informação ou dado (no sentido de dizer que não foi
feito).

– Legalidade: garante a legalidade (jurídica) da informação; aderência de um sistema à legislação; característica


das informações que possuem valor legal dentro de um processo de comunicação, em qual todos os ativos
estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou
Pós-Graduação a Distância

internacional vigentes.

– Privacidade: foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas
não privada. Uma informação privada deve ser vista/lida/alterada somente pelo seu dono. Garante, ainda, que a
informação não será disponibilizada para outras pessoas (nesse caso é atribuído o caráter de confidencialidade
a informação); é a capacidade de um usuário realizar ações em um sistema sem que seja identificado.

– Auditoria: define a rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma
informação foi submetida, identificando os participantes, os locais e os horários de cada etapa. Auditoria em

49
Metodologias e Padrões Unidade II

software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria.
Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu
uma violação de segurança.

Vale ressaltar que segurança não é tecnologia. Não é possível comprar um dispositivo que torne a sua empresa segura,
assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro. Como trabalho, a
segurança também se constitui de um processo. Pode-se fazer uma analogia com o trabalho de uma analista de sistemas,
mas o trabalho de um profissional de segurança é assim resumido.

– Análise do problema levando em consideração tudo que conhece.

– Síntese de uma solução para o problema a partir de sua análise.

– Avaliação da solução e aprendizado dos aspectos que não corresponderam às expectativas.

Experimente perguntar ao executivo de uma empresa quais são os objetivos das equipes de segurança e, provavelmente,
receberá respostas parecidas com “são eles que nos mantêm seguros lá”. Se pressionadas, muitas pessoas poderão ir
um pouco adiante, descrevendo o lado da segurança física: não permitir a entrada de visitas sem autorização, verificar
se estão trancadas as portas que devem permanecer trancadas e ajudar em qualquer emergência. É pouco provável que
as mesmas pessoas compreendam para que existe a equipe de segurança dos computadores.

Na melhor das hipóteses, provavelmente você ouvirá “manter os hackers fora de nossa rede”. Cabe à equipe de segurança
da rede partir dessa descrição vaga e mostrar que seu trabalho é mais amplo, até o ponto em que possa fixar prioridades
e merecer estar incluído nos orçamentos.

Se você perguntar aos profissionais de segurança o que poderá fazer de mais importante para proteger sua rede, eles
responderão, sem hesitar, que é escrever uma boa política de segurança.

A Política de Segurança é apenas a formalização dos anseios da


empresa quanto à proteção das informações.
Emilio Nakamura. Segurança de Redes, p. 56

A política de segurança é um mecanismo preventivo de proteção de dados e processos importantes de uma organização,
que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial, e pelos usuários internos ou externos.
Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança
Governança de Tecnologia da Informação

dos sistemas atuais.

A International Organization for Standardization – ISO é uma organização sediada em Genebra, na Suíça, fundada em
1946. A sigla ISO foi originada da palavra isonomia. O propósito da ISO é desenvolver e promover normas que possam
ser utilizadas igualmente, por todos os países do mundo. Cerca de 111 países integram essa importante organização
internacional, especializada em padronização, nos quais os membros são entidades normativas de âmbito nacional. O
Brasil é representado pela Associação Brasileira de Normas Técnicas – ABNT.

A ISO 17799 é um conjunto de recomendações voltadas para a área de segurança nas empresas. É um padrão flexível e
as suas recomendações independem da tecnologia a ser adotada e não interfere nas medidas de segurança já existentes.
Essas duas características, a flexibilidade e, particularmente, a imprecisão foram elaboradas de forma intencional, pois
é quase impossível criar um padrão de segurança que funcione em todos os ambientes de TI. Ela simplesmente fornece
um conjunto de ideias que devem ser adaptadas às circunstâncias de sua empresa. É um padrão que possui 11 seções
de controle segundo a ABNT NBR ISO/ IEC 17799:2005 voltadas para a Tecnologia da Informação.
50
Metodologias e Padrões Unidade II

Política de Segurança da Informação


Prover uma orientação e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.

Organizando a Segurança da Informação


Gerenciar a segurança da informação dentro da organização, instalando, explorando e mantendo acordos de
confidencialidade, contato com autoridades em todos os níveis e identificando riscos e seus respectivos projetos de
mitigação.

Gestão de Ativos
Alcançar e manter a proteção adequada dos ativos da organização, inventariando e classificando ativos e informações.

Segurança em Recursos Humanos


Assegura que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os
seus papéis; reduz o risco de roubo, fraude ou mau uso de recursos. Uma política de recrutamento, seleção e treinamento
de seus recursos humanos deve ser pensada neste item.

Segurança Física e do Ambiente


Previne o acesso físico não autorizado, os danos e as interferências com as instalações e as informações da organização,
estabelecendo uma política transparente de controle físico e lógico de acessos.

Gestão das Operações e Comunicações


Garante a operação segura e correta dos recursos de processamento da informação, aí incluídos a gestão de mudanças,
capacidade, controle de redes, controle contra códigos maliciosos, mensagens eletrônicas e comércio eletrônico.

Controle de Acesso
Procura controlar o acesso à informação, estabelecendo políticas e gerenciamento de acesso aos ativos de TI da empresa,
tais como: gerenciamento de privilégios, senhas de usuários e controle das redes de comunicação de dados.
Pós-Graduação a Distância

Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação


Estabelece a garantia de que a segurança é parte integrante de sistemas de informação. Conscientizar os agentes
decisórios desta importância.

51
Metodologias e Padrões Unidade II

Gestão de Incidentes e Segurança da Informação


Assegura que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam
comunicados, permitindo a tomada de ação corretiva em tempo hábil.

Gestão da Continuidade do Negócio


Controla a ininterruptibilidade das atividades do negócio; protege os processos críticos contra efeitos de falhas ou
desastres significativos, bem como assegura a sua retomada em tempo hábil, se for o caso com ações que incluam a
segurança da informação no processo de gestão da continuidade de negócio.

Conformidade
Evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança da informação, sempre em conformidade com requisitos legais no que tange a registros
organizacionais, controles de criptografia e demais políticas de segurança.

O padrão britânico Bristish Standard 7799 – BS 7799 é um padrão de segurança amplamente reconhecido. De fácil
compreensão e implementação, contém um grande número de requisitos de controle. A primeira parte é o código da
prática para a segurança das informações, contendo as dez seções e controles-chave para a criação da estrutura de
segurança das informações.

A segunda parte é a base para a certificação, contendo cem controles que foram detalhados e ajustados conforme
os objetivos e controles da primeira parte. Como vimos neste capítulo, a BS 7799 é um padrão organizado em 11
seções.

A BS 7799 abrange a segurança, desde a definição e documentação das políticas de segurança até a conformidade com
as normas, regulamentações e legislações de proteção dos dados, passando pelos treinamentos em segurança, relatórios
dos incidentes de segurança, controle de vírus entre outros.
Governança de Tecnologia da Informação

52
Decisões sobre Lojas Unidade III Unidade III

A Norma ISO 20000

Só quando um saber se torna codificado é que ele passa a contribuir


em larga escala para a sociedade.
Clemente Nóbrega, 2004

Estudaremos nesta unidade mais uma norma ISO, mas desta vez voltada para a área de serviço. Normas de serviços
são importantes na composição de uma Governança de TI, pois este último recurso nada mais é do que um conjunto de
preciosos serviços.

Capítulo 8 – Conceituações da Norma ISO 20000


Essa norma tem como escopo definir requisitos para o correto gerenciamento de uma empresa prestadora de serviços de
TI, garantindo a entrega aos clientes de serviços de qualidade. São requisitos da norma definição de políticas, objetivos,
procedimentos e processos de gerenciamento para assegurar a qualidade efetividade na prestação de serviços de TI. Os
processos da ISO/IEC 20000 são os seguintes:

– processos de planejamento e implementação;

– processos de entrega de serviços;

– processos de relacionamento;

– processos de solução, liberação e controle.

A ISO/IEC 20000 adota a metodologia conhecida como Plan-Do-Check-Act – PDCA para os processos de planejamento
e implementação de serviços, que consiste de quatro tarefas básicas.

– Plan – planejar: estabelece os objetivos e processos necessários para entrega dos serviços com qualidade.

– Do – fazer: implementa os processos estabelecidos no plano.

– Check – avaliar ou checar: monitora e estabelece métricas para os processos visando confirmar se eles estão
Pós-Graduação a Distância

sendo executados com qualidade.

– Act – agir: toma ações que visam à melhoria contínua dos processos e dos resultados gerados por estes.

A primeira atividade de processos de entrega de serviços está na elaboração de acordos de níveis de serviço que são
realizados entre as áreas solicitantes e a área de gestão de serviços de TI. A exemplo do Service Delivery (Serviço de
Entrega) do ITIL, citado em capítulos anteriores, os processos de entrega de serviços na ISO/IEC 20000 tratam ainda
das atividades de emissão e da distribuição de relatórios acerca da disponibilidade e continuidade de serviços, orçamento
e contabilidade de custos e gerenciamento da capacidade.
53
Decisões sobre Lojas Unidade III

Os processos de relacionamento na ISO/IEC 20000 tratam do relacionamento entre o prestador de serviços de TI e seus
clientes, inclusive a identificação das necessidades dos clientes e o gerenciamento de mudanças dessas necessidades.
Inclui ainda atendimento de reclamações e processo de escalação de problemas urgentes, caso não sejam resolvidos pelo
processo comum. Também deve-se obter feedback do cliente por meio da medição do seu nível de satisfação.

Os processos de solução, liberação e controle na ISO/IEC 20000 tratam de: atividades de tratamento; incidentes e
problemas; gerenciamento de configurações; gerenciamento de mudanças e de gerenciamento de liberações.

É válido ressaltar que a ISO/IEC 20000 é a primeira norma mundial, especificamente focada para o Gerenciamento
de Serviços de TI. Ela não formaliza a inclusão das práticas da ITIL, embora esteja descrito na norma um conjunto de
processos de gerenciamento que estão alinhados com os processos definidos dentro dos livros do ITIL.

O ITIL e o ISO 20000 são modelos independentes?

A certificação ISO/IEC 20000 fornece uma base para prover que uma organização tenha implementado os processos de
gerenciamento de serviços e utiliza-os de forma consistente dentro da organização. O seu propósito é promover a adoção
de um processo integrado para entregar serviços que satisfaçam os requisitos do negócio e do cliente. Para isso, ele
introduz uma cultura de serviços e provê as metodologias para entregar serviços que atendam aos requisitos de negócio
definidos e às prioridades de um "modo gerenciável”. Além disso, ele enfatiza processos para apoiar a qualidade real
de fornecimento, ajudando as organizações a gerar receita ou a ter um custo efetivo via um gerenciamento de serviço
profissional.

Vejamos, a seguir, outras características de organizações que adotam a norma ISO 20000 como modelo de Gestão de
Serviços em Tecnologia da Informação.

– Ajudar os provedores de serviços a determinar uma conformidade com as melhores práticas.

– Transformar departamentos focados em tecnologia, em departamentos focados em serviços.

– Melhorar a confiabilidade e disponibilidade dos sistemas.

– Prover uma base para acordos em nível de serviços.


Governança de Tecnologia da Informação

– Fornecer o ganho em marketing e vantagem competitiva.

A ISO 20000 é particularmente importante para organizações de setores industriais em que a qualidade dos serviços
de TI é essencial para o sucesso empresarial. Também é relevante para organizações que fornecem serviços geridos e
subcontratação de serviços de TI ajudando a atender conformidades regulatórias.

Ela foi desenvolvida para estar alinhada com a família ISO 9001 & ISO/IEC 27001. Para as organizações que não
procuram certificação, a norma pode ser utilizada como guia para melhorar os seus processos de TI e reduzir os custos.
Normalmente, o clima da equipe melhora ao trabalhar em um ambiente controlado pela norma ISO/IEC 20000.

54
Decisões sobre Lojas Unidade III

Capítulo 9 – Abordagem do processo

A ISO/IEC 20000 promove a adoção de uma abordagem integrada de processos. Para uma organização funcionar de
maneira eficaz, ela tem de identificar e gerenciar várias atividades interligadas.

Abordagem de processo

Um processo é um conjunto de atividades inter-relacionadas ou


interativas que usa recursos para transformar entradas em saídas.

A abordagem de processo identifica, sistematicamente, e gerencia


a interligação, combinação e interação de um sistema de processos
dentro de uma organização.

A ISO/IEC 20000 está baseada em uma abordagem de processos


para gerenciamento de serviços de TI.

Figura 10 – Abordagem do processo da ISO 20000

Uma organização deve demonstrar que ela tem controle do gerenciamento de cada um dos processos da ISO/IEC 20000.
Esse controle de gerenciamento de um processo consiste em:

– conhecimento e controle das saídas;

– conhecimento, uso e interpretação das saídas;

– demonstração de evidência da responsabilidade pela funcionalidade do processo.

Existem 217 requisitos dentro da norma ISO/IEC 20000. A organização precisa cobrir por inteiro a norma, ou seja, todos
os 217 requisitos.

Norma ISO 20000

Medir
Pós-Graduação a Distância

Entrada Atividade Atividade Atividade Sair

Figura 11 – Controle imposto pela norma ISO 20000

Desse modo a certificação na norma por parte das organizações somente será concedida para aquelas que possuírem a
Gestão de Serviços em Tecnologia da Informação – GSTI. Tal certificação apenas tratará das operações de GSTI dentro
da organização.
55
Decisões sobre Lojas Unidade III

Assim, não se concede a certificação para os produtos e serviços de consultoria oferecidos pelas organizações.

Observe na figura 12 como a norma ISO 20000 se relaciona com os demais frameworks de Governança de Tecnologia
da Informação.

DESEMPENHO: CONFORMIDADE:
Guias
Metas do negócio Basileia II, SOX etc

Balanced
Governança Corporativa COSO
Scorecard

Governança de TI COBIT 

Sistemas de Gestão ISO 9001:2000 ISO 27001 ISO 20000

Procedimentos de Princípios de
Processos e Procedimentos Operações
Qualidade Segurança

Figura 12 – Relação da Norma ISO 20000 com os demais frameworks de Governança

Esta norma poderá ser comprada no site

<http://20000.standardsdirect.org/>
Governança de Tecnologia da Informação

56
Para (não) Finalizar

Nesta disciplina, conhecemos as principais metodologias e normas que influenciam a Governança de TI de uma empresa.
Devemos ressaltar que esses aspectos apresentados não podem ser encarados como a solução para todos os problemas
da empresa relacionadas com TI.

Também vale lembrar que os métodos, particularmente o ITIL e o COBIT, são guias para a execução das melhores práticas
de Governança de TI, mas cada organização deve ter em mente que as circunstâncias que a cercam são diferentes e,
em consequência, a implementação deve levar isso em consideração. O que “deu certo” em uma empresa pode não ser
a sua solução.

O que foi visto não é “um trilho”, e sim “uma trilha”. Não existe “A” solução do problema, mas “UMA” solução para o
problema. Nossos estudos não param por aqui. Devemos procurar implementar essas teorias nos nossos ambientes de
trabalho, pois, só ter a teoria sem aplicá-la no dia a dia será um grande desperdício em nossas vidas.

Outra grande ideia é integrar esses conhecimentos de Governança de TI às outras disciplinas que virão em seguida. É
missão do Gestor de Tecnologia da Informação integrar conhecimentos em prol da TI de sua empresa.

Pós-Graduação a Distância

57
Referências

FERNANDES, Aguinaldo Aragon; ABREU, Wladimir Ferraz de. Implantando a Governança de TI. BRASPORT. 2006.

MANSUR, Ricardo. Governança de TI: Metodologias, Frameworks e Melhores Práticas. BRASPORT. 2007.

OLIVEIRA Djalma de Pinho Rebouças. Planejamento Estratégico: Conceitos de Metodologias Práticas. 14 ed. rev.
São Paulo: ATLAS.

THOMPSON, A. Arthur; STRICKLAND A. J. Planejamento Estratégico Elaboração, Implementação e Execução.


São Paulo: PIONEIRA, 2000.

WEILL, Peter; ROSS, Jeanne. Governança de TI. Tecnologia da Informação. M. Books, 2005.

Sites:
<http://www.ogc.gov.uk/>

<http://www.ibgc.org.br/>

<http://www.itil.org>

<http://www.itil.co.ok>

<http://www.pinkelephant.com>

<http://www.itsmf.com>

<http://20000.standardsdirect.org/>
Governança de Tecnologia da Informação

58
Pós-Graduação a Distância

59
Governança de Tecnologia da Informação

60