22 Governança de Tecnologia da Informação

Prévia do material em texto

Introdução à governança em
tecnologia da informação
COMPREENDER OS PRINCÍPIOS DA GOVERNANÇA EM TI E O QUE ESTE MODELO SE PROPÕE DENTRO
DAS EMPRESAS, UMA VEZ QUE ESTAR EM CONFORMIDADE É CADA VEZ MAIS NECESSÁRIO PARA UMA
COMPANHIA.
Introdução à governança de TI - os fatores motivadores
da governança de TI
Governança em tecnologia da informação é definida como uma estrutura de relacionamentos e processos
soberanos para direcionar e controlar a organização de TI com o objetivo de atingir suas metas,
adicionando valor enquanto faz o balanço entre os riscos associados e o retorno de investimento (ROI).
Na figura anterior, podemos descrever os 6 itens da seguinte maneira:
TI como prestadora de serviços: TI hoje é um diferencial nas companhias, portanto agir como prestadora
de serviços e entregando valor é o que as empresas buscam.
Integração tecnológica: a existência de diversas tecnologias traz cada vez mais a necessidade de
integrações e padrão de arquitetura tecnológica.
Segurança da informação: toda empresa segue legislações e normas, e não se pode deixar que a TI não
siga esses padrões, pois pode gerar riscos.
Negócio dependente de TI: uma empresa não sobrevive mais sem TI nos dias de hoje. A tecnologia se
tornou fator de competitividade e de automação dos processos de negócio.
Regulamentação: as empresas são obrigadas a responder sobre leis e normas que estão seguindo por
determinado negócio que atende. Com isso, a governança de TI cobre esses modelos e permite garantir o
compliance para as empresas.
Ambiente de negócios: a TI sustenta o negócio; automatizar os processos de negócio e torná-los mais
ágeis e eficientes se faz com uma boa TI.
A Governança em Tecnologia da Informação é de responsabilidade da alta administração
(incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos
processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos
da organização.
Legenda: GOVERNANçA EM TI
O que é governança em tecnologia da informação?
De acordo com o IT Governance Institute (2005):
Outra definição é dada por Weill & Ross (2004): "Consiste em um ferramental para as especificações dos
direitos de decisão e das responsabilidades, visando encorajar comportamentos desejáveis no uso de TI".
Analisando essas duas definições, podemos concluir que governança em tecnologia da informação é muito
mais que simplesmente implementar modelos de TI como ITIL, Cobit, CMMI etc. Podemos definir
governança em tecnologia da informação como um modelo que apoia a tomada de decisões da alta direção
da empresa, assim como definir e adotar modelos e processos que irão apoiar o uso correto da tecnologia,
com o único objetivo de trazer melhores resultados na entrega dos serviços de TI e, consequentemente,
melhores resultados nos processos de negócio da empresa, equilibrando o fator custo dentro da companhia,
evitando desperdícios com o mau uso de TI.
Desta forma, a governança em tecnologia da informação deve:
Garantir o alinhamento entre a TI e o negócio.
Garantir a continuidade dos negócios contra interrupções e falhas.
Garantir que a TI tenha alinhamento com o marcos regulatórios internos e externos que cobrem as
empresas.
Os objetivos da governança em tecnologia da
informação
O principal objetivo da Governança em Tecnologia da Informação é alinhar TI com as necessidades de
negócio da empresa, tornando seu uso correto e justo em termos de custo. Este alinhamento tem como base
a continuidade de negócio, o atendimento às estratégias de negócio e o atendimento a marcos regulatórios
externo e interno.
Legenda:
Dessa forma, podemos desdobrar os objetivos da governança em tecnologia da informação da seguinte
forma:
Permitir que a TI tenha transparência e seja consistente em relação às demais áreas de negócio da
empresa.
Alinhar e priorizar as iniciativas de TI com as estratégias de negócio.
Alinhar a arquitetura de TI, sua infraestrutura e suas aplicações às necessidades de negócio, com uso
correto e sem desperdícios.
Prover processos de TI e operacionais, e serviços planejados e priorizados.
Prover a gestão de riscos à TI para continuidade de negócios.
Prover regras claras para as responsabilidades sobre decisões e ações relativas à TI na empresa.
Vamos praticar!
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Componentes da governança em
tecnologia da informação
CAPACITAR O ALUNO A ENTENDER OS PRINCIPAIS COMPONENTES DA GOVERNANÇA EM TECNOLOGIA
DA INFORMAÇÃO E SEUS MECANISMOS QUE COMPÕEM E PERMITEM OS DESDOBRAMENTOS DA
ESTRATÉGIA DE TI
Componentes da governança em tecnologia da
informação
A governança em tecnologia da informação compreende mecanismos, que integrados, permitem o
desdobramento da estratégia de TI até a operação dos produtos e serviços correlatos.
Legenda:
Os componentes da etapa de alinhamento estratégico
O processo de alinhamento estratégico da TI procura determinar qual deverá ser o alinhamento da TI em
termos de arquitetura, infraestrutura, aplicações, processos e organização com as necessidades presentes e
futuras da empresa.
Princípios de TI são as regras que todos devem seguir, no âmbito da empresa, e que ajudam na tomada de
decisão acerca da arquitetura de TI, infraestrutura de TI, aquisição e desenvolvimento de software, uso de
padrões, gestão de ativos de TI e assim por diante.
As necessidades de aplicações dizem respeito às aplicações que são necessárias para atender as demandas
de negócio e continuidade das estratégias da empresa.
O modelo de arquitetura de TI foca na padronização de processos, dados e tecnologia de aplicações e é
derivada dos princípios de TI, os quais são reflexos das estratégias de negociação.
A infraestrutura de TI está direcionada para como os recursos estão dispostos na organização, se sua
capacidade atende as demandas no que diz respeito à gestão de dados, infraestrutura, padrões de
interfaces, segurança da informação, etc.
Os objetivos de desempenho direcionam a administração da TI para atender as metas de desempenho
compatíveis com os objetivos traçados para a prestação dos serviços.
A capacidade de atendimento define a quantidade de recursos humanos necessários para atender a
demanda por sistemas e serviços, assim como a quantidade de recursos computacionais.
A política de segurança da informação consiste na determinação de diretrizes e ações referentes à
segurança dos aplicativos, infraestrutura, dados, pessoas e organizações (parceiros e fornecedores).
Competências são as habilidades e conhecimentos específicos necessários para o desenvolvimento e
implantação de iniciativas de TI.
Processos e organização apresentam a forma como os serviços e produtos de TI serão desenvolvidos,
gerenciados e entregues aos seus usuários e clientes.
O plano de tecnologia da informação consiste no principal produto do processo, em que todas as definições
de TI estão detalhadas nesta etapa.
Os componentes da etapa de decisão, compromisso,
priorização e alocação de recursos
Legenda:
Os mecanismos de decisão definem "quem decide o quê" em relação à TI dentro da organização em termos
de organização, infraestrutura, arquitetura, investimentos necessários, políticas de segurança, estratégias
de outsourcing, etc.
O portfóliode TI é um instrumento para priorização dos investimentos de TI com base no retorno de
projetos e ativos para a organização, e no seu alinhamento com os objetivos estratégicos do negócio.
Os componentes da etapa de estrutura, processos,
organização e gestão
As operações de serviços são os locais onde acontece o atendimento dos serviços de TI, onde podemos ter
operações de sistemas, de infraestrutura, de suporte técnico, de segurança da informação, operações de
processos, etc.
O relacionamento com o cliente trata da interação dos usuários internos ou externos com a área cliente,
abrangendo processos que devem definir:
Como o cliente solicita o serviço.
Quem pode solicitar o serviço.
Como os serviços são avaliados.
Como TI avalia a solicitação e realiza.
Como os projetos são desenvolvidos com os clientes.
O componente da etapa de medição de desempenho de
TI
A gestão de desempenho de TI refere-se ao monitoramento dos objetivos de desempenho das operações de
serviços em termos de desenvolvimento de aplicações, suporte aos serviços, entrega dos serviços, segurança
da informação e o seu monitoramento, assim como os acordos de níveis de serviços, acordos de nível
operacional e contratos de apoio.
Vamos praticar!
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Atendendo as regulamentações de
compliance: entendendo as
implicações da SOX e qual sua
finalidade
CAPACITAR O ALUNO A ENTENDER OS PRINCIPAIS PONTOS DA LEI SARBANES OXLEY QUE IMPLICAM
EM TI, QUE PODEM CHEGAR A LEVAR OS CEOS E ENVOLVIDOS PARA A CADEIA.
Entendendo as implicações da SOX e qual sua finalidade
Como muitos sabem, a Lei Sarbanes Oxley, ou simplesmente SOX, foi criada no ano de 2002 pelos
congressistas americanos Paul Sarbanes e Michael Oxley, motivados pelos escândalos financeiros que
aconteceram com empresas de capital aberta, casos como Enron.
Os objetivos principais desta lei são proteger os investidores do mercado de capitais americano de fraudes
contábeis e financeiras de companhias abertas, assim como instituir uma série de penalidades contra crimes
relacionados, em que seu foco está em controle interno sobre relatórios financeiros.
Requisitos da SOX que afetam TI
Para a TI, as seções 302 e 404 da SOX são de suma importância. A seção 302 especifica que:
A seção 404, por sua vez, especifica que:
O CEO e o CFO devem revisar os relatórios financeiros.
Os relatórios não podem conter nenhuma declaração falsa de um fato relevante ou omissão, para
benefícios de resultados.
Os sistemas de controle interno sobre emissão de relatórios financeiros devem ser projetados sob a
supervisão do CEO e CFO.
Deve ser avaliada a efetividade do sistema de controle sobre a emissão de relatórios financeiros.
Devem ser comunicadas mudanças nos controles internos sobre relatórios financeiros, considerando
último ano fiscal.
Devem ser comunicadas deficiências nos sistemas de controle interno que possam afetar a habilidade da
empresa em registrar, processar, sumarizar e comunicar informações financeiras.
Deve ser comunicada qualquer fraude que envolva a gerência ou outros empregados que tenha papel
significante nos registros internos sobre relatórios financeiros.
A administração tem a responsabilidade de estabelecer e manter uma estrutura adequada de controle
interno e procedimento para relatório financeiro.
A administração deve avaliar a efetividade do sistema de controle interno sobre relatório financeiro.
Deve ser realizada uma auditoria externa especifica sobre a avaliação interna da efetividade do sistema de
controle interno feita pela administração.
O conteúdo da aplicação deve ser apropriado.
A informação deve estar disponível sempre que for necessária (disponibilidade).
A informação atual ou pelo menos a última disponível (Integridade).
Os dados e as informações estão corretos (Integridade).
A informação é acessível aos usuários interessados (disponibilidade).
Há um sistema de controle interno sobre relatórios financeiros que garante todos os demais itens
anteriores.
Portanto, praticamente todos os sistemas transacionais de uma empresa, relativos a pagamento de pessoal,
pagamento de benefício pessoal, transações com fornecedores (compras, aplicação de recursos financeiros)
e clientes (vendas, captação de recursos financeiros), com acionistas, com o governo, gestão de recursos
financeiros, logística de materiais, etc. devem ser considerados quando pensamos em SOX.
 
Requisitos de qualidade 
da informação
Implicações da SOX
O conteúdo da informação deve ser
apropriado
Processo de Desenvolvimento e Requisitos de Software
Processo de gerenciamento de requisitos de Software
Métodos de Engenharia de SW
Processos de verificação (testes)
Processos de validação (aceitação do usuário)
Processo de Segurança da Informação empregados nos
aplicativos
Processos de aceitação de produtos de terceiros
Processo de gestão de mudanças e da configuração
 
Requisitos de qualidade 
da informação
Implicações da SOX
Requisitos de qualidade 
da informação
Implicações da SOX
A informação deve estar disponível 
no momento que for necessária
Disponibilidade de aplicativos
Disponibilidade de infraestrutura
Gerenciamento de incidentes 
e problemas no ambiente de produção
Suporte aos usuários
Gestão de aplicativos e de ativos de TI
Processos de gerenciamento de infraestrutura
Segurança de infraestrutura
Gerenciamento de Contingência
Gerenciamento de Disponibilidade e de
Desempenho
A informação é atual ou pelo menos a última
disponível
Processos de gerenciamento 
de Dados
Planejamento e gerenciamento 
de contigência e desastres
Segurança da Informação 
na Infraestrutura
Os dados e as informações estão corretos
Segurança da Informação 
em aplicativos
Segurança da Informação 
na Infraestrutura
Teste de SW
Controle da mudança 
e configuração
Gerenciamento de dados
Gerenciamento de requisitos
 
Requisitos de qualidade da informação Implicações da SOX
Informação acessível aos usuários interessados
Segurança da informação referente ao controle de acessos 
e privilégios
Controle de autorizações
Requisitos de qualidade da informação Implicações da SOXHá um sistema de controle interno 
sobre relatórios financeiros
Avaliação de riscos de TI
Gestão da qualidade
Planos de desastres e recuperação
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Atendendo às regulamentações de
compliance: Entendendo as
implicações do Acordo de Basileia II e
suas implicações sobre TI
COMPREENDER OS PRINCIPAIS PONTOS DO ACORDO DE BASILEIA II QUE IMPLICAMEM TI,
DIRETAMENTE LIGADOS ÀS EMPRESAS FINANCEIRAS.
Entendendo as implicações do Acordo de Basileia II
O Acordo de Basileia II foi estabelecido pelo Bank International Settlements (BIS), sediado na cidade de
Basileia (conhecido como o Banco Central dos Bancos Centrais). Este acordo estipula requisitos de capital
mínimo para instituições financeiras em função dos seus riscos de créditos operacionais.
Além disso, propõe um enfoque mais flexível para a exigência de capital e mais abrangente com relação ao
fortalecimento da supervisão bancária e ao estímulo para maior transparência na divulgação das
informações ao mercado, baseado em três grandes premissas:
Fortalecimento da estrutura de capitais das instituições.
Estímulo à adoção das melhores práticas de gestão de riscos.
Redução da assimetria de informação e favorecimento da disciplina de mercado.
O acordo de Basileia possui três pilares:
Primeiro: estabelece regras e procedimentos para cálculos dos requisitos de capital, tendo em vista os
riscos de créditos e operacionais, de acordo com a aplicação de abordagens distintas de avaliação e
mitigação de riscos. Risco de crédito é a perda econômica sofrida pela incapacidade voluntária ou
involuntária do tomador do crédito em atender a suas obrigações contratuais no tempo requerido. No caso
dos bancos, a metodologia deve atender tanto a uma transação individual de crédito quanto à carteira de
crédito, ou seja, o portfólio de crédito da instituição. Risco operacional, por sua vez, é o risco de perdas
financeiras diretas e indiretas resultantes de processos internos inadequados, de falhas nos processos,
pessoas e sistemas, ou mesmo eventos externos.
Segundo: estabelece regras para que os Bancos Centrais de cada país executem auditorias nas instituições
financeiras, visando avaliar a aplicação dos métodos de gestão de risco e a avaliação e mitigação de riscos
de crédito e operacionais, assim como a emissão de informações para o mercado acerca da exposição do
risco da instituição.
Terceiro: estabelece regras para a comunicação para o mercado dos requisitos mínimos de capital face aos
riscos e aos métodos e resultados de avaliações de riscos, conforme estabelecido no primeiro pilar.
Legenda:
Implicações do Acordo de Basileia II em TI
Atualmente o Banco Central do Brasil vem auditando as áreas de TI dos bancos através do instrumento
denominado COBIT (Control objectives for information and related technology), desenvolvido pela
Information Systems Audit and Control Association – ISACA.
Como os bancos no Brasil estão em estágio extremamente avançado no que diz respeito a integração, uso
de tecnologias, diversidade de canais e de produtos, a questão de risco operacional de TI é primordial. A TI
é um dos principais elementos do risco operacional de um banco, juntamente a pessoas e processos de
negócio.
No que tange ao risco operacional, o impacto do Acordo de Basileia abrange praticamente todo o espectro
de processos de TI e respectivas áreas organizacionais.
Do ponto de vista do risco de crédito, o impacto recai sobre:
A capacidade de armazenamento de dados em face à granularidade de informações requeridas de cada
cliente, visando avaliar riscos de forma mais consistentes.
A integridade das informações acerca de transações do banco.
A integridade das informações armazenadas sobre os clientes e operações de crédito.
A segurança dessas informações.
A contingência das operações.
O planejamento de capacidade.
O planejamento de recuperação de desastres.
A integridade do processo de emissão de relatórios requeridos pelo BIS.
Analogicamente ao que falamos no caso da SOX, em relação ao Acordo de Basileia, o CIO ou equivalente
deve:
Inserir questões do Acordo de Basileia em seu plano de tecnologia da informação.
Implantar novos processos de TI.
Ajustar ou melhorar os processos existentes.
Ajustar a estrutura organizacional de TI para acomodar novos processos.
Definir e implantar novos indicadores de desempenho, caso seja necessário.
Tratar a gestão de riscos (planejamento e monitoramento) de TI como um processo com identidade
própria na organização de TI.
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e tutores.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Atendendo as regulamentações de
Compliance: Entendendo as
implicações da Resolução 3380 do
Banco Central do Brasil
RECONHECER OS PRINCIPAIS PONTOS DA RESOLUÇÃO 3380 DO BANCO CENTRAL DO BRASIL E SEUS
IMPACTOS EM TI
O impacto da Resolução 3380 do Banco Central do Brasil
(Bacen 3380)
Em junho de 2006, foi publicada a Resolução 3380 do Banco Central do Brasil, que determina que as
instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil
implementem sua própria estrutura de gerenciamento de risco operacional.
Conforme definição na própria resolução, risco operacional é a possibilidade de ocorrência de perdas
resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos. No que tange à Tecnologia da Informação, a resolução refere-se a falhas em sistemas como riscos
operacionais. Alguns riscos apontados, como interrupção de atividades da instituição e danos a ativos,
também podem ser originadas pela TI.
De acordo com esta resolução, deve-se identificar, avaliar, monitorar, controlar e mitigar os riscos da
instituição.
As implicações desta resolução para a TI de uma instituição financeira são que ela deve:
Identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais que afetam a instituição (esta
gestão de riscos deve ser permanentemente executada).
Desenvolver e implementar um plano de continuidade, em apoio às atividades da instituição.
Gerenciar os riscos que seus fornecedores representam para a continuidade do negócio.
Neste caso, muitas empresas utilizam serviços de outsourcing para manter suas operações, então o BACEN
3380 determina que este controle deve ser efetivo, com preocupações referentes à segurança das
informações que estão sendo geridas por um terceiro.
A maioria das empresas usa o Cobit como ponto de partida para validar os controles exigidos pelo BACEN
3380, porém abordaremos este tema mais adiante.
Desta forma, a TI precisa:
Identificar quais são os sistemas que suportam as operações de risco das instituições financeiras.
Identificar qual é a infraestrutura relacionada para suportar os sistemas da companhia.
Identificar e classificar a informação, para determinar os níveis de controle de acessos.
Garantir que as informações estejam disponíveis quando requeridas e como salvas da última vez
(íntegras).
Identificar e laborar, com base nos sistemas chave para a sobrevivência da instituição financeira, quais
serviços de TI precisam de um plano de contingência e continuidade de negócio.
Zelar pela segurança das informações (custodiante).
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagemcom base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
O modelo BSC para governança em
tecnologia da informação
CAPACITAR O ALUNO A ENTENDER OS PRINCIPAIS PONTOS DO MODELO BSC PARA A GOVERNANÇA EM
TECNOLOGIA DA INFORMAÇÃO.
Balanced Scorecard (BSC)
O Balanced Scorecard é uma técnica de planejamento empresarial, desenvolvida pelos professores da
Havard Kaplan e Norton (1996), que propicia o alinhamento das iniciativas (projetos, ações, serviços) de TI
aos objetivos de negócio, considerando quatro perspectivas:
Financeira.
Cliente (no caso de TI usuário também).
Processos internos (gestão de projetos, desenvolvimento, gestão de incidentes, etc.).
Aprendizado e crescimento.
De acordo com essa técnica, o resultado financeiro é o resultado da satisfação do cliente, que continua a
usar serviços e/ou produtos da empresa, cuja experiência de consumo dos serviços e/ou produtos depende
dos seus processos internos, os quais, por fim, são apoiados pelo aprendizado e crescimento (recursos
humanos, conhecimento, patentes, etc.).
O BSC demonstra uma relação de causa e efeito e é uma poderosa ferramenta de planejamento e de gestão
de desempenho por toda organização.
Balanced Scorecard – objetivos do modelo
Legenda:
O BSC é um sistema de gestão estratégica que tem por objetivos:
Traduzir a estratégica da empresa em termos operacionais.
Alinhar a organização à estratégia.
Transformar a estratégia em tarefas por todos.
Converter a estratégia em processo contínuo.
Mobilizar a mudança por meio da liderança executiva.
O BSC é instrumento que auxilia o alinhamento de todas as iniciativas de todos os níveis da empresa com
os objetivos e estratégias do negócio. As etapas para se construir um BSC são:
Estabelecer a visão da empresa sobre o futuro que ela deseja atingir.
Perspectivas: a visão é decomposta nas perspectivas financeiras, de cliente, de processos internos e de
aprendizado e crescimento ou outras, a critério da empresa.
Objetivos estratégicos: visão é expressa em objetivos estratégicos que, uma vez atingidos, permitem à
empresa chegar ao futuro desejado (são estabelecidos objetivos estratégicos para cada perspectiva
estabelecida).
Determinação das medições estratégicas: definir tanto os indicadores de resultado como indicadores de
desempenho (performance indicators) para cada objetivo estratégico, considerando cada uma das
perspectivas.
Determinar as relações de causa e efeito, descrevendo como os objetivos se relacionam entre si.
Estabelecer o scorecard; representação dos objetivos por perspectiva e pelas relações de causa e efeito.
Desdobrar o scorecard, relacionando-o às unidades organizacionais da empresa, até o nível mais baixo.
Determinar as metas quantitativas para cada um dos indicadores de resultado e de desempenho.
Determinar as iniciativas: projetos, ações e serviços, que possibilitarão a realização dos objetivos
estratégicos (na realidade, planos de ação).
Implantar o BSC: comunicar e disseminar por toda a organização.
Manter o esforço: manter e evoluir continuamente o sistema de gestão estratégica.
A perspectiva financeira descreve os resultados esperados da estratégia em termos financeiros tradicionais.
A perspectiva do cliente descreve a proposição de valor para o cliente.
A perspectiva de processos internos identifica os processos para a geração de valor para o cliente.
A perspectiva de aprendizado e crescimento identifica os ativos intangíveis que são críticos para os
processos internos e para a geração de valor para o cliente.
O BSC também conta com mapas estratégicos, que demonstram a relação de causa e efeito entre os
objetivos estratégicos, nas quatro perspectivas estratégicas compreendidas por ele.
O mapa estratégico dirige o BSC e, por consequência, as iniciativas e os investimentos necessários.
Balanced Scorecard – o modelo para TI
Para TI, este modelo ajuda a direcionar as devidas estratégias alinhando com o negócio da empresa e
direcionando a TI a realizar seus projetos e atividades do dia a dia de modo estruturado, tirando a visão do
setor como "área desorganizada, a pastelaria".
O BSC deve ser usado durante o planejamento da tecnologia da informação, assim como na gestão diária
das atividades estratégicas de TI.
Benefícios do BSC
A aplicação do modelo BSC como sistema de gestão estratégica tem sido relativamente recente no Brasil,
porém, os seguintes benefícios podem ser:
Alinhamento da organização à estratégia.
Busca de sinergia organizacional.
Construção de um sistema de gestão estratégica.
Vinculação da estratégia com o planejamento e o orçamento.
Definição de metas estratégicas.
Priorização de iniciativas de acordo com o negócio.
Alinhamento dos indivíduos da organização à estratégia.
Legenda:
Vamos praticar
ATIVIDADE FINAL
Indique a sequencia correta para completar as lacunas do texto abaixo:
"Para TI, este modelo ajuda a ________ as estratégias de TI ________ com o
negócio da empresa e ________ TI a ________ seus projetos e atividades do
dia a dia de modo estruturado, ________ a visão de TI como ?área
desorganizada, a pastelaria.?
A. priorizar; direcionando; alinhando; inverter; tirando
B. direcionar; alinhando; direcionando; realizar; tirando
C. inverter; alinhando; direcionando; transformar; ajustando
D. descrever; tirando; direcionando; realizar;  alinhando
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Modelo de melhores práticas e o
modelo de governança em tecnologia
da informação que atuam no mercado
atual
CAPACITAR O ALUNO A ENTENDER OS PRINCIPAIS MODELOS DE GOVERNANÇA EM TECNOLOGIA DA
INFORMAÇÃO EXISTENTE NO MERCADO.
Control Objectives for Information and Related
Technology (CobiT)
O CobiT é um modelo de governança em tecnologia da informação que ajuda esta área a entender e definir
seus principais pontos de melhoria, para prestar uma TI de alta qualidade e de acordo com o planejamento
estratégico.
Seu principal objetivo é contribuir para o sucesso da entrega dos serviços de TI, a partir da perspectiva das
necessidades do negócio, com um foco mais acentuado no controle do que na execução.
O Cobit possui 4 domínios com mais de 200 processos específicos, que apoiam a TI na entrega dos serviços
com qualidade, além de mostrar quais pontos de melhoria a empresa precisa focar para entregar os serviços
com qualidade.
Os 4 domínios do CobiT são:
PO – Planejamento e Organização: este domínio envolve o planejamento e gerenciamento das ações que
TI vai realizar para contribuir com a estratégia da empresa.
AI – Aquisição e Implementação: este domínio cobre a aquisição e desenvolvimento das soluções de TI,
para alinhar ao negócio, de acordo com o planejado.
DS – Entrega e Suporte: Após o planejamento e implementação, este domínio foca em manter o dia a dia
da entrega.
Monitoração e Avaliação: este domínio visa assegurar a qualidade e acompanhamento das entregas de
serviços, monitorando e avaliando os indicadores.
Objeto disponível na plataforma
O Framework VAL IT
O Framework VAL IT é um complemento do CobiT e aborda a tomada de decisões em relação aos
investimentos em TI e a realização efetiva dos benefícios, enquanto o Cobit tem foco na execução.
De acordocom o modelo, para ter resultados e retorno dos investimentos, os princípios do VAL IT devem
ser aplicados pelos interessados relevantes dos respectivos investimentos.
O VAL IT possui três domínios:
Governança de valor: direção dos investimentos em TI para alinhar aos objetivos estratégicos da empresa.
Gerenciamento do portfólio: garantir que os investimentos estratégicos em TI tragam retornos de
investimento.
Gerenciamento de investimento: visa identificar as alternativas para os investimentos de modo a alinhar
com o negócio.
Capability Maturity Model Integration (CMMI)
O CMMI é um modelo de qualidade para o processo de Engenharia de Software, com o objetivo de combinar
as suas várias disciplinas em uma estrutura única, flexível e componentizada, que pudesse ser utilizada de
forma integrada por organizações que demandavam processos de melhorias no âmbito corporativo.
O principal propósito do modelo é fornecer as diretrizes baseadas em melhores práticas para a melhoria dos
processos e habilidades organizacionais, cobrindo o ciclo de vida de produtos e serviços completos, nas
fases da concepção, desenvolvimento, aquisição, entrega e manutenção. Neste sentido, suas abordagens
envolvem a avaliação da maturidade da organização ou a capacitação das suas áreas de processo, o
estabelecimento de prioridades e a implementação de ações de melhorias.
O CMMI possui 22 áreas de processos e sugere que as elas sejam agrupadas em quatro categorias de
afinidade.
Modelo de Gestão de Projetos – PMI
Informação:
Objeto disponível na plataforma
Informação:
Legenda:
O Project Management Institute (PMI) é a organização não governamental mais respeitada mundialmente
no campo da gestão de projetos, de uma maneira geral, e podemos afirmar que é a organização que criou a
profissão gerente de projetos.
O modelo tem como objetivo identificar um subconjunto do conjunto de conhecimentos em gerenciamento
de projetos, reconhecido amplamente como boa prática.
Ainda conforme o modelo PMI, o PMBOK não fornece uma descrição detalhada do conjunto de
conhecimentos, mas sim uma visão geral, uma vez que boa prática significa a possibilidade de existir um
acordo geral de que a aplicação correta dessas habilidades, ferramentas e técnicas pode aumentar as
chances de sucessos de uma ampla série de qualquer tipo de projeto.
O PMI possui cinco grupos de processos que direcionam o PMI: grupo de processos de iniciação, processos
de planejamento, processos de execução, processos de monitoramento e controle e processos de
encerramento.
Dentro desses cinco grupos, o PMBOK possui ao todo nove áreas de conhecimento: Integração; Escopo;
Tempo; Custo; Qualidade; Recursos humanos; Comunicações; Riscos; Aquisições.
O PMI busca a excelência no gerenciamento de projetos dos quais os pontos principais são os
gerenciamentos de recursos e financeiro (custos), escopo, prazo (tempo) de entrega e alterações do escopo.
Legenda:
Gestão de serviços de TI com ITIL (Information
Technology Infrastructure Library)
O ITIL é um framework voltado para gerenciamento de serviços de TI, com o objetivo de agregar valor ao
negócio, entregando serviços que atendam requisitos de níveis de serviço, dentro de disponibilidades
acordadas, com capacidade gerenciada, atendendo critérios de segurança, e assim por diante.
O ITIL possui cinco livros que focam desde o início do serviço até sua entrega e, finalmente, na sua
necessidade de melhoria. Os cinco livros do ITIL são:
Estratégia de serviços: nesta fase, todo o desenho do serviço começa a ganhar forma, quando então se
inicia o levantamento das necessidades do negócio em relação ao serviço que será entregue.
Desenho de serviços: neste livro, o ITIL foca em detalhes como capacidade, disponibilidade, nível de
serviço que este terá, entre outros detalhes, já desenhando o serviço como um todo.
Transição de serviço: este livro se preocupa com as disciplinas que gerenciam riscos, por exemplo, o
Gerenciamento de Mudanças. Aqui, o ITIL descreve como deveria ser o melhor cenário para passar um
serviço vindo da fase de desenho para uma operação.
Operação de serviços: nesta etapa, este livro já detalha como o serviço deverá ser operado quando em
produção. As disciplinas mais conhecidas aqui são o Gerenciamento de Incidentes e Problemas, além da
Função Service Desk.
Melhoria continuada do serviço: este último livro detalha o modelo de melhoria continuada de um serviço,
depois de entregue e baseado em indicadores, tempo e outros fatores que o tornaram obsoletos, podem
passar pelo ciclo de Deming, o famoso PDCA.
Legenda:
Vamos praticar
ATIVIDADE
Indique a sequencia de palavras corretas para completar as lacunas do
texto abaixo:
O _______ é um modelo de _______ para o processo de engenharia de
software, com o objetivo de combinar as suas várias ________ em uma
estrutura única, flexível e _______, que pudesse ser ________ de forma
________ por ________ que demandavam processos de melhorias no
âmbito corporativo.
A. CMMI; qualidade; disciplinas; componentizada; utilizada; integrada; organizações
B. Cobit; estruturada; qualidades; atualizada; incorporada; estruturada; modelos
C. Scorm; eficiência; organizações; seriada; estruturada; processada; times
D. PDCA; integração; integrações; estruturada; modificada; integrada; equipes
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Plano de TI: definindo a política de
segurança da informação segundo a
governança em tecnologia da
informação
CAPACITAR O ALUNO A ENTENDER COMO DEFINIR UMA PSI QUE ATENDA OS REQUISITOS DEFINIDOS
NO PLANO DE TI.
Definindo a Política de Segurança da Informação (PSI)
A PSI está associada ao risco que a TI representa para a continuidade do negócio, e endereça alguns
requisitos de compliance dos principais marcos regulatórios externos.
A profundidade da PSI será maior quanto mais interconectada estiver à empresa e mais estratégico for o
papel que a TI representa para o negócio, já que qualquer evento ou risco relacionado com a Segurança da
Informação poderá trazer grandes prejuízos.
De acordo com a ISO/IEC 27002, os seguintes requisitos devem ser avaliados para se estabelecer a política
de segurança da informação:
Impacto aos negócios resultantes de uma falha de segurança.
Probabilidade da ocorrência de falhas, frente às vulnerabilidades encontradas.
A seleção dos controles de SI mais adequados à análise de riscos e vulnerabilidades.
Legenda:
Considerações sobre a PSI
No contexto da segurança da informação, os seguintes aspectos devem ser considerados:
A implementação de um Sistema de Gestão de Segurança da Informação (SGSI).
A constituição de uma política de SI documentada.
Controles sobre a infraestrutura física de TI, seu uso correto, seus objetivos e suas penalidades.
Partes externas, envolvendo as regras que são necessárias para a provisão de segurança vinda de partes
externas, como fornecedores.
Gestão de ativos, contemplando a responsabilidade do ativo e a classificação. A responsabilidade de uso é
importante para estabelecer as regras de como usar um ativo de acordo com sua classificação.
Segurança em recursos humanos, onde envolvem aspectos que devem estar alinhados com as diretrizes
jurídicas da companhia.
Segurança física e do ambiente corporativo, direcionando quais tipos de segurança são necessários para
cada ambiente da empresa e suas restrições.
Gerenciamento das operações e comunicações, contendo procedimentosoperacionais para execução de
ações imediatas, planos de escalação e controles específicos de segurança que direcionem a operação.
Controle de acesso físico e lógico, como acessos em locais restritos, controles de acesso físico como
portarias, crachás, biometria, requisitos mínimos para segurança em aplicações e sistemas.
Controles de segurança sobre aplicações desenvolvidas e/ou adquiridas, contendo as regras mínimas que
são necessárias para garantir o mínimo de Confidencialidade, Integridade e Disponibilidade (CID).
Gestão de incidentes de SI, para que possa atuar em cima de situações onde foram descumpridas as
diretrizes.
Gerenciamento da continuidade do negócio, com o direcionamento dos planos necessários para acionar
uma continuidade em casos de crises.
Conformidade com o SGSI, em que todas as conformidades com auditorias estão em conformidade.
Legenda:
Por onde começar?
Se sua empresa não contém uma política de segurança da informação, o principal ponto para iniciar está
ligado diretamente com os principais Ativos de serviços e de negócio que a empresa pretende manter
segurança.
Alguns passos importantes precisam ser realizados para identificar a necessidade de uma SI e
principalmente estar alinhados com a alta direção e gestão, entender a necessidade da empresa em o que
deve ser mitigado o risco e principalmente quais legislações a política deve orientar e cumprir.
Dentro deste contexto, podemos iniciar da seguinte forma:
Quais são as principais definições que a empresa necessita atender em termos regulatórios.
Quais são as classificações de informação que foram mapeadas e com necessidade de segurança.
Exemplos: informação restrita, confidencial, pública e interna.
Definir bem os papéis e responsabilidades dentro do cenário de classificação da informação. Exemplo:
informação restrita, apenas o dono pode alterar, salvar e descartar.
Definir as diretrizes de uso da informação dentro da empresa. Exemplo: A informação confidencial pode
ser utilizada por um grupo de pessoas autorizadas e somente dentro da empresa.
Definir diretrizes de uso de ativos da informação. Exemplo: uso de computadores, notebooks, celulares,
pen drives, e-mail, internet, etc.
Definir os acessos permitidos ou proibidos dentro da empresa (de acordo com o tipo de política –
proibitiva ou permissiva) aos locais de informação da companhia.
Estabelecer as devidas ações que serão tomadas em desacordo com a PSI, alinhada com o Jurídico e com o
RH da companhia, para não ser surpreendido por ações jurídicas.
Esses pontos levantados acima são apenas um exemplo de como poderá constar uma PSI dentro da
organização, entretanto cada organização deverá entender quais são as suas necessidades e definir o como
será a sua PSI.
Uma boa análise de riscos, juntamente com o BIA (Business Analisys Impact) pode ajudar a identificar a
classificação da informação, quais ativos suportam e qual nível de segurança requerido.
Além disso, todos os itens de uma política precisam ser aprovados pela direção da empresa, para garantir
que todas as diretrizes estejam alinhadas, dentro dos objetivos legais, entre outros.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Operações de serviços de TI:
operação de segurança da informação
CAPACITAR O ALUNO A ENTENDER COMO É UMA OPERAÇÃO DE SEGURANÇA DA INFORMAÇÃO, SENDO
TI COMO PROVEDOR DE SERVIÇOS
Operação de Segurança da Informação (SI)
A operação de SI geralmente abrange atividades relacionadas à segurança da infraestrutura de TI, no
tocante aos aplicativos, monitoramento de segurança, conscientização para segurança da informação,
gestão de problemas de segurança (resolução de erros conhecidos, segundo a ITIL), elaboração de planos de
continuidade, análise de vulnerabilidades de segurança da segurança da informação, estudo de novas
tecnologias em SI, gestão da implantação de novos dispositivos físicos e de software relativos à segurança
da informação, etc.
O pacote de serviços da segurança 
da informação
A SI pode determinar uma série de serviços que a organização talvez precise e que são essenciais para a
segurança das informações necessárias para manter a saúde da organização.
Entre esses serviços, a SI pode ter uma série de clientes para pacote de serviços, sendo seus clientes:
Usuários.
Profissionais de TI.
Executivos da empresa.
Empresas prestadoras de serviços.
Profissionais prestadores de serviços.
Fornecedores da empresa.
Entre os diversos serviços que a operação de segurança da informação pode fornecer, podemos destacar
alguns mais importantes:
Entrega da análise de riscos do negócio relativos à segurança da informação, conforme a solicitação de
requisitos: essa análise de riscos auxilia e apoia as decisões essenciais da empresa em investimentos
necessários para mitigar riscos. Normalmente, é realizada em conjunto com uma área interna de riscos, e
utiliza-se o BIA para determinar quais serviços são mais essenciais para a sobrevivência da empresa.
Entrega da PSI ? Política de Segurança da Informação: de acordo com as necessidades da empresa, as
legislações vigentes para a empresa, classificação da informação entre outros itens, a SI elabora e entrega,
apoiada pela alta direção da empresa, uma PSI que direciona as ações de segurança que a empresa deverá
seguir.
Entrega de trabalhos de auditoria de conformidade: essas atividades normalmente são direcionadas por
áreas denominadas controles internos, sendo apoiadas pela governança em tecnologia da informação. Em
empesas que não existem essas estruturas, a SI auxilia a demonstrar os pontos que são frágeis e que
necessitam de ações para mitigar os riscos.
Realização de monitoramento da conformidade com a segurança da informação: que são ações que
monitoram se as diretrizes de segurança estão sendo seguidas e, dessa forma, tratadas quando não são
seguidas e direcionadas ações para legalização, os conhecidos incidentes de segurança ou não
conformidade.
Entrega de planos de continuidade de negócios: são os planos que mostram, baseados na análise de riscos,
quais ativos essenciais para a continuidade de negócio, e precisam de ações. Além disso, a continuidade
segue legislações que determinam este tipo de ação.
Análise de vulnerabilidades em aplicações e operação: são planos executados, com invasões e técnicas
que identificam as vulnerabilidades que cada ambiente está sujeito, e suas possíveis ameaças. Desta forma,
o resultado pode auxiliar a empresa nas tomadas de decisões, investimentos e ações necessárias para
abrandar esses riscos.
Conscientização e treinamento: a SI tem um papel fundamental em prover a conscientização para os
profissionais de toda a organização por meio de palestras, workshops e treinamentos sobre a importância
da SI nas organizações.
Níveis de serviços para SI
Os níveis de serviço para SI (os famosos SLA) são os mais diversos possíveis, assim como outros serviços de
TI. Esses SLAs são determinados de acordo com a criticidade do serviço e qual o nível de atuação, pois os
mais diversos clientes e serviços são prestados para a TI.
Competências requeridas para operação de segurança da
informação
As principais competências requeridas para a operação de SI são:
Planejamento e gestão de projetos.
Gestão de pessoal técnico.
Negociação e administração de tempo.
Gestão de riscos.
Gestão de segurança da informação.
Tecnologias da segurança da informação.
Técnicas de auditorias em segurança da informação.Conhecimento em dispositivos de HW e SW em segurança da informação.
Legenda:
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação:como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
ISO/IEC 27001 e 27002 – objetivos e
estrutura dos modelos
CAPACITAR O ALUNO A ENTENDER OS MODELOS ISO/IEC 27001 E 27002
Histórico do modelo
A origem de, praticamente, todas as normas internacionais relativas à segurança da informação é o governo
britânico.
A British Standard (BS) 7799, que originou a ISO 17799 e agora substituída pela ISO / IEC 27002, nasceu no
Commercial Computer Security Centre (CCSC) do Department of Trade and Industry.
O código foi aperfeiçoado posteriormente pela comunidade britânica, o que resultou no "código de prática
para gestão da segurança da informação". Este código deu origem, em 1995, à BS 7799:1995, parte 1.
Em abril de 1999, foi publicada a primeira revisão da BS 7799 – parte 1 (BS7799:1999). Em outubro de 1999,
essa norma foi proposta como norma ISO, originando, em dezembro de 2000, a ISO / IEC 17799:2000.
Da mesma forma como ocorreu com a 17799, a BS 7799-2:2002, que se transformou na ISO / IEC
27001:2005, publicada em 15 de outubro de 2005.
Atualmente, a série 27000 já contempla:
27001: requerimentos para segurança da informação.
27002: código de melhores práticas de SI.
27004: gerenciamento e medição de SI.
27005: gestão de riscos em SI.
27006: requerimentos para auditoria e certificação em SI.
Objetivos do modelo
A ISO/IEC 27001 tem como objetivo prover um modelo para estabelecer, implantar, operar, monitorar, rever,
manter e melhorar um sistema de gestão de segurança da informação. Essa norma pode ser usada visando à
avaliação da conformidade por parte interessadas internas e externas.
A ISO/IEC 27003 tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, manter e
melhorar a gestão de segurança da informação em uma organização, provendo diretrizes sobre as metas
geralmente aceitas pela organização para a gestão de segurança da informação. A implantação dos
objetivos de controle e dos controles associados da norma tem como finalidade atender aos requisitos
identificados por meio da análise e avaliação de riscos.
Essa norma também possui um guia com os objetivos de controles necessários para manter a SI na
organização.
Estrutura do modelo ISO/IEC 27001
Essa norma adota o princípio de gestão de processos para o estabelecimento, a implementação, a operação,
o monitoramento, a revisão, a manutenção e a melhoria do sistema de segurança da informação de uma
organização.
Em termos operacionais, a norma é dividida em cinco grandes seções:
O sistema de gestão da segurança da informação, que trata do ciclo de PDCA do modelo de gestão de SI e
dos requisitos de documentação. Dentro deste modelo, cinco assuntos são relacionados:
O estabelecimento do sistema de gerenciamento SI.
A implantação e a operação do sistema de gerenciamento do SI.
Monitoração e revisão do sistema de gerenciamento do SI.
Manutenção e melhoria do sistema de gerenciamento do SI.
Requisitos de documentação.
A responsabilidade da administração, que deve garantir o compromisso da administração com o
estabelecimento, implementação, operação, monitoramento, revisão e manutenção e melhoria do sistema
de gerenciamento do SI.
As auditorias internas do sistema de gerenciamento do SI, que deverão ser conduzidas em intervalos
planejados, para determinar as atividades de controle, os controles, os processos e os procedimentos do
sistema de gerenciamento do SI.
A revisão do sistema de gerenciamento do SI, que deverá pelo menos uma vez ao ano revisar e garantir sai
contínua adequação e eficácia.
As melhorias do sistema de gerenciamento do SI, onde a organização deverá melhorar continuamente a
eficácia do sistema de gerenciamento do SI através do uso das políticas de SI, atendendo os objetivos de
segurança da informação.
Estrutura do modelo ISO/IEC 27002
Esta norma está estruturada em 11 seções, que abordam a seguinte estrutura:
Política de segurança da informação: controles específicos e mínimos que uma PSI deverá conter.
Organizando a segurança da informação: requerimentos que precisam ser avaliados e aprovados pela alta
direção. Envolve entrevistas com grupos, acordos de confidencialidade, contatos com auditorias, etc.
Gestão de ativos: controles mínimos para gestão de ativos da organização.
Segurança em recursos humanos: recomendação com todos os aspectos de recursos humanos na
organização.
Segurança física e do ambiente: recomendações para controles em todos os ambientes da organização.
Gerenciamento das operações e comunicações: recomendações de processos, controles e monitoração
para a operação de TI no âmbito de SI.
Controles de acesso: recomendações com todos os itens necessários para uma gestão mais eficaz de
controle de acesso.
Aquisição, desenvolvimento e manutenção de sistemas de informação: recomendações para aquisição de
hw e sw, desenvolvimento interno e externo.
Gerenciamento de incidentes de SI: recomendações para o tratamento de não conformidades encontradas
na organização.
Gerenciamento de continuidade de negócio: recomendações para a continuidade da organização em casos
de catástrofes.
Conformidade: recomendações de controles específicos para atender legislações, auditorias, etc.
1. Para ajudar no exercício, utilize o livro: Implantando a governança em tecnologia da informação da
estratégia a gestão de processos e serviços. 2. ed., páginas 357 a 362.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Utilização do framework COBIT na
realização de tarefas da governança
em tecnologia da informação
CAPACITAR O ALUNO A ENTENDER COMO O MODELO COBIT AUXILIA NAS TAREFAS DE GOVERNANÇA
EM TECNOLOGIA DA INFORMAÇÃO, COMO MATURIDADE, PROCESSOS ETC.
O modelo COBIT para governança em tecnologia da
informação
O modelo COBIT contribui de uma forma muito plena para a governança em tecnologia da informação,
apresentando um modelo que auxilia a corporação de TI a tomar decisões muito mais precisas e próximas
ao negócio, trazendo, dessa forma, o tão esperado retorno de investimento.
Esse framework contém pilares fundamentais que sustentam o núcleo da governança em tecnologia da
informação e podem ser representados por cinco áreas, com seu respectivo foco.
Cada um desses pilares dá um direcionamento para a organização de TI. Vamos entendê-los:
Alinhamento estratégico: garantia dos planos de negócio com TI, manutenção e validação da proposição
de valor da TI e alinhamento das operações da empresa com as de TI.
Agregação de valor: execução da preposição de valor através do tempo, assegurando que a TI entregue os
benefícios prometidos de acordo com a estratégia, concentrando-se em otimizar custos e em comprovar
seu valor.
Gerenciamento de recursos: otimização de investimentos e da gestão adequada dos recursos críticos de TI
(aplicações, informações, infraestrutura e pessoas), essenciaispara fornecer os subsídios de que a empresa
necessita para cumprir os seus objetivos.
Gestão de riscos: conhecimento dos riscos por parte da alta direção, entendimento claro dos requisitos de
compliance e das tendências da empresa para os riscos, transparência acerca daqueles significativos para a
organização e incorporação de responsabilidades para o gerenciamento dos riscos.
Medição do desempenho: acompanhamento e monitoração da implementação da estratégia, do
andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos
serviços, utilizando, além das medições convencionais, indicadores de desempenho (por exemplo,
balanced scorecards) que traduzem a estratégia em ações para garantir objetivos mensuráveis.
Legenda:
Foco no negócio
Segundo o COBIT, para fornecer informações de que a empresa precisa para atingir suas metas de negócio, é
necessário associa-las às suas metas de TI, assim como gerenciar e controlar os recursos, utilizando um
conjunto estruturado de processos para garantir a entrega dos serviços requeridos.
O COBIT pressupõe que as informações desejadas devem obedecer a alguns critérios de controle (requisitos
de negócio), de forma que sua utilização seja proveitosa para os objetivos de negócio. Tais critérios
compreendem: eficiência, eficácia, confidencialidade, integridade, disponibilidade, conformidade com
regulações e confiabilidade. Ou seja, em todos os cenários, o COBIT tem forte compreensão para segurança
da informação.
Os serviços que fornecem as informações necessárias para que a organização atinja seus objetivos são
disponibilizados através de um conjunto de processos de TI que utilizam recursos de TI, ou seja, pessoas (e
suas habilidades e conhecimentos) e infraestrutura de TI para executar as aplicações automatizadas e
procedimentos manuais que manipulam e processam informações de negócio.
O COBIT no auxílio às tarefas de TI
Legenda:
Como já informado na nossa aula 7, o COBIT é um modelo que possui quatro domínios e mais de 200
objetivos de controles, que apoiam a direção de TI para suas atividades, alinhadas com o negócio.
Nesse cenário, o COBIT, por meio de suas cinco áreas de conhecimento, adota práticas dos quatro domínios
para auxiliar a TI na suas tarefas.
Na primeira área de conhecimento, alinhamento estratégico, o COBIT possui processos que identificam
onde a empresa está, onde ela quer chegar e como chegará. São processos estratégicos que direcionam os
investimentos em TI.
Na segunda área de conhecimento, agregação de valores, o framework identifica processos que apoiam
como a TI poderá entregar serviços que estejam dentro de custos aceitáveis, dos prazos acordados, com
níveis de disponibilidade requeridos pelo negócio e assim por diante.
Em outra área de conhecimento, a terceira, que compreende a gestão de recursos, o COBIT possui uma série
de processos para que a TI alinhe os objetivos da empresa na entrega de serviços, utilizando melhor seus
recursos (pessoas, processos e conhecimentos), dentro das atividades requeridas para a TI atender as
expectativas de negócio.
Na sua quarta e penúltima área de conhecimento, gestão de riscos, o framework disponibiliza uma série de
processos que apoiam a empresa e a TI a direcionar seus controles (nesse caso o foco é TI), para que as
devidas legislações sejam atendidas.
Por fim, na quinta área, o framework disponibiliza processos para o desenvolvimento de indicadores, que
são os medidores de desempenho dos processos implementados e de seus objetivos.
Legenda:
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
COBIT – Entendendo a estrutura e os
quatro domínios do modelo
CAPACITAR O ALUNO A ENTENDER A ESTRUTURA DOS QUATRO DOMÍNIOS DO COBIT.
A estrutura do modelo COBIT
O modelo COBIT é um framework aceito e reconhecido mundialmente como um modelo de Governança,
muito utilizado no apoio aos processos de auditoria em TI de empresas.
Com esse modelo é possível introduzir controles e processos de TI que gerem qualidade de gestão,
mapeando toda a TI e identificando seus principais pontos de controles em deficiência, e pode apoiar a
implantação de processos com base em frameworks, como ITIL, CMMI, PMI etc.
Além disso, o COBIT é um ótimo modelo para aderência de GRC (gestão de riscos e compliance) para
determinadas leis e normas de mercado nacional e mundial.
O COBIT possui uma estrutura dividida em quatro domínios, contendo 34 processos específicos e mais de
200 pontos de controle, a fim de garantir uma eficiência na gestão de TI. Seus domínios são Planejamento e
Organização (PO), Aquisição e Implementação (AI), Entrega e Suporte (DS ? Delivery and Support) e
Monitoração e Avaliação (ME ? Monitor and Evaluate).
Legenda: FIGURA 1 ? DOMíNIOS DO COBIT
O domínio Planejamento e Organização – PO
Esse domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode
contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e
gerenciamento, em diversas perspectivas.
O domínio PO conta com 10 processos específicos que apoiam a TI na preparação e alinhamento, para
atender aos objetivos estratégicos quando for proposta a execução.
Legenda: FIGURA 2 ? DOMíNIOS PO
O domínio Aquisição e Implementação – AI
Esse domínio cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a
estratégia estabelecida, assim como a sua implementação e integração junto aos processos de negócio.
Mudanças e manutenções em sistemas existentes também estão cobertas nesse domínio para garantir a
continuidade dos respectivos ciclos de vida. Esse domínio conta com sete outros específicos, no contexto de
adquirir e implementar um serviço.
Legenda: FIGURA 3 ? DOMíNIOS AI
O domínio Entrega e Suporte – DS (Delivery and
Support)
Nesse domínio, o COBIT cobre a entrega dos serviços requeridos, incluindo o gerenciamento de segurança e
continuidade, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional.
Possui 13 processos que direcionam a entrega dos serviços de TI, bem como as melhores práticas e
recomendações para Suporte.
Legenda: FIGURA 4 ? DOMíNIOS DS
O domínio Avaliação e Monitoração – ME (Monitor and
Evaluate)
Aqui nesse domínio, a preocupação do framework é assegurar a qualidade dos processos de TI, assim como
a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de
acompanhamento, monitoração de controles internos e de avaliações internas e externas. Esse domínio
possui quatro processos específicos para garantir a monitoração dos objetivos de TI.
Legenda: FIGURA 5 ? DOMíNIOS ME
A seguir, preencha a(s) lacuna(s) com a(s) palavra(s) adequada(s) às afirmações.
 
Depois de rever o conteúdo desta aula, solucione os exercícios de múltipla escolha propostos. Lembre-se de
que você poderá postar suas dúvidas no Fórum e ter auxílio de seus colegas e professor.
ATIVIDADE FINAL
1. Domínio responsável por aplicar mecanismos regulares de
acompanhamento:
A. a) Planejamento e Aquisição.
B. b) Avaliação e Monitoração.
C. c) Entrega e Suporte.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Relação entre o framework COBIT
com a ITIL
CAPACITAR O ALUNO A ENTENDER O RELACIONAMENTO EXISTENTE ENTRE OMODELO PARA GESTÃO
DE TI, CONHECIDO COMO ITIL, E O COBIT.
Os livros e processos do ITIL V3
O ITIL V3 2011 é uma atualização do ITIL V3, publicada pela OGC em maio de 2007, que substitui por
definitivo, em agosto de 2010, o ITIL V2. Esse novo framework possui cinco livros que contém uma série de
processos e algumas funções.
Nas organizações, o ITIL é um modelo que introduz a gestão de serviços de TI como uma forma de agregar
valor ao negócio, trazendo alguns pontos conhecidos como:
Aprimorar a disponibilidade dos serviços com desenhos e arquitetura melhores.
Reduzir o tempo de atendimento de incidentes, com maiores eficácias no atendimento.
Maiores níveis de capacidade dos serviços, reduzindo seus impactos.
Contratos de serviços desenvolvidos em parcerias com o negócio, entre outros itens.
Os cinco livros do ITIL são: Estratégia de Serviços, Desenho de Serviços, Transição de Serviços, Operação de
Serviços e Melhoria Continuada.
Para visualizar os cinco livros do ITL, visite o site do Tecnologia e gestão
(https://tecnologiaegestao.wordpress.com/tag/itil-v3/page/2/).
Estratégia do serviço (Service Strategy)
Como ponto de origem do ciclo de vida de serviço ITIL, o livro de estratégia do serviço é um guia sobre
alinhar os serviços de TI que irão atender as demandas de negócio e priorizá-las. Os processos desse livro
são:
Gerenciamento de portfólio (ou carteira) de serviços.
Gerenciamento financeiro de serviços de TI.
Gerenciamento de demandas.
Gerenciamento de relacionamento com o negócio.
https://tecnologiaegestao.wordpress.com/tag/itil-v3/page/2/
Desenho de serviço (Service Design)
O livro de desenho do serviço é um guia sobre boas de como projetar os serviços de TI. Projeto com ITIL é
entender o que foi pedido e englobar todos os elementos relevantes à entrega de serviços de tecnologia.
Assim, o desenho de serviços aponta como uma solução planejada de serviço interage com o negócio e
ambiente técnico.
Com ITIL, trabalho de projetar um serviço de TI é agregado em um simples pacote de projeto de serviços
(Service Design Package - SDP). SDP, em conjunto com outros serviços de informação, são gerenciados com
um catálogo de serviços. Processos inclusos neste livro são:
Gerenciamento de catálogo de serviços.
Gerenciamento de fornecedores.
Gerenciamento do nível de serviço (Service Level Management - SLM).
Gerenciamento de disponibilidade.
Gerenciamento de capacidade.
Gerenciamento de continuidade de serviços de TI.
Gerenciamento de segurança da informação.
Coordenação do Desenho do Serviço.
Transição do serviço (Service Transition)
Este volume é direcionado à entrega dos serviços necessários ao negócio no uso operacional, e geralmente
englobam o "projeto". Os processos demonstram como os serviços devem ser transitados para a Operação.
Os processos deste livro incluem:
Gerenciamento de configurações e ativos de serviço.
Planejamento de transição e suporte.
Gerenciamento de liberação e entrega (release and deployment).
Gerenciamento de mudança.
Gerenciamento de conhecimento.
Papéis da equipe engajada na transição do serviço.
Operação do serviço (Service Operation)
Esse livro aborda os processos operacionais do dia a dia, de como manter os serviços de TI em operação. Os
processos inclusos são:
Balanceamento do conflito das metas (disponibilidade vs custo).
Gerenciamento de eventos.
Gerenciamento de incidentes.
Gerenciamento de problemas.
Cumprimento dos pedidos.
Gerenciamento de acesso, (service desk).
Melhoria contínua do serviço (Continual Service
Improvement)
A meta do Continual Service Improvement (CSI) é ajustar e reajustar serviços de TI às mudanças contínuas
do negócio, por meio da identificação e implementação de melhorias aos serviços de TI que apoiam
processos negociais.
Para gerenciar melhorias, o CSI deve definir claramente o que deve ser controlado e medido.
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. Este infográfico faz parte da
sequência desta aula e, portanto, é essencial para a aprendizagem.
Legenda: ITILV3
Relacionamento do ITIL com o COBIT
Em geral, antes de qualquer aplicação de processos relacionados ao ITIL, é importante fazer uma análise de
maturidade dos processos de TI, entender como eles estão e então fazer a direção de quais processos podem
ser implantados.
Essa análise, normalmente, é feita com o COBIT e alguns processos do modelo podem ajudar a entender
quais requisitos (ou objetivos de controle) são precisos para garantir o mínimo de maturidade de um
processo.
Quando se menciona o ITIL, o COBIT poderá ajudar a definir como implantar os processos de gestão de TI
que mais irão apoiar a governança em tecnologia da informação. São eles:
PO – Planejar e Organizar: nesse domínio podem se relacionar processos que são estratégicos. O COBIT
demonstra o que é preciso para planejar a TI e mantê-la de forma organizada, e o livro de estratégia de
serviços do ITIL possui os processos que mais se relacionam com o COBIT. Nesse cenário então, o COBIT
irá informar quais são os controles necessários e podemos utilizar o ITIL se existir algum processo
relacionado com o assunto.
AI – Adquiri e Implementar: no COBIT, esse domínio possui expertise para controles focados na
implantação de serviços de TI e aquisição de HW e SW. O ITIL possui processos específicos dentro do livro
de Desenho de Serviços, relacionados com a implantação de serviços, e na Transição de Serviços. Aqui o
processo de Gerenciamento de Mudança, por exemplo, pode ser orientado através dos controles que o
COBIT entende como maduros para o processo, na seção AI6 – Gerenciar Mudanças.
DS – Entregar e Suportar: esse domínio estabelece os controles necessários na entrega de serviços de TI e
quais os controles de suporte são mínimos, para manter uma boa operação de TI alinhada com o negócio.
No ITIL podemos encontrar processos relacionados ao COBIT nos livros de Desenho e Operação de
Serviços. O gerenciamento de Disponibilidade e Capacidade, dentro do ITIL, podem se orientar nos
objetivos de controle do DS3 – Gerenciar Capacidade e Desempenho.
ME – Monitorar e Entregar: aqui o COBIT demonstra os controles recomendados para monitorar uma
Operação de TI. No ITIL podemos identificar alguns processos que podem utilizar o COBIT como um
modelo de maturidade indicada. Temos no livro de Operação de Serviços, que contém o processo de
Gerenciamento de Eventos e no COBIT pode ser consultado o ME – Monitorar e Avaliar o Desempenho.
Estimule seu raciocínio com o jogo da forca.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Relação entre o framework COBIT e
norma de segurança da informação
ISO/IEC 27001 e 27002
APRESENTAR O RELACIONAMENTO EXISTENTE ENTRE O COBIT E AS NORMAS ISO/IEC 27001 E 27002.
O modelo COBIT e a Segurança da informação
Um assunto que muitos profissionais de segurança da informação, TI, auditoria e compliance têm debatido
é quanto à conveniência do uso do COBIT ou da ISO 27001 e 27002 como modelo de segurança da
informação. Muitas vezes, esta discussão fica acalorada, com cada lado defendendo um ou outro padrão. Por
um lado, considera-se o COBIT mais completo, por outro a ISO 27001 e 27002 são evidenciadas por serem
focadas em segurança da informação.
Analisando os dois modelos, é possível entender que existe interseção entre vários itens de ambos e que
eles se completam em vários aspectos. Não acreditamos que as organizações devam compararqual das duas
é a mais adequada, mas sim refletir em cima dos dois modelos e decidir o que é mais adequado para a
segurança de cada organização.
O primeiro passo é entender o objetivo de cada modelo:
As ISOs 27001 e 27002 fazem parte de um conjunto de recomendações para gestão da segurança da
informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da
segurança em suas organizações. Têm como propósito prover uma base comum para o desenvolvimento de
normas de segurança organizacional e das práticas efetivas de gestão da segurança, além de prover
confiança nos relacionamentos entre as organizações. As ISOs 27001 e 27002 atuam em segurança da
informação, considerando tecnologia, processos e pessoas, são publicadas no Brasil pela ABNT com o
código NBR ISO 27001 e 27002, e têm sido utilizadas no Brasil por organizações importantes como, por
exemplo, o Banco Central, nas recomendações de segurança do SPB – Sistema de Pagamentos Brasileiro,
pelo ITI – Instituto de Tecnologia da Informação nas normativas do ICP Brasil, pelo CFM – Conselho
Federal de Medicina para o uso de prontuário eletrônico via internet e diversas outras organizações.
O COBIT é um framework que provê boas práticas para o gerenciamento dos processos de TI em uma
estrutura lógica e gerenciável, encontrando as múltiplas necessidades do gerenciamento empresarial,
gerenciando os riscos de TI e alinhando ao negócio assuntos técnicos, necessidades de controle e
requisitos de medições de desempenho. O COBIT habilita o desenvolvimento de uma política clara e de
boas práticas para o controle de TI da organização, dentre eles, possui amplas recomendações de
segurança da informação. O COBIT é bastante usado no Brasil pela comunidade de auditoria, em especial
no segmento bancário, além de ser o modelo mais utilizado na governança em tecnologia da informação
de empresas.
Requisitos para um Modelo de Governança de Segurança
da Informação – COBIT e ISO 27001 e 27002 apoiando
na decisão
Uma vez que as organizações possuem necessidades distintas, elas irão apresentar abordagens diversas para
tratar as questões relacionadas à segurança da informação. Dessa forma, um conjunto principal de
requisitos deve ser definido para guiar os mais diversos esforços. Identificados esses requisitos, deve-se
correlacioná-los em um modelo de governança da segurança da informação.
Na busca por um modelo de governança da segurança da informação, são recomendados os seguintes
requisitos:
Os CEOs (Chief Executive Officers) precisam de procedimentos para conduzir uma avaliação periódica
sobre segurança da informação, revisar os resultados com sua equipe e comunicar o resultado para o
conselho administrativo.
Os CEOs precisam adotar e patrocinar boas práticas corporativas para segurança computacional, sendo
munidos com indicadores objetivos que os façam considerar a área de segurança computacional como um
importante centro de investimentos na organização, e não apenas um centro de despesas.
Organizações devem conduzir periodicamente uma avaliação de risco relacionada à informação como
parte do programa de gerenciamento de riscos.
Organizações precisam:
Desenvolver e adotar políticas e procedimentos baseados na análise de risco para garantir a
segurança da informação.
Estabelecer uma estrutura de gerenciamento da segurança da informação para definir
explicitamente o que se espera de cada indivíduo (papéis e responsabilidades).
Desenvolver planejamento estratégico e iniciar ações para prover a segurança adequada para a rede
de comunicação, os sistemas e a informação.
Tratar segurança da informação como parte integral do ciclo de vida dos sistemas.
Divulgar as informações sobre segurança computacional, treinando e educando os indivíduos.
Conduzir testes periódicos e avaliar a eficiência das políticas e procedimentos relacionados a
segurança da informação.
Criar e executar um plano para remediar vulnerabilidades ou deficiências que comprometam a
segurança da informação.
Desenvolver e colocar em prática procedimentos de resposta a incidentes.
Estabelecer planos, procedimentos e testes para prover a continuidade das operações.
Usar as melhores práticas relacionadas à segurança computacional, como a ISO 17799 (2000), para
medir a nível alcançado em relação à segurança da informação.
ISO/IEC 27002 - CONTROLES QUE SE RELACIONAM COM O COBIT
10 Desenvolvimento e manutenção de sistemas.
10.3.3 Assinatura digital.
10.3.4 Serviços de não repúdio.
10.4.1 Controle de software em produção.
10.5.1 Procedimentos de controle de mudanças.
10.5.5 Desenvolvimento terceirizado de Software.
11 Gestão de continuidade de negócios.
ISO/IEC 27002 - CONTROLES QUE SE RELACIONAM COM O COBIT
12 Conformidade.
12.1 Conformidade com requisitos legais.
12.1.2 Direitos de propriedade intelectual.
12.1.3 Salvaguarda de registros organizacionais.
12.1.4 Proteção de dados e privacidade da informação pessoal.
3 Política de segurança.
4.1.3 Atribuição das responsabilidades em segurança da informação.
4.1.4
Processo de autorização para as instalações de processamento 
da informação.
4.2.1.3 Contratados para serviços internos.
4.2.2 Requisitos de segurança nos contratos com prestadores de serviços.
4.3.1 Requisitos de segurança dos contratos de terceirização.
5.2 Classificação da informação.
6 Segurança em pessoas.
6.1.2 Seleção e política de pessoal.
6.1.3 Acordos de confidencialidade.
6.1.4 Termos e condições de trabalho.
6.2 Treinamento dos usuários.
6.3 Respondendo aos incidentes de segurança e ao mau funcionamento.
7 Segurança física e do ambiente.
8.1.4 Segregação de funções.
8.1.6 Gestão de recursos terceirizados.
8.4.1 Cópias de segurança.
8.7.1 Acordos para a troca de informações e software.
8.7.3 Segurança do comércio eletrônico.
ISO/IEC 27002 - CONTROLES QUE SE RELACIONAM COM O COBIT
9 Controle de acesso.
9.2 Gerenciamento de acessos do usuário.
9.2 Risk Assessment Approach Introdução - Avaliando os riscos de segurança.
9.4 Controle de acesso a rede.
9.5 Controle de acesso ao sistema operacional.
9.6 Controle de acesso às aplicações.
9.6.2 Isolamento de sistemas sensíveis.
9.7 Monitoração do uso e acesso ao sistema.
9.7.1 Registro (log) de eventos.
9.7.2 Monitoração do uso do sistema.
Relacionamento entre os modelos COBIT e ISO 27001 e
27002
A seguir, iremos analisar os itens que o COBIT e as normas ISO 27001 e 27002 estão relacionados. O modelo
ISO 27001 mostra como prover a governança de segurança da informação, e podemos identificar estes
controles da seguinte maneira:
Planejamento e Organização COBIT com a ISO 27001 e 27002
Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI
pode melhor contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser
planejado, comunicado e gerenciado por diferentes perspectivas.
Uma apropriada organização bem como uma adequada infraestrutura tecnológica deve ser colocada em
funcionamento.
Este domínio tipicamente ajuda a responder as seguintes questões gerenciais:
As estratégias de TI e de negócios estão alinhadas?
A empresa está obtendo um ótimo uso dos seus recursos?
Todos na organização entendem os objetivos de TI?
Os riscos de TI são entendidos e estão sendo gerenciados?
A qualidade dos sistemas de TI é adequada às necessidades de negócios?
O domínio PO relaciona-se com o COBIT através dos processos e objetivos de controles, pois na ISO 27001
existe um modelo de como a organização deverá controlar seus requisitos de segurança, a ISO 27002
demonstra os controles, e o COBIT demonstra as recomendações mínimas.
PROCESSOS DE TI
Planejar e organizar
PO1 Definir um plano estratégico de TI. 6 OCs
PO2 Definir a arquitetura de informação. 4 OCs
PO3 Determinar o direcionamento tecnológico. 5 OCs
PO4 Definir os processos, organização e relacionamentos de TI. 15 OCs
PO5 Gerenciar o investimento de TI. 5 OCs
PO6 Comunicar as diretrizese expectativas da diretoria. 5 OCs
PO7 Gerenciar os recursos humanos de TI. 8 OCs
PO8 Gerenciar a qualidade. 6 OCs
PO9 Avaliar e gerenciar os riscos de TI. 6 OCs
PO10 Gerenciar projetos. 14 OCs
Adquirir e implementar do COBIT com a ISO 27001 e 27002
Para executar a estratégia de TI, as soluções precisam ser identificadas, desenvolvidas ou adquiridas,
implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas
existentes são cobertas por este domínio para assegurar que as soluções continuem a atender aos objetivos
de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento:
Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
Os novos projetos serão entregues no tempo e orçamento previstos?
Os novos sistemas ocorreram apropriadamente quando implementados?
As alterações ocorrerão sem afetar as operações de negócios atuais?
O domínio AI do COBIT possui processos que são relativos à segurança de aquisição de recursos e
implantação, a ISO 27001 demonstra as recomendações no prisma de SI, a ISO 27002 informa os controles
necessários, e o COBIT recomenda nos seus processos quais seriam a governança mais adequada.
PROCESSOS DE TI
Adquirir e implementar
AI1 Identificar soluções automatizadas. 4 OC
AI2 Adquirir e manter software aplicativo. 10 OC
AI3 Adquirir e manter infraestrutura de tecnologia. 4 OC
AI4 Habilitar operação e uso. 4 OC
AI5 Adquirir recursos de TI. 4 OC
AI6 Gerenciar mudanças. 5 OC
AI7 Instalar e homologar soluções e mudanças. 9 OC
Entregar e suportar do COBIT com a ISO 27001 e 27002
Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da
segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos
operacionais. Trata, geralmente, das seguintes questões de gerenciamento:
Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
Os custos de TI estão otimizados?
A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?
Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a
segurança da informação?
O domínio DS do COBIT possui processos que são relativos à segurança de entrega e suporte, a ISO 27001
demonstra as recomendações no prisma de SI, a ISO 27002 informa os controles necessários para garantir o
CID, já o COBIT recomenda nos seus processos qual seria a governança mais adequada para o suporte dos
serviços de TI.
PROCESSOS DE TI
Entregar e Suportar
DS1 Definir e gerenciar níveis de serviço. 6 OC
DS2 Gerenciar serviços de terceiros. 4 OC
DS3 Gerenciar capacidade e desempenho. 5 OC
DS4 Assegurar continuidade de serviços. 10 OC
DS5 Assegurar a segurança dos serviços. 11 OC
DS6 Identificar e alocar custos. 4 OC
PROCESSOS DE TI
Entregar e Suportar
DS7 Educar e treinar usuários. 3 OC
DS8 Gerenciar a central de serviço e os incidentes. 5 OC
DS9 Gerenciar a configuração. 3 OC
DS10 Gerenciar os problemas. 4 OC
DS11 Gerenciar os dados. 6 OC
DS12 Gerenciar o ambiente físico. 5 OC
DS13 Gerenciar as operações. 5 OC
Monitorar e avaliar do COBIT com a ISO 27001 e 27002
Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a
qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o
monitoramento do controle interno, a aderência regulatória e a governança. Trata, geralmente, das
seguintes questões de gerenciamento:
A performance de TI é mensurada para detectar problemas antes que seja muito tarde?
O gerenciamento assegura que os controles internos sejam efetivos e eficientes?
O desempenho da TI pode ser associado aos objetivos de negócio?
Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das
informações?
O domínio ME do COBIT possui processos que são relativos à segurança de monitoração dos serviços; a ISO
27001 demonstra as recomendações no prisma de SI, fazendo uma avaliação do que poderia ser adequado; a
ISO 27002 informa os controles necessários para garantir o CID, já o COBIT recomenda nos seus processos
quais seriam a governança mais adequada para a monitoração dos serviços de TI.
PROCESSOS DE TI
Monitorar e avaliar
ME1 Monitorar e avaliar o desempenho. 6 OC
ME2 Monitorar e avaliar os controles internos. 7 OC
ME3 Assegurar a conformidade com requisitos externos. 5 OC
ME4 Prover a governança em tecnologia da informação. 7 OC
 
A seguir, preencha a(s) lacuna(s) com a(s) palavra(s) adequada(s) às afirmações.
Depois de rever o conteúdo desta aula, solucione os exercícios de múltipla escolha propostos. Lembre-se de
que você poderá postar suas dúvidas no Fórum e ter auxílio de seus colegas e professor.
ATIVIDADE FINAL
Este domínio cobre a estratégia e as táticas, preocupando-se com a
identificação da maneira em que TI pode melhor contribuir para atingir
os objetivos de negócios.
A. Planejamento e Organização.
B. Implementação e Aquisição.
C. Estratégia e implantação.
Este domínio entende que todos os processos precisam ser avaliados
para se identificar se há qualidade e aderência aos controles desejados
A. Implantação e Aquisição.
B. Entrega e Suporte.
C. Monitorar e Avaliar.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Controle de mudanças no ambiente
de TI - gerenciamento de mudança
baseado no ITIL e ISO/IEC 27002 com
apoio e auditoria do Cobit
ENTENDER COMO PODEMOS TER UM PROCESSO DE MUDANÇA DENTRO DA EMPRESA, BASEADO NAS
MELHORES PRÁTICAS DE MERCADO.
Gerenciamento de mudanças – ITIL
No ambiente corporativo, é muito comum que se tenha alterações nos componentes de TI, sejam eles de
infraestrutura ou de sistemas. Entretanto, as perguntas que mais são feitas nas corporações em relação a
essas mudanças são:
Qual o principal objetivo dessa alteração?
Os riscos da alteração foram gerenciados?
Quais impactos podem acontecer com essa alteração?
Todos os testes foram realizados?
O horário mais adequado foi levado em consideração para a alteração ocorrer?
A maior preocupação das organizações para que essas alterações não sejam de alto impacto, ou no mínimo
gerenciadas, é em relação à disponibilidade dos serviços de TI, que se ficarem fora por determinado
período, podemos causar um prejuízo financeiro muito significante.
Partindo desse princípio, as organizações e a governança em tecnologia da informação têm como
preocupação mitigar os riscos com esses fatores nas organizações, podendo assim ser utilizado o framework
ITIL para introduzir nas empresas, o processo de gerenciamento de mudança.
Para o ITIL, uma mudança é: qualquer inclusão, alteração ou exclusão de um ou mais componentes de TI
que possam causar impactos aos serviços de TI, e, consequentemente, ao negócio da empresa.
Dessa forma, podemos adotar as técnicas deste framework, e suas recomendações podem ser de grande
valor para manter o mínimo de controle no ambiente. Por exemplo, uma alteração em um componente de
sistema, que seja mínimo, com testes já gerenciados e controlados, pode ser caracterizada como uma
mudança-padrão, ou seja, mínimo impacto ao negócio da empresa. Mesmo assim ela deverá ter aprovação
dos envolvidos, ser planejada e seguir as janelas de manutenção estipuladas pela empresa.
O ITIL identifica três tipos de mudança:
Padrão: pode ser,como já mencionado, qualquer inclusão, alteração, ou exclusão de um ou mais
componentes de TI que significa mínimo risco ao ambiente de TI. Recomenda-se que essas mudanças
tenham aprovações mínimas para serem executadas.
Mudança normal: são inclusões, alterações ou exclusões de quaisquer componentes de TI, que possam
significar impacto ao negócio da empresa, e ao ambiente de TI. Esse tipo de mudança precisa ter alguma
aprovação mínima, e, além disso, ser aprovada pelo CCM – Comitê Consultivo de Mudança. Esse Comitê é
um grupo decisório, capaz de analisar a mudança em todos os prismas, e decidir pela execução ou não da
mudança.
Mudança emergencial:são mudanças que precisam ocorrer imediatamente, não sendo possível aguardar os
processos de mudança-padrão ou normal, pois algo muito grave está ocorrendo. Essas mudanças são
aprovadas pelo CCM/U – Comitê Consultivo de Mudança Urgente. Esse comitê é um grupo decisório, que
deve ser composto por indivíduos com grande poder de decisão para permitir que, em caso de
emergências, uma mudança possa ocorrer fora das janelas de manutenção.
Esse processo implantado na organização traz muitos benefícios, que podemos mensurar:
Maior controle com alterações de componentes do ambiente de TI.
Maiores níveis de disponibilidade dos serviços de TI.
Atendimento a regulamentações.
Maior confiabilidade dos serviços de TI.
Horários pré-acordados para manutenções.
Envolvimento da alta direção de TI nas decisões e envolvimento das necessidades, entre outros.
Para visualizar a capa do livro, Transição de Serviços, visite o site do Wordpress clicando no
botão abaixo.
IMAGEM (http://tecnologiaegestao.wordpress.com/2010/09/20/transicao-de-servico/)
As recomendações da ISO/IEC 27002 para mudanças em
TI
A norma ISO/IEC 27002 também é um grande contribuinte no que diz respeito a controles no ambiente de
TI. Os controles existentes na norma são totalmente alinhados com frameworks de mercado, e suas
recomendações são aderentes às necessidades das organizações.
As recomendações da norma para mudanças estão no capítulo 10.5 – Segurança nos processos de
desenvolvimento e suporte, que recomendam que os controles de SI mínimos atendam às mudanças em
componentes de serviços de TI, com o mínimo de risco.
O capítulo 10.5 – Segurança nos processos de desenvolvimento e suporte recomenda:
http://tecnologiaegestao.wordpress.com/2010/09/20/transicao-de-servico/
Que os gestores responsáveis pelos sistemas de aplicação também sejam responsáveis pela segurança do
ambiente de desenvolvimento ou suporte. Recomenda que eles garantam que todas as modificações de
sistemas propostas sejam analisadas criticamente, a fim de verificar que elas não comprometem a
segurança do sistema ou do ambiente de produção.
Esse capítulo contém informações necessárias para se prover um processo de mudança seguro, pode ser
utilizado o Cobit com o ITIL e estabelecer regras que mantenham a SI em TI.
Podemos consultar na ISO/IEC 27002 os subitens do capítulo 10.5:M
10.5.1: procedimentos de controles de mudanças.
10.5.2: análise crítica das mudanças técnicas do sistema operacional da produção.
10.5.3: restrições nas mudanças dos pacotes de software.
10.5 Segurança nos processos de desenvolvimento e suporte
Objetivo: Manter a segurança do software e da informação do sitema de aplicação.
Convém que os ambientes de desenvolvimento e suporte sejam rigidamente controlados.
Convém que os gestores responsáveis pelos sistemas de aplicação também sejam responsáveis pela
segurança do ambiente de desenvolvimento ou suporte. Convém que eles garantam todas as
modificações de sistemas propostas sejam analisadas criticamente, a fim de verificar que elas não
comprometem a segurança do sistema ou do ambiente de produção
O Framework Cobit apoiando no processo de mudança
Como já pudemos ver, a ITIL e a ISO/IEC 27002 estão muito bem alinhadas quanto ao mínimo de controle
sobre as mudanças que ocorrem nos ambientes de TI.
O modelo Cobit não é diferente, e ao contrário do que diz o ITIL e a ISO, esse framework pode ser utilizado
para iniciar a implementação desse tipo de processo na organização, pois ele fornece recomendações
mínimas de controle, que podemos utilizar para a adoção do processo.
O Cobit demonstra o que seria ter um modelo de maturidade ideal e seguro no ambiente, com quais
controles necessários para alcançar esse objetivo. Dessa forma, poderíamos utilizar o ITIL e a ISO para
empregar as recomendações do Cobit.
Para consultar o que seria interessante termos como modelo de gerenciamento de mudança na organização,
podemos consultar o Cobit, no domínio AI – Adquirir e Implementar, no processo AI6 – gerenciar
mudanças.
O Cobit recomenda o seguinte:
Seguindo as recomendações do Cobit, para que se consiga atingir esse objetivo de controle mencionado
acima, é necessário consultar as seguintes recomendações:
Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com
a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de
maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de
sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da
implementação e revisadas em seguida, tendo como base os resultados efetivos e
planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou
na integridade do ambiente de produção.
AI6.1: padrões e procedimentos de mudança: estabelecer procedimentos formais de gerenciamento de
mudanças para lidar de modo padronizado com todas as solicitações de mudança em aplicações,
procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes
(inclusive solicitações de manutenção e reparo).
AI6.2: Avaliação de Impacto, priorização e autorização: avaliar todas as solicitações de mudança de modo
estruturado com relação a impactos no sistema operacional e na respectiva funcionalidade. Assegurar que
todas as mudanças sejam categorizadas, priorizadas e autorizadas.
AI6.3: mudanças de emergência: estabelecer um processo para definição, solicitação, testes,
documentação, avaliação e autorização de mudanças de emergência que não sigam o processo de mudança
estabelecido.
AI6.4: acompanhamento de status e relatórios de mudanças: estabelecer um sistema de acompanhamento
e relatórios de mudanças para documentar mudanças rejeitadas, comunicar o status de mudanças
aprovadas e em andamento e executar mudanças. Garantir que as mudanças autorizadas sejam
implementadas conforme planejado.
AI6.5: finalização da mudança e documentação – atualizar a documentação dos procedimentos do sistema
e de usuários sempre que forem implementadas mudanças no sistema.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI – da estratégia à gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e teste
de um plano de continuidade de TI, armazenamento de cópias de segurança (backup) em
instalações remotas (offsite) e realizar treinamentos periódicos do plano de continuidade.
PCN - Plano de Continuidade de
Negócio - gerenciamento de
continuidade de negócio baseado no
ITIL e ISO/IEC 27002 com apoio e
auditoria do Cobit
ENTENDER QUAIS SÃO AS RECOMENDAÇÕES MÍNIMAS PARA CONTINUIDADE DE NEGÓCIO E COMO
PODEMOS UTILIZAR OS MODELOS E PADRÕES DE MERCADO.
A continuidade de negócios – modelo Cobit
Algumas legislações nacionais e internacionais obrigam as organizaçõesa possuírem um modelo de
continuidade de negócio, para que em qualquer situação de catástrofe a empresa possa continuar suas
atividades.
Isso acaba implicando diretamente em TI, ou seja, para se continuar um negócio dentro da organização, as
operações de TI também precisam ter contingências, planos de retorno, sites backups, pois somente dessa
forma as empresas podem se garantir com a continuidade de seus negócios, em razão da dependência de TI.
Para se conseguir mensurar quais são os serviços cruciais para a sobrevivência dos negócios, é preciso
entender quais são os processos-chave da organização e o que faz esses processos executarem (pessoas,
processos e tecnologias).
A técnica de mapeamento de processos de negócio é um passo importante e inicial, e o BIA (Business
Impact Analisys) também é necessário para então identificar quais são os processos da empresa que devem
ser continuados, pois sem eles a empresa morre.
Feito isso, podemos utilizar o modelo Cobit para identificarmos quais são os processos necessários para se
obter êxito nessa necessidade de dar continuidade. O Cobit recomenda o seguinte:
Um processo eficaz de continuidade de serviços minimiza a probabilidade e o impacto de
uma interrupção de um serviço-chave de TI nas funções e processos críticos de negócio.
Essas recomendações obtidas no domínio DS – entregar e suportar, no objetivo de controle DS4 – assegurar
a continuidade dos serviços podem ser utilizadas como base, e para assegurar esse item de controle
devemos consultar as recomendações do conjunto de objetivos:
DS4.1 Estrutura de continuidade: a recomendação desse item é que a empresa se estruture e prepare um
modelo de necessidade para ser continuado, em caso de catástrofes. O mapeamento dos processos de
negócio com o BIA são o pontapé inicial.
DS4.2 Planos de continuidade de TI: desenvolver planos de continuidade de TI com base na estrutura e
projetados para reduzir o impacto de uma grande interrupção de funções e processos de negócio
fundamentais. Recomenda-se que todos os processos, papéis e responsabilidades estejam inclusos nos
planos.
DS4.3 Recursos críticos de TI: dar atenção especial aos itens mais críticos no plano de continuidade de TI
para assegurar a capacidade de restabelecimento e definir prioridades em situações de recuperação.
Prevenir o desvio de atenção para os itens de recuperação menos críticos e assegurar resposta e
recuperação em alinhamento com as necessidades de negócio de maior importância; ao mesmo tempo,
assegurar que os custos sejam mantidos em um nível aceitável e em conformidade com os requisitos
contratuais e regulamentares. Considerar a capacidade de restauração e os requisitos de resposta e
recuperação em diferentes níveis (por exemplo, de uma a quatro horas, de quatro horas a 24 horas, mais de
24 horas e os períodos operacionais de negócios críticos).
DS4.4 Manutenção do plano de continuidade de TI: encorajar o gerenciamento de TI a definir e executar
procedimentos de controle de mudança para assegurar que o plano de continuidade de TI seja mantido
atualizado e reflita sempre os requisitos de negócios atuais. É essencial que as mudanças nos
procedimentos e responsabilidades sejam comunicadas claramente e de forma oportuna.
DS4.5 Teste do plano de continuidade de TI: testar o plano de continuidade de TI regularmente para
assegurar que os sistemas de TI possam ser efetivamente recuperados, que desvios sejam tratados e que o
plano se mantenha relevante. Para tanto, são necessários preparação cuidadosa, documentação, registro
dos resultados dos testes e implementação de planos de ação de acordo com os resultados. Deve-se
considerar estender o teste de recuperação apenas de aplicações isoladas a cenários de testes fim a fim
integrados com fornecedores.
DS4.6 Treinamento do plano de continuidade de TI: assegurar que todas as partes envolvidas recebam
treinamento regular sobre os procedimentos, papéis e respectivas responsabilidades no caso de um
incidente ou desastre. Verificar e intensificar o treinamento de acordo com os resultados dos testes de
continuidade.
DS4.7 Distribuição do plano de continuidade: definir e gerenciar uma estratégia de distribuição para
assegurar que os planos sejam seguramente distribuídos e que estejam apropriadamente disponíveis às
partes interessadas e autorizados quando e onde necessário. Toda atenção deve ser dispensada para tornar
o plano acessível em todos os cenários de desastre.
DS4.8 Recuperação e retomada dos serviços de TI: planejar as ações a serem executadas nos momentos de
recuperação e retomada dos serviços de TI. Isso pode incluir ativação de backup sites, iniciação de
processamento alternativo, comunicação para as partes interessadas e os clientes, procedimentos de
retorno à produção etc. Assegurar que o negócio entenda o tempo de recuperação de TI e os investimentos
tecnológicos necessários para sustentar as necessidades de recuperação e retorno à produção.
DS4.9 Armazenamento de cópias de segurança em locais remotos: Armazenar remotamente todas as
mídias de cópias de segurança críticas, documentação e outros recursos de TI necessários para a
recuperação da TI e os planos de continuidade de negócio. O conteúdo armazenado nas cópias de
segurança precisa ser determinado em colaboração entre os proprietários dos processos de negócio e o
pessoal de TI. O gerenciamento das instalações de armazenamento remotas deve atentar para a política de
classificação de dados e as práticas de armazenamento de mídias da empresa. O gerenciamento de TI deve
assegurar que as condições dos locais de armazenamento remotos sejam periodicamente avaliadas, pelo
menos anualmente, nos quesitos conteúdo, proteção ambiental e segurança. Assegurar a compatibilidade
de hardware e software para restaurar os dados arquivados e testar e atualizar periodicamente os dados
arquivados.
DS4.10 Revisão pós-retomada dos serviços: após a retomada bem-sucedida da função de TI depois de um
desastre, determinar se o gerenciamento de TI tem procedimentos para avaliar a adequação do plano atual
e realizar sua atualização, se necessário.
O Framework ITIL apoiando no desenvolvimento do
processo de continuidade
O ITIL irá entender basicamente os objetivos de controle citados pelo Cobit, e então analisar dentro da
organização quais são as recomendações que já existem e as que ainda são necessárias. É necessário
analisar se as recomendações que existem seguem rigorosamente o Cobit e quais motivos de não seguirem.
No framework ITIL, o processo que irá contribuir para a continuidade de serviços de TI é o processo
gerenciamento de continuidade, que está no livro de desenho de serviço.
Os planos de recuperação citados pelo ITIL para cumprir a continuidade são:
Nenhuma contingência: o nome mesmo já diz.
Procedimentos administrativos: sem estrutura de TI, pode se utilizar, por exemplo, formulários de papel
na falta de um sistema.
Arranjos recíprocos: em que empresas disponibilizam um espaço umas para as outras.
Recuperação gradual: nessa estratégia a própria organização tem um espaço disponível com uma
infraestrutura que contenha eletricidade, conexões com telefone, ar-condicionado, em que as aplicações
possam ser migradas e os níveis de serviços restaurados.
Recuperação intermediária: neste cenário existe um local de evacuação alugado ou disponível.
Recuperação imediata: é o que chamamos de site backup, em que há uma estrutura igual ou semelhante
de servidores, serviços e aplicações disponíveis.
Alguns indicadores de performance utilizados para medir a eficiência e eficácia do processo são:
Custos.
Resultados do plano de testes.
Perdas em consequência de desastres.
Número de incidentes identificados na auditoria que não estão inseridos no plano de GCSTI.
Mesmo empresas que hospedam seu parque de servidores em data centers ou na "nuvem" precisam do
GCSTI, e quem sabe incluir itens, tais como: saber os planos de contingência que a empresa contratada tem,
criaçãode SLAs, multas para não cumprimento de contratos, entre outros.
Esse assunto certamente não é algo barato para as organizações, por isso muitas vezes é deixado de lado,
porém, dentro em um custo viável devemos pensar em soluções para amenizar riscos de eventos como os
"apagões".
Controles recomendados pela ISO/IEC 27002
O principal objetivo do processo de continuidade de negócio é garantir que, em caso de uma catástrofe, os
negócios da empresa não sofram interrupção ou tenham o mínimo de continuidade dentro da organização
dos processos mais críticos e vitais.
A ISO/IEC 27002 possui um capítulo específico para tratar esse assunto em termos de controles, que apoiam
a organização em manter o equilíbrio do PCN (Plano de Continuidade de Negócio), o capítulo 11 – Gestão
da Continuidade do Negócio.
Nesse contexto, é preciso entender como a TI está tratando as falhas, incidentes e desastres que afetam a
operação do negócio corporativo. Como a TI está preparada para reagir ou preferencialmente prever
eventos que comprometam a operação da organização? Qual o impacto (financeiro, institucional e
comercial) de uma parada na operação? Para tratar desse assunto é extremamente relevante observar a
importância de um Plano de Continuidade de Negócios.
O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um
documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo
mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da
organização.
Muitas organizações se dizem preparadas, pois possuem contingência, mas e a continuidade (são duas
coisas bem diferentes uma da outra). A contingência pode ser entendida como backup. Você faz backup todo
dia? Então você tem uma contingência. Mas em caso de ter que recuperar um backup, quanto tempo a
organização vai esperar para voltar a operar? Quanto menor este tempo, mais continuidade está sendo
oferecida.
Os principais controles da ISO/IEC 27002 são:
11.1 Aspectos da gestão da continuidade do negócio.
11.1.1 Processo de gestão da continuidade do negócio.
11.1.2 Continuidade do negócio e análise de impacto.
11.1.3 Documentando e implementando planos de continuidade.
11.1.4 Estrutura do plano de continuidade do negócio.
11.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio.
11.1.5.1 Teste dos planos.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL, inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Gerenciamento de capacidade
baseado no ITIL e ISO/IEC 27002 com
apoio e auditoria do Cobit
O OBJETIVO DESTA AULA É CAPACITAR O ALUNO A ENTENDER QUAIS SÃO AS RECOMENDAÇÕES
MÍNIMAS PARA GERENCIAMENTO DE CAPACIDADE E COMO PODEMOS UTILIZAR OS MODELOS E
PADRÕES DE MERCADO.
Gerenciamento de capacidade – modelo Cobit
Quando pensamos em capacidade, pensamos em algo que está diretamente relacionado com o desempenho
do serviço e sua disponibilidade. A capacidade, quando mínima, pode comprometer o desempenho e a
disponibilidade, dois fatores críticos de sucesso de uma implantação de sistema ou infraestrutura.
A governança em tecnologia da informação olha esses aspectos e recomenda que seja seguido o processo de
Capacidade quando for feita uma nova implantação ou manutenções.
Como Governança, o framework para iniciar um processo de capacidade é novamente o Cobit, e podemos
nos apoiar em alguns controles que visam garantir a capacidade:
Na etapa de planejamento e organização, no momento em que a empresa está elaborando e alinhando o
planejamento de TI ao de negócio, é necessário olhar a capacidade atual do ambiente e projetar os níveis
futuros. O objetivo de controle PO 1.3 – avaliação da capacidade e desempenho correntes dão à TI a
recomendação mínima para o processo de capacidade.
Já na etapa de entrega e suporte, a recomendação é que a corporação tenha um processo que gerencie a
capacidade e desempenho atual e futuro, baseado em análises do desempenho dos recursos de TI, carga de
trabalho e que garantam as necessidades do negócio. O DS 3 – gerenciar a capacidade e desempenho
aborda bem esse assunto.
Ainda analisando a necessidade de garantir a capacidade e desempenho, o DS3 possui outros objetivos de
controle que apoiam a tomada de decisão nos investimentos de capacidade:
DS3.1 Desempenho e planejamento de capacidade.
DS3.2 Capacidade e desempenho atuais.
DS3.3 Capacidade e desempenho futuros.
DS3.4 Disponibilidade de recursos de TI.
DS3.5 Monitoramento e relatórios.
Gerenciamento de capacidade na visão do ITIL
A razão de existir do G.C. é assegurar que a capacidade da infraestrutura de TI esteja alinhada com as
necessidades do negócio, suportando assim todos os processos do negócio que necessitam da TI, dentro de
um custo aceitável.
O processo de G.C. é dividido em três subprocessos:
Gerenciamento da capacidade de negócio: este processo tem por objetivo assegurar que as necessidades
atuais e futuras do negócio serão levadas em conta nas operações de TI.
Gerenciamento da capacidade de serviço: este processo tem por objetivo garantir que o desempenho dos
serviços de TI esteja de acordo com os níveis de serviço (SLAs) acordados.
Gerenciamento da capacidade de recursos: este processo tem por objetivo o gerenciamento dos recursos
individuais da TI: software, hardware e pessoas.
As quatro atividades a seguir fazem parte do gerenciamento da capacidade e são chamadas de atividades
interativas, quase que um PDCA do gerenciamento de capacidade:
Monitoramento: verificar se todos os níveis de serviço (SLAs) previamente acordados estão sendo
alcançados.
Análise: os dados coletados por meio do monitoramento precisam ser analisados para geração de
predições futuras.
Ajuste: implementa o resultado do monitoramento e análise para assegurar o uso otimizado da
infraestrutura atual e futura.
Implementação: implementa a nova capacidade.
Todas as informações coletadas no processo são armazenadas no Banco de Dados da Capacidade (BDC). Ele
é usado para formar a base dos relatórios para esse processo e contém informações técnicas e relevantes
para o gerenciamento da capacidade. Dessa forma, a informação contida aqui fornece para os outros
processos os dados necessários para as suas análises.
Controles mínimos de segurança na visão da ISO/IEC
27002
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. Este infográfico faz parte da
sequência desta aula e, portanto, é essencial para a aprendizagem.
Legenda:
No capítulo 8.2 da ISO/27002 - Planejamento e aceitação dos sistemas, a norma recomenda que o
planejamento e a preparação prévios devam ser requeridos para garantir a disponibilidade adequada de
capacidade e recursos.
Recomenda que projeções da demanda de recursos e da carga de máquina futura sejam feitas para reduzir o
risco de sobrecarga dos sistemas, e que os requisitos operacionais dos novos sistemas sejam estabelecidos,
documentados e testados antes da sua aceitação e uso.
No capítulo 8.2.1 - Planejamento da Capacidade, a norma recomenda que sejam monitoradas as projeções
atuais e futuras, e que as implementações garantam a disponibilidade dos recursos que processam
informações.
Convém que as demandas de capacidade sejam monitoradas e que as projeções de cargas de
produção futuras sejam feitas de forma a garantir a disponibilidade da capacidade adequada de
processamento e armazenamento. Convém que essas projeções levem em consideraçãoos
requisitos de novos negócios e sistemas e as tendências atuais e projetadas do processamento de
informação da organização.
Os computadores de grande porte necessitam de uma atenção particular, devido ao seu maior custo
e tempo necessário para a ampliação de capacidade. Convém que os gestores dos serviços desses
computadores monitorem a utilização dos principais recursos destes equipamentos, tais como
processadores, memória principal, área de armazenamento de arquivo, impressoras e outros
dispositivos de saída, além dos sistemas de comunicação. Convém que eles identifiquem as
tendências de utilização, particularmente em relação às aplicações do negócio ou das aplicações de
gestão empresarial.
Convém que os gestores utilizem essas informações para identificar e evitar os potenciais gargalos
que possam representar ameaças á segurança do sistema ou aos serviços dos usuários, e planejar
uma ação apropriada.
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. Caso fique alguma
dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL, inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Relação entre o framework COBIT
com o CMMI
COMPREENDER O RELACIONAMENTO ENTRE O COBIT E O CMMI
Melhores práticas para desenvolvimento de Software
O desenvolvimento de software hoje em dia é um assunto bastante polêmico. Há quem diga que terceirizar
com uma fábrica de software é bem melhor, outros acreditam que o desenvolvimento interno, por
profissionais da própria empresa, traz um bom resultado também.
O fato é que o desenvolvimento de software precisa ser assertivo, e tudo começa quando se tem um bom
processo. Quando vamos ao restaurante, pedimos primeiro a conta para pagar ou o cardápio? Depois,
escolhemos o que queremos comer com os detalhes, como mal passado, sem ou com algum ingrediente
específico, etc.
Algumas empresas adotam processos para desenvolvimento de software com papéis e responsabilidades
atribuídos de forma bem agressiva e isso possibilita um melhor desenvolvimento, outras utilizam métodos
ágeis, com rapidez no levantamento dos requisitos e entrega mais agressiva. Tanto um modelo quanto o
outro podem ser boas escolhas, desde que a empresa tenha profissionais adequados para cada modelo.
Na governança em tecnologia da informação não existem regras determinadas, mas se espera que exista um
processo, no mínimo, seguido, para que todo o ciclo de desenvolvimento atinja seu objetivo de entregar um
software com bons levantamentos de requisitos e recursos muito bem empregados, assim como um
software que tenha utilidade e garantia, conforme diz o framework ITIL.
O domínio COBIT AI – AI2. 
Adquirir e Manter Software Aplicativo
De acordo com o modelo COBIT, no domínio AI2, as aplicações devem ser disponibilizadas em alinhamento
com os requisitos do negócio, ou seja, somente desenvolvida desta forma. Ainda seguindo as
recomendações do COBIT, este processo contempla o projeto das aplicações, a inclusão de controles e
requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões. Isso
permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas.
O framework COBIT identifica 10 objetivos de controles para se garantir uma boa entrega e um bom
processo para o desenvolvimento de software:
O modelo CMMI e o relacionamento com o COBIT
Embora saibamos das necessidades de manter um bom nível de qualidade no desenvolvimento de software,
poucos são os assuntos abordados no relacionamento entre o COBIT e modelos de desenvolvimento de
Software, como Babok, Swebok e CMMI.
A Engenharia de software aborda com muita competência os modelos para garantir um bom processo de
desenvolvimento de software, mas precisamos estar cientes que o bom modelo também precisa ser auditado
e avaliado, principalmente se tivermos uma lei por trás desta organização.
O relacionamento existente entre o COBIT e o CMMI está no momento em que, para cada um dos objetivos
de controle recomendados pelo COBIT, são diretamente atendidos pelo processo de desenvolvimento do
CMMI.
A adoção de um modelo de desenvolvimento de software ajudará a empresa a atender aos objetivos de
controle recomendados pelo modelo COBIT. Todos os 10 objetivos de controle sugeridos são facilmente
atendidos quando há um modelo de Engenharia de software aplicado na companhia, utilizando como guia
de implementação de modelo e processo para desenvolvimento de aplicações e sistemas o CMMI.
Legenda: CATEGORIAS DE PROCESSOS DO CMMI
ATIVIDADE FINAL
Considerar os requisitos de segurança e disponibilidade em resposta
aos riscos identificados e em linha com a classificação de dados, a
arquitetura de segurança da informação e o perfil de tolerância a riscos
da organização. Diz respeito a esse texto:
A. Segurança e disponibilidade do aplicativo.
B. Segurança e capacidade da aplicação.
C. Configuração da versão do aplicativo.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
GASETA, Edson. Governança de TI. Rio de Janeiro: Escola superior de redes, 2011. Disponível em: . Acesso
em: 8 fev. 2013.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Relação entre o framework COBIT
com o PMBOK
APRESENTAR O RELACIONAMENTO ENTRE O COBIT E O PMBOK
Melhores práticas para gestão de projetos
Hoje em dia, um dos assuntos mais maduros e utilizados dentro das organizações, sem dúvida, é o modelo
de gestão de projetos e, claro, não se pode deixar de se lembrar do framework PMBOK.
O gerenciamento de projetos é algo que, sem dúvidas, torna a entrega de qualquer projeto, seja em
qualquer ramo, mais eficaz e eficiente, olhando sempre para resultados de retorno de investimento,
recursos utilizados de forma correta e custos dentro do planejado.
A governança em tecnologia da informação é hoje responsável, na maioria das empresas, por definir um
processo para o gerenciamento de projetos de forma a entregar tudo dentro do planejado, do custo e do
prazo, principais indicadores de um projeto.
Embora saibamos que gerenciar um projeto não é algo nada simples, o que podemos dizer se, então, não
tivermos um processo capaz de nos ajudar a gerenciar projetos com objetivos de qualidade na entrega,
ainda mais em TI?
COBIT – Melhores práticas recomendadas para gerenciar
um projeto
De acordo com o objetivo de controle do COBIT PO10 -  Gerenciar Projetos -, é necessário estabelecer um
programa e uma estrutura de gestão para todos os projetos de TI.
Tal estrutura deve assegurar a correta priorização e a coordenação de todos os projetos, e deve incluir um
plano mestre, atribuição de recursos, definição dos resultados a serem entregues, aprovação dos usuários,
uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-
implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio.
Esta abordagem poderá reduzir orisco de custos inesperados e de cancelamentos de projeto, melhorar a
comunicação e o envolvimento das áreas de negócio e dos usuários finais, assegurar o valor e a qualidade
dos resultados do projeto e maximizar a contribuição para os programas de investimentos em TI.
Definir responsabilidades, relacionamentos, autoridades e critérios de desempenho para
os membros da equipe de projeto e especificar a base de aquisição e atribuição de
funcionários e/ou restadores de serviço competentes para o projeto. A contratação de
produtos e serviços necessários para cada projeto deve ser planejada e gerenciada para
atingir os objetivos do projeto utilizando as práticas de contratação da organização.
O domínio PO10 conta com 14 objetivos de controle que vão desde a fase inicial e do modelo de processo,
que podem utilizar ao gerenciar um projeto, até o final do projeto, em seu encerramento.
O PMBOK e o relacionamento com o COBIT
Embora saibamos que o COBIT é um apoio para a implantação de vários processos e frameworks nas
organizações, nem todos os modelos são utilizados de forma correta. Porém um modelo que se relaciona
muito bem com o COBIT é o framework PMBOK.
Ele possui nove áreas de conhecimentos e, entre elas, vários objetivos de controle solicitados pelo COBIT
são atendidos. Para cada área de conhecimento, o framework para gestão de projetos possui algum objetivo
de controle específico, e que pode ser relacionado com o Cobit, de forma a garantir as melhores práticas
recomendadas.
Um dos exemplos de relacionamento entre o PMBOK e o COBIT é na fase em que iremos planejar os
recursos humanos do projeto, visando à entrega eficaz do projeto em questão. O Cobit, por sua vez,
recomenda na PO10.8: Recursos do Projeto (2007, p. 70):
Neste contexto, o PMBOK possui um capítulo que orienta a melhor prática no gerenciamento de projetos ?
Gerenciamento de recursos humanos do projeto, que faz total relacionamento com o framework Cobit.
Segundo o PMI, a gestão de recursos humanos deve ser dividida em quatro processos básicos:
Planejamento de recursos humanos: nesta etapa, é necessário identificar; ter ciência de quantos recursos
e atribuir as necessidades de recursos humanos para o projeto. O gerente de projetos deverá criar um
organograma com visão de hierarquia, identificando o relacionamento da mão de obra com o tempo de
execução da atividade no projeto.
Contratar ou mobilizar a equipe do projeto: selecionar e alocar o recurso com o conhecimento necessário
para executar o projeto. Aqui, deverá ser feita uma análise apropriada para atividade e atribuição, assim
como o conhecimento. O RH poderá ajudar na identificação de recursos com perfis psicológicos corretos.
Desenvolver a equipe do projeto: capacitar a equipe dentro dos procedimentos e padrões necessários para
garantir a execução do projeto com maior produtividade, qualidade, segurança e dentro dos prazos
contratados.
Gerenciar a equipe do projeto: aqui o gestor deve controlar a produtividade e a qualidade dos serviços, a
realização das atividades dentro dos prazos acordados e com segurança. Outro ponto: observar o
comportamento da equipe é de suma importância; administrar todos os conflitos, resolver problemas e
coordenar eventuais mudanças do projeto.
A parte mais complicada e trabalhosa na gestão de projetos, sem dúvidas, é a gestão de pessoas. Sem o
apoio de técnicas e procedimentos adequados nesta área, o objetivo não será atingido.
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
IT Governance institute. Cobit 4.1. Rolling Meadows: IT Governance institute, 2007.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.
Objeto disponível na plataforma
Informação:
Governança de Outsourcing de TI
APRESENTAR COMO GERENCIAR E MANTER UM MODELO PARA OUTSOURCING.
Terceirização de serviços de TI
Terceirizar os serviços da TI não é o mesmo que terceirizar os serviços de limpeza ou de segurança
patrimonial, por exemplo. O que poderia ser uma solução acaba, na maioria das vezes, se transformando em
um enorme problema caso os detalhes não sejam claros e definidos.
Antes de qualquer iniciativa, é preciso levar em consideração que terceirizar exige que se inicie um plano
de um projeto com todas as fases e envolvimento das áreas de conhecimento em gerenciamento de projetos
e que ele seja priorizado e avaliado quanto às necessidades estratégicas do negócio
Não existe uma receita pronta. Devemos considerar que, primeiramente, a empresa sofrerá um processo de
grandes mudanças, que estão diretamente ligadas às estruturas organizacionais, culturais e,
principalmente, das pessoas que fazem parte do processo.
O início de uma governança de outsourcing
Para que possa se ter um modelo de governança de outsourcing, precisamos entender as necessidades.
Vamos ao primeiro questionamento: por que a minha empresa quer terceirizar determinada área, atividade
ou serviço?
Aqui, deve-se considerar alguns pontos: internamente não compensa, ou não é o foco do negócio, ou para
que gastar esforços em excelência se existem empresas que são especializadas e focadas na atividade em
questão? Avaliando-se apenas os pontos levantados, partimos para o segundo questionamento: quais são os
efeitos esperados após a terceirização?
Em primeiro lugar, o fator sempre levado em consideração é a redução de custos, mas aqui vale um ponto
de atenção, pois nem sempre se têm os resultados esperados e terceirização passa a ser uma dor de cabeça
fazendo os custos dobrarem.
Este é um típico caso de outsourcing de impressão em que outros fatores deveriam ter mais peso, como
qualidade nos serviços prestados, disponibilidade, qualidade de impressão, administração dos consumíveis,
controle de impressões por centro de custo e algo que pode ser considerado fundamental: a escolha do
Fornecedor.
Não basta somente ter o custo baixo por folha impressa, tem que ter histórico, referências, ou seja, ser
realmente um fornecedor de peso no mercado e que tenha geograficamente o atendimento adequado do
pós-venda. Os outros dois pontos a serem considerados como efeitos são: substituição de custos fixos por
variáveis e agilidade.
Legenda:
O que podemos considerar como governança de
outsourcing?
Pode ser considerada como um conjunto de responsabilidades, objetivos, interfaces e controles requeridos
para a antecipação de mudanças e gestão da introdução da manutenção de desempenho, dos custos e
controles oferecidos por serviços terceirizados; o processo em que cliente e fornecedor de serviços devem
adotar para oferecer uma abordagem comum, efetiva e consistente, que identifica as informações
necessárias, relacionamentos, controles e trocas entre os interessados de ambas as partes.
RESUMIDAMENTE
É o simples ato de adotar um modelo padronizado para o gerenciamento dos serviços terceirizados
que sua empresa adotou ou adotará.
Recomendações para manter uma boa terceirização
Muitos são os casos em que ouvimos as empresas abordarem situações em que, ao terceirizar seus serviços,
houve uma imensa preocupação com entrega e qualidade dos serviços prestados. Por outro lado, também já
vimos exemplos clássicos de empresas que terceirizaram todo seu parque tecnológico e tivera ótimos
resultados. O que existe de diferente entre os dois casos citados?
Terceirizar não é algo tão simples de se fazer, principalmente quando se envolve a contratação de serviços
críticos, como processamento de informações confidenciais, o que envolve, em muitas situações, questões
relacionadascom segurança da informação e negativa da alta direção.
Desta forma, o que muito se vê sobre o assunto é que, para se manter uma boa governança de outsourcing, é
necessário estabelecer um processo e critérios para que se tenha ênfase e sucesso nessa trajetória.
Algumas recomendações básicas são:
Conheça muito bem o serviço que vai terceirizar: é muito comum as empresas terceirizarem serviços que
não conhecem bem, ou seja, que possuem poucas habilidades. Isso é o maior erro que uma empresa pode
cometer, pois como gerenciar e acompanhar algo que se não conhece?
Elabore e mantenha um processo para terceirizar serviços: conflitos de interesses podem ocorrer em uma
terceirização de serviços, nos quais um ou outro fornecedor pode ser favorecido por determinadas pessoas.
O papel da governança em tecnologia da informação é justamente mitigar este risco, fazendo com que
fornecedores sejam contratados por méritos na entrega de seus serviços e não por serem conhecidos por
alguma pessoa na empresa.
Elabore critérios de contratação: elaborar uma lista de critérios ajuda a identificar bons fornecedores.
Critérios, como quantidade empresas atendidas, relacionamento com funcionários internos, qualidade de
entrega de serviços, padrões seguidos, etc., podem ajudar a criar a lista de fornecedores validados.
Mantenha uma política de comparação: nunca feche um serviço com o primeiro fornecedor. É sempre
saudável e recomendado que haja, no mínimo, 3 fornecedores disputando o serviço a terceirizar, pois,
desta forma, é possível fazer uma validação e comparação entre eles.
Deixe claras as regras do jogo: um bom contrato de SLA é fundamental para a prestação de serviços e
medição deles. Combine muito bem o que está dentro e fora do escopo, o que se espera daquilo que está
no escopo, suporte, horário e quais penalidades e bonificação pela entrega dos serviços. Já dizia o antigo
ditado: "o que é combinado não sai caro". Mas precisa estar assinado para dar certo em TI.
Existem alguns modelos no mercado que podem ajudar as empresas a adotarem uma prática de
terceirização, como o eSCM-SP, que tem como principal objetivo:
Fornecer aos provedores de serviços a orientação para melhorar sua capacidade ao longo do ciclo da
terceirização.
Prover aos clientes meios objetivos de avaliar a capacidade do fornecedor de serviços.
Fornecer um padrão para que os fornecedores se diferenciem dos competidores.
Outro modelo também utilizado para a terceirização é o eSCM-CL, que orienta também o comprador de
serviços. Ele possui os seguintes objetivos:
Prover aos clientes um conjunto de melhores práticas para ajuda-los a melhorar suas capacidades em
relação às atividades de outsourcing.
Ajudar as organizações clientes a estabelecer, gerenciar e sustentar melhoria contínua nas suas relações de
sourcing.
Ajudar as organizações clientes a mitigar riscos nas suas relações de sourcing.
Ajudar as organizações clientes a criar competência na gestão de suas atividades de sourcing.
Assegurar a satisfação dos interessados relevantes ao longo do ciclo de vida do processo de sourcing.
Prover meios para organizações e clientes avaliarem de forma objetiva suas próprias capacidades em
serviços de sourcing de TI.
 
REFERÊNCIA
FERNANDES, Aguinaldo A.; ABREU, Vladimir F. de. Implantando a governança de TI da estratégia a gestão
de processos e serviços. 2. ed. São Paulo: Brasport, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática: uma
abordagem com base na ITIL: inclui ISO/IEC 20.000 e IT Flex. São Paulo: Novatec, 2008.
WEILL, Peter; ROSS, Jeanne W. Carvalho. Governança de TI, tecnologia da informação: como as empresas
com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São
Paulo: M. Books do Brasil, 2006.