More Related Content
Similar to Governança TI halan (20)
More from Halan Ridolphi (12)
Governança TI halan
- 1. POLI / UFRJ
MBA Engenharia de Software – Turma 2004
Disciplina: Segurança de Sistemas
Professor: Ronaldo Andrade Deccax
Aluno: Halan Ridolphi Alves
MBA-ENGSOFT Segurança de Sistemas 1
© 2005 Halan Ridolphi
- 2. Sumário
1 Conceitos .................................................................................................................3
2 Motivação ................................................................................................................4
3 Evolução Histórica .....................................................................................................7
4 Agregando Valor ao Negócio ..................................................................................... 10
5 Metodologias & Frameworks ..................................................................................... 12
5.1 ITIL ............................................................................................................... 13
5.2 CobiT ............................................................................................................. 15
5.3 BSC ............................................................................................................... 17
5.4 Six Sigma....................................................................................................... 19
5.5 MOF – MSF - MSM ........................................................................................... 20
5.6 BS7799 .......................................................................................................... 21
5.7 CMM/CMMI ..................................................................................................... 21
5.8 PMBOK .......................................................................................................... 23
6 Aplicações .............................................................................................................. 25
7 Benefícios Econômicos ............................................................................................. 26
7.1 Cliente e Usuário ............................................................................................. 26
7.2 Gestão da Informação ...................................................................................... 26
7.3 Equipe de TI ................................................................................................... 26
7.4 Investimentos em Informação ........................................................................... 27
7.5 Alinhamento ao Modelo de Negócio .................................................................... 27
8 Governança de TI no Brasil ....................................................................................... 28
8.1 Petrobrás ....................................................................................................... 28
8.2 CLARO ........................................................................................................... 28
8.3 HSBC ............................................................................................................. 28
8.4 ABN Amro Bank .............................................................................................. 28
8.5 Vale do Rio Doce ............................................................................................. 28
9 Bibliografia ............................................................................................................. 30
MBA-ENGSOFT Segurança de Sistemas 2
© 2005 Halan Ridolphi
- 3. 1 Conceitos
Na última década, a Tecnologia da Informação (TI) tem deixado de ser uma área de
suporte, tornando-se cada vez mais necessária na estratégia de negócios das corporações.
Aumenta-se então a exigência de resultados com relação a essa área.
Atualmente, é impossível imaginar uma empresa sem uma forte divisão de Sistemas de
Informação (TI), para manipular os dados operacionais e prover informações gerenciais aos
executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI,
incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta
direção da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios
da tecnologia. Entretanto, a ausência de investimentos em TI pode ser o fator chave para o
fracasso de um empreendimento em mercados cada vez mais competitivos.
Comumente, alguns gestores de TI não possuem habilidade para demonstrar os riscos
associados ao negócio sem os corretos investimentos em TI. Para melhorar o processo de
análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e
controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição de
melhorias nos processos empresariais. Esse novo paradigma é conhecido como Governança de
TI ou "IT Governance".
Governança de TI é uma estrutura de relacionamentos e processos para orientar e
controlar a organização no alcance de seus objetivos de negócio, agregando valores, ao mesmo
tempo em que equilibra riscos em relação ao retorno da TI e seus processos. Diz respeito a
métodos para tornar mais transparentes, organizadas e legítimas as práticas de direção e
monitoramento do desempenho das empresas.
De acordo com a definição da ITIL – IT Infrastructure Library, Governança de TI é uma
“estrutura de padrões e melhores práticas para gerenciar os serviços e infra-estrutura de TI”.
A expressão Governança de TI é definida como uma estrutura de relações e processos
que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio
através do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas
organizações, a informação e a tecnologia que suportam o negócio representa o seu mais
valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é
requerida uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de
forma rápida, constante e com custos cada vez mais baixos. Não existem dúvidas sobre o
benefício da tecnologia aplicada aos negócios. Entretanto, para serem bem sucedidas, as
organizações devem compreender e controlar os riscos associados no uso das novas tecnologias.
Corporações pelo mundo afora em busca de definições das metodologias, frameworks ou
arquiteturas visando a mais correta organização e otimização de suas divisões de TI, têm optado
por alguns dos mais variados padrões mundialmente reconhecidos atualmente, tais como:
• CobiT (Control Objectives for Information and Related Technology)
• ITIL (IT Infrastructure Library)
• MOF – MSF – MSM (Microsoft Frameworks)
• NBR ISO/IEC 17799 (BS 7799)
• NBR ISO/IEC 15504 (SPICE)
• NBR ISO/IEC 12207 (Processos de ciclo de vida de software)
• CMMI (Capability Maturity Model Integration)
• RUP (Rational Unified Process)
• PMBOK (A Guide to Project Management Body of Knowledge)
• BSC (Balanced Scorecard)
• Six Sigma
Resumidamente, Governança de TI compreende os processos e controles que agregam
valores aos negócios. Inúmeras organizações entendem o valor da informação e da tecnologia,
tratando-as como ativos importantes, como são os recursos humanos e financeiros.
MBA-ENGSOFT Segurança de Sistemas 3
© 2005 Halan Ridolphi
- 4. 2 Motivação
Gerentes de Tecnologia da Informação (TI) se esforçam continuamente por alcançar
melhores resultados, entretanto, na maioria das vezes não conseguem atender às necessidades
de informações estratégicas aos negócios da empresa e nem mesmo sabem os riscos aos quais
as organizações estão expostas, devido ao mau uso da tecnologia. Esse contexto derivou os
conceitos Governança de TI e a análise de risco, englobando aspectos técnicos e gerencias
imprescindíveis para sobrevivência das corporações e executivos.
Nas últimas décadas, empresas dos mais diversos setores têm investido bastante em TI.
Nos Estados Unidos e Europa, anualmente, as empresas investem, em média, cerca de 4% de
sua receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a média
de investimento foi de 4,9% do faturamento líquido, contra 1,3% registrado em 1988, segundo
pesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuarão crescendo.
Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou ROI (return on
investment) decorrentes de investimentos em TI e, com isto, avaliar de maneira consistente os
benefícios obtidos pela área de negócios.
O fator que gera maior preocupação aos gestores de TI são os processos de negócio que
nas organizações estão cada vez mais exigindo respostas rápidas às demandas de mercado, ou
seja, manter a capacidade competitiva por meio de processos de negócios ágeis, inteligentes,
seguros e com o menor custo possível. Neste cenário os controles acabam sendo "atropelados",
os processos não são seguidos e as responsabilidades acabam se perdendo, onde todo mundo é
tão interdisciplinar que ninguém é responsável por "nada" e como resultado, em nome da
urgência do negócio, temos produtos finais mal acabados, clientes insatisfeitos, impactos na
imagem organizacional, e principalmente perda de receita. Portanto, no cenário econômico
atual, caracterizado pela alta competitividade, pela pressão por resultados ajustados ao business
plan, as organizações carecem da aplicação de estratégias ajustadas de Governança de TI.
A Governança de TI endereça suas estratégias e padrões técnicos e gerenciais para as
seguintes audiências:
• Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em
uma organização;
• Usuários que precisam ter garantias que os serviços de TI, dos quais dependem
os seus produtos e serviços entregues para os clientes internos e externos, estão
sendo bem gerenciados;
• Auditores que podem se apoiar nas recomendações de frameworks para avaliar o
nível da gestão de TI e aconselhar o controle interno da organização.
A percepção das corporações acerca da área de Tecnologia da Informação é expressa
pelas seguintes visões:
• Provisão de serviços inadequada;
• Falta de comunicação e entendimento com os usuários;
• Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela
significativa nos gastos totais do negócio);
• Justificativas insuficientes ou pouco fundamentadas para os custos da provisão
dos serviços (dificuldade na comprovação dos seus benefícios para o negócio);
• Falta de sintonia entre mudanças na infra-estrutura e os objetivos de negócio;
• Entrega de projetos com atrasos e acima do orçamento.
Os desafios imediatos da Governança de TI compreendem:
• Incrementar a efetividade dos serviços de TI;
• Estender o ciclo de vida da tecnologia da informação;
• Remover gargalos;
• Racionalizar a complexidade;
• Assegurar a aderência à evolução dos negócios.
Os motivos para aplicação da Governança de TI contemplam:
MBA-ENGSOFT Segurança de Sistemas 4
© 2005 Halan Ridolphi
- 5. • Estruturar processos visando garantir que a TI suporte e maximize os objetivos e
estratégias da organização;
• Permitir controle (medição, auditoria) da execução e da qualidade dos serviços de
TI;
• Viabilizar o acompanhamento de contratos internos e externos;
• Definir condições para o exercício eficaz da gestão com base em conceitos
consolidados de qualidade;
• Definir objetivos para a TI:
Alinhar estratégias da corporação com as estratégias de TI;
Definir expectativas e medidas de desempenho;
Viabilizar recursos;
Definir prioridades;
• Direcionar as atividades de TI;
• Monitorar desempenho da TI;
• Gerenciar o risco da TI;
• Representar e legitimar a função TI.
O Banco Mundial realizou pesquisas entre investidores com carteira superior a US$ 1,65
bilhão para detectar o nível de importância da governança corporativa – conjunto de práticas de
operação, gestão e relacionamento, cuja finalidade é otimizar o desempenho das empresas
protegendo os investidores, acionistas, conselho de administração, diretoria, conselho fiscal,
funcionários e credores, facilitando o acesso ao capital. Segundo o estudo da instituição
financeira, os investidores pagariam de 18% a 25% a mais por ações de empresas com planos
avançados de governança, capazes de assegurar boas práticas de administração e
transparência. O que isso significa? Os investidores não querem mais correr riscos. Não é
diferente a postura dos gestores das corporações em relação aos diretores de tecnologia da
informação (TI), independente do grau de governança corporativa que a empresa adotou. O
desafio do CIO (chief information officer) é, portanto, manter o parque instalado em operação,
governar a área de TI para agregar valor e atender a evolução dos negócios, com um orçamento
restrito, buscando novas soluções e, ainda, proporcionar retorno sobre o investimento. Como?
Através da governança de TI (GTI), que consiste nas melhores práticas, internacionalmente
consagradas, que melhor estruturam processos operacionais e de gestão de TI, bem como de
relacionamento da área com toda a organização.
MBA-ENGSOFT Segurança de Sistemas 5
© 2005 Halan Ridolphi
- 6. Figura 1: Abrangência GTI
Enquanto a governança corporativa abrange toda a organização, a GTI suporta o gestor
de tecnologia com o objetivo de alinhar os processos de TI aos negócios da corporação.
Portanto, governança objetiva medir a gestão com base em metodologias que tornem os
negócios transparentes para o mercado. Além da credibilidade que a governança corporativa
oferece ao mercado, outro cenário que figura nas empresas atualmente é o fato delas deixarem
de ser organismos fechados em razão do advento da Internet, que trouxe o compartilhamento
das informações – maior patrimônio de uma corporação –, cuja área de TI é responsável pelo
seu fluxo, segurança e disponibilidade.
O cenário econômico, no qual as empresas deixaram de ter uma visão departamental,
desencadeou uma situação de extrema dependência de processos de operação e gestão
estruturados e automatizados para a eficácia das áreas de TI alinhada com os negócios. Seja
qual for o método adotado, a governança de TI se subordina às diretrizes da governança
corporativa, medindo e justificando a área de tecnologia como qualquer outra dentro da
organização. As bandeiras de governança em uma empresa são exercícios permanentes das
melhores práticas de operação, gestão e, principalmente, de estratégias, conhecimento,
disposição política, bom senso e visão de negócios.
MBA-ENGSOFT Segurança de Sistemas 6
© 2005 Halan Ridolphi
- 7. 3 Evolução Histórica
O conceito de Governança de TI surge no começo dos anos 90, por conta das
necessidades de controle, transparência e monitoração das organizações, entretanto, o
crescimento exuberante da economia mundial acabou mascarando a sua necessidade, e por
conseqüência atrasando por alguns anos a sua sedimentação nas empresas.
Com as crises do México, Ásia, Rússia, etc na segunda metade dos anos 90, os
investidores mudaram de comportamento passando a exigir dos CEOs, um maior acerto nas
previsões orçamentárias. Na ótica dos investidores, quando a empresa tinha um lucro menor do
que a previsão, o CEO foi incompetente na gestão da empresa, e quando ocorria o inverso, ele,
investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta nova
atitude, alavancou as necessidades de governança corporativa, a partir de 1998.
No entanto, a lucratividade e crescimento da economia ainda eram grandes o suficiente,
para impedir que o tema governança alcançasse o nível de essencial nas organizações. O status
de desejável já era por si só um enorme avanço, mas não forte o suficiente para implantar
mudanças estruturais nas empresas.
Novos fatos deveriam ocorrer para que as organizações entendessem que o tema
governança, era questão de sobrevivência na continuidade dos negócios. Diante da necessidade
de pelo menos um fato relevante, o mercado apresentou uma seqüência de fatos que tiraram da
gaveta dos executivos os projetos de governança. Estes fatos foram fortes o suficiente para que
o assunto fosse classificado do nível de normas e regulamentações e em um segundo momento
fosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a explosão da
bolha da internet e o bug do milênio. O bug do milênio demandou investimentos de TI, poucas
vezes registrados na história, baseado em um discurso "terrorista". A prática mostrou que a
maioria dos investimentos era desnecessária, uma vez que empresas com orçamentos muito
menores administraram os riscos sem interrupção dos serviços.
O segredo destas empresas, é que elas conheciam o seu parque de ativos de tecnologia,
e a gestão dos riscos foi feita em função de conhecimento e impactos. Ao ser aprofundado, a
questão dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos de
Y2K, foram destinados apenas para identificar os ativos de TI e os seus relacionamentos. Ou
seja, foram gastos milhões de dólares, apenas para que os CIOs soubessem, o que tinham em
casa e estavam gerenciando. O mercado concluiu que se o CIO sequer sabia o que tinha em
casa, o nível de serviços, considerado pobre pelo mercado, era conseqüência de falhas
gerenciais. A desconfiança nos investimentos realizados em TI provocou um maior rigor nas
auditorias em TI, que haviam perdido o fôlego nos anos anteriores, por falta de informações.
No mercado, muito se tem falado do CoBIT (control objectives for information and
related technology) e do ITIL (information technology infrastruture library) como base para a
Governança de TI. O CoBIT é orientado ao controle de processos em quatro domínios:
planejamento e organização; aquisição e implementação; entrega e suporte; e, por último,
monitoração e avaliação; especificando ferramentas (e.g., métricas) para se implementar
Governança de TI.
O ITIL, por sua vez, é mais focado em especificar melhores práticas usadas na operação
e gestão da infra-estrutura de TI para provisão e suporte de serviços. Pode-se dizer que o CoBIT
e o ITIL são complementares e podem ser usados de maneira combinada, objetivando uma
Governança de TI mais eficiente. Outras metodologias existem e podem, também, ser avaliadas
e incorporadas como ferramentas de Governança de TI.
O Cobit, por ter métricas claras, acabou sendo a metodologia adotada pelos auditores, e
a governança de TI ganhou impulso para "salvar" a carreira dos CIOs. Os CIOs que antes do
bug, estavam em vôo livre na direção da alta administração, tiveram o seu plano de vôo
abortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e métricas.
MBA-ENGSOFT Segurança de Sistemas 7
© 2005 Halan Ridolphi
- 8. A auditoria além de medir, via Cobit, buscava também melhorar o desempenho da área
de TI, e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL x
Cobit para medir e melhorar.
O segundo fato marcante foi a bolha de internet, que mostrou orçamentos inflados,
superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidores
reagiram aos prejuízos, com normas e regulamentações para reduzir os riscos dos
investimentos, empréstimos, etc, resultando na norma conhecida como: Basiléia II. Este novo
contorno de regulamentação visou melhorar a gestão dos riscos e o mecanismo encontrado para
tal, foi a governança corporativa. Mesmo com toda esta agitação, o mercado ainda assim
apresentou novas distorções de informações, como foram os casos Parmalat, MCI, etc. Estes
casos mostraram que apesar da força das normas e regulamentações, este ainda não era o
instrumental com força suficiente para combater a doença.
A lei Sabox, então foi aprovada, e passou a responsabilizar o CEO e CFO pelas
informações das empresas. A lei Sabox ou Sox, tem uma regulamentação tão poderosa que
permite ao estado prender os responsáveis em caso de informações incorretas. Neste momento,
a governança deixou a condição de desejável e foi elevada para o status de essencial aos
negócios da empresa.
Fonte: FGV-SP
Os controles, monitoração e transparência estão agora disponíveis como ferramentas de
gestão das organizações. Como os negócios demandaram recursos de TI, e as informações
estavam na sua maioria no formato digital, a área passou a ter um papel vital na governança.
MBA-ENGSOFT Segurança de Sistemas 8
© 2005 Halan Ridolphi
- 9. A auditoria, que trabalhava com as métricas do Cobit, comparava os resultados tanto no
âmbito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram a
adotar o ITIL e as suas melhores práticas para melhorar os processos de TI, aumentando a
qualidade e reduzindo os custos. Ao combinar ITIL, Cobit, Iso, Six Sigma, etc, o CIO trouxe para
si a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologias
consagradas no mercado. Esta oportunidade, não apenas estabilizou a rota de "queda" da
carreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir um
crescimento futuro na carreira deles.
Cenário atual da TI nos países
Avançados Recém Em Desenvolvimento Subdesenvolvimentos
Industrializados
Arquitetura de Comunicação entre SI Compreender Obsolescência de
informação e usuários contribuição da TI Hardware e Software
Dados como recurso Apoio da alta Recursos Humanos Proliferação de
administração tecnologias
Planejamento Planejamento Qualidade de dados Disponibilidade de
estratégico estratégico de entrada pessoal qualificado de
TI
Recursos humanos Vantagem competitiva Educar usuários Intervenção do
executivos sobre TI Governo na Indústria
Aprendizagem Alinhamento de Usabilidade de Estabelecer padrões
organizacional objetivos sistemas profissionais
Infra-estrutura Informatização de Treinamento de Melhorar
tecnológica tarefas rotineiras pessoal de TI produtividade da TI
Alinhamento da TI na Infra-estrutura de TI Manutenção de
organização Hardware e Software
Fonte: FEA-USP
A combinação destas metodologias (ITIL x Cobit x Six Sigma, ISO, etc.) é forte o
suficiente para atender a gestão de riscos, demandada pelo mercado, e também para criar um
novo ciclo de crescimento de TI. As métricas claras e objetivas permitirão medir a real
contribuição da área em relação a sua contribuição nos lucros, redução dos custos, melhoria dos
serviços e principalmente transmitir aos investidores de que agora temos no "pé da empresa o
sapato de número correto".
O ITIL, trata a gestão de riscos de diversas formas, por exemplo como quando endereça
questões que vão além do SLA médio, como a redução da sua variabilidade, o resultado final é
um aumento na confiança nos serviços de TI. O aumento de confiança traduz-se em redução de
riscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio de
execução, seja realizada, tornou-se maior.
A estrada à frente aponta a expectativa de que o Sabox se torne uma regulamentação
universal, de uma forma ou de outra, e os principais mercados mundiais serão pautados nos
princípios de transparência, controle, monitoração e demonstração de resultados.
MBA-ENGSOFT Segurança de Sistemas 9
© 2005 Halan Ridolphi
- 10. 4 Agregando Valor ao Negócio
Os processos de negócio da “Era da Informação” geram volumes gigantescos de
informações que podem comprometer a produtividade e o relacionamento com os clientes,
fornecedores e funcionários.
O objetivo de toda empresa é a competitividade, produto de uma boa tomada de
decisão. O desafio do novo milênio, para as empresas que pretendem se manter na liderança,
está intimamente relacionado ao gerenciamento das informações. Esse gerenciamento só é
alcançado com estratégias bem-definidas de GTI. O foco das empresas de sucesso é um melhor
gerenciamento de todas as informações.
As tecnologias de GTI são projetadas para auxiliar as corporações no gerenciamento
eficientemente do conteúdo empresarial, serviços e processos TI através da rede de
relacionamentos entre parceiros, funcionários, fornecedores, gerentes, auditores,
proporcionando um rápido retorno em infra-estrutura de informações, com suporte para:
• Maior produtividade e eficiência operacional;
• Proteção de seu patrimônio de informações críticas;
• Melhor serviço ao cliente;
• Novas oportunidades de negócio;
• Compartilhamento do conhecimento e cultura empresarial.
A Governança de TI (GTI) e seus processos objetivam agregar valor ao negócio
através do balanceamento do risco e returno do investimento em TI e, independem das
plataformas de TI adotadas nas corporações, focando suas estratégias e padrões técnicos e
gerenciais nos seguintes aspectos:
• Definir condições para o eficaz exercício da gestão com base em conceitos de
qualidade consolidados;
• Controlar, medir, auditar a execução e qualidade dos serviços de TI;
• Estruturas e processos visando que a TI suporte os objetivos e estratégias da
organização;
• Acompanhamento de contratos e orçamentos de projetos internos e externos;
• Política de Segurança;
• Organização da Segurança;
• Classificação e Controle de Ativos;
• Segurança de Pessoal;
• Segurança Física e Ambiental;
• Gerenciamento de Comunicações e Operações;
• Controle de Acesso;
• Desenvolvimento e Manutenção de Software;
• Planejamento de Continuidade de Negócios;
• Plano de Compliance (aderência).
A adoção de estratégias de GTI pelas corporações está relacionada à meta de gerar valor
da TI para os modelos de negócios corporativos e provar este valor de maneira adequada,
através de processos corretos. Neste sentido, faz-se necessário o detalhamento dos processos
para gerenciar, racionalizar a infra-estrutura de TI eficientemente e eficazmente de modo a
garantir os níveis de serviço acordados com clientes internos e externos. Como conseqüência, as
empresas esperam otimizar seus processos e custos, aumentar a eficiência de seus funcionários
e do seu relacionamento com fornecedores e parceiros, melhorar e personalizar os serviços
prestados aos seus clientes, enfim crescer, aumentar a sua presença no mercado e a sua
lucratividade a curto e médio prazos.
A Governança de TI engloba mecanismos implementados em diferentes níveis de uma
corporação. Permitem gerenciar, controlar e utilizar a infra-estrutura de TI de modo a agregar
valor para a empresa e permitir que decisões sobre novos investimentos sejam tomadas de
maneira consistente em alinhamento com a estratégia corporativa. Pressupõe a adoção de
métricas que permitem avaliar o impacto da TI no desempenho de negócios. As empresas
MBA-ENGSOFT Segurança de Sistemas 10
© 2005 Halan Ridolphi
- 11. podem ter visões diferentes sobre a importância de TI: para algumas, o papel de TI é a redução
de custos; para outras, o seu papel é estratégico para o negócio. Independente disso, a TI vai
agregar maior valor ao negócio se houver uma política de governança associada.
Apesar de um estudo do Gartner apontar um crescimento no budget de TI nas Américas
(10% da receita líquida das empresas), a pressão por resultados ajustados ao business plan das
organizações chegou à mesa dos executivos de TI, cada vez mais preocupados em adotar as
melhores práticas de gestão apoiadas na GTI. A angústia em responder pelo ROI e usar
metodologias transparentes explica-se pelo fato das empresas quebrarem os muros
departamentais e buscarem a excelência nos processos de operação e gestão, onde novamente
o CIO precisa controlar os investimentos e otimizar custos.
De acordo com o Relatório Global da Situação da Governança de TI (IT Governance
Global Status Report), publicado recentemente pelo IT Governance Institute (ITGI), os 10
principais problemas relacionados a TI enfrentados pelos CEOs e diretores de TI internacionais
são:
• Visão inadequada sobre o desempenho de TI;
• Falhas operacionais de TI;
• Problemas de preenchimento de vagas em TI;
• Número de problemas e incidentes em TI;
• Alto custo de TI com baixo retorno sobre o investimento;
• Falta de conhecimento de sistemas críticos;
• Capacidade de gerenciamento de dados;
• Desconexão entre a estratégia de TI e a estratégia comercial;
• Dependências com operação automática de entidades além do controle direto;
• Número de erros apresentados pelos sistemas críticos.
Os diretores de TI vêm considerando a GTI como um dos seus principais segmentos de
investimento para alcançar os objetivos de gerenciamento abrangente das informações e de
provisão de serviços eficazes, efetivos de TI alinhados a estratégia de negócios da corporação.
MBA-ENGSOFT Segurança de Sistemas 11
© 2005 Halan Ridolphi
- 12. 5 Metodologias & Frameworks
Nas próximas seções, descrevemos sucintamente as metodologias, frameworks e
padrões em voga atualmente acerca da Governança de TI (GTI) e respectivas tecnologias.
Metodologia Foco
CobiT Gestão de processos, controle e auditoria de
tecnologia da informação. Forte em controles e
métricas de TI, mas não detalha fluxos de processos
e é limitado em segurança.
ITIL Gerenciamento de recursos e serviços com maior
foco em infra-estrutura, mas limitado em segurança
e desenvolvimento de software.
Six Sigma Melhoria de processos.
MOF – MSF – MSM Gerenciamento de processos operacionais de TI para
soluções de serviço de missão crítica baseado no
ITIL.
ISO 9000 Garantia de qualidade.
BS7799 / ISO 17799 Desenvolvimento de software. Forte em controles de
segurança, mas não detalha fluxos de processos.
ISO / IEC 15504 Framework de avaliação de processos de software.
ISO / IEC 12207 Desenvolvimento de software.
CMM / CMMI Desenvolvimento de software.
PMBOK Gestão de projetos.
BSC Medição de desempenho, utiliza ferramentas de BI
para implementação e monitoramento de
indicadores de gestão do negócio.
Tabela: Abrangência Metodologias de GTI
O diagrama a seguir, ilustra um modelo de melhoria de processos de TI com suporte dos
frameworks e padrões de GTI:
MBA-ENGSOFT Segurança de Sistemas 12
© 2005 Halan Ridolphi
- 13. Figura: Modelo de Melhoria de Processos por GTI
5.1 ITIL
O ITIL™ (Information Technology Infrastructure Library) é um modelo de referência para
gerenciamento de processos de TI. A metodologia foi criada pela secretaria de comércio (Office
of Government Commerce, OGC) do governo Inglês, para desenvolver as melhores práticas para
a gestão da área de TI nas empresas privadas e públicas. Atualmente se tornou a norma BS-
15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo é descrever os processos
necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a
garantir os níveis de serviço acordados com os clientes internos e externos.
Entre os processos que fazem parte do modelo de referência, podemos citar:
planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração,
operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes. As
empresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa
e provar este valor de maneira adequada, através de processos corretos.
O ITIL™ é composto por módulos. Os mais importantes são o "IT Service Support" e o
"IT Service Delivery". A seguir, descrevemos as características do ITIL™:
• Modelo de referência para processos de TI não proprietário;
• Adequado para todas as áreas de atividade;
• Independente de tecnologia e fornecedor;
• Um padrão de fato;
• Baseado nas melhores práticas;
• Um modelo de referência para a implementação de processos de TI;
• Padronização de terminologias;
• Interdependência de processos;
MBA-ENGSOFT Segurança de Sistemas 13
© 2005 Halan Ridolphi
- 14. • Diretivas básicas para implementação;
• Diretivas básicas para funções e responsabilidades dentro de cada processo;
• Checklist testado e aprovado;
• O que fazer e o que não fazer.
O ITIL™ contempla disciplinas táticas (planejamento) e operacionais:
• Disciplinas Táticas
Service Level Management
IT Service Continuity Management
Financial Management
Capacity Management
Availability Management
Security Management
Customer Relationship Management
Supplier Management
• Disciplinas Operacionais
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
Figura: Arquitetura ITIL™
Resultados que podem ser alcançadas com implantação do ITIL™:
• Fortalecimento dos Controles e da Gestão dos ambientes de TI;
• Orientação a processos com significativa redução nos tempos de execução e
distribuição de serviços;
• Diminuição gradativa da indisponibilidade dos recursos e sistemas de tecnologia a
informação, causados por falhas no planejamento das mudanças e implantações
em TI;
MBA-ENGSOFT Segurança de Sistemas 14
© 2005 Halan Ridolphi
- 15. • Elevação dos níveis de satisfação dos usuários internos e clientes com relação à
disponibilidade e qualidade dos serviços de TI;
• Redução dos custos operacionais de TI;
• Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores
e clientes;
• Aderência às instruções normativas das entidades reguladoras e certificadoras.
5.2 CobiT
O CobiT (Control Objectives for Information and related Technology) é uma ferramenta
eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT é
um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control
Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um
framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de
implementação e um guia com técnicas de gerenciamento.
As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que
ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O
CobiT independe das plataformas de TI adotadas nas empresas. O CobiT é orientado ao negócio.
Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. O
foco central é o gerenciamento da informação com os recursos de TI para garantir o negócio da
organização.
O CobiT contempla quatro domínios incluindo processos técnicos e gerenciais para
garantir uma completa gestão da infra-estrutura de TI:
• Planejamento e Organização
Define o plano estratégico de TI;
Define a arquitetura da informação;
Determina a direção tecnológica;
Define a organização de TI e seus relacionamentos;
Gerencia os investimentos em TI;
Gerencia a comunicação das direções de TI;
Gerencia os recursos humanos;
Assegura o alinhamento de TI com os requerimentos externos;
Avalia os riscos;
Gerencia os projetos;
Gerencia a qualidade;
• Aquisição e implementação
Identifica as soluções de automação;
Adquire e mantém os softwares;
Adquire e mantém a infra-estrutura tecnológica;
Desenvolve e mantém os procedimentos;
Instala e certifica softwares;
Gerencia as mudanças;
• Entrega e suporte
Define e mantém os acordos de níveis de serviços (SLA);
Gerencia os serviços de terceiros;
Gerencia o desempenho e capacidade do ambiente;
Assegura a continuidade dos serviços;
Assegura a segurança dos serviços;
Identifica e aloca custos;
Treina os usuários;
Assiste e aconselha os usuários;
Gerencia a configuração;
Gerencia os problemas e incidentes;
Gerencia os dados;
MBA-ENGSOFT Segurança de Sistemas 15
© 2005 Halan Ridolphi
- 16. Gerencia a infra-estrutura;
Gerencia as operações;
• Monitoração
Monitora os processos;
Analisa a adequação dos controles internos;
Prove auditorias independentes;
Prove segurança independente.
Figura: Domínios CobiT
As recomendações de gerenciamento do CobiT com orientação no modelo de maturidade
em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os
objetivos da organização. As diretrizes de gerenciamento do CobiT focam na gerência por
desempenho usando os princípios do balanced scorecard. Seus indicadores chaves identificam e
medem os resultados dos processos, avaliando seu desempenho e alinhamento com o modelo
de negócio da organização.
MBA-ENGSOFT Segurança de Sistemas 16
© 2005 Halan Ridolphi
- 17. 5.3 BSC
O conceito do Balanced Scorecard (BSC) ajuda-o a traduzir a estratégia em ação. A
criação do BSC tem início na visão e estratégias da organização, a partir das quais são definidos
os fatores críticos de sucesso. Os indicadores de desempenho permitem a definição de metas e
a medição dos resultados atingidos em áreas críticas da execução das estratégias. Assim, o
Balanced Scorecard é um sistema de gestão de desempenho, derivado da visão e estratégia,
refletindo os aspectos mais importantes do negócio.
Ao relacionar os objetivos, as iniciativas e os indicadores com a estratégia da empresa, o
BSC garante o alinhamento das ações das diferentes áreas organizacionais em torno do
entendimento comum dos objetivos estratégicos e das metas a atingir, permitindo desta forma
avaliar e atualizar a própria estratégia.
Os sistemas tradicionais de gestão e controlo, ao focarem-se exclusivamente em dados
financeiros e contabilísticos, tornaram-se rapidamente obsoletos, não respondendo às novas
necessidades de monitorização do negócio.
O BSC, integrando indicadores financeiros e não financeiros, garante também uma
perspectiva abrangente do desempenho das áreas críticas do negócio. Neste contexto, os
criadores do BSC, Kaplan & Norton, definiram quatro dimensões através das quais a atividade
de uma organização deve ser analisada:
• Dimensão Financeira
Como estamos perante os nossos acionistas?
• Dimensão Cliente
Como estamos perante os clientes ou mercado?
• Dimensão Processos
Como está o nosso desempenho nos processos e recursos críticos?
• Dimensão Aprendizagem e Inovação
Como deveremos sustentar a nossa capacidade de mudança e melhoria?
5.3.1 Processo
Como criar um Balanced Balanced Scorecard: É necessário em primeiro lugar identificar a
visão da organização. Qual o caminho pretendido para a organização? Ao identificar as
estratégias, são clarificadas as formas para atingir a visão. Defina, em seguida, os Fatores
Críticos de Sucesso e as dimensões para o Balanced Scorecard (BSC), o que significa que deve
perguntar o que deve fazer bem em cada uma das dimensões. Seguidamente efetue a pergunta
“como podemos avaliar se tudo está a ser executado conforme o pretendido?”. Agora é
necessário avaliar o seu Scorecard. Considere como pode medir se estamos a analisar as
componentes adequadas. Com base na análise dos indicadores poderá identificar e criar planos
de ação e iniciativas. Torna-se então necessário planear os mecanismos de reporting e a
operacionalização do Scorecard. Como podemos gerir o Scorecard? Que colaboradores deverão
receber relatórios e como deverão ser estes apresentados?
MBA-ENGSOFT Segurança de Sistemas 17
© 2005 Halan Ridolphi
- 18. Figura 1: Processo BSC
5.3.2 Abrangência
A imagem apresenta um exemplo muito genérico de um Scorecard. Para onde vamos? A
visão: “Queremos dominar o Mercado.” Como? Através de um enfoque em eficiência de custos e
elevada qualidade, investindo em novas tecnologias. Em quais dimensões devemos procurar a
excelência? Seguidamente, são identificados os Fatores Críticos de Sucesso para cada dimensão
do Scorecard, que por sua vez são monitorizados através dos indicadores de desempenho. A
utilização de indicadores permite a definição de metas concretas alinhadas com a estratégia da
organização. Por forma a atingir as metas são definidas responsabilidades e identificados planos
de ação. Se construir um Scorecard é fácil, implementar um Scorecard administrável e utilizado
pela organização é um desafio.
MBA-ENGSOFT Segurança de Sistemas 18
© 2005 Halan Ridolphi
- 19. Figura 2: Abrangência BSC
5.3.3 Benefícios
Os benefícios decorrentes da implementação do BSC na corporação:
• Traduz a estratégia em objectivos e acções concretas;
• Promove o alinhamento dos indicadores chave com os objectivos estratégicos a
todos os níveis organizacionais;
• Proporciona à gestão uma visão sistematizada do desempenho operacional;
• Constitui um processo de avaliação e actualização da estratégia;
• Facilita a comunicação dos objectivos estratégicos, focalizando os colaboradores
na sua consecução;
• Permite desenvolver uma cultura de aprendizagem e melhoria contínua;
• Suporta a atribuição de incentivos em função do desempenho individual e da
contribuição para os resultados do negócio.
O Balanced Scorecard ajuda reduz a quantidade de informação utilizada a um conjunto
mínimo de indicadores vitais e críticos.
5.4 Six Sigma
A metodologia Six Sigma prove técnicas e ferramentas para melhorar a capacidade e
reduzir defeitos em qualquer processo, produto ou serviço. A técnica foi desenvolvida pela
Motorola, em sua divisão de manufatura, onde milhões de peças são produzidos pelo mesmo
processo repetidamente. Eventualmente, Six Sigma abrange e é aplicado a outros processos que
não sejam de manufaturada. Hoje em dia pode-se aplicar Six Sigma para muitos outros campos
do conhecimento e de negócio, tais como, suporte ao consumidor, setor de serviços, gerência de
projetos, gerenciamento da cadeia de suprimentos, medicina, procedimentos de segurança e call
centers. Metodologia Six Sigma aperfeiçoa qualquer processo de negócio existente pela revisão
e afinação constante do processo. Para alcançar isto, Six Sigma utiliza uma metodologia
MBA-ENGSOFT Segurança de Sistemas 19
© 2005 Halan Ridolphi
- 20. conhecida como DMAIC (Define opportunities, Measure performance, Analyze opportunity,
Improve performance, Control performance). Six Sigma incorpora os princípios básicos e
técnicas usadas em Negócios, Estatística e Engenharia. Esses três formam os elementos centrais
da metodologia Six Sigma. Six Sigma melhora o desempenho de processo, diminui a variação e
mantém qualidade consistente da saída do processo. Estas ligações para redução de defeitos e
aumento nos lucros, qualidade do produto e satisfação do cliente. Ela permite somente 3.4
defeitos por milhão de oportunidades para cada produto ou transação de serviço. Six Sigma
confia pesadamente nas técnicas estatísticas para reduzir defeitos e medir a qualidade.
Os três elementos chave de Six Sigma são:
• Satisfação do Consumidor;
• Definição de Processos e Definição de Métricas e Medidas de Processos;
• Construção da Equipe e Envolvimento dos Empregados.
Todo membro da equipe deve ter um papel bem definido e objetivos mensuráveis.
5.5 MOF – MSF - MSM
Frameworks criados pela Microsoft para gerenciamento interno e de parceiros,
posteriormente estendido a clientes. Detalham as melhores práticas que ensinam como acelerar
o planejamento, a implantação e a manutenção dos processos de TI operacionais. MOF –
Microsoft Operations Framework – compreende um manual para planejamento, implementação,
e manutenção de processos de TI para soluções de serviço de missão critica, baseado no
framework ITIL™. MSF – Microsoft Solutions Framework – compreende um manual para
gerência de projetos de tecnologia. MSM – Microsoft Solutions for Management – compõem um
manual de diretrizes técnicas para apoiar as organizações a alcançarem excelência operacional
por meio de uma melhor qualidade de serviço, confiabilidade, disponibilidade e segurança, além
de reduzir o custo total de propriedade. Os frameworks consideram a adoção de soluções e
serviços desenvolvidos com aplicação de produtos e tecnologias da Microsoft Corporation.
Benefícios possíveis de ser alcançados pela implantação dos frameworks Microsoft:
• Implantação rápida de software e atualizações críticas em toda a empresa a partir
de um console centralizado;
• Altos níveis de disponibilidade e desempenho em toda a empresa;
• Ajuda a aperfeiçoar a confiabilidade, disponibilidade e desempenho de aplicativos
críticos para o negócio;
• Implementa as melhores práticas de gerenciamento, independentemente das
plataformas ou tecnologias usadas no seu ambiente;
• Aperfeiçoa a capacidade do departamento de TI de oferecer suporte aos requisitos
de disponibilidade e desempenho para aplicativos críticos para o negócio;
• Desenvolver manuais de operações personalizados, específicos para as
necessidades da organização;
• Avalia as necessidades de gerenciamento operacional da organização em um
método modular para identificar e resolver questões de gerenciamento por
prioridade ou como um todo.
MBA-ENGSOFT Segurança de Sistemas 20
© 2005 Halan Ridolphi
- 21. Figura: Microsoft Frameworks
5.6 BS7799
Norma NBR ISO/IEC 17799 define um conjunto de boas práticas de gestão da segurança.
Serve de base para regulamentação de políticas de segurança. Seus controles permitem a
auditoria de segurança de informação.
A norma BS7799 abrange os seguintes aspectos técnicos e gerenciais:
• Política de Segurança;
• Organização da Segurança;
• Classificação e Controle de Ativos;
• Segurança de Pessoal;
• Segurança Física e Ambiental;
• Gerenciamento de Comunicações e Operações;
• Controle de Acesso;
• Desenvolvimento e Manutenção de Software;
• Planejamento de Continuidade de Negócios;
• Planejamento de Aderência (compliance).
5.7 CMM/CMMI
Metodologia objetiva a avaliação e a melhoria da capacitação de uma organização no que
diz respeito ao processo de desenvolvimento de software. Publicado em 1992, foi devolvido pelo
Software Engineering Institute (SEI) para avaliação das empresas que produzem software. Cada
nível de maturidade (com exceção do nível 1) é composto de várias áreas chave de processo
(KPA).
Descrição de características dos níveis de maturidade classificados pelo modelo CMM:
MBA-ENGSOFT Segurança de Sistemas 21
© 2005 Halan Ridolphi
- 22. Nível CMM Descrição
Inicial O processo é caracterizado como ad-hoc e algumas vezes caótico. Poucos
processos são definidos e o êxito depende do esforço individual.
Repetível É estabelecido um processo gerencial basicamente para monitorar custos,
cronograma e funcionalidade. A disciplina necessária ao processo está
estabelecida de forma a poder ser repetida com sucesso em projetos com
aplicações semelhantes.
Definido O processo de software tanto para as atividades de gerência quanto de
engenharia está documentado, normalizado e integrado em um processo
padrão para a organização. Todos os projetos da organização usam o
processo.
Gerenciado São coletadas medidas detalhadas da qualidade do processo e do produto O
processo e o produto são quantitativamente entendidos e controlados.
Otimizado O processo sofre contínuas melhorias através do feedback quantitativo do
processo e da introdução de idéias e tecnologias inovadoras.
CMMI (CMM Integration) foi criado para resolver a existência de múltiplas versões do
CMM. Seu objetivo é combinar o SW-CMM (Capability Maturity Model for Software), SECM
(System Engineering Capability Model) e o IPD-CMM (Integrated Product Development
Capability Maturity Model). Abrange as seguintes áreas de conhecimento:
• Engenharia de Sistemas;
• Engenharia de Software;
• Desenvolvimento integrado de produtos e processos;
• Contratação de fornecedores.
MBA-ENGSOFT Segurança de Sistemas 22
© 2005 Halan Ridolphi
- 23. Figura: Níveis do CMM
5.8 PMBOK
PMBOK denota o Universo de Conhecimento em Gerência de Projetos, ou seja, o
somatório da “aplicação de conhecimentos, habilidades, e técnicas para projetar atividades que
visem atingir ou exceder as necessidades e expectativas das partes envolvidas, com relação ao
projeto”. As diretrizes neste documento são mantidas pelo PMI (Project Management Institute)
como uma estrutura consistente para administração de programas de desenvolvimento
profissional incluindo:
• Certificação de Profissionais de Gerência de Projetos (PMP – Project Management
Professional);
• Credenciamento dos programas educacionais que concedem grau em Gerência de
Projetos.
Abrange nove áreas de conhecimento, a saber:
• Gerência da Integração do Projeto;
• Gerência do Escopo do Projeto;
• Gerência do Tempo do Projeto;
• Gerência do Custo do Projeto;
• Gerência da Qualidade do Projeto;
• Gerência dos Recursos Humanos do Projeto;
• Gerência das Comunicações do Projeto;
• Gerência dos Riscos do Projeto;
• Gerência das Aquisições do Projeto.
MBA-ENGSOFT Segurança de Sistemas 23
© 2005 Halan Ridolphi
- 24. Figura: PMBOK - Áreas de Conhecimento da Gerência de Projetos
MBA-ENGSOFT Segurança de Sistemas 24
© 2005 Halan Ridolphi
- 25. 6 Aplicações
Alguns domínios de aplicação para Governança de TI:
• TCO (Total Cost of Ownership):
A meta em TI é reduzir o custo total de propriedade dos ativos;
• Terceirização:
A terceirização é uma tendência da GTI;
Terceirizar quando não pertence ao core business da organização.
• Consolidação de parques tecnológicos e equipamentos:
Plataformas de hardware;
Plataformas de telecomunicação;
Plataformas de banco de dados;
• Plano Diretor de TI:
Melhor aproveitamento da evolução tecnológica;
Melhor avaliação dos investimentos;
Melhor gerenciamento de infra-estrutura;
Utilizar os conceitos e métricas de governança corporativa para manter a área
de TI em sintonia com os avanços da empresa e os avanços tecnológicos.
• Padronização de tecnologia:
Processos de software;
Processos de gerência de configuração;
Processos de resolução de problemas;
Processos de garantia de qualidade;
Ferramentas de desenvolvimento de software;
Ferramentas de groupware, workflow e integração.
Algumas situações de aplicação para Governança de TI:
• Não existe metodologia de desenvolvimento:
Neste caso pode-se utilizar o CMM ou ISO / IEC 12207 ou SPICE para apoio na
implantação de uma metodologia;
• Não existe nenhuma metodologia e controle para identificação e gerenciamento de
riscos em meus projetos:
Neste caso, o PMI pode ser muito útil;
• Não estão formalizados os processos de gerenciamento de rotinas de produção:
O COBIT poderá auxiliar no desenvolvimento de controles e formalização de
tais rotinas;
• Não há processo para gerenciamento da capacidade dos recursos:
O COBIT e o ITIL poderão auxiliar no desenvolvimento do processo, dos
controles e da formalização de tais atividades;
• O processo de gerenciamento de mudanças não produz os resultados esperados,
sendo necessário redesenhar:
O COBIT e o ITIL poderão auxiliar no redesenho do processo.
MBA-ENGSOFT Segurança de Sistemas 25
© 2005 Halan Ridolphi
- 26. 7 Benefícios Econômicos
A seguir, apresentamos alguns benefícios tangíveis pelas corporações quanto à adoção e
implantação de tecnologias, ferramentas e métodos correlatos a Governança de TI (GTI).
7.1 Cliente e Usuário
Razões para investimentos em GTI do ponto de vista do cliente e do usuário:
• Redução do tempo de processamento e manuseio de papel;
• Aumento de satisfação do usuário;
• Incremento à produtividade;
• Melhoria da satisfação com o trabalho;
• Acesso imediato e multiusuário a qualquer informação;
• Melhoria da qualidade do trabalho;
• Alta velocidade e precisão na localização de documentos;
• Melhor atendimento ao cliente por proporcionar respostas mais precisas e
instantâneas.
7.2 Gestão da Informação
Razões para investimentos em GTI do ponto de vista da gestão da informação:
• Melhor controle dos documentos;
• Redução do espaço físico de armazenagem;
• Facilidade de implementar temporalidade documental;
• Integração com outros sistemas e tecnologias;
• Facilidade adicional para implantar empresa virtual;
• Possibilidade da empresa virtual sem limites físicos;
• Minimização de perda e extravio de documentos.
7.3 Equipe de TI
Razões para adoção de GTI do ponto de vista da equipe de TI:
• Disponibilidade instantânea de documentos sem limites físicos;
• Gerenciamento e otimização do Workflow;
• Maior agilidade nas transações entre empresas;
• Alta velocidade e precisão na localização de documentos;
• Estabelecer e manter boa imagem e reputação com a administração;
• Assegurar que os projetos de TI previstos adicionam valor à empresa
• Vender produtos e serviços de TI apropriados para terceiros;
• Controlar custos de TI;
• Maior velocidade na implementação de mudanças nos processos.
MBA-ENGSOFT Segurança de Sistemas 26
© 2005 Halan Ridolphi
- 27. 7.4 Investimentos em Informação
Razões para adoção de GTI do ponto de vista da redução e proteção dos investimentos
em informação:
• Redução de custos com novos escritórios/depósitos/equipamentos;
• Proteção do patrimônio;
• Eliminação de retornos;
• Proteção contra processos;
• Eliminação de fraudes, principalmente em agências governamentais;
• Explicita a relação entre aumento nos custos de TI e aumento no valor da
informação;
• Proteção contra catástrofes que poderiam danificar seu acervo.
7.5 Alinhamento ao Modelo de Negócio
Razões para adoção de GTI do ponto de vista de alinhamento a estratégia de negócios da
corporação:
• Disponibilidade das informações necessárias para suportar as necessidades de
negócios;
• Riscos de falta de integridade e confidencialidade das informações;
• Eficiência nos custos dos processos e operações;
• Ampliação da produtividade e efetividade dos serviços de TI;
• Confirmação de confiabilidade, efetividade e conformidade das informações;
• Controle de contratos e orçamentos de projetos internos e externos;
• Alinha a estratégia de TI com as do negócio;
• Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos
modelos atuais;
• Mantém os riscos do negócio sob controle;
• Explicita a importância da TI na continuidade dos negócios;
• Mede e melhora continuamente a performance de TI.
MBA-ENGSOFT Segurança de Sistemas 27
© 2005 Halan Ridolphi
- 28. 8 Governança de TI no Brasil
A seguir, comentamos casos reais de aplicação da Governança de TI em corporações
brasileiras, incluindo relatos de experiências, metodologias, implementação, resultados
alcançados, estatísticas de satisfação e atingimento de metas.
8.1 Petrobrás
8.2 CLARO
Atualmente está em processo de diagnóstico dos próprios riscos, controles e processos
internos. As equipes de TI, Gestão de Projetos, Produção, VAS, Ativos Virtuais e Change Control
conjuntamente estão realizando estudos de viabilidade para implementação do framework
CobiT. O plano de diagnóstico do cenário atual da política e infra-estrutura de TI compreende a
exploração das seguintes etapas:
• Relacionamento de TI com a Alta Administração;
• Papéis e Responsabilidades em TI;
• Mapeamento de todos os processos existentes;
• Análise critica destes processos;
• Identificação dos riscos inerentes em cada processo;
• Mapeamento dos controles existentes que mitigam os riscos inerentes
identificados.
8.3 HSBC
8.4 ABN Amro Bank
Iniciou ITIL em 2001 – datacenter e implantação de equipamentos do banco, incluindo
agências. Deve estar concluído em 2005.
Resultados e estatísticas de satisfação apurados:
• Centralização do help-desk;
• Aumento de chamados de 20.000 para 60.000, evidenciando ampliação do
controle e não dos chamados;
• Tempo de atendimento reduzido em 20%;
• Volume de reclamações reduzido em 80%;
• 94% dos atendimentos completados em menos de 20 segundos.
8.5 Vale do Rio Doce
O projeto de governança na Vale começou em 1998 logo após a privatização da
companhia. Diante de uma arquitetura heterogênea, sem políticas definidas e nenhum tipo de
padronização, foi decidido reorganizar tudo. A estratégia de TI foi segmentada, então, em três
pilares: produção (que compreende o controle dos custos, ativos e os níveis de serviço
prestados pelos fornecedores); projetos (que define a arquitetura de TI e cuida de cada
modificação que precisa ser feita); e inovação, responsável por definir os passos da empresa
rumo ao futuro. "Tínhamos gente focada em manutenção, suporte técnico e sistemas, mas não
pessoas que entendessem de mineração, ferrovias e logística, que é o core business da
empresa", comenta Adriana, diretora de TI da corporação. A saída foi trocar praticamente
metade do time. O passo seguinte foi realizar o levantamento de todos os recursos tecnológicos
da empresa, hoje catalogados e sob controle.
MBA-ENGSOFT Segurança de Sistemas 28
© 2005 Halan Ridolphi
- 29. Outro ponto fundamental do projeto de TI da Vale foi o da redução de custos, que, em
alguns processos, chegou a cair pela metade. Hoje, o orçamento total de tecnologia da empresa
é de 70 milhões de dólares, sendo aproximadamente 40 milhões destinados ao custeio da área e
30 milhões para investimentos. Os custos, no entanto, já foram muito maiores. "A governança
trouxe ganhos significativos, sobretudo nos custos por usuário, que caíram muito. Também
economizamos um bocado eliminando a redundância de alguns projetos e aumentando nosso
poder de negociação com os fornecedores, o que barateou a terceirização", afirma Adriana.
Diferentemente do que ocorre nos projetos de outsourcing, a Vale manteve a
propriedade dos ativos de informática e terceirizou somente a gestão. Além disso, uma equipe
de TI com 20 profissionais foi mantida para cuidar de perto da administração dos fornecedores,
um dos pontos cruciais do projeto de governança. Todos foram treinados de acordo com as
especificações do Project Management Institute (PMI), o que garantiu mais transparência na
hora de gerir os projetos.
O projeto deu certo e despertou a atenção do MIT (Massachusetts Institute of
Technology), que possui um convênio de inovação tecnológica com a Vale e, durante uma visita
ao Brasil, convidou Adriana para ministrar aulas num curso de gestão de tecnologia. "Eles
ficaram impressionados com a abrangência do projeto. Foi um prêmio", afirma Adriana. "Temos
muito a avançar, mas chegamos a um ponto em que sabemos onde estamos bem, onde
precisamos melhorar. A TI que desenhamos na Vale é toda voltada ao negócio. Penso o tempo
todo em como priorizar projetos, em como gerar orçamentos alinhados à estratégia e em corte
de custos", diz Adriana.
INFRA-ESTRUTURA DE TI:
• Usuários: 14 mil
• Estações de trabalho: 12 mil
• Sistemas: 400
• Pacote de gestão: Oracle
• Administração de infra-estrutura: EDS
• Administração de sistemas: Accenture
• Administração da rede: Telemar
Relatos obtidos na revista Info Corporate.
MBA-ENGSOFT Segurança de Sistemas 29
© 2005 Halan Ridolphi
- 30. 9 Bibliografia
Fontes de artigos, informativos e livros acerca de Governança de Tecnologia da
Informação e assuntos correlatos:
• Sordi, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo: Atlas,
2003. 185p.
• Graelm, A. R. Sistemas de Informação - O alinhamento da estratégia de TI com a
estratégia corporativa. 1. Ed. Atlas, 2003. 159p.
• Mesquita, R. A Organização Faz a Força - Governança em TI. Brasília, Dezembro. 2002.
• Spafford, G. Achieving Project Management Balance. Julho. 2003.
• Teófilo, A. Segurança sob a perspectiva do ITIL. Maio. 2004.
• Coen, L. Metodologias trazem maturidade à área de TI. Novembro. 2003.
• Fagundes, E. M. COBIT - Um kit de ferramentas para a excelência na gestão de TI.
• ITIL - www.ITIL.co.uk
• Forum - www.itsmf.net
• CMM - www.itservicecmm.org
• SLM - www.nextslm.org
• COBIT - www.isaca.org/cobit.htm
• GOVERNANÇA TI - http://www.sit.com.br/SeparataGTI129.htm
• HELP DESK INSTITUTE - http://www.helpdeskinst.com/
• CRM KNOWLEDGE BASE - http://www.crmassist.com/
• IT Governance Institute - http://www.itgovernance.org
• Site revista CIO - http://www.cio.com
• ITIL, Cobit e ISO17799 -
http://www.itsmf.org.za/Presentations/CobiT%20ITIL%20and%20BS7799.pdf
• ITIL - http://www.ogc.gov.uk/index.asp?id=2261
• IT Service Management Fórum - http://www.itsmf.com/
• Institute of IT Service Management - http://www.iosm.com
• Aquisição ITIL - http://www.tso.co.uk/bookshop/bookstore.asp?FO=1150345 –
• Softwares ITIL - http://www.pinkelephant.com/consultingservices/toolsets.htm
• ISACA e CobiT - http://www.isaca.org
• CMMI - http://www.sei.cmu.edu/cmmi/
• Project Management Institute - http://www.pmi.org
• PMI-RS - http://www.pmirs.org
• PRINCE2 - http://www.prince2.org.uk/
• Módulo (gestão da segurança) - http://www.modulo.com.br
MBA-ENGSOFT Segurança de Sistemas 30
© 2005 Halan Ridolphi