Governança TI halan

1,822 views

Published on

Information Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,822
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
66
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Governança TI halan

  1. 1. POLI / UFRJ MBA Engenharia de Software – Turma 2004 Disciplina: Segurança de Sistemas Professor: Ronaldo Andrade Deccax Aluno: Halan Ridolphi AlvesMBA-ENGSOFT Segurança de Sistemas 1© 2005 Halan Ridolphi
  2. 2. Sumário1 Conceitos .................................................................................................................32 Motivação ................................................................................................................43 Evolução Histórica .....................................................................................................74 Agregando Valor ao Negócio ..................................................................................... 105 Metodologias & Frameworks ..................................................................................... 12 5.1 ITIL ............................................................................................................... 13 5.2 CobiT ............................................................................................................. 15 5.3 BSC ............................................................................................................... 17 5.4 Six Sigma....................................................................................................... 19 5.5 MOF – MSF - MSM ........................................................................................... 20 5.6 BS7799 .......................................................................................................... 21 5.7 CMM/CMMI ..................................................................................................... 21 5.8 PMBOK .......................................................................................................... 236 Aplicações .............................................................................................................. 257 Benefícios Econômicos ............................................................................................. 26 7.1 Cliente e Usuário ............................................................................................. 26 7.2 Gestão da Informação ...................................................................................... 26 7.3 Equipe de TI ................................................................................................... 26 7.4 Investimentos em Informação ........................................................................... 27 7.5 Alinhamento ao Modelo de Negócio .................................................................... 278 Governança de TI no Brasil ....................................................................................... 28 8.1 Petrobrás ....................................................................................................... 28 8.2 CLARO ........................................................................................................... 28 8.3 HSBC ............................................................................................................. 28 8.4 ABN Amro Bank .............................................................................................. 28 8.5 Vale do Rio Doce ............................................................................................. 289 Bibliografia ............................................................................................................. 30MBA-ENGSOFT Segurança de Sistemas 2© 2005 Halan Ridolphi
  3. 3. 1 Conceitos Na última década, a Tecnologia da Informação (TI) tem deixado de ser uma área desuporte, tornando-se cada vez mais necessária na estratégia de negócios das corporações.Aumenta-se então a exigência de resultados com relação a essa área. Atualmente, é impossível imaginar uma empresa sem uma forte divisão de Sistemas deInformação (TI), para manipular os dados operacionais e prover informações gerenciais aosexecutivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI,incluindo profissionais especializados requerem altos investimentos. Algumas vezes a altadireção da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefíciosda tecnologia. Entretanto, a ausência de investimentos em TI pode ser o fator chave para ofracasso de um empreendimento em mercados cada vez mais competitivos. Comumente, alguns gestores de TI não possuem habilidade para demonstrar os riscosassociados ao negócio sem os corretos investimentos em TI. Para melhorar o processo deanálise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar econtrolar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição demelhorias nos processos empresariais. Esse novo paradigma é conhecido como Governança deTI ou "IT Governance". Governança de TI é uma estrutura de relacionamentos e processos para orientar econtrolar a organização no alcance de seus objetivos de negócio, agregando valores, ao mesmotempo em que equilibra riscos em relação ao retorno da TI e seus processos. Diz respeito amétodos para tornar mais transparentes, organizadas e legítimas as práticas de direção emonitoramento do desempenho das empresas. De acordo com a definição da ITIL – IT Infrastructure Library, Governança de TI é uma“estrutura de padrões e melhores práticas para gerenciar os serviços e infra-estrutura de TI”. A expressão Governança de TI é definida como uma estrutura de relações e processosque dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócioatravés do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitasorganizações, a informação e a tecnologia que suportam o negócio representa o seu maisvalioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico érequerida uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão deforma rápida, constante e com custos cada vez mais baixos. Não existem dúvidas sobre obenefício da tecnologia aplicada aos negócios. Entretanto, para serem bem sucedidas, asorganizações devem compreender e controlar os riscos associados no uso das novas tecnologias. Corporações pelo mundo afora em busca de definições das metodologias, frameworks ouarquiteturas visando a mais correta organização e otimização de suas divisões de TI, têm optadopor alguns dos mais variados padrões mundialmente reconhecidos atualmente, tais como: • CobiT (Control Objectives for Information and Related Technology) • ITIL (IT Infrastructure Library) • MOF – MSF – MSM (Microsoft Frameworks) • NBR ISO/IEC 17799 (BS 7799) • NBR ISO/IEC 15504 (SPICE) • NBR ISO/IEC 12207 (Processos de ciclo de vida de software) • CMMI (Capability Maturity Model Integration) • RUP (Rational Unified Process) • PMBOK (A Guide to Project Management Body of Knowledge) • BSC (Balanced Scorecard) • Six Sigma Resumidamente, Governança de TI compreende os processos e controles que agregamvalores aos negócios. Inúmeras organizações entendem o valor da informação e da tecnologia,tratando-as como ativos importantes, como são os recursos humanos e financeiros.MBA-ENGSOFT Segurança de Sistemas 3© 2005 Halan Ridolphi
  4. 4. 2 Motivação Gerentes de Tecnologia da Informação (TI) se esforçam continuamente por alcançarmelhores resultados, entretanto, na maioria das vezes não conseguem atender às necessidadesde informações estratégicas aos negócios da empresa e nem mesmo sabem os riscos aos quaisas organizações estão expostas, devido ao mau uso da tecnologia. Esse contexto derivou osconceitos Governança de TI e a análise de risco, englobando aspectos técnicos e gerenciasimprescindíveis para sobrevivência das corporações e executivos. Nas últimas décadas, empresas dos mais diversos setores têm investido bastante em TI.Nos Estados Unidos e Europa, anualmente, as empresas investem, em média, cerca de 4% desua receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a médiade investimento foi de 4,9% do faturamento líquido, contra 1,3% registrado em 1988, segundopesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuarão crescendo.Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou ROI (return oninvestment) decorrentes de investimentos em TI e, com isto, avaliar de maneira consistente osbenefícios obtidos pela área de negócios. O fator que gera maior preocupação aos gestores de TI são os processos de negócio quenas organizações estão cada vez mais exigindo respostas rápidas às demandas de mercado, ouseja, manter a capacidade competitiva por meio de processos de negócios ágeis, inteligentes,seguros e com o menor custo possível. Neste cenário os controles acabam sendo "atropelados",os processos não são seguidos e as responsabilidades acabam se perdendo, onde todo mundo étão interdisciplinar que ninguém é responsável por "nada" e como resultado, em nome daurgência do negócio, temos produtos finais mal acabados, clientes insatisfeitos, impactos naimagem organizacional, e principalmente perda de receita. Portanto, no cenário econômicoatual, caracterizado pela alta competitividade, pela pressão por resultados ajustados ao businessplan, as organizações carecem da aplicação de estratégias ajustadas de Governança de TI. A Governança de TI endereça suas estratégias e padrões técnicos e gerenciais para asseguintes audiências: • Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização; • Usuários que precisam ter garantias que os serviços de TI, dos quais dependem os seus produtos e serviços entregues para os clientes internos e externos, estão sendo bem gerenciados; • Auditores que podem se apoiar nas recomendações de frameworks para avaliar o nível da gestão de TI e aconselhar o controle interno da organização. A percepção das corporações acerca da área de Tecnologia da Informação é expressapelas seguintes visões: • Provisão de serviços inadequada; • Falta de comunicação e entendimento com os usuários; • Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela significativa nos gastos totais do negócio); • Justificativas insuficientes ou pouco fundamentadas para os custos da provisão dos serviços (dificuldade na comprovação dos seus benefícios para o negócio); • Falta de sintonia entre mudanças na infra-estrutura e os objetivos de negócio; • Entrega de projetos com atrasos e acima do orçamento. Os desafios imediatos da Governança de TI compreendem: • Incrementar a efetividade dos serviços de TI; • Estender o ciclo de vida da tecnologia da informação; • Remover gargalos; • Racionalizar a complexidade; • Assegurar a aderência à evolução dos negócios. Os motivos para aplicação da Governança de TI contemplam:MBA-ENGSOFT Segurança de Sistemas 4© 2005 Halan Ridolphi
  5. 5. • Estruturar processos visando garantir que a TI suporte e maximize os objetivos e estratégias da organização; • Permitir controle (medição, auditoria) da execução e da qualidade dos serviços de TI; • Viabilizar o acompanhamento de contratos internos e externos; • Definir condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade; • Definir objetivos para a TI: Alinhar estratégias da corporação com as estratégias de TI; Definir expectativas e medidas de desempenho; Viabilizar recursos; Definir prioridades; • Direcionar as atividades de TI; • Monitorar desempenho da TI; • Gerenciar o risco da TI; • Representar e legitimar a função TI. O Banco Mundial realizou pesquisas entre investidores com carteira superior a US$ 1,65bilhão para detectar o nível de importância da governança corporativa – conjunto de práticas deoperação, gestão e relacionamento, cuja finalidade é otimizar o desempenho das empresasprotegendo os investidores, acionistas, conselho de administração, diretoria, conselho fiscal,funcionários e credores, facilitando o acesso ao capital. Segundo o estudo da instituiçãofinanceira, os investidores pagariam de 18% a 25% a mais por ações de empresas com planosavançados de governança, capazes de assegurar boas práticas de administração etransparência. O que isso significa? Os investidores não querem mais correr riscos. Não édiferente a postura dos gestores das corporações em relação aos diretores de tecnologia dainformação (TI), independente do grau de governança corporativa que a empresa adotou. Odesafio do CIO (chief information officer) é, portanto, manter o parque instalado em operação,governar a área de TI para agregar valor e atender a evolução dos negócios, com um orçamentorestrito, buscando novas soluções e, ainda, proporcionar retorno sobre o investimento. Como?Através da governança de TI (GTI), que consiste nas melhores práticas, internacionalmenteconsagradas, que melhor estruturam processos operacionais e de gestão de TI, bem como derelacionamento da área com toda a organização.MBA-ENGSOFT Segurança de Sistemas 5© 2005 Halan Ridolphi
  6. 6. Figura 1: Abrangência GTI Enquanto a governança corporativa abrange toda a organização, a GTI suporta o gestorde tecnologia com o objetivo de alinhar os processos de TI aos negócios da corporação.Portanto, governança objetiva medir a gestão com base em metodologias que tornem osnegócios transparentes para o mercado. Além da credibilidade que a governança corporativaoferece ao mercado, outro cenário que figura nas empresas atualmente é o fato delas deixaremde ser organismos fechados em razão do advento da Internet, que trouxe o compartilhamentodas informações – maior patrimônio de uma corporação –, cuja área de TI é responsável peloseu fluxo, segurança e disponibilidade. O cenário econômico, no qual as empresas deixaram de ter uma visão departamental,desencadeou uma situação de extrema dependência de processos de operação e gestãoestruturados e automatizados para a eficácia das áreas de TI alinhada com os negócios. Sejaqual for o método adotado, a governança de TI se subordina às diretrizes da governançacorporativa, medindo e justificando a área de tecnologia como qualquer outra dentro daorganização. As bandeiras de governança em uma empresa são exercícios permanentes dasmelhores práticas de operação, gestão e, principalmente, de estratégias, conhecimento,disposição política, bom senso e visão de negócios.MBA-ENGSOFT Segurança de Sistemas 6© 2005 Halan Ridolphi
  7. 7. 3 Evolução Histórica O conceito de Governança de TI surge no começo dos anos 90, por conta dasnecessidades de controle, transparência e monitoração das organizações, entretanto, ocrescimento exuberante da economia mundial acabou mascarando a sua necessidade, e porconseqüência atrasando por alguns anos a sua sedimentação nas empresas. Com as crises do México, Ásia, Rússia, etc na segunda metade dos anos 90, osinvestidores mudaram de comportamento passando a exigir dos CEOs, um maior acerto nasprevisões orçamentárias. Na ótica dos investidores, quando a empresa tinha um lucro menor doque a previsão, o CEO foi incompetente na gestão da empresa, e quando ocorria o inverso, ele,investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta novaatitude, alavancou as necessidades de governança corporativa, a partir de 1998. No entanto, a lucratividade e crescimento da economia ainda eram grandes o suficiente,para impedir que o tema governança alcançasse o nível de essencial nas organizações. O statusde desejável já era por si só um enorme avanço, mas não forte o suficiente para implantarmudanças estruturais nas empresas. Novos fatos deveriam ocorrer para que as organizações entendessem que o temagovernança, era questão de sobrevivência na continuidade dos negócios. Diante da necessidadede pelo menos um fato relevante, o mercado apresentou uma seqüência de fatos que tiraram dagaveta dos executivos os projetos de governança. Estes fatos foram fortes o suficiente para queo assunto fosse classificado do nível de normas e regulamentações e em um segundo momentofosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a explosão dabolha da internet e o bug do milênio. O bug do milênio demandou investimentos de TI, poucasvezes registrados na história, baseado em um discurso "terrorista". A prática mostrou que amaioria dos investimentos era desnecessária, uma vez que empresas com orçamentos muitomenores administraram os riscos sem interrupção dos serviços. O segredo destas empresas, é que elas conheciam o seu parque de ativos de tecnologia,e a gestão dos riscos foi feita em função de conhecimento e impactos. Ao ser aprofundado, aquestão dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos deY2K, foram destinados apenas para identificar os ativos de TI e os seus relacionamentos. Ouseja, foram gastos milhões de dólares, apenas para que os CIOs soubessem, o que tinham emcasa e estavam gerenciando. O mercado concluiu que se o CIO sequer sabia o que tinha emcasa, o nível de serviços, considerado pobre pelo mercado, era conseqüência de falhasgerenciais. A desconfiança nos investimentos realizados em TI provocou um maior rigor nasauditorias em TI, que haviam perdido o fôlego nos anos anteriores, por falta de informações. No mercado, muito se tem falado do CoBIT (control objectives for information andrelated technology) e do ITIL (information technology infrastruture library) como base para aGovernança de TI. O CoBIT é orientado ao controle de processos em quatro domínios:planejamento e organização; aquisição e implementação; entrega e suporte; e, por último,monitoração e avaliação; especificando ferramentas (e.g., métricas) para se implementarGovernança de TI. O ITIL, por sua vez, é mais focado em especificar melhores práticas usadas na operaçãoe gestão da infra-estrutura de TI para provisão e suporte de serviços. Pode-se dizer que o CoBITe o ITIL são complementares e podem ser usados de maneira combinada, objetivando umaGovernança de TI mais eficiente. Outras metodologias existem e podem, também, ser avaliadase incorporadas como ferramentas de Governança de TI. O Cobit, por ter métricas claras, acabou sendo a metodologia adotada pelos auditores, ea governança de TI ganhou impulso para "salvar" a carreira dos CIOs. Os CIOs que antes dobug, estavam em vôo livre na direção da alta administração, tiveram o seu plano de vôoabortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e métricas.MBA-ENGSOFT Segurança de Sistemas 7© 2005 Halan Ridolphi
  8. 8. A auditoria além de medir, via Cobit, buscava também melhorar o desempenho da áreade TI, e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL xCobit para medir e melhorar. O segundo fato marcante foi a bolha de internet, que mostrou orçamentos inflados,superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidoresreagiram aos prejuízos, com normas e regulamentações para reduzir os riscos dosinvestimentos, empréstimos, etc, resultando na norma conhecida como: Basiléia II. Este novocontorno de regulamentação visou melhorar a gestão dos riscos e o mecanismo encontrado paratal, foi a governança corporativa. Mesmo com toda esta agitação, o mercado ainda assimapresentou novas distorções de informações, como foram os casos Parmalat, MCI, etc. Estescasos mostraram que apesar da força das normas e regulamentações, este ainda não era oinstrumental com força suficiente para combater a doença. A lei Sabox, então foi aprovada, e passou a responsabilizar o CEO e CFO pelasinformações das empresas. A lei Sabox ou Sox, tem uma regulamentação tão poderosa quepermite ao estado prender os responsáveis em caso de informações incorretas. Neste momento,a governança deixou a condição de desejável e foi elevada para o status de essencial aosnegócios da empresa.Fonte: FGV-SP Os controles, monitoração e transparência estão agora disponíveis como ferramentas degestão das organizações. Como os negócios demandaram recursos de TI, e as informaçõesestavam na sua maioria no formato digital, a área passou a ter um papel vital na governança.MBA-ENGSOFT Segurança de Sistemas 8© 2005 Halan Ridolphi
  9. 9. A auditoria, que trabalhava com as métricas do Cobit, comparava os resultados tanto noâmbito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram aadotar o ITIL e as suas melhores práticas para melhorar os processos de TI, aumentando aqualidade e reduzindo os custos. Ao combinar ITIL, Cobit, Iso, Six Sigma, etc, o CIO trouxe parasi a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologiasconsagradas no mercado. Esta oportunidade, não apenas estabilizou a rota de "queda" dacarreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir umcrescimento futuro na carreira deles.Cenário atual da TI nos paísesAvançados Recém Em Desenvolvimento Subdesenvolvimentos IndustrializadosArquitetura de Comunicação entre SI Compreender Obsolescência deinformação e usuários contribuição da TI Hardware e SoftwareDados como recurso Apoio da alta Recursos Humanos Proliferação de administração tecnologiasPlanejamento Planejamento Qualidade de dados Disponibilidade deestratégico estratégico de entrada pessoal qualificado de TIRecursos humanos Vantagem competitiva Educar usuários Intervenção do executivos sobre TI Governo na Indústria Aprendizagem Alinhamento de Usabilidade de Estabelecer padrões organizacional objetivos sistemas profissionais Infra-estrutura Informatização de Treinamento de Melhorar tecnológica tarefas rotineiras pessoal de TI produtividade da TI Alinhamento da TI na Infra-estrutura de TI Manutenção de organização Hardware e SoftwareFonte: FEA-USP A combinação destas metodologias (ITIL x Cobit x Six Sigma, ISO, etc.) é forte osuficiente para atender a gestão de riscos, demandada pelo mercado, e também para criar umnovo ciclo de crescimento de TI. As métricas claras e objetivas permitirão medir a realcontribuição da área em relação a sua contribuição nos lucros, redução dos custos, melhoria dosserviços e principalmente transmitir aos investidores de que agora temos no "pé da empresa osapato de número correto". O ITIL, trata a gestão de riscos de diversas formas, por exemplo como quando endereçaquestões que vão além do SLA médio, como a redução da sua variabilidade, o resultado final éum aumento na confiança nos serviços de TI. O aumento de confiança traduz-se em redução deriscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio deexecução, seja realizada, tornou-se maior. A estrada à frente aponta a expectativa de que o Sabox se torne uma regulamentaçãouniversal, de uma forma ou de outra, e os principais mercados mundiais serão pautados nosprincípios de transparência, controle, monitoração e demonstração de resultados.MBA-ENGSOFT Segurança de Sistemas 9© 2005 Halan Ridolphi
  10. 10. 4 Agregando Valor ao Negócio Os processos de negócio da “Era da Informação” geram volumes gigantescos deinformações que podem comprometer a produtividade e o relacionamento com os clientes,fornecedores e funcionários. O objetivo de toda empresa é a competitividade, produto de uma boa tomada dedecisão. O desafio do novo milênio, para as empresas que pretendem se manter na liderança,está intimamente relacionado ao gerenciamento das informações. Esse gerenciamento só éalcançado com estratégias bem-definidas de GTI. O foco das empresas de sucesso é um melhorgerenciamento de todas as informações. As tecnologias de GTI são projetadas para auxiliar as corporações no gerenciamentoeficientemente do conteúdo empresarial, serviços e processos TI através da rede derelacionamentos entre parceiros, funcionários, fornecedores, gerentes, auditores,proporcionando um rápido retorno em infra-estrutura de informações, com suporte para: • Maior produtividade e eficiência operacional; • Proteção de seu patrimônio de informações críticas; • Melhor serviço ao cliente; • Novas oportunidades de negócio; • Compartilhamento do conhecimento e cultura empresarial. A Governança de TI (GTI) e seus processos objetivam agregar valor ao negócioatravés do balanceamento do risco e returno do investimento em TI e, independem dasplataformas de TI adotadas nas corporações, focando suas estratégias e padrões técnicos egerenciais nos seguintes aspectos: • Definir condições para o eficaz exercício da gestão com base em conceitos de qualidade consolidados; • Controlar, medir, auditar a execução e qualidade dos serviços de TI; • Estruturas e processos visando que a TI suporte os objetivos e estratégias da organização; • Acompanhamento de contratos e orçamentos de projetos internos e externos; • Política de Segurança; • Organização da Segurança; • Classificação e Controle de Ativos; • Segurança de Pessoal; • Segurança Física e Ambiental; • Gerenciamento de Comunicações e Operações; • Controle de Acesso; • Desenvolvimento e Manutenção de Software; • Planejamento de Continuidade de Negócios; • Plano de Compliance (aderência). A adoção de estratégias de GTI pelas corporações está relacionada à meta de gerar valorda TI para os modelos de negócios corporativos e provar este valor de maneira adequada,através de processos corretos. Neste sentido, faz-se necessário o detalhamento dos processospara gerenciar, racionalizar a infra-estrutura de TI eficientemente e eficazmente de modo agarantir os níveis de serviço acordados com clientes internos e externos. Como conseqüência, asempresas esperam otimizar seus processos e custos, aumentar a eficiência de seus funcionáriose do seu relacionamento com fornecedores e parceiros, melhorar e personalizar os serviçosprestados aos seus clientes, enfim crescer, aumentar a sua presença no mercado e a sualucratividade a curto e médio prazos. A Governança de TI engloba mecanismos implementados em diferentes níveis de umacorporação. Permitem gerenciar, controlar e utilizar a infra-estrutura de TI de modo a agregarvalor para a empresa e permitir que decisões sobre novos investimentos sejam tomadas demaneira consistente em alinhamento com a estratégia corporativa. Pressupõe a adoção demétricas que permitem avaliar o impacto da TI no desempenho de negócios. As empresasMBA-ENGSOFT Segurança de Sistemas 10© 2005 Halan Ridolphi
  11. 11. podem ter visões diferentes sobre a importância de TI: para algumas, o papel de TI é a reduçãode custos; para outras, o seu papel é estratégico para o negócio. Independente disso, a TI vaiagregar maior valor ao negócio se houver uma política de governança associada. Apesar de um estudo do Gartner apontar um crescimento no budget de TI nas Américas(10% da receita líquida das empresas), a pressão por resultados ajustados ao business plan dasorganizações chegou à mesa dos executivos de TI, cada vez mais preocupados em adotar asmelhores práticas de gestão apoiadas na GTI. A angústia em responder pelo ROI e usarmetodologias transparentes explica-se pelo fato das empresas quebrarem os murosdepartamentais e buscarem a excelência nos processos de operação e gestão, onde novamenteo CIO precisa controlar os investimentos e otimizar custos. De acordo com o Relatório Global da Situação da Governança de TI (IT GovernanceGlobal Status Report), publicado recentemente pelo IT Governance Institute (ITGI), os 10principais problemas relacionados a TI enfrentados pelos CEOs e diretores de TI internacionaissão: • Visão inadequada sobre o desempenho de TI; • Falhas operacionais de TI; • Problemas de preenchimento de vagas em TI; • Número de problemas e incidentes em TI; • Alto custo de TI com baixo retorno sobre o investimento; • Falta de conhecimento de sistemas críticos; • Capacidade de gerenciamento de dados; • Desconexão entre a estratégia de TI e a estratégia comercial; • Dependências com operação automática de entidades além do controle direto; • Número de erros apresentados pelos sistemas críticos. Os diretores de TI vêm considerando a GTI como um dos seus principais segmentos deinvestimento para alcançar os objetivos de gerenciamento abrangente das informações e deprovisão de serviços eficazes, efetivos de TI alinhados a estratégia de negócios da corporação.MBA-ENGSOFT Segurança de Sistemas 11© 2005 Halan Ridolphi
  12. 12. 5 Metodologias & Frameworks Nas próximas seções, descrevemos sucintamente as metodologias, frameworks epadrões em voga atualmente acerca da Governança de TI (GTI) e respectivas tecnologias. Metodologia Foco CobiT Gestão de processos, controle e auditoria de tecnologia da informação. Forte em controles e métricas de TI, mas não detalha fluxos de processos e é limitado em segurança. ITIL Gerenciamento de recursos e serviços com maior foco em infra-estrutura, mas limitado em segurança e desenvolvimento de software. Six Sigma Melhoria de processos. MOF – MSF – MSM Gerenciamento de processos operacionais de TI para soluções de serviço de missão crítica baseado no ITIL. ISO 9000 Garantia de qualidade. BS7799 / ISO 17799 Desenvolvimento de software. Forte em controles de segurança, mas não detalha fluxos de processos. ISO / IEC 15504 Framework de avaliação de processos de software. ISO / IEC 12207 Desenvolvimento de software. CMM / CMMI Desenvolvimento de software. PMBOK Gestão de projetos. BSC Medição de desempenho, utiliza ferramentas de BI para implementação e monitoramento de indicadores de gestão do negócio. Tabela: Abrangência Metodologias de GTI O diagrama a seguir, ilustra um modelo de melhoria de processos de TI com suporte dosframeworks e padrões de GTI:MBA-ENGSOFT Segurança de Sistemas 12© 2005 Halan Ridolphi
  13. 13. Figura: Modelo de Melhoria de Processos por GTI5.1 ITIL O ITIL™ (Information Technology Infrastructure Library) é um modelo de referência paragerenciamento de processos de TI. A metodologia foi criada pela secretaria de comércio (Officeof Government Commerce, OGC) do governo Inglês, para desenvolver as melhores práticas paraa gestão da área de TI nas empresas privadas e públicas. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo é descrever os processosnecessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo agarantir os níveis de serviço acordados com os clientes internos e externos. Entre os processos que fazem parte do modelo de referência, podemos citar:planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração,operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes. Asempresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresae provar este valor de maneira adequada, através de processos corretos. O ITIL™ é composto por módulos. Os mais importantes são o "IT Service Support" e o"IT Service Delivery". A seguir, descrevemos as características do ITIL™: • Modelo de referência para processos de TI não proprietário; • Adequado para todas as áreas de atividade; • Independente de tecnologia e fornecedor; • Um padrão de fato; • Baseado nas melhores práticas; • Um modelo de referência para a implementação de processos de TI; • Padronização de terminologias; • Interdependência de processos;MBA-ENGSOFT Segurança de Sistemas 13© 2005 Halan Ridolphi
  14. 14. • Diretivas básicas para implementação; • Diretivas básicas para funções e responsabilidades dentro de cada processo; • Checklist testado e aprovado; • O que fazer e o que não fazer. O ITIL™ contempla disciplinas táticas (planejamento) e operacionais: • Disciplinas Táticas Service Level Management IT Service Continuity Management Financial Management Capacity Management Availability Management Security Management Customer Relationship Management Supplier Management • Disciplinas Operacionais Incident Management Problem Management Configuration Management Change Management Release ManagementFigura: Arquitetura ITIL™ Resultados que podem ser alcançadas com implantação do ITIL™: • Fortalecimento dos Controles e da Gestão dos ambientes de TI; • Orientação a processos com significativa redução nos tempos de execução e distribuição de serviços; • Diminuição gradativa da indisponibilidade dos recursos e sistemas de tecnologia a informação, causados por falhas no planejamento das mudanças e implantações em TI;MBA-ENGSOFT Segurança de Sistemas 14© 2005 Halan Ridolphi
  15. 15. • Elevação dos níveis de satisfação dos usuários internos e clientes com relação à disponibilidade e qualidade dos serviços de TI; • Redução dos custos operacionais de TI; • Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores e clientes; • Aderência às instruções normativas das entidades reguladoras e certificadoras.5.2 CobiT O CobiT (Control Objectives for Information and related Technology) é uma ferramentaeficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT éum guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and ControlFoundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, umframework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas deimplementação e um guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI queajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. OCobiT independe das plataformas de TI adotadas nas empresas. O CobiT é orientado ao negócio.Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. Ofoco central é o gerenciamento da informação com os recursos de TI para garantir o negócio daorganização. O CobiT contempla quatro domínios incluindo processos técnicos e gerenciais paragarantir uma completa gestão da infra-estrutura de TI: • Planejamento e Organização Define o plano estratégico de TI; Define a arquitetura da informação; Determina a direção tecnológica; Define a organização de TI e seus relacionamentos; Gerencia os investimentos em TI; Gerencia a comunicação das direções de TI; Gerencia os recursos humanos; Assegura o alinhamento de TI com os requerimentos externos; Avalia os riscos; Gerencia os projetos; Gerencia a qualidade; • Aquisição e implementação Identifica as soluções de automação; Adquire e mantém os softwares; Adquire e mantém a infra-estrutura tecnológica; Desenvolve e mantém os procedimentos; Instala e certifica softwares; Gerencia as mudanças; • Entrega e suporte Define e mantém os acordos de níveis de serviços (SLA); Gerencia os serviços de terceiros; Gerencia o desempenho e capacidade do ambiente; Assegura a continuidade dos serviços; Assegura a segurança dos serviços; Identifica e aloca custos; Treina os usuários; Assiste e aconselha os usuários; Gerencia a configuração; Gerencia os problemas e incidentes; Gerencia os dados;MBA-ENGSOFT Segurança de Sistemas 15© 2005 Halan Ridolphi
  16. 16. Gerencia a infra-estrutura; Gerencia as operações; • Monitoração Monitora os processos; Analisa a adequação dos controles internos; Prove auditorias independentes; Prove segurança independente.Figura: Domínios CobiT As recomendações de gerenciamento do CobiT com orientação no modelo de maturidadeem governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com osobjetivos da organização. As diretrizes de gerenciamento do CobiT focam na gerência pordesempenho usando os princípios do balanced scorecard. Seus indicadores chaves identificam emedem os resultados dos processos, avaliando seu desempenho e alinhamento com o modelode negócio da organização.MBA-ENGSOFT Segurança de Sistemas 16© 2005 Halan Ridolphi
  17. 17. 5.3 BSC O conceito do Balanced Scorecard (BSC) ajuda-o a traduzir a estratégia em ação. Acriação do BSC tem início na visão e estratégias da organização, a partir das quais são definidosos fatores críticos de sucesso. Os indicadores de desempenho permitem a definição de metas ea medição dos resultados atingidos em áreas críticas da execução das estratégias. Assim, oBalanced Scorecard é um sistema de gestão de desempenho, derivado da visão e estratégia,refletindo os aspectos mais importantes do negócio. Ao relacionar os objetivos, as iniciativas e os indicadores com a estratégia da empresa, oBSC garante o alinhamento das ações das diferentes áreas organizacionais em torno doentendimento comum dos objetivos estratégicos e das metas a atingir, permitindo desta formaavaliar e atualizar a própria estratégia. Os sistemas tradicionais de gestão e controlo, ao focarem-se exclusivamente em dadosfinanceiros e contabilísticos, tornaram-se rapidamente obsoletos, não respondendo às novasnecessidades de monitorização do negócio. O BSC, integrando indicadores financeiros e não financeiros, garante também umaperspectiva abrangente do desempenho das áreas críticas do negócio. Neste contexto, oscriadores do BSC, Kaplan & Norton, definiram quatro dimensões através das quais a atividadede uma organização deve ser analisada: • Dimensão Financeira Como estamos perante os nossos acionistas? • Dimensão Cliente Como estamos perante os clientes ou mercado? • Dimensão Processos Como está o nosso desempenho nos processos e recursos críticos? • Dimensão Aprendizagem e Inovação Como deveremos sustentar a nossa capacidade de mudança e melhoria?5.3.1 Processo Como criar um Balanced Balanced Scorecard: É necessário em primeiro lugar identificar avisão da organização. Qual o caminho pretendido para a organização? Ao identificar asestratégias, são clarificadas as formas para atingir a visão. Defina, em seguida, os FatoresCríticos de Sucesso e as dimensões para o Balanced Scorecard (BSC), o que significa que deveperguntar o que deve fazer bem em cada uma das dimensões. Seguidamente efetue a pergunta“como podemos avaliar se tudo está a ser executado conforme o pretendido?”. Agora énecessário avaliar o seu Scorecard. Considere como pode medir se estamos a analisar ascomponentes adequadas. Com base na análise dos indicadores poderá identificar e criar planosde ação e iniciativas. Torna-se então necessário planear os mecanismos de reporting e aoperacionalização do Scorecard. Como podemos gerir o Scorecard? Que colaboradores deverãoreceber relatórios e como deverão ser estes apresentados?MBA-ENGSOFT Segurança de Sistemas 17© 2005 Halan Ridolphi
  18. 18. Figura 1: Processo BSC5.3.2 Abrangência A imagem apresenta um exemplo muito genérico de um Scorecard. Para onde vamos? Avisão: “Queremos dominar o Mercado.” Como? Através de um enfoque em eficiência de custos eelevada qualidade, investindo em novas tecnologias. Em quais dimensões devemos procurar aexcelência? Seguidamente, são identificados os Fatores Críticos de Sucesso para cada dimensãodo Scorecard, que por sua vez são monitorizados através dos indicadores de desempenho. Autilização de indicadores permite a definição de metas concretas alinhadas com a estratégia daorganização. Por forma a atingir as metas são definidas responsabilidades e identificados planosde ação. Se construir um Scorecard é fácil, implementar um Scorecard administrável e utilizadopela organização é um desafio.MBA-ENGSOFT Segurança de Sistemas 18© 2005 Halan Ridolphi
  19. 19. Figura 2: Abrangência BSC5.3.3 Benefícios Os benefícios decorrentes da implementação do BSC na corporação: • Traduz a estratégia em objectivos e acções concretas; • Promove o alinhamento dos indicadores chave com os objectivos estratégicos a todos os níveis organizacionais; • Proporciona à gestão uma visão sistematizada do desempenho operacional; • Constitui um processo de avaliação e actualização da estratégia; • Facilita a comunicação dos objectivos estratégicos, focalizando os colaboradores na sua consecução; • Permite desenvolver uma cultura de aprendizagem e melhoria contínua; • Suporta a atribuição de incentivos em função do desempenho individual e da contribuição para os resultados do negócio. O Balanced Scorecard ajuda reduz a quantidade de informação utilizada a um conjuntomínimo de indicadores vitais e críticos.5.4 Six Sigma A metodologia Six Sigma prove técnicas e ferramentas para melhorar a capacidade ereduzir defeitos em qualquer processo, produto ou serviço. A técnica foi desenvolvida pelaMotorola, em sua divisão de manufatura, onde milhões de peças são produzidos pelo mesmoprocesso repetidamente. Eventualmente, Six Sigma abrange e é aplicado a outros processos quenão sejam de manufaturada. Hoje em dia pode-se aplicar Six Sigma para muitos outros camposdo conhecimento e de negócio, tais como, suporte ao consumidor, setor de serviços, gerência deprojetos, gerenciamento da cadeia de suprimentos, medicina, procedimentos de segurança e callcenters. Metodologia Six Sigma aperfeiçoa qualquer processo de negócio existente pela revisãoe afinação constante do processo. Para alcançar isto, Six Sigma utiliza uma metodologiaMBA-ENGSOFT Segurança de Sistemas 19© 2005 Halan Ridolphi
  20. 20. conhecida como DMAIC (Define opportunities, Measure performance, Analyze opportunity,Improve performance, Control performance). Six Sigma incorpora os princípios básicos etécnicas usadas em Negócios, Estatística e Engenharia. Esses três formam os elementos centraisda metodologia Six Sigma. Six Sigma melhora o desempenho de processo, diminui a variação emantém qualidade consistente da saída do processo. Estas ligações para redução de defeitos eaumento nos lucros, qualidade do produto e satisfação do cliente. Ela permite somente 3.4defeitos por milhão de oportunidades para cada produto ou transação de serviço. Six Sigmaconfia pesadamente nas técnicas estatísticas para reduzir defeitos e medir a qualidade. Os três elementos chave de Six Sigma são: • Satisfação do Consumidor; • Definição de Processos e Definição de Métricas e Medidas de Processos; • Construção da Equipe e Envolvimento dos Empregados. Todo membro da equipe deve ter um papel bem definido e objetivos mensuráveis.5.5 MOF – MSF - MSM Frameworks criados pela Microsoft para gerenciamento interno e de parceiros,posteriormente estendido a clientes. Detalham as melhores práticas que ensinam como aceleraro planejamento, a implantação e a manutenção dos processos de TI operacionais. MOF –Microsoft Operations Framework – compreende um manual para planejamento, implementação,e manutenção de processos de TI para soluções de serviço de missão critica, baseado noframework ITIL™. MSF – Microsoft Solutions Framework – compreende um manual paragerência de projetos de tecnologia. MSM – Microsoft Solutions for Management – compõem ummanual de diretrizes técnicas para apoiar as organizações a alcançarem excelência operacionalpor meio de uma melhor qualidade de serviço, confiabilidade, disponibilidade e segurança, alémde reduzir o custo total de propriedade. Os frameworks consideram a adoção de soluções eserviços desenvolvidos com aplicação de produtos e tecnologias da Microsoft Corporation. Benefícios possíveis de ser alcançados pela implantação dos frameworks Microsoft: • Implantação rápida de software e atualizações críticas em toda a empresa a partir de um console centralizado; • Altos níveis de disponibilidade e desempenho em toda a empresa; • Ajuda a aperfeiçoar a confiabilidade, disponibilidade e desempenho de aplicativos críticos para o negócio; • Implementa as melhores práticas de gerenciamento, independentemente das plataformas ou tecnologias usadas no seu ambiente; • Aperfeiçoa a capacidade do departamento de TI de oferecer suporte aos requisitos de disponibilidade e desempenho para aplicativos críticos para o negócio; • Desenvolver manuais de operações personalizados, específicos para as necessidades da organização; • Avalia as necessidades de gerenciamento operacional da organização em um método modular para identificar e resolver questões de gerenciamento por prioridade ou como um todo.MBA-ENGSOFT Segurança de Sistemas 20© 2005 Halan Ridolphi
  21. 21. Figura: Microsoft Frameworks5.6 BS7799 Norma NBR ISO/IEC 17799 define um conjunto de boas práticas de gestão da segurança.Serve de base para regulamentação de políticas de segurança. Seus controles permitem aauditoria de segurança de informação. A norma BS7799 abrange os seguintes aspectos técnicos e gerenciais: • Política de Segurança; • Organização da Segurança; • Classificação e Controle de Ativos; • Segurança de Pessoal; • Segurança Física e Ambiental; • Gerenciamento de Comunicações e Operações; • Controle de Acesso; • Desenvolvimento e Manutenção de Software; • Planejamento de Continuidade de Negócios; • Planejamento de Aderência (compliance).5.7 CMM/CMMI Metodologia objetiva a avaliação e a melhoria da capacitação de uma organização no quediz respeito ao processo de desenvolvimento de software. Publicado em 1992, foi devolvido peloSoftware Engineering Institute (SEI) para avaliação das empresas que produzem software. Cadanível de maturidade (com exceção do nível 1) é composto de várias áreas chave de processo(KPA). Descrição de características dos níveis de maturidade classificados pelo modelo CMM:MBA-ENGSOFT Segurança de Sistemas 21© 2005 Halan Ridolphi
  22. 22. Nível CMM DescriçãoInicial O processo é caracterizado como ad-hoc e algumas vezes caótico. Poucos processos são definidos e o êxito depende do esforço individual.Repetível É estabelecido um processo gerencial basicamente para monitorar custos, cronograma e funcionalidade. A disciplina necessária ao processo está estabelecida de forma a poder ser repetida com sucesso em projetos com aplicações semelhantes.Definido O processo de software tanto para as atividades de gerência quanto de engenharia está documentado, normalizado e integrado em um processo padrão para a organização. Todos os projetos da organização usam o processo.Gerenciado São coletadas medidas detalhadas da qualidade do processo e do produto O processo e o produto são quantitativamente entendidos e controlados.Otimizado O processo sofre contínuas melhorias através do feedback quantitativo do processo e da introdução de idéias e tecnologias inovadoras. CMMI (CMM Integration) foi criado para resolver a existência de múltiplas versões doCMM. Seu objetivo é combinar o SW-CMM (Capability Maturity Model for Software), SECM(System Engineering Capability Model) e o IPD-CMM (Integrated Product DevelopmentCapability Maturity Model). Abrange as seguintes áreas de conhecimento: • Engenharia de Sistemas; • Engenharia de Software; • Desenvolvimento integrado de produtos e processos; • Contratação de fornecedores.MBA-ENGSOFT Segurança de Sistemas 22© 2005 Halan Ridolphi
  23. 23. Figura: Níveis do CMM5.8 PMBOK PMBOK denota o Universo de Conhecimento em Gerência de Projetos, ou seja, osomatório da “aplicação de conhecimentos, habilidades, e técnicas para projetar atividades quevisem atingir ou exceder as necessidades e expectativas das partes envolvidas, com relação aoprojeto”. As diretrizes neste documento são mantidas pelo PMI (Project Management Institute)como uma estrutura consistente para administração de programas de desenvolvimentoprofissional incluindo: • Certificação de Profissionais de Gerência de Projetos (PMP – Project Management Professional); • Credenciamento dos programas educacionais que concedem grau em Gerência de Projetos. Abrange nove áreas de conhecimento, a saber: • Gerência da Integração do Projeto; • Gerência do Escopo do Projeto; • Gerência do Tempo do Projeto; • Gerência do Custo do Projeto; • Gerência da Qualidade do Projeto; • Gerência dos Recursos Humanos do Projeto; • Gerência das Comunicações do Projeto; • Gerência dos Riscos do Projeto; • Gerência das Aquisições do Projeto.MBA-ENGSOFT Segurança de Sistemas 23© 2005 Halan Ridolphi
  24. 24. Figura: PMBOK - Áreas de Conhecimento da Gerência de ProjetosMBA-ENGSOFT Segurança de Sistemas 24© 2005 Halan Ridolphi
  25. 25. 6 Aplicações Alguns domínios de aplicação para Governança de TI: • TCO (Total Cost of Ownership): A meta em TI é reduzir o custo total de propriedade dos ativos; • Terceirização: A terceirização é uma tendência da GTI; Terceirizar quando não pertence ao core business da organização. • Consolidação de parques tecnológicos e equipamentos: Plataformas de hardware; Plataformas de telecomunicação; Plataformas de banco de dados; • Plano Diretor de TI: Melhor aproveitamento da evolução tecnológica; Melhor avaliação dos investimentos; Melhor gerenciamento de infra-estrutura; Utilizar os conceitos e métricas de governança corporativa para manter a área de TI em sintonia com os avanços da empresa e os avanços tecnológicos. • Padronização de tecnologia: Processos de software; Processos de gerência de configuração; Processos de resolução de problemas; Processos de garantia de qualidade; Ferramentas de desenvolvimento de software; Ferramentas de groupware, workflow e integração. Algumas situações de aplicação para Governança de TI: • Não existe metodologia de desenvolvimento: Neste caso pode-se utilizar o CMM ou ISO / IEC 12207 ou SPICE para apoio na implantação de uma metodologia; • Não existe nenhuma metodologia e controle para identificação e gerenciamento de riscos em meus projetos: Neste caso, o PMI pode ser muito útil; • Não estão formalizados os processos de gerenciamento de rotinas de produção: O COBIT poderá auxiliar no desenvolvimento de controles e formalização de tais rotinas; • Não há processo para gerenciamento da capacidade dos recursos: O COBIT e o ITIL poderão auxiliar no desenvolvimento do processo, dos controles e da formalização de tais atividades; • O processo de gerenciamento de mudanças não produz os resultados esperados, sendo necessário redesenhar: O COBIT e o ITIL poderão auxiliar no redesenho do processo.MBA-ENGSOFT Segurança de Sistemas 25© 2005 Halan Ridolphi
  26. 26. 7 Benefícios Econômicos A seguir, apresentamos alguns benefícios tangíveis pelas corporações quanto à adoção eimplantação de tecnologias, ferramentas e métodos correlatos a Governança de TI (GTI).7.1 Cliente e Usuário Razões para investimentos em GTI do ponto de vista do cliente e do usuário: • Redução do tempo de processamento e manuseio de papel; • Aumento de satisfação do usuário; • Incremento à produtividade; • Melhoria da satisfação com o trabalho; • Acesso imediato e multiusuário a qualquer informação; • Melhoria da qualidade do trabalho; • Alta velocidade e precisão na localização de documentos; • Melhor atendimento ao cliente por proporcionar respostas mais precisas e instantâneas.7.2 Gestão da Informação Razões para investimentos em GTI do ponto de vista da gestão da informação: • Melhor controle dos documentos; • Redução do espaço físico de armazenagem; • Facilidade de implementar temporalidade documental; • Integração com outros sistemas e tecnologias; • Facilidade adicional para implantar empresa virtual; • Possibilidade da empresa virtual sem limites físicos; • Minimização de perda e extravio de documentos.7.3 Equipe de TI Razões para adoção de GTI do ponto de vista da equipe de TI: • Disponibilidade instantânea de documentos sem limites físicos; • Gerenciamento e otimização do Workflow; • Maior agilidade nas transações entre empresas; • Alta velocidade e precisão na localização de documentos; • Estabelecer e manter boa imagem e reputação com a administração; • Assegurar que os projetos de TI previstos adicionam valor à empresa • Vender produtos e serviços de TI apropriados para terceiros; • Controlar custos de TI; • Maior velocidade na implementação de mudanças nos processos.MBA-ENGSOFT Segurança de Sistemas 26© 2005 Halan Ridolphi
  27. 27. 7.4 Investimentos em Informação Razões para adoção de GTI do ponto de vista da redução e proteção dos investimentosem informação: • Redução de custos com novos escritórios/depósitos/equipamentos; • Proteção do patrimônio; • Eliminação de retornos; • Proteção contra processos; • Eliminação de fraudes, principalmente em agências governamentais; • Explicita a relação entre aumento nos custos de TI e aumento no valor da informação; • Proteção contra catástrofes que poderiam danificar seu acervo.7.5 Alinhamento ao Modelo de Negócio Razões para adoção de GTI do ponto de vista de alinhamento a estratégia de negócios dacorporação: • Disponibilidade das informações necessárias para suportar as necessidades de negócios; • Riscos de falta de integridade e confidencialidade das informações; • Eficiência nos custos dos processos e operações; • Ampliação da produtividade e efetividade dos serviços de TI; • Confirmação de confiabilidade, efetividade e conformidade das informações; • Controle de contratos e orçamentos de projetos internos e externos; • Alinha a estratégia de TI com as do negócio; • Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais; • Mantém os riscos do negócio sob controle; • Explicita a importância da TI na continuidade dos negócios; • Mede e melhora continuamente a performance de TI.MBA-ENGSOFT Segurança de Sistemas 27© 2005 Halan Ridolphi
  28. 28. 8 Governança de TI no Brasil A seguir, comentamos casos reais de aplicação da Governança de TI em corporaçõesbrasileiras, incluindo relatos de experiências, metodologias, implementação, resultadosalcançados, estatísticas de satisfação e atingimento de metas.8.1 Petrobrás8.2 CLARO Atualmente está em processo de diagnóstico dos próprios riscos, controles e processosinternos. As equipes de TI, Gestão de Projetos, Produção, VAS, Ativos Virtuais e Change Controlconjuntamente estão realizando estudos de viabilidade para implementação do frameworkCobiT. O plano de diagnóstico do cenário atual da política e infra-estrutura de TI compreende aexploração das seguintes etapas: • Relacionamento de TI com a Alta Administração; • Papéis e Responsabilidades em TI; • Mapeamento de todos os processos existentes; • Análise critica destes processos; • Identificação dos riscos inerentes em cada processo; • Mapeamento dos controles existentes que mitigam os riscos inerentes identificados.8.3 HSBC8.4 ABN Amro Bank Iniciou ITIL em 2001 – datacenter e implantação de equipamentos do banco, incluindoagências. Deve estar concluído em 2005. Resultados e estatísticas de satisfação apurados: • Centralização do help-desk; • Aumento de chamados de 20.000 para 60.000, evidenciando ampliação do controle e não dos chamados; • Tempo de atendimento reduzido em 20%; • Volume de reclamações reduzido em 80%; • 94% dos atendimentos completados em menos de 20 segundos.8.5 Vale do Rio Doce O projeto de governança na Vale começou em 1998 logo após a privatização dacompanhia. Diante de uma arquitetura heterogênea, sem políticas definidas e nenhum tipo depadronização, foi decidido reorganizar tudo. A estratégia de TI foi segmentada, então, em trêspilares: produção (que compreende o controle dos custos, ativos e os níveis de serviçoprestados pelos fornecedores); projetos (que define a arquitetura de TI e cuida de cadamodificação que precisa ser feita); e inovação, responsável por definir os passos da empresarumo ao futuro. "Tínhamos gente focada em manutenção, suporte técnico e sistemas, mas nãopessoas que entendessem de mineração, ferrovias e logística, que é o core business daempresa", comenta Adriana, diretora de TI da corporação. A saída foi trocar praticamentemetade do time. O passo seguinte foi realizar o levantamento de todos os recursos tecnológicosda empresa, hoje catalogados e sob controle.MBA-ENGSOFT Segurança de Sistemas 28© 2005 Halan Ridolphi
  29. 29. Outro ponto fundamental do projeto de TI da Vale foi o da redução de custos, que, emalguns processos, chegou a cair pela metade. Hoje, o orçamento total de tecnologia da empresaé de 70 milhões de dólares, sendo aproximadamente 40 milhões destinados ao custeio da área e30 milhões para investimentos. Os custos, no entanto, já foram muito maiores. "A governançatrouxe ganhos significativos, sobretudo nos custos por usuário, que caíram muito. Tambémeconomizamos um bocado eliminando a redundância de alguns projetos e aumentando nossopoder de negociação com os fornecedores, o que barateou a terceirização", afirma Adriana. Diferentemente do que ocorre nos projetos de outsourcing, a Vale manteve apropriedade dos ativos de informática e terceirizou somente a gestão. Além disso, uma equipede TI com 20 profissionais foi mantida para cuidar de perto da administração dos fornecedores,um dos pontos cruciais do projeto de governança. Todos foram treinados de acordo com asespecificações do Project Management Institute (PMI), o que garantiu mais transparência nahora de gerir os projetos. O projeto deu certo e despertou a atenção do MIT (Massachusetts Institute ofTechnology), que possui um convênio de inovação tecnológica com a Vale e, durante uma visitaao Brasil, convidou Adriana para ministrar aulas num curso de gestão de tecnologia. "Elesficaram impressionados com a abrangência do projeto. Foi um prêmio", afirma Adriana. "Temosmuito a avançar, mas chegamos a um ponto em que sabemos onde estamos bem, ondeprecisamos melhorar. A TI que desenhamos na Vale é toda voltada ao negócio. Penso o tempotodo em como priorizar projetos, em como gerar orçamentos alinhados à estratégia e em cortede custos", diz Adriana. INFRA-ESTRUTURA DE TI: • Usuários: 14 mil • Estações de trabalho: 12 mil • Sistemas: 400 • Pacote de gestão: Oracle • Administração de infra-estrutura: EDS • Administração de sistemas: Accenture • Administração da rede: Telemar Relatos obtidos na revista Info Corporate.MBA-ENGSOFT Segurança de Sistemas 29© 2005 Halan Ridolphi
  30. 30. 9 Bibliografia Fontes de artigos, informativos e livros acerca de Governança de Tecnologia daInformação e assuntos correlatos: • Sordi, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo: Atlas, 2003. 185p. • Graelm, A. R. Sistemas de Informação - O alinhamento da estratégia de TI com a estratégia corporativa. 1. Ed. Atlas, 2003. 159p. • Mesquita, R. A Organização Faz a Força - Governança em TI. Brasília, Dezembro. 2002. • Spafford, G. Achieving Project Management Balance. Julho. 2003. • Teófilo, A. Segurança sob a perspectiva do ITIL. Maio. 2004. • Coen, L. Metodologias trazem maturidade à área de TI. Novembro. 2003. • Fagundes, E. M. COBIT - Um kit de ferramentas para a excelência na gestão de TI. • ITIL - www.ITIL.co.uk • Forum - www.itsmf.net • CMM - www.itservicecmm.org • SLM - www.nextslm.org • COBIT - www.isaca.org/cobit.htm • GOVERNANÇA TI - http://www.sit.com.br/SeparataGTI129.htm • HELP DESK INSTITUTE - http://www.helpdeskinst.com/ • CRM KNOWLEDGE BASE - http://www.crmassist.com/ • IT Governance Institute - http://www.itgovernance.org • Site revista CIO - http://www.cio.com • ITIL, Cobit e ISO17799 - http://www.itsmf.org.za/Presentations/CobiT%20ITIL%20and%20BS7799.pdf • ITIL - http://www.ogc.gov.uk/index.asp?id=2261 • IT Service Management Fórum - http://www.itsmf.com/ • Institute of IT Service Management - http://www.iosm.com • Aquisição ITIL - http://www.tso.co.uk/bookshop/bookstore.asp?FO=1150345 – • Softwares ITIL - http://www.pinkelephant.com/consultingservices/toolsets.htm • ISACA e CobiT - http://www.isaca.org • CMMI - http://www.sei.cmu.edu/cmmi/ • Project Management Institute - http://www.pmi.org • PMI-RS - http://www.pmirs.org • PRINCE2 - http://www.prince2.org.uk/ • Módulo (gestão da segurança) - http://www.modulo.com.brMBA-ENGSOFT Segurança de Sistemas 30© 2005 Halan Ridolphi

×