1. 13/09/2011
GOVERNANÇA DE TIC
Fernando Henrique Gaffo
Referências do Autor
Fernando Henrique Gaffo
Docente/Colaborador da Faculdade Paranaense –
FACCAR.
Aluno Especial do Mestrado em Ciência da
Computação (UEL)
Orientador: Prof. Dr. Rodolfo Miranda de Barros
E-mail: fernandogaffo@gmail.com
Twitter: @fgaffo
Facebook: /fgaffo
2 Fernando Henrique Gaffo 13/09/2011
1
2. 13/09/2011
Objetivos
Compreender aspectos gerais da:
Governança
Governança de TIC
COBIT
ITIL
3 Fernando Henrique Gaffo 13/09/2011
INTRODUÇÃO
Governança
2
3. 13/09/2011
Introdução - Governança
A Governança ou Governança Corporativa visa
estabelecer a forma como as empresas são
geridas e controladas.
Busca determinar papéis com clareza além de
ter o objetivo de estabelecer transparência nos
processos pelos quais as decisões são
deliberadas com o objetivo de maximizar a
geração de valor para o negócio.
5 Fernando Henrique Gaffo 13/09/2011
Introdução - Governança
É um conjunto de processos, costumes, políticas,
leis, regulamentos e instituições que regulam a
maneira como uma empresa é dirigida, administrada
ou controlada.
Surgiu a partir de iniciativas de conformidade, como
por exemplo a lei Sarbanes-Oxley.
6 Fernando Henrique Gaffo 13/09/2011
3
4. 13/09/2011
Introdução - Governança
A Lei Sarbanes-Oxley ou Sarbox ou SOX
Foi criada para garantir mecanismos de auditoria e
seguranca confiáveis nas empresas.
Incluem regras para a criação de comitês encarregados
de supervisionar suas atividades e operações, com o
objetivo de mitigar riscos aos negócios, evitar a
ocorrência de fraudes e assegurar que haja meios de
identificá-las quando ocorrem, garantindo a transparência
na gestão das empresas.
Criada em 2002 nos EUA devido a escândalos como o da
Enron, Worldcom e Tyco.
7 Fernando Henrique Gaffo 13/09/2011
INTRODUÇÃO
Governança de TIC
4
5. 13/09/2011
Introdução – Governança de TIC
A Governança de TIC, por sua vez, é um
subconjunto da governança coorporativa voltada
para os recursos utilizados pela tecnologia da
informação e comunicação.
9 Fernando Henrique Gaffo 13/09/2011
Introdução – Governança de TIC
A área de Tecnologia de Informação e Comunicação
(TIC) se tornou essencial para o negócio da
empresa, deixou de ser coadjuvante e se tornou
estratégica.
10 Fernando Henrique Gaffo 13/09/2011
5
6. 13/09/2011
Introdução – Governança de TIC
A TIC hoje é vital para as organizações.
De modo geral a Governança de TIC busca:
Determinar e documentar com clareza as políticas e os
processos da TIC.
Alinhar os objetivos e resultados esperados da TIC com a
empresa.
Contribuir para inovação e competitividade.
Maximizar os investimentos realizados.
Investimentos em TIC no Brasil devem chegar a US$ 22,1
bilhões em 2013 (Gartner).
Medir, controlar, otimizar e demonstrar o resultado dos
investimentos.
11 Fernando Henrique Gaffo 13/09/2011
Introdução – Governança de TIC
O que não se pode medir, não pode ser
gerenciado.
(Peter Drucker)
Gerenciamento é substituir músculos por
pensamentos, folclore e superstição por
conhecimento, e força por cooperação.
(Peter Drucker)
12 Fernando Henrique Gaffo 13/09/2011
6
7. 13/09/2011
Introdução – Governança de TIC
Agregar Valor, Controlar e Gerenciar Risco são a
essência da Governança de Tecnologia de
Informação e Comunicação (TIC).
A governança de TIC é de responsabilidade da
direção da empresa, ela consiste no aprimoramento
dos aspectos de liderança da sua estrutura
organizacional e dos processos que garantam que
sua área de TIC suporte e aprimore os objetivos e
as estratégias da organização.
13 Fernando Henrique Gaffo 13/09/2011
Introdução – Governança de TIC
Controlar significa verificar se as atividades
desenvolvidas estão de acordo com o planejado.
Incorporar e institucionalizar boas práticas para que
a área de TIC da empresa possa suportar os
objetivos de negócios.
Proporciona para as empresas a obtenção de
vantagens de suas informações com o objetivo de
criar oportunidades e aumentar seu poder de
competição.
14 Fernando Henrique Gaffo 13/09/2011
7
8. 13/09/2011
Introdução – Governança de TIC
Desafio da Governança de TIC...
15 Fernando Henrique Gaffo 13/09/2011
Introdução – Governança de TIC
Para alcançar o ROI (Return on Investment –
Retorno sobre Investimento):
A área de TI deve trabalhar de forma pró-ativa, seguir as
políticas da organização e adotar procedimentos e
práticas de forma rigorosa em seu funcionamento.
Para isso é fundamental o comprometimento da
organização e de todos envolvidos visando agregar valor
ao seu negócio.
16 Fernando Henrique Gaffo 13/09/2011
8
9. 13/09/2011
Introdução – Governança de TIC
Etapas importantes para Governança de TIC:
Integração da TIC com o negócio
Inventário de todos os ativos da TIC, identificar
redundâncias, perdas visando redução dos custos
Priorização das atividades da TIC visando o negócio
17 Fernando Henrique Gaffo 13/09/2011
Introdução – Governança de TIC
Surgimento de termos como:
Atores: acionistas, alta administração, conselho
administrativo, funcionários, fornecedores, clientes,
credores, instituições reguladores, comunidade em geral.
Stakeholders ou atores envolvidos
18 Fernando Henrique Gaffo 13/09/2011
9
10. 13/09/2011
Introdução – Governança de TIC
Padrões relacionados a Governança de TIC
ISO 9000 Trata da qualidade de processos
ISO 20000 Gerenciamento de serviços de TI
ISO 27001 Trata sobre segurança
ISO 27002 Trata sobre segurança
ISO 38500 Trata da Governança de TI
COBIT Trata da Governança de TI
PMBOK Gerenciamento de projetos
CMMI Modelo de maturidade desenvolvimento
de Software
ITIL Gerenciamento de serviços de TI.
19 Fernando Henrique Gaffo 13/09/2011
COBIT
Governança de TIC
10
11. 13/09/2011
CobiT
O Control Objectives for Information and related
Technology (CobiT®)
É um conjunto melhores práticas para governança
de TIC.
É um framework para auxiliar na gestão de TIC.
Desenvolvido pelo ITGI (IT Governance Institute)
Mantido pelo ISACA www.isaca.org
21 Fernando Henrique Gaffo 13/09/2011
CobiT
ISACA www.isaca.org
Information Systems Audit and Control Association® é
uma associação internacional formada por profissionais
que atuam nas áreas de Auditoria de Sistemas,
Segurança da Informação e, principalmente, de
Governança de TIC.
ITGI www.itgi.org criado pelo ISACA em 1998 com
objetivo de pesquisar e desenvolver tópicos relacionados
a governança de TIC.
22 Fernando Henrique Gaffo 13/09/2011
11
18. 13/09/2011
CobiT
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover a Governança de TI
35 Fernando Henrique Gaffo 13/09/2011
ITIL
Governança de TIC
18
19. 13/09/2011
ITIL
O que é o ITIL?
Information Technology Infrastructure Library é um
conjunto de boas práticas a serem aplicadas na
infraestrutura, operação e manutenção de serviços de
tecnologia da informação (TI);
Usado para estabelecer e melhorar as capacidades no
Gerenciamento de Serviços;
37 Fernando Henrique Gaffo 13/09/2011
ITIL
O que é ITIL?
Foi desenvolvido no final dos anos 80 pela CCTA (Central
Computer and Telecommunications Agency) e atualmente
está sob custódia da OGC (Office for Government
Commerce) da Inglaterra;
Padrão de mercado “de facto”;
ITIL oferece insumos para aderência à ISO/IEC 20000;
ITIL v3: 2007.
38 Fernando Henrique Gaffo 13/09/2011
19
20. 13/09/2011
ITIL
O que é o ITIL? (continuação ...)
A ITIL oferece um framework comum para as atividades
do departamento de TI. As atividades são organizadas
em processos, que fornecem um framework eficaz para
um Gerenciamento de Serviços em TI aprimorado.
Cada processo cobre uma ou mais tarefas do
departamento de TI, tais como desenvolvimento de
serviços, gerenciamento da infraestrutura, fornecimento
de serviços e suporte a serviços.
39 Fernando Henrique Gaffo 13/09/2011
ITIL
O que é ITIL?
As melhores práticas da ITIL têm como objetivos:
Servir de inspiração para melhorar seus processos de TI;
Sugerir onde é possível chegar, outras empresas conseguiram
resultados positivos;
Sugerir para quê servem os processos e práticas;
Sugerir por que adotar os processos e práticas.
40 Fernando Henrique Gaffo 13/09/2011
20
21. 13/09/2011
ITIL
Por que utilizar o modelo ITIL?
... O que não é definido não pode ser controlado
... O que não é controlado não pode ser medido
... O que não é medido não pode ser melhorado
Empregado para definir, controlar, medir e direcionar melhorias
incrementais no Suporte & Entrega de Serviços em TI.
41 Fernando Henrique Gaffo 13/09/2011
ITIL
No cenário tão complexo que vivemos hoje ocorrem
incidentes diários que devem ser tratados de
maneira rápida para que perdas no negócio
(impacto) sejam evitadas ou no pior dos casos
minimizadas.
Problemas no funcionamento de um hardware ou
aplicação, por exemplo, podem tornar indisponível um
sistema de vendas on-line, causando grandes prejuízos.
42 Fernando Henrique Gaffo 13/09/2011
21
22. 13/09/2011
ITIL
43 Fernando Henrique Gaffo 13/09/2011
ITIL
Os analistas de negócio esperam que um dia estes
incidentes não existam;
Que a TI passe a fornecer soluções de tecnologia
que:
Tornem as decisões mais fáceis;
Aumentem a performance das transações;
Diminuam os custos;
Maximizem os lucros, enfim,
Que deem o retorno esperado pelo investimento que vem
sendo feito em tecnologia durante tanto tempo.
44 Fernando Henrique Gaffo 13/09/2011
22
23. 13/09/2011
ITIL
O ITIL é um conjunto de 5 Livros que compõem o
ciclo de vida + um livro que explica o ciclo de vida:
Estratégia de Serviço (Service Strategy);
Desenho de Serviço (Service Design);
Transição de Serviço (Service Transition);
Operação de Serviço (Service Operation);
Melhoria de Serviço Continuada (Continual Service
Improvement);
Introdução ao Ciclo de Vida do Serviço do ITIL (Official
Introduction to the ITIL Service Lifecycle).
45 Fernando Henrique Gaffo 13/09/2011
ITIL
Estratégia de Serviço:
Como projetar, desenvolver e implementar
o Gerenciamento de Serviço;
Não apenas como uma capacidade
organizacional, mas também como ativo
estratégico;
Desenho de Serviço:
Como projetar e desenvolver serviços e
processos de Gerenciamento de Serviços;
Princípios e métodos para transformação
de objetivos estratégicos em portfólio de
serviços e ativos estratégicos.
46 Fernando Henrique Gaffo 13/09/2011
23
24. 13/09/2011
ITIL
Transição de Serviço:
Como desenvolver e melhorar
capacidades de transitar novos
serviços ou alterações para a
produção;
Os requerimentos da ES “codificados”
no DS são entregues e com riscos
controlados;
Operação de Serviço;
Práticas de Gerenciamento de
Serviços em operação;
Como entregar e suportar serviços de
forma eficiente e efetiva, garantindo a
entrega de valor para o cliente;
47 Fernando Henrique Gaffo 13/09/2011
ITIL
Melhoria Contínua:
Provê direcionamento na identificação e
implementação de melhorias dos
serviços de TI que suportam os
Processos de Negócio;
Introdução ao Ciclo de Vida do
ITIL:
Os livros anteriores correspondem às
fases do ciclo de vida do serviço;
Este, por sua vez, organiza estas fases
de forma coerente e coesa, de modo
que o serviço possa ser concebido,
implantado, amadurecido, melhorado e
cair em desuso.
48 Fernando Henrique Gaffo 13/09/2011
24
25. 13/09/2011
ITIL
Ciclo de vida do ITIL:
49 Fernando Henrique Gaffo 13/09/2011
ITIL
Estratégia de Serviço:
• O objetivo da Estratégia de Serviço é preparar as
Organizações para que estejam em posição de lidar com
os custos e riscos associados ao seu Portfólio de
Serviço;
• Define estratégias e políticas a fim de orientar as demais
fases, direcionando a Organização de TI ao alcance dos
resultados adequados aos negócios;
• Prepara a Organização de TI para demonstrar valor,
influenciar as percepções do Cliente e responder às suas
preferências;
• Concede maior flexibilidade para a TI, colaborando com
as necessidades do negócio para enfrentar a
concorrência no mercado em constante mudança;
50 Fernando Henrique Gaffo 13/09/2011
25
26. 13/09/2011
ITIL
Processos da Estratégia de Serviços:
Gerenciamento de Portfólio de Serviços: estabelecer
uma base de decisão no direcionamento de estratégias e
Gerenciamento de investimentos em serviços;
Gerenciamento de Demanda: entender os padrões de
atividades do Negócio, influenciar a demanda do Cliente
por serviços e prover capacidade para atender estas
demandas;
Gerenciamento Financeiro: prover ao negócio de TI a
quantificação, em termos financeiros, do valor dos
Serviços de TI, do valor dos ativos que sustentam o
provisionamento destes serviços e a qualificação da
previsão operacional financeira.
51 Fernando Henrique Gaffo 13/09/2011
ITIL
Desenho de Serviço:
Projetar novos serviços ou alterações em serviços já
existentes para posteriormente colocá-los em produção;
Deve-se adotar uma abordagem única para todos os
aspectos e áreas do Desenho de Serviço, visando
assegurar a integração e consistência entre todas as
atividades, processos e tecnologias, processos de
gerenciamento de serviços e métricas necessárias para
seu acompanhamento;
O objetivo é estabelecer um serviço com as
funcionalidades e qualidade necessárias;
52 Fernando Henrique Gaffo 13/09/2011
26
27. 13/09/2011
ITIL
Processos do Desenho do Serviço:
Gerenciamento do Nível de Serviço: negocia, define e
documenta os acordos e as metas apropriadas para os
serviços de TI juntamente com o representante do
negócio, além de monitorar sobre a capacidade do
provedor do serviço entregar o serviço de TI no nível
acordado;
Exemplo:
“O serviço de correio eletrônico estará disponível das 8h às
22h, de segunda a sexta.
A caixa postal possui capacidade máxima de 10 Gbytes, etc.,
etc., etc., .....
Deverá estar disponível 95% do tempo ou poderá ficar fora do
ar até 3 vezes no mês, num intervalo mínimo de 5 minutos e no
máximo 10 minutos”;
53 Fernando Henrique Gaffo 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento de Catálogo de Serviço: Gerenciar as
informações contidas dentro do Catálogo de Serviço.
Garantir que as informações estejam corretas e reflitam
os detalhes, o estado, as interfaces e todos os serviços
que são entregues pelo provedor ou que estejam sendo
preparados para serem disponibilizados no ambiente de
produção
O Catálogo de Serviços é um banco de dados ou um
documento estruturado com informações sobre todos os
Serviços de TI que são entregues, incluindo aqueles que estão
disponíveis para entrar em produção;
54 Fernando Henrique Gaffo 13/09/2011
27
28. 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento de Disponibilidade: produzir e manter
um plano de disponibilidade apropriado e atualizado, que
reflita as necessidades de negócio correntes e futuras;
Exemplo:
Disponibilidade do serviço de correio eletrônico = 95%
O que fazer para manter o servidor 95% ativo?
O que fazer em caso de falha?
Como recuperar em caso de falha?
Caso haja um aumento de demanda como proceder para
manter o serviço 95% ativo?
Qual o tempo entre falhas?
Qual o tempo de recuperação?
55 Fernando Henrique Gaffo 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento da Capacidade: garantir que haja
capacidade em todas as áreas de TI, a custos
justificáveis, para atender as necessidades acordadas do
Negócio (atuais e futuras), em tempo hábil;
Exemplo:
Existe capacidade dos recursos de TI para atender os objetivos
de um novo acordo nível de serviço?
O Gerente de Capacidade deve garantir que o uso da
capacidade existente seja otimizado para não haver
desperdício de recursos;
56 Fernando Henrique Gaffo 13/09/2011
28
29. 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento de Segurança da Informação: alinhar a
segurança de TI com a segurança do Negócio e garantir
que a segurança da informação seja efetivamente
gerenciada em todos os serviços e atividades do
Gerenciamento de Serviços;
Exemplo:
Políticas de uso dos ativos de TI;
Política de e-mail;
Política de internet;
Política controle de acessos;
Etc;
57 Fernando Henrique Gaffo 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento da Continuidade de Serviço de TI: garantir
que os recursos técnicos de TI (sistemas de computação,
redes de dados, aplicações, central de serviços, etc.) e de
serviços possam ser retomados dentro dos períodos de tempo
requeridos e acordados com o Negócio;
Exemplo:
Gerenciar os riscos que podem afetar seriamente os serviços de
TI;
Vulnerabilidades: uma porta de firewall aberta ou uma senha que
nunca é trocada;
Ameaça: qualquer coisa que possa explorar uma vulnerabilidade;
Gerenciamento de Crise;
58 Fernando Henrique Gaffo 13/09/2011
29
30. 13/09/2011
ITIL
Processos do Desenho do Serviço (continuação):
Gerenciamento do Fornecedor: gerenciar os serviços
que são entregues pelos Fornecedores e provisionar
qualidade de ponta-a-ponta de tais serviços, garantindo o
valor do investimento realizado;
Exemplo:
Base de Dados de Fornecedor e Contratos;
Deve-se monitorar, reportar e rever o desempenho do
fornecedor contra os objetivos, identificando melhorias, ações
apropriadas e garantir que essas ações sejam implementadas;
59 Fernando Henrique Gaffo 13/09/2011
ITIL
Transição do Serviço:
A Transição de serviço atua como uma espécie de ponte entre
o Desenho de serviço e a Operação de serviço, tratando da
implantação dos serviços desenhados;
Processos da Transição do Serviço:
Gerenciamento de Mudança: garantir que mudanças sejam
registradas, e então avaliadas, autorizadas, priorizadas,
planejadas, testadas, implementadas, documentadas e
revisadas de uma maneira controlada;
Exemplo:
Quem requisitou a mudança? Qual a razão da mudança? Qual é o
retorno requerido da mudança? Quais são os riscos envolvidos na
mudança? Quais são os recursos necessários para a entrega da
mudança? Quem é o responsável pela construção, teste e
implementação da mudança? Qual é o relacionamento entre esta
mudança e outras?
60 Fernando Henrique Gaffo 13/09/2011
30
31. 13/09/2011
ITIL
Processos da Transição do Serviço (continuação):
Gerenciamento da Configuração e de Ativo de
Serviço: definir e controlar os componentes de serviços
e infraestrutura e manter com precisão a informação
sobre o histórico, o estado corrente e planejado dos
serviços e infraestrutura. Influencia diretamente o
Gerenciamento da Capacidade e o Gerenciamento da
Disponibilidade;
Gerenciamento de Liberação e Implantação: construir,
testar e entregar a capacidade de prover os serviços
especificados pelo Desenho de Serviço e que atendam
aos requisitos dos interessados;
Exemplo: Como se dará a liberação? Tudo de uma vez ou
primeiro em São Paulo, depois no Rio de Janeiro, etc.;
61 Fernando Henrique Gaffo 13/09/2011
ITIL
Operação do Serviço:
Coordenar e conduzir atividades e processos necessários
para entregar e gerenciar serviços nos níveis acordados
com usuários e clientes;
Gerenciar as tecnologias que são utilizadas para entregar
e suportar os serviços;
Nesta fase todos os valores agregados ao negócio pelas
outras fases são percebidos e mensurados;
Funções: Service Desk – Prover um ponto único de
contato para os clientes e usuários a fim de gerenciar a
Resolução de incidentes e assuntos relacionados ao
suporte;
62 Fernando Henrique Gaffo 13/09/2011
31
32. 13/09/2011
ITIL
Processos da Operação do Serviço:
Gerenciamento de Incidentes: restaurar a operação
normal do serviço o mais rápido possível e minimizar o
impacto adverso nas operações do negócio;
Um incidente é uma interrupção não planejada ou redução na
qualidade de um serviço de TI;
Exemplo: “se tiver que colar um durex para resolver o problema
então faça!”
63 Fernando Henrique Gaffo 13/09/2011
ITIL
Processos da Operação do Serviço (continuação):
Gerenciamento de Problemas: prevenir a ocorrência de
problemas e incidentes. Eliminar a recorrência de
incidentes. Minimizar o impacto de incidentes;
Problema é a causa não conhecida de um ou mais incidentes;
Erro conhecido: é um problema que possui a sua causa-raiz
identificada e uma solução de contorno documentada (BD de
erros conhecidos).
64 Fernando Henrique Gaffo 13/09/2011
32
33. 13/09/2011
ITIL
Melhoria de Serviço Continuada:
Revisar, analisar e recomendar sobre oportunidade de
melhorias sobre todo o ciclo do serviço;
Rever e analisar resultados de SLA;
Identificar e implementar atividades individuais para melhoria
da qualidade de Serviço de TI;
Melhorar custos e efetividade;
Estabelece um círculo de monitoração e feedback,
encontrando oportunidades de melhoria dentro do ciclo de vida
do serviço continuamente;
Aumenta o aprendizado/conhecimento sobre os serviços;
Feedbacks ajudam a melhorar os processos;
Alinhada às necessidades do negócio (Qualidade, Custos e
Prazos);
65 Fernando Henrique Gaffo 13/09/2011
Dúvidas?
E-mail: fernandogaffo@gmail.com
Facebook: /fgaffo
Twitter: @fgaffo
66 Fernando Henrique Gaffo 13/09/2011
33
34. 13/09/2011
OBRIGADO
67 Fernando Henrique Gaffo 13/09/2011
Referências
Rodolfo Miranda de Barros. Governança de
Tecnologia da Informação e Comunicação - 2011.
Mario Lemes Proença Jr. Governança de
Tecnologia da Informação e Comunicação - 2010.
68 Fernando Henrique Gaffo 13/09/2011
34