Aula 2GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO

TI E AFINSCAÍKE DAMIÃO NASCIMENTO SILVA

Tomada de Decisão na Governança de TI

A governança de TI aborda um conjunto de práticas que destinam o gerenciamento, o controle e a qualidade dos processos com foco em aumento de valor para o negócio. Além das abordagens de controle de risco, as ações estratégicas envolvem toda a gestão da organização. Viabilizando ações de melhoria, buscando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações ao objetivo de negócio da organização.Para que a Governança de TI atue em toda a extensão da empresa, é preciso estabelecer os mecanismos de processo de decisão e o alinhamento estratégico com o negócio.

A seguir, as capacidades que devem estar disponíveis:

Estruturas formais de integração: definição dos executivos e as áreas de atuação, institucionalizar os comitês e conselhos.

Processos formais de integração: Alinhar e documentar os procedimentos de tomada de decisão estratégica de TI.

Integração: Envolve o momento de tomada de decisões da TI. E acontece de várias maneiras como: integrando a área administrativa e a TI em relação ao compartilhamento do cronograma e orçamento. De maneira sequencial: as decisões de negócio endereçam as tomadas de decisão de TI; De maneira reciproca, quando as decisões de negocio e TI articulam-se mutuamente, e integralmente quando as decisões de negócio e TI caminham num mesmo processo.

A norma NBR ISO/IEC 38500 (2009), trata da Governança Corporativa de Tecnologia da Informação e oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organizações.

Essa norma em especial, enfatiza a importância das relações humanas para o desenvolvimento integral das Governanças. Também auxilia a alta administração das organizações no entendimento e cumprimento das obrigações legais, regulamentares e éticas com relação ao uso da Tecnologia da Informação.

A norma fundamenta-se em seis princípios que oferecem as diretrizes para a implantação e manutenção de Governança de TI.

1. Responsabilidade: Todos os participantes da organização devem ter clareza sobre suas responsabilidades na procura e fornecimento de informações na TI. A ética e a distribuição de responsabilidades devem estar claras.2. Estratégia: Diz respeito a como será realizada a abordagem na busca por mudanças de comportamentos da equipe que beneficiarão a organização. As mudanças de comportamento têm que trazer motivação ao grupo e estar integrada ao cotidiano da organização.3. Aquisição: Definidas as responsabilidades e adotadas as estratégias, o 3º item, a Aquisição, busca identificar o que será necessário adquirir para dar andamento às estratégias em busca do comportamento almejado, pode ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise e medição dos processos são importantes, pois indicam os objetivos alcançados, ou não.

4. Desempenho: Deve ser medido e monitorado, com metas e métricas bem definidas, para que a gestão possa avaliar os resultados obtidos e se necessário, realize ações corretivas necessárias.5. Conformidade: a adoção de comportamento ético é imprescindível para o sucesso da Governança. É fundamental atuar de forma irrepreensível em relação aos aspectos legais, estatutários, contratuais, regulatórios que envolvem a organização, alinhando esses preceitos a adoção de uma postura transparente e adequada para com o mercado, a sociedade e a sustentabilidade.6. Comportamento Humano: a busca pela melhora nas relações e no comportamento é enfatizado nesse 6º principio, ficam evidentes a importância do capital humano e da integração dos grupos para o pleno desenvolvimento da Governança.

Veja que todos os princípios que compõe a ISO/IEC 38500:2008 priorizam a mudança comportamental daqueles que representam a organização, a TI e por consequência a própria organização.

Sobre os princípios da boa governança de TI, a empresa precisa abordar algumas questões para obtê-la (WEILL e ROSS, 2006):

Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?

Quem deve tomar essas decisões?

Como essas decisões serão tomadas e monitoradas?

Capacidades e Processos sobre Direitos Decisórios

Cada decisão deve considerar Investimentos em TI, Princípios da TI, Arquitetura, Necessidades de Aplicações de Negócios e Estratégias de Infraestrutura de TI:

Investimentos em TI: Escolhendo quais iniciativas financiar e quanto gastar. Weill e Ross (2006) apresentam três dilemas enfrentados nas decisões sobre investimentos em TI: quanto gastar, em que gastar e como conciliar as necessidades de diferentes grupos de interesse. Nenhum framework ou análise substitui uma direção estratégica clara. Uma vez entendidos os objetivos de negócio, investimentos em TI costumam gerar retornos significativos.

Princípios da TI: Uma vez definidos, os princípios de TI tornam-se parte do vocabulário da empresa e podem ser discutidos, apoiados, aprimorados ou recusados. Assim, para saber se a TI e a administração estão em acordo é só analisar a integração entre os setores e a fluidez das atividades. A TI é uma boa ferramenta para exercitar a organização das tarefas e educar os executivos sobre as estratégias tecnológicas e as decisões de investimento em tecnologia. Os princípios trazidos pela TI estabelecem uma cultura empresarial voltada para as politicas, normas e diretrizes. Algumas ações estimuladas pela TI são habilitar o negócio, assegurar a integridade das informações, criar uma visão comum entre os clientes, administrar a TI como investimento. Os princípios de TI devem refletir um comportamento adequado tanto para os profissionais quanto para os usuários de TI.

Arquitetura: Para que a arquitetura de TI seja eficiente e responda as demandas do projeto, é necessário:– A definição dos requisitos de integração e padronização dos processos na empresa.– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter padronização e integração do negócio almejado.– As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão quanto para a boa utilização de Tecnologia da Informação.– A integração e a padronização moldam a capacidade de TI.

Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de aplicações desse negócio que geram valor diretamente. Para articular essas necessidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá contrariar os princípios da arquitetura adotados pela empresa.

Estratégias de infraestrutura de TI: A base do planejamento de TI esta em determinar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos e não humanos, causando atrasos e incompatibilidades entre sistemas. Já a empresa com investimento reduzido, abaixo do que seria necessário, trabalha com implantações apressadas a fim de atender prazos, por exemplo automação local sem integração com o restante da empresa, e compartilhamento restrito de recursos.

O uso de arquétipos identifica o tipo de cada função envolvida na tomada de decisões de TI:

- Monarquia de Negócios: Altos executivos de negócio tomam as decisões de TI que afetarão toda a empresa.- Monarquia de TI: A decisão é tomada pelos especialistas de TI.- Feudalismo: As decisões são tomadas pelas unidades de negócio da empresa de forma independente.- Federalismo: Há uma combinação das unidades de negócio com uma central corporativa podendo ou não haver envolvimento do pessoal de TI.- Duopólio de TI: A decisão envolve dois grupos, sendo um deles os especialistas de TI e outro grupo pode ser formado por líderes da unidade de negócio ou gerentes executivos.- Anarquia: A tomada de decisão é individual ou feita de forma isolada por pequenos grupos com base em necessidades locais.

Assim, através de uma matriz de relacionamento entre as decisões e os arquétipos é possível enumerar quem deve tomar a decisão de TI em diferentes situações. No entanto, há o constante desafio das empresas em identificar quem será o responsável por cada tipo de decisão de governança. Essa matriz recebe o nome de Matriz de Arranjos de Governança (WEILL e ROSS, 2006).

OS gestores de TI são os principais atores do processo decisório tanto nas organizações públicas quanto privadas, sobretudo para as decisões-chave que envolvem os princípios, arquitetura e estratégias de infraestrutura de TI.

Framework de Governança de TI

A todo o momento a alta gerência das empresas precisa avaliar o valor dos investimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimento) gerado. Muitos sistemas implementados não geram retorno compatível, ou não aprimoram os processos, gerando apenas aumento de despesas anuais sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por sistemas mal implementados.

O que vemos com frequência no mercado, atualmente, é a terceirização da área de TI adotando modelos de Cloud Computing (computação em nuvem).

Modelos de Cloud Computing:- HaaS: Hardware as a Service (Hardware como Serviço) é uma forma de disponibilizar recursos de hardware para que empresas possam contratá-los via locação, sem se preocupar em tê-los disponíveis localmente.- SaaS: Software as a Service (Software como Serviço) é quando o cliente não precisa se preocupar com instalação de softwares, configurações de rede, servidores, licenças de programas. O fornecedor do serviço cobra uma taxa de uso para disponibilizar o serviço e dar o suporte necessário. O software pode funcionar 100% pela Internet ou ter alguma instalação local. Exemplos disto são Webmails como Gmail, Yahoo ou pacotes como o Office 365.- PaaS: Platform as a Service (Plataforma como Serviço) é um ambiente de computação em camadas e soluções como serviço. É parecido com o SaaS, mas ao invés de software entregue pela Internet oferece um ambiente para criação, hospedagem e controle de software. Possui uma série de recursos para escalabilidade, segurança integrada e integração com outros serviços Web. Exemplos são o Google AppEngine e o Force.com da SalesForce.- IaaS: Infrastructure as a Service (Infraestrutura como Serviço) é uma forma de entregar toda infraestrutura de servidores, armazenamento, serviços de backup, e outros, numa combinação entre nuvens públicas e privadas. Possui alta escalabilidade e ferramentas com monitoramento avançado. Exemplos são o EC2 da Amazon e o Azure da Microsoft.

Muitas vezes, a grande questão da empresa são mecanismos de governança mal concebidos ou mal gerenciados e não necessariamente questões isoladas de Tecnologia da Informação.

Um framework de governança deve buscar a harmonização entre a estratégia e a organização da empresa, os arranjos de Governança de TI e as metas de desempenho de negócio.

A estratégia e a organização da empresa definem comportamentos esperados que motivam a governança. As empresas criam arranjos de governança para cada um de seus ativos, habilitando e influenciando a estratégia. Os arranjos de governança atribuem direitos decisórios para as decisões de cada ativo. O desempenho das ações é medido por métricas obtidas nos sistemas e gerenciamento de TI e alinhados às decisões de governança.

A implementação da Governança de TI é pautada em três aspectos:

- Abordagens de Comunicação: visa disseminar os princípios e políticas de governança de TI, além dos resultados dos processos decisórios. É feita por comunicados e canais internos diversos.- Estruturas de Tomada de Decisão: compreende as unidades e papéis organizacionais que visam a tomada de decisão de TI como os comitês, as equipes executivas e os gerentes de relacionamento entre negócio e TI.- Processos de Alinhamento: refletem a organização das atividades da empresa e sua execução cotidiana. Devem estar consistentes com as políticas de TI, respeitar acordos de níveis de serviço (definem as entregas), métricas, e consumo de recurso.

De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas contendo:

- Escopo do Programa com a lista de processos a serem implementados;- Sequência de implantação dos processos, considerando precedência dos processos;- Cronograma para implantação dos processos;- Plano de recursos estimado para o Programa;- Serviços a serem adquiridos;- Orçamento estimado para os projetos e o Programa;- Benefícios esperados;- O formato de gerenciamento do Programa;- Riscos;- A estratégia para gerenciamento de mudança;- Modelo de comunicação.

A implementação do Programa de Governança de TI necessita do emprego de uma série de técnicas baseadas nos modelos considerados como os melhores do mercado.

Para inicio das atividades é comum a escolha pelo COBIT (Control Objectives for Information and Related Technology), como referência global para os processos de TI, após a identificação dos processos através do COBIT, deve-se escolher modelos específicos para cada processo e adaptá-los as necessidades da empresa.

Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Empresas.

COBIT, SOX atuam com mecanismos de controle, enquanto VAL IT e Risk IT visam avaliação de valor. O alinhamento da Governança de TI à Gestão de TI vem pelo controle dos diversos aspectos da empresa, desde os serviços oferecidos, até a arquitetura empresarial. Podemos citar alguns dos modelos e frameworks existentes:- COBIT (Control Objectives for Information and related Technology): Governança e Controle;- VAL IT: Investimentos em TI;- ITIL e ISO 20000: Serviço;- CMMI e MPS BR: Engenharia de Software;- ISO 27000 a ISO 27008: Segurança da Informação;- BSC (Balanced Scorecard): Planejamento e desempenho da empresa;- PMBOK (Project Management Body of Knowledge): Projeto;- Six Sigma: Qualidade de processo;

- eSCM-CL (The eSourcing Capability Model for Client): práticas de estratégia e gerenciamento de outsourcing de serviços de TI que o cliente utiliza;- eSCM-SP (The eSourcing Capability Model for Service Providers): práticas que o provedor de serviços de TI utiliza em outsourcing;- TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio, aplicações e tecnologia;- NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da Informação- BPM (Business Process Management): Gerenciamento de Processos de Negócio;- SAS 70 (Statement on Auditing Standards No. 70 Service Organizations): Regras de auditoria para empresas de serviços.

A Implementação da Governança de TI nas empresas é um processo de longo prazo e visa atender diversos requisitos, como (FERNANDES e ABREU, 2008):- Liderança para Mudança;- Instituição de um Programa de Governança de TI;- Envolvimento dos executivos da organização;- Abordagem de Gestão de Mudança Cultural;- Entendimento dos estágios de maturidade em que a organização de TI está;- Equipe qualificada;- Modelo de Governança de TI;- Verificação da satisfação aos objetivos pretendidos pela Governança de TI;- Atacar vulnerabilidades principais;- Implementar marketing interno para a TI.

A recomendação para o fortalecimento das ações estratégicas em TI é que as equipes sejam permanentes, com funções bem distribuídas, em organizações de grande porte, normalmente, há uma área especifica para a Governança de TI, como um departamento ou Gerência. Já nas empresas de menor porte a Governança de TI tem suas atividades exercidas por uma equipe temporária, que se forma sob demanda, atuando em diferentes frentes, como medindo os benefícios alcançados, e em outro momento verificando as melhorias em processos.

O apoio da alta gestão da organização é fundamental para o sucesso da Governança de TI. O desafio é conduzir as mudanças necessárias, fazendo entender que é preciso alterar a estrutura e a forma da atuação da TI. É importante que a empresa perceba a Governança de TI como um benefício e não uma burocracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo da alta gestão da empresa e sem a participação do corpo funcional.

Controles para Governança de TI

Nas empresas, os administradores estabelecem padrões e vão acompanhando as variações que ocorrem no dia-a-dia da organização, usualmente, através de indicadores. Quando algum desses indicadores sai do padrão, a administração toma providências para que a organização volte para o controle.

Na empresa os controles acontecem em todos os níveis da organização. A figura a seguir, apresenta algumas ferramentas de controle administrativo bastante usadas.

O Controle é realizado através dos cargos de supervisores, gerentes e administradores. Observe que na base da pirâmide aparece a gerência inferior com diversos procedimentos para indicar como as operações serão realizadas.As auditorias regulares estão presentes como forma importante de controle. E a hierarquia administrativa estão bem definida.Na 2ª camada da pirâmide, observe que os gerentes intermediários utilizam o orçamento como forma de controle. A gerência analisa os relatórios demonstrativos de orçamento, analisam o desempenho em relação às metas e em função dos resultados e controlam os gastos, exercem ainda supervisão sobre seus subordinados e sempre que necessitam utilizam dessa hierarquia para obter informações que não lhe estão acessíveis diretamente. Muitas vezes, os gerentes intermediários formam comitês organizadores para manter maior controle sobre a gestão.Como podemos ver, na camada mais alta da figura há Administração Superior que pode usar a estrutura da empresa para delegar as responsabilidades aos seus subordinados. Os subordinados delegam responsabilidades aos outros até envolver todos os níveis gerenciais. Esta forma de distribuição em pirâmide permite a distribuição de responsabilidades com cobrança direta a alguns poucos colaboradores.

Controle no Desenvolvimento de Sistemas

Em poucos anos assistimos uma evolução nos sistemas de controle, os sistemas de informação automatizados contribuíram significativamente para o aumento de controle. Principalmente, se considerarmos os dispositivos que trocam as informações em tempo real. Ainda é possível integrar vários sistemas através do conceito de Serviços (Web Services)Todas as facilidades criam possibilidades, mas também novos desafios, novos problemas de controle surgem, principalmente quando se trata de sistemas maiores.Os grandes sistemas dificilmente terão um responsável capaz de atuar de forma integral em todos os quesitos como sistemas e controles. Para esses grandes sistemas será preciso que se tenham novos controles como, por exemplo, a segregação de uso através da criação de perfis.

Controle de OperaçõesVocê se lembra do BUG do milênio?Aproximando-se do ano 2000 houve muitas especulações, não se sabia como os computadores iriam se comportar a partir de 01/01/2000. O fato é que na época haviam muitos sistemas antigos que, para economizar espaço (o custo de armazenamento de informação era caro), memorizavam apenas as duas posições finais do ano. Como exemplo, o ano de 1999 era lido apenas com os dois últimos dígitos 99. A lógica era bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente. Tudo bem, até que chegasse o ano 2000. Se nada fosse feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900.

Imagine todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos financeiros? E as bombas de abastecimento de combustível? Felizmente o mundo se mobilizou e com muito trabalho resolveram a tempo o que seria o bug do milênio.

Atualmente, as preocupações de controle, passam por políticas antivírus, monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Outra ajuda, foi a Lei SOX que também colaborou com as empresas para controlar melhor os seus processos.

SegurançaAs trocas de informações entre pessoas e empresas crescem a cada dia. Empresas de todos os segmentos e portes utilizam como canal de comunicação, seu portal, seu Website, buscando novos negócios. Através desses novos canais as empresas passaram a trocar informações com outras empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Logo, programas maliciosos invadiram na mesma rapidez e se ocupam em monitorar uma rede e interceptar informações para serem utilizadas posteriormente e permitir o domínio dessa rede, ou usufruir de dados confidenciais como contas bancárias e cartões de crédito.Novas tecnologias, novos programas maliciosos, novas técnicas de controle! Para dar conta do recado foi aperfeiçoado novas técnicas de proteção, melhoraram o uso da criptografia e surgiram novos mercados especializados em Segurança da Informação.

Os novos desafios exigiram novas especializações das empresas de Segurança da Informação já existentes. Programas de antivírus, programas de monitoração de ambiente, roteadores e firewalls são utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas especializadas que gera um relatório de vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida.

Auditando Sistemas de Informação

As empresas preocupam-se em saber se as informações que afetam as transações financeiras estão sob controle. É comum, seja por necessidade leiga, ou iniciativa própria que haja realização de auditorias nas empresas. O auditor analisa os processos, faz entrevistas, analisa banco de dados e apresenta um parecer sobre sua avaliação.É de praxe o auditor verificar se as informações estão corretas e disponíveis corretamente, se as informações estão protegidas contra fraudes; se existe auditoria para verificar os acessos de uma determinada transação; se o acesso às informações está segregado por perfis; se as instalações e os equipamentos estão protegidos; e, se existe um plano para situações emergenciais que permita a continuidade do negócio. Empresas maiores costumam ter áreas de auditoria para manter os sistemas sempre sob controle.

A tomada de decisão é fator importante na Governança de Tecnologia da Informação. Para nos guiar nessa difícil tarefa existem conceitos e modelos que vimos nesta aula. Seja nos sistemas que atuam em operações do dia a dia da empresa, no desenvolvimento de novos sistemas, na gestão da segurança e ativos da empresa, sempre teremos decisões complexas a serem tomadas.