Governança de TIUNICAMP – 13/10/2014

Edson Roberto Gaseta

Fundação CPqD

Instituição

brasileira

focada em

inovação

Desenvolvimento

de tecnologia

nacional

Experiência

em projetos

de TI e de

negócios

Modelo de operação

Programa de P&D

Ação comercial

Criação de empresas

Foco nas necessidades do

cliente

Comunicação e MultimídiaDefesa e Segurança

Administração PúblicaUtilities

FinanceiroIndústrias

Mercados

Ação comercial

Governança de TI

Como garantir a alinhamento estratégico entre

negócio e TI nas organizações?

70% dos projetos

de TI falham¹

Visão limitada de cada área

TI Negócio

Estratégia desincro-

nizada

¹ Fonte: Gartner IT Projects Survey 2013

Big DataBig DataBig DataAutomatização

de processos

Automatização

de processos

Automatização

de processos

Segurança

da

informação

Segurança

da

informação

Segurança

da

informaçãoIntegração

de sistemas

Integração

de sistemas

Integração

de sistemas

MobilidadeMobilidadeMobilidade

As tecnologias e tendências

que movem as organizações

Necessidade de Governança de TI

Mantera TI funcionando

Segurança

Valor/Custo

GerenciarComplexidade

Alinhar TI comos negócios

Leis e Regulamentos

Governança de TI

Alinhamento adequado entre

as camadas de negócio e TI,

planejando a evolução do

ambiente tecnológico para

garantir desempenho,

capacidade e maior

eficiência as organizações

brasileiras.

Tomada de Decisão na Governança de TI

GovernançaEstrutura

Estilo de Tomada de Decisão

Processos

Roteiro de Governança de TI

• Definir o papel da TI na organização;

• Realizar o alinhamento estratégico entre TI e negócio compatível com o papel definido para a TI;

• Definir a entrega de valor dos serviços de TI esperados pela organização;

• Definir medidas de desempenho da TI;

• Implantar uma política de gestão de riscos adequada;

• Implantar os controles adequados dos processos de TI;

• Definir estilos, estruturas e processos de tomada de decisão compatíveis com a cultura e os objetivos da organização.

Problemas que podem ocorrer na

implantação da Governança de TI

• Os modelos são liderados pelo pessoal de TI e falham em obter aprovação das lideranças da organização;

• A governança de TI é uma miscelânea de processos e estruturas que é entendida somente por alguns líderes de TI, na melhor das hipóteses;

• As estruturas (conselhos, comitês direcionadores etc.) de governança não foram integradas levando a processos desconectados e a tratamento de exceções;

• Um modelo “único” de governança tem se mostrado inadequado.

CobiT ITIL

¹ Fonte: Gartner IT Projects Survey 2013

ISO 20000ISO 27000

?PDTI PETI

Estrutura do COBIT 5

• A estrutura do COBIT 5 ajuda as organizações a criarem o melhor valor possível com o uso de TI, mantendo o equilíbrio entre a realização dos benefícios e a otimização dos níveis de risco e do emprego de recursos;

• O COBIT 5 permite que a informação e tecnologias relacionadas sejam governadas e geridas de maneira holística em toda a empresa, envolvendo completamente todas as áreas da organização, de acordo com os interesses relativos à TI das partes interessadas internas e externas;

• Os princípios e habilitadores do COBIT 5 são gerais e úteis as organizações de qualquer porte, sejam elas comerciais, sem fins lucrativos ou do setor público.

Princípios do COBIT 5

Fonte: COBIT ® 5, figura 2. © 2012 ISACA ® Todos os direitos reservados.

5. Separar governança de gerenciamento

1. Satisfazer as

necessidades das partes

interessadas

2. Envolver todas as áreas

da empresa

4. Possibilitar uma

abordagem holística

3. Empregar uma estrutura

única e integrada

Princípios do

COBIT 5

COBIT 5: Processos Habilitadores

Fonte: COBIT ® 5, figura 16. © 2012 ISACA ® Todos os direitos reservados.

Avaliar, Orientar e Monitorar Processos de governança corporativa de TI

Processos de gerenciamento de TI corporativa

Alinhar, Planejar e Organizar

Construir, Adquirir e Implementar

Entregar, Atender e Dar Suporte

Monitorar, Avaliare Analisar

EDM01 Garantir definição da estrutura de

governança e manutenção

EDM02 Garantirentrega de valor

(benefícios)

EDM03 Garantira otimização de

riscos

EDM04 Garantira otimização de

recursos

EDM05 Garantira transparência

das partes interessadas

APO01 Gerenciar estrutura de

gerenciamento de TI

APO02 Gerenciara estratégia

APO04 Gerenciar a inovação

APO03 Gerenciara arquitetura corporativa

APO05 Gerenciar o portfólio

APO06 Gerenciaro orçamento e os

custos

APO07 Gerenciar os recursos

humanos

APO08 Gerenciar as relações

APO09 Gerenciar os contratos de

serviços

APO11 Gerenciara qualidade

APO10 Gerenciaros fornecedores

APO12 Gerenciar os riscos

APO13 Gerenciar a segurança

BAI01 Gerenciarprogramas y

projetos

BAI02 Gerenciara definição de

requisitos

BAI04 Gerenciar a disponibilidade e

capacidade

BAI03 Gerenciara identificação e construção de

soluções

BAI05 Gerenciar a promoção de

mudança organizacional

BAI06 Gerenciar mudanças

BAI07 Gerenciar o aceite da mudança

e transição

BAI08 Gerenciar o conhecimento

BAI09 Gerenciar os ativos

BAI10 Gerenciar a configuração

DSS01 Gerenciar as operações

DSS02 Gerenciar as requisições de

serviços e os incidentes

DSS04 Gerenciar a continuidade

DSS03 Gerenciar problemas

DSS05 Gerenciar os serviços de

segurança

DSS06 Gerenciar os controles de processos de

negócio

MEA01 Monitorar, avaliar e analisar o

desempenho e conformidade

MEA02 Monitorar, avaliar e analisar o

sistema de controle interno

MEA03 Monitorar, avaliar e analisar a conformidade com requisitos externos

5

13

10

63

37

Estrutura da ITIL V3

Ciclo de Vida de Serviço

• A arquitetura central da ITIL V3 é baseada no Ciclo de Vida de Serviço, que enfatiza a importância da coordenação e controle por meio de váriasfunções, processos e sistemas necessários para se gerenciar o ciclo de vida dos serviços de TI.

ServiceDesign

Service

ITIL

Estratégiado Serviço

Operaçãodo Serviço

Desenhodo Serviço

Melhoria Contínuado Serviço

Transiçãodo Serviço

Estratégiade Serviços

Desenhode Serviços

Transiçãode Serviços

Operaçãode Serviços

Melhoria Contínua de Serviço

Gerenciamento deNível de Serviço

Gerenciamentode Mudança

Gerenciamento deDisponibilidade

Gerenciamentode Capacidade

Gerenciamentode Continuidade

Central deServiços

Gerenciamentode Incidente

Gerenciamentode Problema

Gerenciamentode Configuração

Gerenciamentode Liberação

Gerenciamento de Segurança Informação

Gerenciamento doCatálogo Serviço

Gerenciamentode Fornecedores

Gerenciamentode Acesso

Gerenciamentode Evento

Planejamento e Suporte a Transição

Validaçãoe Teste

Avaliação de Mudanças

Gerenciamento doConhecimento

GerenciamentoTécnico

Gerenciamentode Aplicação

Cumprimentode Requisição

F

F

F

Gerenciamentode OperaçõesF

F = Funções = Processos / Funções contratados

Gerenciamento da Estratégia

GerenciamentoFinanceiro

Gerenciamentodo Portfolio

Gerenciamentode Demanda

Ger. Relacionamentocom o Negócio

Coordenação do Desenho

ITIL V3 – Ciclo de vida dos serviços de TI

ISO 20000Norma ISO para certificação de empresas no Gerenciamento de Serviços de TI, com base nas melhores práticas das disciplinas ITIL, buscando:

• Alinhar serviços de TI com as necessidades do negócio;

• Estabelecer cultura de melhoria contínua na organização;

• Promover a adoção de uma abordagem por processos na organização de TI;

• Demonstrar a qualidade dos serviços de TI;

• Reduzir custos através de estruturas otimizadas e transparentes;

• Cumprir requisitos contratuais;

• Reduzir exposição operacional a riscos.

Processos de Relacionamento• Gerenciamento de Relacionamento com o

Negócio• Gerenciamento de

Fornecedores

Processos de Resolução

• Gerenciamento de Incidentes

• Gerenciamento de Problemas

Processo de Liberação

• Gerenciamento de Liberação

• Gerenciamento da Segurança da Informação

• Gerenciamento de Níveis de Serviço

• Gerenciamento de Capacidade

• Gerenciamento de Continuidade e

Disponibilidade dos Serviços

Processos de Entrega de Serviços

Processos de Controle• Gerenciamento de Configuração

• Gerenciamento de Mudança

Gestão de Serviços de TI

ISO 20000 - Processos

ISO 27000• ISO 27000: Tecnologia da Informação – Técnicas de segurança –

Sistema de gestão de segurança da informação – Visão geral e vocabulário

• ISO 27001: Tecnologia da Informação – Técnicas de segurança –Sistema de gestão de segurança da informação – Requisitos

• ISO 27002: Tecnologia da Informação – Técnicas de segurança –Código de prática para controles de segurança da in formação

• ISO 27003:Tecnologia da informação – Técnicas de segurança –Diretrizes para implantação de um sistema de gestão da segurança da informação

• ISO 27004:Tecnologia da informação — Técnicas de segurança —Gestão da segurança da informação — Medição

• ISO 27005: Tecnologia da informação — Técnicas de segurança —Gestão de riscos de segurança da informação

Aplicações

• Auditoria em SegInfo

• Implantação da GSegInfo

• Certificação em SegInfo

• Auditoria nos processos de GSTI

• Certificação da TI nos processos de GSTI

• Implantar os processos de GSTI

• Voltado para a operação da TI

• Utilização de ferramenta de GSTI

• Diagnóstico dos processos de Governança de TI

• Maturidade dos processos de Governança de TI

• Direcionamento da implantação CobiT ITIL

ISO 27000

ISO 20000

Materializar a Governança de TI

• Por onde começar?

• Elaborar um Plano Diretor de Tecnologia da Informação - PDTI ou um Plano Estratégico de Tecnologia da Informação – PETI?

Levantamento da ArquiteturaTecnológica

Levantamento de

Gestão de TIC

Estratégias paraEvolução da Arquitetura Tecnológica

Planos de ação e projetos

Alinhamento Estratégico

Plano Tático eOperacional

Levantamento das Informações

Institucionais

Alinhamento estratégico

PLANO DIRETOR

TECNOLOGIA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

ARQUITETURA DE NEGÓCIO

Serviços profissionais

Governança Corporativa e de TI

MATURIDADERISCOS

POLÍTICAS SIBALANCE

SCORECARDPROCESSOS

CADEIA DE VALORMODELAGEMINDICADORESPROCESSOS

GOVERNANÇA EM TI

APOIO NO PROCESSO DE

CONTRATAÇÃO

NUVEMBIG DATA

APLICAÇÕESBASE DE DADOS

BUSINESS ANALYTICS

PLANO DIRETOR

TECNOLOGIA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

ARQUITETURA DE NEGÓCIO

Serviços profissionais

Governança Corporativa e de TI

MATURIDADERISCOS

POLÍTICAS SIBALANCE

SCORECARDPROCESSOS

CADEIA DE VALORMODELAGEMINDICADORESPROCESSOS

GOVERNANÇA EM TI

APOIO NO PROCESSO DE

CONTRATAÇÃO

NUVEMBIG DATA

APLICAÇÕESBASE DE DADOS

BUSINESS ANALYTICS

Compromisso

com resultado

Acompanhamento

do início ao fim do

projeto

Mitigação de riscos

Neutralidade na

recomendação

Garantia da melhor

opção de mercado

Melhor adequação à

operação

Conhecimento da

tecnologia

Integração efetiva

entre tecnologia e

operações

Diferenciais

Obrigado!

www.cpqd.com.br