Governança TI halan

of 30/30
MBA-ENGSOFT Segurança de Sistemas 1 © 2005 Halan Ridolphi POLI / UFRJ MBA Engenharia de Software – Turma 2004 Disciplina: Segurança de Sistemas Professor: Ronaldo Andrade Deccax Aluno: Halan Ridolphi Alves
  • date post

    17-Dec-2014
  • Category

    Documents

  • view

    1.316
  • download

    4

Embed Size (px)

description

Information Technology

Transcript of Governança TI halan

  • 1. POLI / UFRJ MBA Engenharia de Software Turma 2004 Disciplina: Segurana de Sistemas Professor: Ronaldo Andrade Deccax Aluno: Halan Ridolphi AlvesMBA-ENGSOFT Segurana de Sistemas 1 2005 Halan Ridolphi
  • 2. Sumrio1 Conceitos .................................................................................................................32 Motivao ................................................................................................................43 Evoluo Histrica .....................................................................................................74 Agregando Valor ao Negcio ..................................................................................... 105 Metodologias & Frameworks ..................................................................................... 12 5.1 ITIL ............................................................................................................... 13 5.2 CobiT ............................................................................................................. 15 5.3 BSC ............................................................................................................... 17 5.4 Six Sigma....................................................................................................... 19 5.5 MOF MSF - MSM ........................................................................................... 20 5.6 BS7799 .......................................................................................................... 21 5.7 CMM/CMMI ..................................................................................................... 21 5.8 PMBOK .......................................................................................................... 236 Aplicaes .............................................................................................................. 257 Benefcios Econmicos ............................................................................................. 26 7.1 Cliente e Usurio ............................................................................................. 26 7.2 Gesto da Informao ...................................................................................... 26 7.3 Equipe de TI ................................................................................................... 26 7.4 Investimentos em Informao ........................................................................... 27 7.5 Alinhamento ao Modelo de Negcio .................................................................... 278 Governana de TI no Brasil ....................................................................................... 28 8.1 Petrobrs ....................................................................................................... 28 8.2 CLARO ........................................................................................................... 28 8.3 HSBC ............................................................................................................. 28 8.4 ABN Amro Bank .............................................................................................. 28 8.5 Vale do Rio Doce ............................................................................................. 289 Bibliografia ............................................................................................................. 30MBA-ENGSOFT Segurana de Sistemas 2 2005 Halan Ridolphi
  • 3. 1 Conceitos Na ltima dcada, a Tecnologia da Informao (TI) tem deixado de ser uma rea desuporte, tornando-se cada vez mais necessria na estratgia de negcios das corporaes.Aumenta-se ento a exigncia de resultados com relao a essa rea. Atualmente, impossvel imaginar uma empresa sem uma forte diviso de Sistemas deInformao (TI), para manipular os dados operacionais e prover informaes gerenciais aosexecutivos para tomadas de decises. A criao e manuteno de uma infra-estrutura de TI,incluindo profissionais especializados requerem altos investimentos. Algumas vezes a altadireo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefciosda tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para ofracasso de um empreendimento em mercados cada vez mais competitivos. Comumente, alguns gestores de TI no possuem habilidade para demonstrar os riscosassociados ao negcio sem os corretos investimentos em TI. Para melhorar o processo deanlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar econtrolar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio demelhorias nos processos empresariais. Esse novo paradigma conhecido como Governana deTI ou "IT Governance". Governana de TI uma estrutura de relacionamentos e processos para orientar econtrolar a organizao no alcance de seus objetivos de negcio, agregando valores, ao mesmotempo em que equilibra riscos em relao ao retorno da TI e seus processos. Diz respeito amtodos para tornar mais transparentes, organizadas e legtimas as prticas de direo emonitoramento do desempenho das empresas. De acordo com a definio da ITIL IT Infrastructure Library, Governana de TI umaestrutura de padres e melhores prticas para gerenciar os servios e infra-estrutura de TI. A expresso Governana de TI definida como uma estrutura de relaes e processosque dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcioatravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitasorganizaes, a informao e a tecnologia que suportam o negcio representa o seu maisvalioso recurso. Alm disso, num ambiente de negcios altamente competitivo e dinmico requerida uma excelente habilidade gerencial, onde TI deve suportar as tomadas de deciso deforma rpida, constante e com custos cada vez mais baixos. No existem dvidas sobre obenefcio da tecnologia aplicada aos negcios. Entretanto, para serem bem sucedidas, asorganizaes devem compreender e controlar os riscos associados no uso das novas tecnologias. Corporaes pelo mundo afora em busca de definies das metodologias, frameworks ouarquiteturas visando a mais correta organizao e otimizao de suas divises de TI, tm optadopor alguns dos mais variados padres mundialmente reconhecidos atualmente, tais como: CobiT (Control Objectives for Information and Related Technology) ITIL (IT Infrastructure Library) MOF MSF MSM (Microsoft Frameworks) NBR ISO/IEC 17799 (BS 7799) NBR ISO/IEC 15504 (SPICE) NBR ISO/IEC 12207 (Processos de ciclo de vida de software) CMMI (Capability Maturity Model Integration) RUP (Rational Unified Process) PMBOK (A Guide to Project Management Body of Knowledge) BSC (Balanced Scorecard) Six Sigma Resumidamente, Governana de TI compreende os processos e controles que agregamvalores aos negcios. Inmeras organizaes entendem o valor da informao e da tecnologia,tratando-as como ativos importantes, como so os recursos humanos e financeiros.MBA-ENGSOFT Segurana de Sistemas 3 2005 Halan Ridolphi
  • 4. 2 Motivao Gerentes de Tecnologia da Informao (TI) se esforam continuamente por alcanarmelhores resultados, entretanto, na maioria das vezes no conseguem atender s necessidadesde informaes estratgicas aos negcios da empresa e nem mesmo sabem os riscos aos quaisas organizaes esto expostas, devido ao mau uso da tecnologia. Esse contexto derivou osconceitos Governana de TI e a anlise de risco, englobando aspectos tcnicos e gerenciasimprescindveis para sobrevivncia das corporaes e executivos. Nas ltimas dcadas, empresas dos mais diversos setores tm investido bastante em TI.Nos Estados Unidos e Europa, anualmente, as empresas investem, em mdia, cerca de 4% desua receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a mdiade investimento foi de 4,9% do faturamento lquido, contra 1,3% registrado em 1988, segundopesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuaro crescendo.Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou ROI (return oninvestment) decorrentes de investimentos em TI e, com isto, avaliar de maneira consistente osbenefcios obtidos pela rea de negcios. O fator que gera maior preocupao aos gestores de TI so os processos de negcio quenas organizaes esto cada vez mais exigindo respostas rpidas s demandas de mercado, ouseja, manter a capacidade competitiva por meio de processos de negcios geis, inteligentes,seguros e com o menor custo possvel. Neste cenrio os controles acabam sendo "atropelados",os processos no so seguidos e as responsabilidades acabam se perdendo, onde todo mundo to interdisciplinar que ningum responsvel por "nada" e como resultado, em nome daurgncia do negcio, temos produtos finais mal acabados, clientes insatisfeitos, impactos naimagem organizacional, e principalmente perda de receita. Portanto, no cenrio econmicoatual, caracterizado pela alta competitividade, pela presso por resultados ajustados ao businessplan, as organizaes carecem da aplicao de estratgias ajustadas de Governana de TI. A Governana de TI enderea suas estratgias e padres tcnicos e gerenciais para asseguintes audincias: Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao; Usurios que precisam ter garantias que os servios de TI, dos quais dependem os seus produtos e servios entregues para os clientes internos e externos, esto sendo bem gerenciados; Auditores que podem se apoiar nas recomendaes de frameworks para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao. A percepo das corporaes acerca da rea de Tecnologia da Informao expressapelas seguintes vises: Proviso de servios inadequada; Falta de comunicao e entendimento com os usurios; Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela significativa nos gastos totais do negcio); Justificativas insuficientes ou pouco fundamentadas para os custos da proviso dos servios (dificuldade na comprovao dos seus benefcios para o negcio); Falta de sintonia entre mudanas na infra-estrutura e os objetivos de negcio; Entrega de projetos com atrasos e acima do oramento. Os desafios imediatos da Governana de TI compreendem: Incrementar a efetividade dos servios de TI; Estender o ciclo de vida da tecnologia da informao; Remover gargalos; Racionalizar a complexidade; Assegurar a aderncia evoluo dos negcios. Os motivos para aplicao da Governana de TI contemplam:MBA-ENGSOFT Segurana de Sistemas 4 2005 Halan Ridolphi
  • 5. Estruturar processos visando garantir que a TI suporte e maximize os objetivos e estratgias da organizao; Permitir controle (medio, auditoria) da execuo e da qualidade dos servios de TI; Viabilizar o acompanhamento de contratos internos e externos; Definir condies para o exerccio eficaz da gesto com base em conceitos consolidados de qualidade; Definir objetivos para a TI: Alinhar estratgias da corporao com as estratgias de TI; Definir expectativas e medidas de desempenho; Viabilizar recursos; Definir prioridades; Direcionar as atividades de TI; Monitorar desempenho da TI; Gerenciar o risco da TI; Representar e legitimar a funo TI. O Banco Mundial realizou pesquisas entre investidores com carteira superior a US$ 1,65bilho para detectar o nvel de importncia da governana corporativa conjunto de prticas deoperao, gesto e relacionamento, cuja finalidade otimizar o desempenho das empresasprotegendo os investidores, acionistas, conselho de administrao, diretoria, conselho fiscal,funcionrios e credores, facilitando o acesso ao capital. Segundo o estudo da instituiofinanceira, os investidores pagariam de 18% a 25% a mais por aes de empresas com planosavanados de governana, capazes de assegurar boas prticas de administrao etransparncia. O que isso significa? Os investidores no querem mais correr riscos. No diferente a postura dos gestores das corporaes em relao aos diretores de tecnologia dainformao (TI), independente do grau de governana corporativa que a empresa adotou. Odesafio do CIO (chief information officer) , portanto, manter o parque instalado em operao,governar a rea de TI para agregar valor e atender a evoluo dos negcios, com um oramentorestrito, buscando novas solues e, ainda, proporcionar retorno sobre o investimento. Como?Atravs da governana de TI (GTI), que consiste nas melhores prticas, internacionalmenteconsagradas, que melhor estruturam processos operacionais e de gesto de TI, bem como derelacionamento da rea com toda a organizao.MBA-ENGSOFT Segurana de Sistemas 5 2005 Halan Ridolphi
  • 6. Figura 1: Abrangncia GTI Enquanto a governana corporativa abrange toda a organizao, a GTI suporta o gestorde tecnologia com o objetivo de alinhar os processos de TI aos negcios da corporao.Portanto, governana objetiva medir a gesto com base em metodologias que tornem osnegcios transparentes para o mercado. Alm da credibilidade que a governana corporativaoferece ao mercado, outro cenrio que figura nas empresas atualmente o fato delas deixaremde ser organismos fechados em razo do advento da Internet, que trouxe o compartilhamentodas informaes maior patrimnio de uma corporao , cuja rea de TI responsvel peloseu fluxo, segurana e disponibilidade. O cenrio econmico, no qual as empresas deixaram de ter uma viso departamental,desencadeou uma situao de extrema dependncia de processos de operao e gestoestruturados e automatizados para a eficcia das reas de TI alinhada com os negcios. Sejaqual for o mtodo adotado, a governana de TI se subordina s diretrizes da governanacorporativa, medindo e justificando a rea de tecnologia como qualquer outra dentro daorganizao. As bandeiras de governana em uma empresa so exerccios permanentes dasmelhores prticas de operao, gesto e, principalmente, de estratgias, conhecimento,disposio poltica, bom senso e viso de negcios.MBA-ENGSOFT Segurana de Sistemas 6 2005 Halan Ridolphi
  • 7. 3 Evoluo Histrica O conceito de Governana de TI surge no comeo dos anos 90, por conta dasnecessidades de controle, transparncia e monitorao das organizaes, entretanto, ocrescimento exuberante da economia mundial acabou mascarando a sua necessidade, e porconseqncia atrasando por alguns anos a sua sedimentao nas empresas. Com as crises do Mxico, sia, Rssia, etc na segunda metade dos anos 90, osinvestidores mudaram de comportamento passando a exigir dos CEOs, um maior acerto nasprevises oramentrias. Na tica dos investidores, quando a empresa tinha um lucro menor doque a previso, o CEO foi incompetente na gesto da empresa, e quando ocorria o inverso, ele,investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta novaatitude, alavancou as necessidades de governana corporativa, a partir de 1998. No entanto, a lucratividade e crescimento da economia ainda eram grandes o suficiente,para impedir que o tema governana alcanasse o nvel de essencial nas organizaes. O statusde desejvel j era por si s um enorme avano, mas no forte o suficiente para implantarmudanas estruturais nas empresas. Novos fatos deveriam ocorrer para que as organizaes entendessem que o temagovernana, era questo de sobrevivncia na continuidade dos negcios. Diante da necessidadede pelo menos um fato relevante, o mercado apresentou uma seqncia de fatos que tiraram dagaveta dos executivos os projetos de governana. Estes fatos foram fortes o suficiente para queo assunto fosse classificado do nvel de normas e regulamentaes e em um segundo momentofosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a exploso dabolha da internet e o bug do milnio. O bug do milnio demandou investimentos de TI, poucasvezes registrados na histria, baseado em um discurso "terrorista". A prtica mostrou que amaioria dos investimentos era desnecessria, uma vez que empresas com oramentos muitomenores administraram os riscos sem interrupo dos servios. O segredo destas empresas, que elas conheciam o seu parque de ativos de tecnologia,e a gesto dos riscos foi feita em funo de conhecimento e impactos. Ao ser aprofundado, aquesto dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos deY2K, foram destinados apenas para identificar os ativos de TI e os seus relacionamentos. Ouseja, foram gastos milhes de dlares, apenas para que os CIOs soubessem, o que tinham emcasa e estavam gerenciando. O mercado concluiu que se o CIO sequer sabia o que tinha emcasa, o nvel de servios, considerado pobre pelo mercado, era conseqncia de falhasgerenciais. A desconfiana nos investimentos realizados em TI provocou um maior rigor nasauditorias em TI, que haviam perdido o flego nos anos anteriores, por falta de informaes. No mercado, muito se tem falado do CoBIT (control objectives for information andrelated technology) e do ITIL (information technology infrastruture library) como base para aGovernana de TI. O CoBIT orientado ao controle de processos em quatro domnios:planejamento e organizao; aquisio e implementao; entrega e suporte; e, por ltimo,monitorao e avaliao; especificando ferramentas (e.g., mtricas) para se implementarGovernana de TI. O ITIL, por sua vez, mais focado em especificar melhores prticas usadas na operaoe gesto da infra-estrutura de TI para proviso e suporte de servios. Pode-se dizer que o CoBITe o ITIL so complementares e podem ser usados de maneira combinada, objetivando umaGovernana de TI mais eficiente. Outras metodologias existem e podem, tambm, ser avaliadase incorporadas como ferramentas de Governana de TI. O Cobit, por ter mtricas claras, acabou sendo a metodologia adotada pelos auditores, ea governana de TI ganhou impulso para "salvar" a carreira dos CIOs. Os CIOs que antes dobug, estavam em vo livre na direo da alta administrao, tiveram o seu plano de voabortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e mtricas.MBA-ENGSOFT Segurana de Sistemas 7 2005 Halan Ridolphi
  • 8. A auditoria alm de medir, via Cobit, buscava tambm melhorar o desempenho da reade TI, e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL xCobit para medir e melhorar. O segundo fato marcante foi a bolha de internet, que mostrou oramentos inflados,superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidoresreagiram aos prejuzos, com normas e regulamentaes para reduzir os riscos dosinvestimentos, emprstimos, etc, resultando na norma conhecida como: Basilia II. Este novocontorno de regulamentao visou melhorar a gesto dos riscos e o mecanismo encontrado paratal, foi a governana corporativa. Mesmo com toda esta agitao, o mercado ainda assimapresentou novas distores de informaes, como foram os casos Parmalat, MCI, etc. Estescasos mostraram que apesar da fora das normas e regulamentaes, este ainda no era oinstrumental com fora suficiente para combater a doena. A lei Sabox, ento foi aprovada, e passou a responsabilizar o CEO e CFO pelasinformaes das empresas. A lei Sabox ou Sox, tem uma regulamentao to poderosa quepermite ao estado prender os responsveis em caso de informaes incorretas. Neste momento,a governana deixou a condio de desejvel e foi elevada para o status de essencial aosnegcios da empresa.Fonte: FGV-SP Os controles, monitorao e transparncia esto agora disponveis como ferramentas degesto das organizaes. Como os negcios demandaram recursos de TI, e as informaesestavam na sua maioria no formato digital, a rea passou a ter um papel vital na governana.MBA-ENGSOFT Segurana de Sistemas 8 2005 Halan Ridolphi
  • 9. A auditoria, que trabalhava com as mtricas do Cobit, comparava os resultados tanto nombito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram aadotar o ITIL e as suas melhores prticas para melhorar os processos de TI, aumentando aqualidade e reduzindo os custos. Ao combinar ITIL, Cobit, Iso, Six Sigma, etc, o CIO trouxe parasi a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologiasconsagradas no mercado. Esta oportunidade, no apenas estabilizou a rota de "queda" dacarreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir umcrescimento futuro na carreira deles.Cenrio atual da TI nos pasesAvanados Recm Em Desenvolvimento Subdesenvolvimentos IndustrializadosArquitetura de Comunicao entre SI Compreender Obsolescncia deinformao e usurios contribuio da TI Hardware e SoftwareDados como recurso Apoio da alta Recursos Humanos Proliferao de administrao tecnologiasPlanejamento Planejamento Qualidade de dados Disponibilidade deestratgico estratgico de entrada pessoal qualificado de TIRecursos humanos Vantagem competitiva Educar usurios Interveno do executivos sobre TI Governo na Indstria Aprendizagem Alinhamento de Usabilidade de Estabelecer padres organizacional objetivos sistemas profissionais Infra-estrutura Informatizao de Treinamento de Melhorar tecnolgica tarefas rotineiras pessoal de TI produtividade da TI Alinhamento da TI na Infra-estrutura de TI Manuteno de organizao Hardware e SoftwareFonte: FEA-USP A combinao destas metodologias (ITIL x Cobit x Six Sigma, ISO, etc.) forte osuficiente para atender a gesto de riscos, demandada pelo mercado, e tambm para criar umnovo ciclo de crescimento de TI. As mtricas claras e objetivas permitiro medir a realcontribuio da rea em relao a sua contribuio nos lucros, reduo dos custos, melhoria dosservios e principalmente transmitir aos investidores de que agora temos no "p da empresa osapato de nmero correto". O ITIL, trata a gesto de riscos de diversas formas, por exemplo como quando endereaquestes que vo alm do SLA mdio, como a reduo da sua variabilidade, o resultado final um aumento na confiana nos servios de TI. O aumento de confiana traduz-se em reduo deriscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio deexecuo, seja realizada, tornou-se maior. A estrada frente aponta a expectativa de que o Sabox se torne uma regulamentaouniversal, de uma forma ou de outra, e os principais mercados mundiais sero pautados nosprincpios de transparncia, controle, monitorao e demonstrao de resultados.MBA-ENGSOFT Segurana de Sistemas 9 2005 Halan Ridolphi
  • 10. 4 Agregando Valor ao Negcio Os processos de negcio da Era da Informao geram volumes gigantescos deinformaes que podem comprometer a produtividade e o relacionamento com os clientes,fornecedores e funcionrios. O objetivo de toda empresa a competitividade, produto de uma boa tomada dedeciso. O desafio do novo milnio, para as empresas que pretendem se manter na liderana,est intimamente relacionado ao gerenciamento das informaes. Esse gerenciamento s alcanado com estratgias bem-definidas de GTI. O foco das empresas de sucesso um melhorgerenciamento de todas as informaes. As tecnologias de GTI so projetadas para auxiliar as corporaes no gerenciamentoeficientemente do contedo empresarial, servios e processos TI atravs da rede derelacionamentos entre parceiros, funcionrios, fornecedores, gerentes, auditores,proporcionando um rpido retorno em infra-estrutura de informaes, com suporte para: Maior produtividade e eficincia operacional; Proteo de seu patrimnio de informaes crticas; Melhor servio ao cliente; Novas oportunidades de negcio; Compartilhamento do conhecimento e cultura empresarial. A Governana de TI (GTI) e seus processos objetivam agregar valor ao negcioatravs do balanceamento do risco e returno do investimento em TI e, independem dasplataformas de TI adotadas nas corporaes, focando suas estratgias e padres tcnicos egerenciais nos seguintes aspectos: Definir condies para o eficaz exerccio da gesto com base em conceitos de qualidade consolidados; Controlar, medir, auditar a execuo e qualidade dos servios de TI; Estruturas e processos visando que a TI suporte os objetivos e estratgias da organizao; Acompanhamento de contratos e oramentos de projetos internos e externos; Poltica de Segurana; Organizao da Segurana; Classificao e Controle de Ativos; Segurana de Pessoal; Segurana Fsica e Ambiental; Gerenciamento de Comunicaes e Operaes; Controle de Acesso; Desenvolvimento e Manuteno de Software; Planejamento de Continuidade de Negcios; Plano de Compliance (aderncia). A adoo de estratgias de GTI pelas corporaes est relacionada meta de gerar valorda TI para os modelos de negcios corporativos e provar este valor de maneira adequada,atravs de processos corretos. Neste sentido, faz-se necessrio o detalhamento dos processospara gerenciar, racionalizar a infra-estrutura de TI eficientemente e eficazmente de modo agarantir os nveis de servio acordados com clientes internos e externos. Como conseqncia, asempresas esperam otimizar seus processos e custos, aumentar a eficincia de seus funcionriose do seu relacionamento com fornecedores e parceiros, melhorar e personalizar os serviosprestados aos seus clientes, enfim crescer, aumentar a sua presena no mercado e a sualucratividade a curto e mdio prazos. A Governana de TI engloba mecanismos implementados em diferentes nveis de umacorporao. Permitem gerenciar, controlar e utilizar a infra-estrutura de TI de modo a agregarvalor para a empresa e permitir que decises sobre novos investimentos sejam tomadas demaneira consistente em alinhamento com a estratgia corporativa. Pressupe a adoo demtricas que permitem avaliar o impacto da TI no desempenho de negcios. As empresasMBA-ENGSOFT Segurana de Sistemas 10 2005 Halan Ridolphi
  • 11. podem ter vises diferentes sobre a importncia de TI: para algumas, o papel de TI a reduode custos; para outras, o seu papel estratgico para o negcio. Independente disso, a TI vaiagregar maior valor ao negcio se houver uma poltica de governana associada. Apesar de um estudo do Gartner apontar um crescimento no budget de TI nas Amricas(10% da receita lquida das empresas), a presso por resultados ajustados ao business plan dasorganizaes chegou mesa dos executivos de TI, cada vez mais preocupados em adotar asmelhores prticas de gesto apoiadas na GTI. A angstia em responder pelo ROI e usarmetodologias transparentes explica-se pelo fato das empresas quebrarem os murosdepartamentais e buscarem a excelncia nos processos de operao e gesto, onde novamenteo CIO precisa controlar os investimentos e otimizar custos. De acordo com o Relatrio Global da Situao da Governana de TI (IT GovernanceGlobal Status Report), publicado recentemente pelo IT Governance Institute (ITGI), os 10principais problemas relacionados a TI enfrentados pelos CEOs e diretores de TI internacionaisso: Viso inadequada sobre o desempenho de TI; Falhas operacionais de TI; Problemas de preenchimento de vagas em TI; Nmero de problemas e incidentes em TI; Alto custo de TI com baixo retorno sobre o investimento; Falta de conhecimento de sistemas crticos; Capacidade de gerenciamento de dados; Desconexo entre a estratgia de TI e a estratgia comercial; Dependncias com operao automtica de entidades alm do controle direto; Nmero de erros apresentados pelos sistemas crticos. Os diretores de TI vm considerando a GTI como um dos seus principais segmentos deinvestimento para alcanar os objetivos de gerenciamento abrangente das informaes e deproviso de servios eficazes, efetivos de TI alinhados a estratgia de negcios da corporao.MBA-ENGSOFT Segurana de Sistemas 11 2005 Halan Ridolphi
  • 12. 5 Metodologias & Frameworks Nas prximas sees, descrevemos sucintamente as metodologias, frameworks epadres em voga atualmente acerca da Governana de TI (GTI) e respectivas tecnologias. Metodologia Foco CobiT Gesto de processos, controle e auditoria de tecnologia da informao. Forte em controles e mtricas de TI, mas no detalha fluxos de processos e limitado em segurana. ITIL Gerenciamento de recursos e servios com maior foco em infra-estrutura, mas limitado em segurana e desenvolvimento de software. Six Sigma Melhoria de processos. MOF MSF MSM Gerenciamento de processos operacionais de TI para solues de servio de misso crtica baseado no ITIL. ISO 9000 Garantia de qualidade. BS7799 / ISO 17799 Desenvolvimento de software. Forte em controles de segurana, mas no detalha fluxos de processos. ISO / IEC 15504 Framework de avaliao de processos de software. ISO / IEC 12207 Desenvolvimento de software. CMM / CMMI Desenvolvimento de software. PMBOK Gesto de projetos. BSC Medio de desempenho, utiliza ferramentas de BI para implementao e monitoramento de indicadores de gesto do negcio. Tabela: Abrangncia Metodologias de GTI O diagrama a seguir, ilustra um modelo de melhoria de processos de TI com suporte dosframeworks e padres de GTI:MBA-ENGSOFT Segurana de Sistemas 12 2005 Halan Ridolphi
  • 13. Figura: Modelo de Melhoria de Processos por GTI5.1 ITIL O ITIL (Information Technology Infrastructure Library) um modelo de referncia paragerenciamento de processos de TI. A metodologia foi criada pela secretaria de comrcio (Officeof Government Commerce, OGC) do governo Ingls, para desenvolver as melhores prticas paraa gesto da rea de TI nas empresas privadas e pblicas. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo descrever os processosnecessrios para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo agarantir os nveis de servio acordados com os clientes internos e externos. Entre os processos que fazem parte do modelo de referncia, podemos citar:planejamento de servios, gerenciamento de incidentes, problemas, mudanas, configurao,operaes, segurana, capacidade, disponibilidade, custos, entrada em produo e testes. Asempresas que o adotaram esto preocupadas em gerar valor do TI para os negcios da empresae provar este valor de maneira adequada, atravs de processos corretos. O ITIL composto por mdulos. Os mais importantes so o "IT Service Support" e o"IT Service Delivery". A seguir, descrevemos as caractersticas do ITIL: Modelo de referncia para processos de TI no proprietrio; Adequado para todas as reas de atividade; Independente de tecnologia e fornecedor; Um padro de fato; Baseado nas melhores prticas; Um modelo de referncia para a implementao de processos de TI; Padronizao de terminologias; Interdependncia de processos;MBA-ENGSOFT Segurana de Sistemas 13 2005 Halan Ridolphi
  • 14. Diretivas bsicas para implementao; Diretivas bsicas para funes e responsabilidades dentro de cada processo; Checklist testado e aprovado; O que fazer e o que no fazer. O ITIL contempla disciplinas tticas (planejamento) e operacionais: Disciplinas Tticas Service Level Management IT Service Continuity Management Financial Management Capacity Management Availability Management Security Management Customer Relationship Management Supplier Management Disciplinas Operacionais Incident Management Problem Management Configuration Management Change Management Release ManagementFigura: Arquitetura ITIL Resultados que podem ser alcanadas com implantao do ITIL: Fortalecimento dos Controles e da Gesto dos ambientes de TI; Orientao a processos com significativa reduo nos tempos de execuo e distribuio de servios; Diminuio gradativa da indisponibilidade dos recursos e sistemas de tecnologia a informao, causados por falhas no planejamento das mudanas e implantaes em TI;MBA-ENGSOFT Segurana de Sistemas 14 2005 Halan Ridolphi
  • 15. Elevao dos nveis de satisfao dos usurios internos e clientes com relao disponibilidade e qualidade dos servios de TI; Reduo dos custos operacionais de TI; Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores e clientes; Aderncia s instrues normativas das entidades reguladoras e certificadoras.5.2 CobiT O CobiT (Control Objectives for Information and related Technology) uma ferramentaeficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and ControlFoundation, www.isaca.org). O CobiT inclui recursos tais como um sumrio executivo, umframework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas deimplementao e um guia com tcnicas de gerenciamento. As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI queajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. OCobiT independe das plataformas de TI adotadas nas empresas. O CobiT orientado ao negcio.Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. Ofoco central o gerenciamento da informao com os recursos de TI para garantir o negcio daorganizao. O CobiT contempla quatro domnios incluindo processos tcnicos e gerenciais paragarantir uma completa gesto da infra-estrutura de TI: Planejamento e Organizao Define o plano estratgico de TI; Define a arquitetura da informao; Determina a direo tecnolgica; Define a organizao de TI e seus relacionamentos; Gerencia os investimentos em TI; Gerencia a comunicao das direes de TI; Gerencia os recursos humanos; Assegura o alinhamento de TI com os requerimentos externos; Avalia os riscos; Gerencia os projetos; Gerencia a qualidade; Aquisio e implementao Identifica as solues de automao; Adquire e mantm os softwares; Adquire e mantm a infra-estrutura tecnolgica; Desenvolve e mantm os procedimentos; Instala e certifica softwares; Gerencia as mudanas; Entrega e suporte Define e mantm os acordos de nveis de servios (SLA); Gerencia os servios de terceiros; Gerencia o desempenho e capacidade do ambiente; Assegura a continuidade dos servios; Assegura a segurana dos servios; Identifica e aloca custos; Treina os usurios; Assiste e aconselha os usurios; Gerencia a configurao; Gerencia os problemas e incidentes; Gerencia os dados;MBA-ENGSOFT Segurana de Sistemas 15 2005 Halan Ridolphi
  • 16. Gerencia a infra-estrutura; Gerencia as operaes; Monitorao Monitora os processos; Analisa a adequao dos controles internos; Prove auditorias independentes; Prove segurana independente.Figura: Domnios CobiT As recomendaes de gerenciamento do CobiT com orientao no modelo de maturidadeem governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com osobjetivos da organizao. As diretrizes de gerenciamento do CobiT focam na gerncia pordesempenho usando os princpios do balanced scorecard. Seus indicadores chaves identificam emedem os resultados dos processos, avaliando seu desempenho e alinhamento com o modelode negcio da organizao.MBA-ENGSOFT Segurana de Sistemas 16 2005 Halan Ridolphi
  • 17. 5.3 BSC O conceito do Balanced Scorecard (BSC) ajuda-o a traduzir a estratgia em ao. Acriao do BSC tem incio na viso e estratgias da organizao, a partir das quais so definidosos fatores crticos de sucesso. Os indicadores de desempenho permitem a definio de metas ea medio dos resultados atingidos em reas crticas da execuo das estratgias. Assim, oBalanced Scorecard um sistema de gesto de desempenho, derivado da viso e estratgia,refletindo os aspectos mais importantes do negcio. Ao relacionar os objetivos, as iniciativas e os indicadores com a estratgia da empresa, oBSC garante o alinhamento das aes das diferentes reas organizacionais em torno doentendimento comum dos objetivos estratgicos e das metas a atingir, permitindo desta formaavaliar e atualizar a prpria estratgia. Os sistemas tradicionais de gesto e controlo, ao focarem-se exclusivamente em dadosfinanceiros e contabilsticos, tornaram-se rapidamente obsoletos, no respondendo s novasnecessidades de monitorizao do negcio. O BSC, integrando indicadores financeiros e no financeiros, garante tambm umaperspectiva abrangente do desempenho das reas crticas do negcio. Neste contexto, oscriadores do BSC, Kaplan & Norton, definiram quatro dimenses atravs das quais a atividadede uma organizao deve ser analisada: Dimenso Financeira Como estamos perante os nossos acionistas? Dimenso Cliente Como estamos perante os clientes ou mercado? Dimenso Processos Como est o nosso desempenho nos processos e recursos crticos? Dimenso Aprendizagem e Inovao Como deveremos sustentar a nossa capacidade de mudana e melhoria?5.3.1 Processo Como criar um Balanced Balanced Scorecard: necessrio em primeiro lugar identificar aviso da organizao. Qual o caminho pretendido para a organizao? Ao identificar asestratgias, so clarificadas as formas para atingir a viso. Defina, em seguida, os FatoresCrticos de Sucesso e as dimenses para o Balanced Scorecard (BSC), o que significa que deveperguntar o que deve fazer bem em cada uma das dimenses. Seguidamente efetue a perguntacomo podemos avaliar se tudo est a ser executado conforme o pretendido?. Agora necessrio avaliar o seu Scorecard. Considere como pode medir se estamos a analisar ascomponentes adequadas. Com base na anlise dos indicadores poder identificar e criar planosde ao e iniciativas. Torna-se ento necessrio planear os mecanismos de reporting e aoperacionalizao do Scorecard. Como podemos gerir o Scorecard? Que colaboradores deveroreceber relatrios e como devero ser estes apresentados?MBA-ENGSOFT Segurana de Sistemas 17 2005 Halan Ridolphi
  • 18. Figura 1: Processo BSC5.3.2 Abrangncia A imagem apresenta um exemplo muito genrico de um Scorecard. Para onde vamos? Aviso: Queremos dominar o Mercado. Como? Atravs de um enfoque em eficincia de custos eelevada qualidade, investindo em novas tecnologias. Em quais dimenses devemos procurar aexcelncia? Seguidamente, so identificados os Fatores Crticos de Sucesso para cada dimensodo Scorecard, que por sua vez so monitorizados atravs dos indicadores de desempenho. Autilizao de indicadores permite a definio de metas concretas alinhadas com a estratgia daorganizao. Por forma a atingir as metas so definidas responsabilidades e identificados planosde ao. Se construir um Scorecard fcil, implementar um Scorecard administrvel e utilizadopela organizao um desafio.MBA-ENGSOFT Segurana de Sistemas 18 2005 Halan Ridolphi
  • 19. Figura 2: Abrangncia BSC5.3.3 Benefcios Os benefcios decorrentes da implementao do BSC na corporao: Traduz a estratgia em objectivos e aces concretas; Promove o alinhamento dos indicadores chave com os objectivos estratgicos a todos os nveis organizacionais; Proporciona gesto uma viso sistematizada do desempenho operacional; Constitui um processo de avaliao e actualizao da estratgia; Facilita a comunicao dos objectivos estratgicos, focalizando os colaboradores na sua consecuo; Permite desenvolver uma cultura de aprendizagem e melhoria contnua; Suporta a atribuio de incentivos em funo do desempenho individual e da contribuio para os resultados do negcio. O Balanced Scorecard ajuda reduz a quantidade de informao utilizada a um conjuntomnimo de indicadores vitais e crticos.5.4 Six Sigma A metodologia Six Sigma prove tcnicas e ferramentas para melhorar a capacidade ereduzir defeitos em qualquer processo, produto ou servio. A tcnica foi desenvolvida pelaMotorola, em sua diviso de manufatura, onde milhes de peas so produzidos pelo mesmoprocesso repetidamente. Eventualmente, Six Sigma abrange e aplicado a outros processos queno sejam de manufaturada. Hoje em dia pode-se aplicar Six Sigma para muitos outros camposdo conhecimento e de negcio, tais como, suporte ao consumidor, setor de servios, gerncia deprojetos, gerenciamento da cadeia de suprimentos, medicina, procedimentos de segurana e callcenters. Metodologia Six Sigma aperfeioa qualquer processo de negcio existente pela revisoe afinao constante do processo. Para alcanar isto, Six Sigma utiliza uma metodologiaMBA-ENGSOFT Segurana de Sistemas 19 2005 Halan Ridolphi
  • 20. conhecida como DMAIC (Define opportunities, Measure performance, Analyze opportunity,Improve performance, Control performance). Six Sigma incorpora os princpios bsicos etcnicas usadas em Negcios, Estatstica e Engenharia. Esses trs formam os elementos centraisda metodologia Six Sigma. Six Sigma melhora o desempenho de processo, diminui a variao emantm qualidade consistente da sada do processo. Estas ligaes para reduo de defeitos eaumento nos lucros, qualidade do produto e satisfao do cliente. Ela permite somente 3.4defeitos por milho de oportunidades para cada produto ou transao de servio. Six Sigmaconfia pesadamente nas tcnicas estatsticas para reduzir defeitos e medir a qualidade. Os trs elementos chave de Six Sigma so: Satisfao do Consumidor; Definio de Processos e Definio de Mtricas e Medidas de Processos; Construo da Equipe e Envolvimento dos Empregados. Todo membro da equipe deve ter um papel bem definido e objetivos mensurveis.5.5 MOF MSF - MSM Frameworks criados pela Microsoft para gerenciamento interno e de parceiros,posteriormente estendido a clientes. Detalham as melhores prticas que ensinam como aceleraro planejamento, a implantao e a manuteno dos processos de TI operacionais. MOF Microsoft Operations Framework compreende um manual para planejamento, implementao,e manuteno de processos de TI para solues de servio de misso critica, baseado noframework ITIL. MSF Microsoft Solutions Framework compreende um manual paragerncia de projetos de tecnologia. MSM Microsoft Solutions for Management compem ummanual de diretrizes tcnicas para apoiar as organizaes a alcanarem excelncia operacionalpor meio de uma melhor qualidade de servio, confiabilidade, disponibilidade e segurana, almde reduzir o custo total de propriedade. Os frameworks consideram a adoo de solues eservios desenvolvidos com aplicao de produtos e tecnologias da Microsoft Corporation. Benefcios possveis de ser alcanados pela implantao dos frameworks Microsoft: Implantao rpida de software e atualizaes crticas em toda a empresa a partir de um console centralizado; Altos nveis de disponibilidade e desempenho em toda a empresa; Ajuda a aperfeioar a confiabilidade, disponibilidade e desempenho de aplicativos crticos para o negcio; Implementa as melhores prticas de gerenciamento, independentemente das plataformas ou tecnologias usadas no seu ambiente; Aperfeioa a capacidade do departamento de TI de oferecer suporte aos requisitos de disponibilidade e desempenho para aplicativos crticos para o negcio; Desenvolver manuais de operaes personalizados, especficos para as necessidades da organizao; Avalia as necessidades de gerenciamento operacional da organizao em um mtodo modular para identificar e resolver questes de gerenciamento por prioridade ou como um todo.MBA-ENGSOFT Segurana de Sistemas 20 2005 Halan Ridolphi
  • 21. Figura: Microsoft Frameworks5.6 BS7799 Norma NBR ISO/IEC 17799 define um conjunto de boas prticas de gesto da segurana.Serve de base para regulamentao de polticas de segurana. Seus controles permitem aauditoria de segurana de informao. A norma BS7799 abrange os seguintes aspectos tcnicos e gerenciais: Poltica de Segurana; Organizao da Segurana; Classificao e Controle de Ativos; Segurana de Pessoal; Segurana Fsica e Ambiental; Gerenciamento de Comunicaes e Operaes; Controle de Acesso; Desenvolvimento e Manuteno de Software; Planejamento de Continuidade de Negcios; Planejamento de Aderncia (compliance).5.7 CMM/CMMI Metodologia objetiva a avaliao e a melhoria da capacitao de uma organizao no quediz respeito ao processo de desenvolvimento de software. Publicado em 1992, foi devolvido peloSoftware Engineering Institute (SEI) para avaliao das empresas que produzem software. Cadanvel de maturidade (com exceo do nvel 1) composto de vrias reas chave de processo(KPA). Descrio de caractersticas dos nveis de maturidade classificados pelo modelo CMM:MBA-ENGSOFT Segurana de Sistemas 21 2005 Halan Ridolphi
  • 22. Nvel CMM DescrioInicial O processo caracterizado como ad-hoc e algumas vezes catico. Poucos processos so definidos e o xito depende do esforo individual.Repetvel estabelecido um processo gerencial basicamente para monitorar custos, cronograma e funcionalidade. A disciplina necessria ao processo est estabelecida de forma a poder ser repetida com sucesso em projetos com aplicaes semelhantes.Definido O processo de software tanto para as atividades de gerncia quanto de engenharia est documentado, normalizado e integrado em um processo padro para a organizao. Todos os projetos da organizao usam o processo.Gerenciado So coletadas medidas detalhadas da qualidade do processo e do produto O processo e o produto so quantitativamente entendidos e controlados.Otimizado O processo sofre contnuas melhorias atravs do feedback quantitativo do processo e da introduo de idias e tecnologias inovadoras. CMMI (CMM Integration) foi criado para resolver a existncia de mltiplas verses doCMM. Seu objetivo combinar o SW-CMM (Capability Maturity Model for Software), SECM(System Engineering Capability Model) e o IPD-CMM (Integrated Product DevelopmentCapability Maturity Model). Abrange as seguintes reas de conhecimento: Engenharia de Sistemas; Engenharia de Software; Desenvolvimento integrado de produtos e processos; Contratao de fornecedores.MBA-ENGSOFT Segurana de Sistemas 22 2005 Halan Ridolphi
  • 23. Figura: Nveis do CMM5.8 PMBOK PMBOK denota o Universo de Conhecimento em Gerncia de Projetos, ou seja, osomatrio da aplicao de conhecimentos, habilidades, e tcnicas para projetar atividades quevisem atingir ou exceder as necessidades e expectativas das partes envolvidas, com relao aoprojeto. As diretrizes neste documento so mantidas pelo PMI (Project Management Institute)como uma estrutura consistente para administrao de programas de desenvolvimentoprofissional incluindo: Certificao de Profissionais de Gerncia de Projetos (PMP Project Management Professional); Credenciamento dos programas educacionais que concedem grau em Gerncia de Projetos. Abrange nove reas de conhecimento, a saber: Gerncia da Integrao do Projeto; Gerncia do Escopo do Projeto; Gerncia do Tempo do Projeto; Gerncia do Custo do Projeto; Gerncia da Qualidade do Projeto; Gerncia dos Recursos Humanos do Projeto; Gerncia das Comunicaes do Projeto; Gerncia dos Riscos do Projeto; Gerncia das Aquisies do Projeto.MBA-ENGSOFT Segurana de Sistemas 23 2005 Halan Ridolphi
  • 24. Figura: PMBOK - reas de Conhecimento da Gerncia de ProjetosMBA-ENGSOFT Segurana de Sistemas 24 2005 Halan Ridolphi
  • 25. 6 Aplicaes Alguns domnios de aplicao para Governana de TI: TCO (Total Cost of Ownership): A meta em TI reduzir o custo total de propriedade dos ativos; Terceirizao: A terceirizao uma tendncia da GTI; Terceirizar quando no pertence ao core business da organizao. Consolidao de parques tecnolgicos e equipamentos: Plataformas de hardware; Plataformas de telecomunicao; Plataformas de banco de dados; Plano Diretor de TI: Melhor aproveitamento da evoluo tecnolgica; Melhor avaliao dos investimentos; Melhor gerenciamento de infra-estrutura; Utilizar os conceitos e mtricas de governana corporativa para manter a rea de TI em sintonia com os avanos da empresa e os avanos tecnolgicos. Padronizao de tecnologia: Processos de software; Processos de gerncia de configurao; Processos de resoluo de problemas; Processos de garantia de qualidade; Ferramentas de desenvolvimento de software; Ferramentas de groupware, workflow e integrao. Algumas situaes de aplicao para Governana de TI: No existe metodologia de desenvolvimento: Neste caso pode-se utilizar o CMM ou ISO / IEC 12207 ou SPICE para apoio na implantao de uma metodologia; No existe nenhuma metodologia e controle para identificao e gerenciamento de riscos em meus projetos: Neste caso, o PMI pode ser muito til; No esto formalizados os processos de gerenciamento de rotinas de produo: O COBIT poder auxiliar no desenvolvimento de controles e formalizao de tais rotinas; No h processo para gerenciamento da capacidade dos recursos: O COBIT e o ITIL podero auxiliar no desenvolvimento do processo, dos controles e da formalizao de tais atividades; O processo de gerenciamento de mudanas no produz os resultados esperados, sendo necessrio redesenhar: O COBIT e o ITIL podero auxiliar no redesenho do processo.MBA-ENGSOFT Segurana de Sistemas 25 2005 Halan Ridolphi
  • 26. 7 Benefcios Econmicos A seguir, apresentamos alguns benefcios tangveis pelas corporaes quanto adoo eimplantao de tecnologias, ferramentas e mtodos correlatos a Governana de TI (GTI).7.1 Cliente e Usurio Razes para investimentos em GTI do ponto de vista do cliente e do usurio: Reduo do tempo de processamento e manuseio de papel; Aumento de satisfao do usurio; Incremento produtividade; Melhoria da satisfao com o trabalho; Acesso imediato e multiusurio a qualquer informao; Melhoria da qualidade do trabalho; Alta velocidade e preciso na localizao de documentos; Melhor atendimento ao cliente por proporcionar respostas mais precisas e instantneas.7.2 Gesto da Informao Razes para investimentos em GTI do ponto de vista da gesto da informao: Melhor controle dos documentos; Reduo do espao fsico de armazenagem; Facilidade de implementar temporalidade documental; Integrao com outros sistemas e tecnologias; Facilidade adicional para implantar empresa virtual; Possibilidade da empresa virtual sem limites fsicos; Minimizao de perda e extravio de documentos.7.3 Equipe de TI Razes para adoo de GTI do ponto de vista da equipe de TI: Disponibilidade instantnea de documentos sem limites fsicos; Gerenciamento e otimizao do Workflow; Maior agilidade nas transaes entre empresas; Alta velocidade e preciso na localizao de documentos; Estabelecer e manter boa imagem e reputao com a administrao; Assegurar que os projetos de TI previstos adicionam valor empresa Vender produtos e servios de TI apropriados para terceiros; Controlar custos de TI; Maior velocidade na implementao de mudanas nos processos.MBA-ENGSOFT Segurana de Sistemas 26 2005 Halan Ridolphi
  • 27. 7.4 Investimentos em Informao Razes para adoo de GTI do ponto de vista da reduo e proteo dos investimentosem informao: Reduo de custos com novos escritrios/depsitos/equipamentos; Proteo do patrimnio; Eliminao de retornos; Proteo contra processos; Eliminao de fraudes, principalmente em agncias governamentais; Explicita a relao entre aumento nos custos de TI e aumento no valor da informao; Proteo contra catstrofes que poderiam danificar seu acervo.7.5 Alinhamento ao Modelo de Negcio Razes para adoo de GTI do ponto de vista de alinhamento a estratgia de negcios dacorporao: Disponibilidade das informaes necessrias para suportar as necessidades de negcios; Riscos de falta de integridade e confidencialidade das informaes; Eficincia nos custos dos processos e operaes; Ampliao da produtividade e efetividade dos servios de TI; Confirmao de confiabilidade, efetividade e conformidade das informaes; Controle de contratos e oramentos de projetos internos e externos; Alinha a estratgia de TI com as do negcio; Mais capacidade e agilidade para novos modelos de negcios ou ajustes nos modelos atuais; Mantm os riscos do negcio sob controle; Explicita a importncia da TI na continuidade dos negcios; Mede e melhora continuamente a performance de TI.MBA-ENGSOFT Segurana de Sistemas 27 2005 Halan Ridolphi
  • 28. 8 Governana de TI no Brasil A seguir, comentamos casos reais de aplicao da Governana de TI em corporaesbrasileiras, incluindo relatos de experincias, metodologias, implementao, resultadosalcanados, estatsticas de satisfao e atingimento de metas.8.1 Petrobrs8.2 CLARO Atualmente est em processo de diagnstico dos prprios riscos, controles e processosinternos. As equipes de TI, Gesto de Projetos, Produo, VAS, Ativos Virtuais e Change Controlconjuntamente esto realizando estudos de viabilidade para implementao do frameworkCobiT. O plano de diagnstico do cenrio atual da poltica e infra-estrutura de TI compreende aexplorao das seguintes etapas: Relacionamento de TI com a Alta Administrao; Papis e Responsabilidades em TI; Mapeamento de todos os processos existentes; Anlise critica destes processos; Identificao dos riscos inerentes em cada processo; Mapeamento dos controles existentes que mitigam os riscos inerentes identificados.8.3 HSBC8.4 ABN Amro Bank Iniciou ITIL em 2001 datacenter e implantao de equipamentos do banco, incluindoagncias. Deve estar concludo em 2005. Resultados e estatsticas de satisfao apurados: Centralizao do help-desk; Aumento de chamados de 20.000 para 60.000, evidenciando ampliao do controle e no dos chamados; Tempo de atendimento reduzido em 20%; Volume de reclamaes reduzido em 80%; 94% dos atendimentos completados em menos de 20 segundos.8.5 Vale do Rio Doce O projeto de governana na Vale comeou em 1998 logo aps a privatizao dacompanhia. Diante de uma arquitetura heterognea, sem polticas definidas e nenhum tipo depadronizao, foi decidido reorganizar tudo. A estratgia de TI foi segmentada, ento, em trspilares: produo (que compreende o controle dos custos, ativos e os nveis de servioprestados pelos fornecedores); projetos (que define a arquitetura de TI e cuida de cadamodificao que precisa ser feita); e inovao, responsvel por definir os passos da empresarumo ao futuro. "Tnhamos gente focada em manuteno, suporte tcnico e sistemas, mas nopessoas que entendessem de minerao, ferrovias e logstica, que o core business daempresa", comenta Adriana, diretora de TI da corporao. A sada foi trocar praticamentemetade do time. O passo seguinte foi realizar o levantamento de todos os recursos tecnolgicosda empresa, hoje catalogados e sob controle.MBA-ENGSOFT Segurana de Sistemas 28 2005 Halan Ridolphi
  • 29. Outro ponto fundamental do projeto de TI da Vale foi o da reduo de custos, que, emalguns processos, chegou a cair pela metade. Hoje, o oramento total de tecnologia da empresa de 70 milhes de dlares, sendo aproximadamente 40 milhes destinados ao custeio da rea e30 milhes para investimentos. Os custos, no entanto, j foram muito maiores. "A governanatrouxe ganhos significativos, sobretudo nos custos por usurio, que caram muito. Tambmeconomizamos um bocado eliminando a redundncia de alguns projetos e aumentando nossopoder de negociao com os fornecedores, o que barateou a terceirizao", afirma Adriana. Diferentemente do que ocorre nos projetos de outsourcing, a Vale manteve apropriedade dos ativos de informtica e terceirizou somente a gesto. Alm disso, uma equipede TI com 20 profissionais foi mantida para cuidar de perto da administrao dos fornecedores,um dos pontos cruciais do projeto de governana. Todos foram treinados de acordo com asespecificaes do Project Management Institute (PMI), o que garantiu mais transparncia nahora de gerir os projetos. O projeto deu certo e despertou a ateno do MIT (Massachusetts Institute ofTechnology), que possui um convnio de inovao tecnolgica com a Vale e, durante uma visitaao Brasil, convidou Adriana para ministrar aulas num curso de gesto de tecnologia. "Elesficaram impressionados com a abrangncia do projeto. Foi um prmio", afirma Adriana. "Temosmuito a avanar, mas chegamos a um ponto em que sabemos onde estamos bem, ondeprecisamos melhorar. A TI que desenhamos na Vale toda voltada ao negcio. Penso o tempotodo em como priorizar projetos, em como gerar oramentos alinhados estratgia e em cortede custos", diz Adriana. INFRA-ESTRUTURA DE TI: Usurios: 14 mil Estaes de trabalho: 12 mil Sistemas: 400 Pacote de gesto: Oracle Administrao de infra-estrutura: EDS Administrao de sistemas: Accenture Administrao da rede: Telemar Relatos obtidos na revista Info Corporate.MBA-ENGSOFT Segurana de Sistemas 29 2005 Halan Ridolphi
  • 30. 9 Bibliografia Fontes de artigos, informativos e livros acerca de Governana de Tecnologia daInformao e assuntos correlatos: Sordi, J.O. Tecnologia da Informao Aplicada aos Negcios. 1. Ed. So Paulo: Atlas, 2003. 185p. Graelm, A. R. Sistemas de Informao - O alinhamento da estratgia de TI com a estratgia corporativa. 1. Ed. Atlas, 2003. 159p. Mesquita, R. A Organizao Faz a Fora - Governana em TI. Braslia, Dezembro. 2002. Spafford, G. Achieving Project Management Balance. Julho. 2003. Tefilo, A. Segurana sob a perspectiva do ITIL. Maio. 2004. Coen, L. Metodologias trazem maturidade rea de TI. Novembro. 2003. Fagundes, E. M. COBIT - Um kit de ferramentas para a excelncia na gesto de TI. ITIL - www.ITIL.co.uk Forum - www.itsmf.net CMM - www.itservicecmm.org SLM - www.nextslm.org COBIT - www.isaca.org/cobit.htm GOVERNANA TI - http://www.sit.com.br/SeparataGTI129.htm HELP DESK INSTITUTE - http://www.helpdeskinst.com/ CRM KNOWLEDGE BASE - http://www.crmassist.com/ IT Governance Institute - http://www.itgovernance.org Site revista CIO - http://www.cio.com ITIL, Cobit e ISO17799 - http://www.itsmf.org.za/Presentations/CobiT%20ITIL%20and%20BS7799.pdf ITIL - http://www.ogc.gov.uk/index.asp?id=2261 IT Service Management Frum - http://www.itsmf.com/ Institute of IT Service Management - http://www.iosm.com Aquisio ITIL - http://www.tso.co.uk/bookshop/bookstore.asp?FO=1150345 Softwares ITIL - http://www.pinkelephant.com/consultingservices/toolsets.htm ISACA e CobiT - http://www.isaca.org CMMI - http://www.sei.cmu.edu/cmmi/ Project Management Institute - http://www.pmi.org PMI-RS - http://www.pmirs.org PRINCE2 - http://www.prince2.org.uk/ Mdulo (gesto da segurana) - http://www.modulo.com.brMBA-ENGSOFT Segurana de Sistemas 30 2005 Halan Ridolphi