Governança TI halan

30
MBA-ENGSOFT Segurança de Sistemas 1 © 2005 Halan Ridolphi POLI / UFRJ MBA Engenharia de Software – Turma 2004 Disciplina: Segurança de Sistemas Professor: Ronaldo Andrade Deccax Aluno: Halan Ridolphi Alves

description

Information Technology

Transcript of Governança TI halan

Page 1: Governança TI halan

MBA-ENGSOFT Segurança de Sistemas 1 © 2005 Halan Ridolphi

POLI / UFRJ MBA Engenharia de Software – Turma 2004 Disciplina: Segurança de Sistemas Professor: Ronaldo Andrade Deccax Aluno: Halan Ridolphi Alves

Page 2: Governança TI halan

Sumário 1 Conceitos ................................................................................................................. 3 2 Motivação ................................................................................................................ 4 3 Evolução Histórica ..................................................................................................... 7 4 Agregando Valor ao Negócio ..................................................................................... 10 5 Metodologias & Frameworks ..................................................................................... 12

5.1 ITIL ............................................................................................................... 13 5.2 CobiT ............................................................................................................. 15 5.3 BSC ............................................................................................................... 17 5.4 Six Sigma ....................................................................................................... 19 5.5 MOF – MSF - MSM ........................................................................................... 20 5.6 BS7799 .......................................................................................................... 21 5.7 CMM/CMMI ..................................................................................................... 21 5.8 PMBOK .......................................................................................................... 23

6 Aplicações .............................................................................................................. 25 7 Benefícios Econômicos ............................................................................................. 26

7.1 Cliente e Usuário ............................................................................................. 26 7.2 Gestão da Informação ...................................................................................... 26 7.3 Equipe de TI ................................................................................................... 26 7.4 Investimentos em Informação ........................................................................... 27 7.5 Alinhamento ao Modelo de Negócio .................................................................... 27

8 Governança de TI no Brasil ....................................................................................... 28 8.1 Petrobrás ....................................................................................................... 28 8.2 CLARO ........................................................................................................... 28 8.3 HSBC ............................................................................................................. 28 8.4 ABN Amro Bank .............................................................................................. 28 8.5 Vale do Rio Doce ............................................................................................. 28

9 Bibliografia ............................................................................................................. 30

MBA-ENGSOFT Segurança de Sistemas 2 © 2005 Halan Ridolphi

Page 3: Governança TI halan

1 Conceitos Na última década, a Tecnologia da Informação (TI) tem deixado de ser uma área de

suporte, tornando-se cada vez mais necessária na estratégia de negócios das corporações. Aumenta-se então a exigência de resultados com relação a essa área.

Atualmente, é impossível imaginar uma empresa sem uma forte divisão de Sistemas de Informação (TI), para manipular os dados operacionais e prover informações gerenciais aos executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios da tecnologia. Entretanto, a ausência de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos.

Comumente, alguns gestores de TI não possuem habilidade para demonstrar os riscos associados ao negócio sem os corretos investimentos em TI. Para melhorar o processo de análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição de melhorias nos processos empresariais. Esse novo paradigma é conhecido como Governança de TI ou "IT Governance".

Governança de TI é uma estrutura de relacionamentos e processos para orientar e controlar a organização no alcance de seus objetivos de negócio, agregando valores, ao mesmo tempo em que equilibra riscos em relação ao retorno da TI e seus processos. Diz respeito a métodos para tornar mais transparentes, organizadas e legítimas as práticas de direção e monitoramento do desempenho das empresas.

De acordo com a definição da ITIL – IT Infrastructure Library, Governança de TI é uma “estrutura de padrões e melhores práticas para gerenciar os serviços e infra-estrutura de TI”.

A expressão Governança de TI é definida como uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é requerida uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de forma rápida, constante e com custos cada vez mais baixos. Não existem dúvidas sobre o benefício da tecnologia aplicada aos negócios. Entretanto, para serem bem sucedidas, as organizações devem compreender e controlar os riscos associados no uso das novas tecnologias.

Corporações pelo mundo afora em busca de definições das metodologias, frameworks ou arquiteturas visando a mais correta organização e otimização de suas divisões de TI, têm optado por alguns dos mais variados padrões mundialmente reconhecidos atualmente, tais como:

• CobiT (Control Objectives for Information and Related Technology) • ITIL (IT Infrastructure Library) • MOF – MSF – MSM (Microsoft Frameworks) • NBR ISO/IEC 17799 (BS 7799) • NBR ISO/IEC 15504 (SPICE) • NBR ISO/IEC 12207 (Processos de ciclo de vida de software) • CMMI (Capability Maturity Model Integration) • RUP (Rational Unified Process) • PMBOK (A Guide to Project Management Body of Knowledge) • BSC (Balanced Scorecard) • Six Sigma

Resumidamente, Governança de TI compreende os processos e controles que agregam valores aos negócios. Inúmeras organizações entendem o valor da informação e da tecnologia, tratando-as como ativos importantes, como são os recursos humanos e financeiros.

MBA-ENGSOFT Segurança de Sistemas 3 © 2005 Halan Ridolphi

Page 4: Governança TI halan

2 Motivação Gerentes de Tecnologia da Informação (TI) se esforçam continuamente por alcançar

melhores resultados, entretanto, na maioria das vezes não conseguem atender às necessidades de informações estratégicas aos negócios da empresa e nem mesmo sabem os riscos aos quais as organizações estão expostas, devido ao mau uso da tecnologia. Esse contexto derivou os conceitos Governança de TI e a análise de risco, englobando aspectos técnicos e gerencias imprescindíveis para sobrevivência das corporações e executivos.

Nas últimas décadas, empresas dos mais diversos setores têm investido bastante em TI. Nos Estados Unidos e Europa, anualmente, as empresas investem, em média, cerca de 4% de sua receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a média de investimento foi de 4,9% do faturamento líquido, contra 1,3% registrado em 1988, segundo pesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuarão crescendo. Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou ROI (return on investment) decorrentes de investimentos em TI e, com isto, avaliar de maneira consistente os benefícios obtidos pela área de negócios.

O fator que gera maior preocupação aos gestores de TI são os processos de negócio que nas organizações estão cada vez mais exigindo respostas rápidas às demandas de mercado, ou seja, manter a capacidade competitiva por meio de processos de negócios ágeis, inteligentes, seguros e com o menor custo possível. Neste cenário os controles acabam sendo "atropelados", os processos não são seguidos e as responsabilidades acabam se perdendo, onde todo mundo é tão interdisciplinar que ninguém é responsável por "nada" e como resultado, em nome da urgência do negócio, temos produtos finais mal acabados, clientes insatisfeitos, impactos na imagem organizacional, e principalmente perda de receita. Portanto, no cenário econômico atual, caracterizado pela alta competitividade, pela pressão por resultados ajustados ao business plan, as organizações carecem da aplicação de estratégias ajustadas de Governança de TI.

A Governança de TI endereça suas estratégias e padrões técnicos e gerenciais para as seguintes audiências:

• Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização;

• Usuários que precisam ter garantias que os serviços de TI, dos quais dependem os seus produtos e serviços entregues para os clientes internos e externos, estão sendo bem gerenciados;

• Auditores que podem se apoiar nas recomendações de frameworks para avaliar o nível da gestão de TI e aconselhar o controle interno da organização.

A percepção das corporações acerca da área de Tecnologia da Informação é expressa pelas seguintes visões:

• Provisão de serviços inadequada; • Falta de comunicação e entendimento com os usuários; • Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela

significativa nos gastos totais do negócio); • Justificativas insuficientes ou pouco fundamentadas para os custos da provisão

dos serviços (dificuldade na comprovação dos seus benefícios para o negócio); • Falta de sintonia entre mudanças na infra-estrutura e os objetivos de negócio; • Entrega de projetos com atrasos e acima do orçamento.

Os desafios imediatos da Governança de TI compreendem: • Incrementar a efetividade dos serviços de TI; • Estender o ciclo de vida da tecnologia da informação; • Remover gargalos; • Racionalizar a complexidade; • Assegurar a aderência à evolução dos negócios.

Os motivos para aplicação da Governança de TI contemplam:

MBA-ENGSOFT Segurança de Sistemas 4 © 2005 Halan Ridolphi

Page 5: Governança TI halan

• Estruturar processos visando garantir que a TI suporte e maximize os objetivos e estratégias da organização;

• Permitir controle (medição, auditoria) da execução e da qualidade dos serviços de TI;

• Viabilizar o acompanhamento de contratos internos e externos; • Definir condições para o exercício eficaz da gestão com base em conceitos

consolidados de qualidade; • Definir objetivos para a TI:

Alinhar estratégias da corporação com as estratégias de TI; Definir expectativas e medidas de desempenho; Viabilizar recursos; Definir prioridades;

• Direcionar as atividades de TI; • Monitorar desempenho da TI; • Gerenciar o risco da TI; • Representar e legitimar a função TI.

O Banco Mundial realizou pesquisas entre investidores com carteira superior a US$ 1,65 bilhão para detectar o nível de importância da governança corporativa – conjunto de práticas de operação, gestão e relacionamento, cuja finalidade é otimizar o desempenho das empresas protegendo os investidores, acionistas, conselho de administração, diretoria, conselho fiscal, funcionários e credores, facilitando o acesso ao capital. Segundo o estudo da instituição financeira, os investidores pagariam de 18% a 25% a mais por ações de empresas com planos avançados de governança, capazes de assegurar boas práticas de administração e transparência. O que isso significa? Os investidores não querem mais correr riscos. Não é diferente a postura dos gestores das corporações em relação aos diretores de tecnologia da informação (TI), independente do grau de governança corporativa que a empresa adotou. O desafio do CIO (chief information officer) é, portanto, manter o parque instalado em operação, governar a área de TI para agregar valor e atender a evolução dos negócios, com um orçamento restrito, buscando novas soluções e, ainda, proporcionar retorno sobre o investimento. Como? Através da governança de TI (GTI), que consiste nas melhores práticas, internacionalmente consagradas, que melhor estruturam processos operacionais e de gestão de TI, bem como de relacionamento da área com toda a organização.

MBA-ENGSOFT Segurança de Sistemas 5 © 2005 Halan Ridolphi

Page 6: Governança TI halan

Figura 1: Abrangência GTI

Enquanto a governança corporativa abrange toda a organização, a GTI suporta o gestor de tecnologia com o objetivo de alinhar os processos de TI aos negócios da corporação. Portanto, governança objetiva medir a gestão com base em metodologias que tornem os negócios transparentes para o mercado. Além da credibilidade que a governança corporativa oferece ao mercado, outro cenário que figura nas empresas atualmente é o fato delas deixarem de ser organismos fechados em razão do advento da Internet, que trouxe o compartilhamento das informações – maior patrimônio de uma corporação –, cuja área de TI é responsável pelo seu fluxo, segurança e disponibilidade.

O cenário econômico, no qual as empresas deixaram de ter uma visão departamental, desencadeou uma situação de extrema dependência de processos de operação e gestão estruturados e automatizados para a eficácia das áreas de TI alinhada com os negócios. Seja qual for o método adotado, a governança de TI se subordina às diretrizes da governança corporativa, medindo e justificando a área de tecnologia como qualquer outra dentro da organização. As bandeiras de governança em uma empresa são exercícios permanentes das melhores práticas de operação, gestão e, principalmente, de estratégias, conhecimento, disposição política, bom senso e visão de negócios.

MBA-ENGSOFT Segurança de Sistemas 6 © 2005 Halan Ridolphi

Page 7: Governança TI halan

3 Evolução Histórica O conceito de Governança de TI surge no começo dos anos 90, por conta das

necessidades de controle, transparência e monitoração das organizações, entretanto, o crescimento exuberante da economia mundial acabou mascarando a sua necessidade, e por conseqüência atrasando por alguns anos a sua sedimentação nas empresas.

Com as crises do México, Ásia, Rússia, etc na segunda metade dos anos 90, os investidores mudaram de comportamento passando a exigir dos CEOs, um maior acerto nas previsões orçamentárias. Na ótica dos investidores, quando a empresa tinha um lucro menor do que a previsão, o CEO foi incompetente na gestão da empresa, e quando ocorria o inverso, ele, investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta nova atitude, alavancou as necessidades de governança corporativa, a partir de 1998.

No entanto, a lucratividade e crescimento da economia ainda eram grandes o suficiente, para impedir que o tema governança alcançasse o nível de essencial nas organizações. O status de desejável já era por si só um enorme avanço, mas não forte o suficiente para implantar mudanças estruturais nas empresas.

Novos fatos deveriam ocorrer para que as organizações entendessem que o tema governança, era questão de sobrevivência na continuidade dos negócios. Diante da necessidade de pelo menos um fato relevante, o mercado apresentou uma seqüência de fatos que tiraram da gaveta dos executivos os projetos de governança. Estes fatos foram fortes o suficiente para que o assunto fosse classificado do nível de normas e regulamentações e em um segundo momento fosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a explosão da bolha da internet e o bug do milênio. O bug do milênio demandou investimentos de TI, poucas vezes registrados na história, baseado em um discurso "terrorista". A prática mostrou que a maioria dos investimentos era desnecessária, uma vez que empresas com orçamentos muito menores administraram os riscos sem interrupção dos serviços.

O segredo destas empresas, é que elas conheciam o seu parque de ativos de tecnologia, e a gestão dos riscos foi feita em função de conhecimento e impactos. Ao ser aprofundado, a questão dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos de Y2K, foram destinados apenas para identificar os ativos de TI e os seus relacionamentos. Ou seja, foram gastos milhões de dólares, apenas para que os CIOs soubessem, o que tinham em casa e estavam gerenciando. O mercado concluiu que se o CIO sequer sabia o que tinha em casa, o nível de serviços, considerado pobre pelo mercado, era conseqüência de falhas gerenciais. A desconfiança nos investimentos realizados em TI provocou um maior rigor nas auditorias em TI, que haviam perdido o fôlego nos anos anteriores, por falta de informações.

No mercado, muito se tem falado do CoBIT (control objectives for information and related technology) e do ITIL (information technology infrastruture library) como base para a Governança de TI. O CoBIT é orientado ao controle de processos em quatro domínios: planejamento e organização; aquisição e implementação; entrega e suporte; e, por último, monitoração e avaliação; especificando ferramentas (e.g., métricas) para se implementar Governança de TI.

O ITIL, por sua vez, é mais focado em especificar melhores práticas usadas na operação e gestão da infra-estrutura de TI para provisão e suporte de serviços. Pode-se dizer que o CoBIT e o ITIL são complementares e podem ser usados de maneira combinada, objetivando uma Governança de TI mais eficiente. Outras metodologias existem e podem, também, ser avaliadas e incorporadas como ferramentas de Governança de TI.

O Cobit, por ter métricas claras, acabou sendo a metodologia adotada pelos auditores, e a governança de TI ganhou impulso para "salvar" a carreira dos CIOs. Os CIOs que antes do bug, estavam em vôo livre na direção da alta administração, tiveram o seu plano de vôo abortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e métricas.

MBA-ENGSOFT Segurança de Sistemas 7 © 2005 Halan Ridolphi

Page 8: Governança TI halan

A auditoria além de medir, via Cobit, buscava também melhorar o desempenho da área de TI, e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL x Cobit para medir e melhorar.

O segundo fato marcante foi a bolha de internet, que mostrou orçamentos inflados, superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidores reagiram aos prejuízos, com normas e regulamentações para reduzir os riscos dos investimentos, empréstimos, etc, resultando na norma conhecida como: Basiléia II. Este novo contorno de regulamentação visou melhorar a gestão dos riscos e o mecanismo encontrado para tal, foi a governança corporativa. Mesmo com toda esta agitação, o mercado ainda assim apresentou novas distorções de informações, como foram os casos Parmalat, MCI, etc. Estes casos mostraram que apesar da força das normas e regulamentações, este ainda não era o instrumental com força suficiente para combater a doença.

A lei Sabox, então foi aprovada, e passou a responsabilizar o CEO e CFO pelas informações das empresas. A lei Sabox ou Sox, tem uma regulamentação tão poderosa que permite ao estado prender os responsáveis em caso de informações incorretas. Neste momento, a governança deixou a condição de desejável e foi elevada para o status de essencial aos negócios da empresa.

Fonte: FGV-SP

Os controles, monitoração e transparência estão agora disponíveis como ferramentas de gestão das organizações. Como os negócios demandaram recursos de TI, e as informações estavam na sua maioria no formato digital, a área passou a ter um papel vital na governança.

MBA-ENGSOFT Segurança de Sistemas 8 © 2005 Halan Ridolphi

Page 9: Governança TI halan

A auditoria, que trabalhava com as métricas do Cobit, comparava os resultados tanto no âmbito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram a adotar o ITIL e as suas melhores práticas para melhorar os processos de TI, aumentando a qualidade e reduzindo os custos. Ao combinar ITIL, Cobit, Iso, Six Sigma, etc, o CIO trouxe para si a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologias consagradas no mercado. Esta oportunidade, não apenas estabilizou a rota de "queda" da carreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir um crescimento futuro na carreira deles.

Cenário atual da TI nos países Avançados Recém

Industrializados Em Desenvolvimento Subdesenvolvimentos

Arquitetura de informação

Comunicação entre SI e usuários

Compreender contribuição da TI

Obsolescência de Hardware e Software

Dados como recurso Apoio da alta administração

Recursos Humanos Proliferação de tecnologias

Planejamento estratégico

Planejamento estratégico

Qualidade de dados de entrada

Disponibilidade de pessoal qualificado de TI

Recursos humanos Vantagem competitiva Educar usuários executivos sobre TI

Intervenção do Governo na Indústria

Aprendizagem organizacional

Alinhamento de objetivos

Usabilidade de sistemas

Estabelecer padrões profissionais

Infra-estrutura tecnológica

Informatização de tarefas rotineiras

Treinamento de pessoal de TI

Melhorar produtividade da TI

Alinhamento da TI na organização

Infra-estrutura de TI Manutenção de Hardware e Software

Fonte: FEA-USP

A combinação destas metodologias (ITIL x Cobit x Six Sigma, ISO, etc.) é forte o suficiente para atender a gestão de riscos, demandada pelo mercado, e também para criar um novo ciclo de crescimento de TI. As métricas claras e objetivas permitirão medir a real contribuição da área em relação a sua contribuição nos lucros, redução dos custos, melhoria dos serviços e principalmente transmitir aos investidores de que agora temos no "pé da empresa o sapato de número correto".

O ITIL, trata a gestão de riscos de diversas formas, por exemplo como quando endereça questões que vão além do SLA médio, como a redução da sua variabilidade, o resultado final é um aumento na confiança nos serviços de TI. O aumento de confiança traduz-se em redução de riscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio de execução, seja realizada, tornou-se maior.

A estrada à frente aponta a expectativa de que o Sabox se torne uma regulamentação universal, de uma forma ou de outra, e os principais mercados mundiais serão pautados nos princípios de transparência, controle, monitoração e demonstração de resultados.

MBA-ENGSOFT Segurança de Sistemas 9 © 2005 Halan Ridolphi

Page 10: Governança TI halan

4 Agregando Valor ao Negócio Os processos de negócio da “Era da Informação” geram volumes gigantescos de

informações que podem comprometer a produtividade e o relacionamento com os clientes, fornecedores e funcionários.

O objetivo de toda empresa é a competitividade, produto de uma boa tomada de decisão. O desafio do novo milênio, para as empresas que pretendem se manter na liderança, está intimamente relacionado ao gerenciamento das informações. Esse gerenciamento só é alcançado com estratégias bem-definidas de GTI. O foco das empresas de sucesso é um melhor gerenciamento de todas as informações.

As tecnologias de GTI são projetadas para auxiliar as corporações no gerenciamento eficientemente do conteúdo empresarial, serviços e processos TI através da rede de relacionamentos entre parceiros, funcionários, fornecedores, gerentes, auditores, proporcionando um rápido retorno em infra-estrutura de informações, com suporte para:

• Maior produtividade e eficiência operacional; • Proteção de seu patrimônio de informações críticas; • Melhor serviço ao cliente; • Novas oportunidades de negócio; • Compartilhamento do conhecimento e cultura empresarial.

A Governança de TI (GTI) e seus processos objetivam agregar valor ao negócio através do balanceamento do risco e returno do investimento em TI e, independem das plataformas de TI adotadas nas corporações, focando suas estratégias e padrões técnicos e gerenciais nos seguintes aspectos:

• Definir condições para o eficaz exercício da gestão com base em conceitos de qualidade consolidados;

• Controlar, medir, auditar a execução e qualidade dos serviços de TI; • Estruturas e processos visando que a TI suporte os objetivos e estratégias da

organização; • Acompanhamento de contratos e orçamentos de projetos internos e externos; • Política de Segurança; • Organização da Segurança; • Classificação e Controle de Ativos; • Segurança de Pessoal; • Segurança Física e Ambiental; • Gerenciamento de Comunicações e Operações; • Controle de Acesso; • Desenvolvimento e Manutenção de Software; • Planejamento de Continuidade de Negócios; • Plano de Compliance (aderência).

A adoção de estratégias de GTI pelas corporações está relacionada à meta de gerar valor da TI para os modelos de negócios corporativos e provar este valor de maneira adequada, através de processos corretos. Neste sentido, faz-se necessário o detalhamento dos processos para gerenciar, racionalizar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com clientes internos e externos. Como conseqüência, as empresas esperam otimizar seus processos e custos, aumentar a eficiência de seus funcionários e do seu relacionamento com fornecedores e parceiros, melhorar e personalizar os serviços prestados aos seus clientes, enfim crescer, aumentar a sua presença no mercado e a sua lucratividade a curto e médio prazos.

A Governança de TI engloba mecanismos implementados em diferentes níveis de uma corporação. Permitem gerenciar, controlar e utilizar a infra-estrutura de TI de modo a agregar valor para a empresa e permitir que decisões sobre novos investimentos sejam tomadas de maneira consistente em alinhamento com a estratégia corporativa. Pressupõe a adoção de métricas que permitem avaliar o impacto da TI no desempenho de negócios. As empresas

MBA-ENGSOFT Segurança de Sistemas 10 © 2005 Halan Ridolphi

Page 11: Governança TI halan

podem ter visões diferentes sobre a importância de TI: para algumas, o papel de TI é a redução de custos; para outras, o seu papel é estratégico para o negócio. Independente disso, a TI vai agregar maior valor ao negócio se houver uma política de governança associada.

Apesar de um estudo do Gartner apontar um crescimento no budget de TI nas Américas (10% da receita líquida das empresas), a pressão por resultados ajustados ao business plan das organizações chegou à mesa dos executivos de TI, cada vez mais preocupados em adotar as melhores práticas de gestão apoiadas na GTI. A angústia em responder pelo ROI e usar metodologias transparentes explica-se pelo fato das empresas quebrarem os muros departamentais e buscarem a excelência nos processos de operação e gestão, onde novamente o CIO precisa controlar os investimentos e otimizar custos.

De acordo com o Relatório Global da Situação da Governança de TI (IT Governance Global Status Report), publicado recentemente pelo IT Governance Institute (ITGI), os 10 principais problemas relacionados a TI enfrentados pelos CEOs e diretores de TI internacionais são:

• Visão inadequada sobre o desempenho de TI; • Falhas operacionais de TI; • Problemas de preenchimento de vagas em TI; • Número de problemas e incidentes em TI; • Alto custo de TI com baixo retorno sobre o investimento; • Falta de conhecimento de sistemas críticos; • Capacidade de gerenciamento de dados; • Desconexão entre a estratégia de TI e a estratégia comercial; • Dependências com operação automática de entidades além do controle direto; • Número de erros apresentados pelos sistemas críticos.

Os diretores de TI vêm considerando a GTI como um dos seus principais segmentos de investimento para alcançar os objetivos de gerenciamento abrangente das informações e de provisão de serviços eficazes, efetivos de TI alinhados a estratégia de negócios da corporação.

MBA-ENGSOFT Segurança de Sistemas 11 © 2005 Halan Ridolphi

Page 12: Governança TI halan

5 Metodologias & Frameworks Nas próximas seções, descrevemos sucintamente as metodologias, frameworks e

padrões em voga atualmente acerca da Governança de TI (GTI) e respectivas tecnologias.

Metodologia Foco CobiT Gestão de processos, controle e auditoria de

tecnologia da informação. Forte em controles e métricas de TI, mas não detalha fluxos de processos e é limitado em segurança.

ITIL Gerenciamento de recursos e serviços com maior foco em infra-estrutura, mas limitado em segurança e desenvolvimento de software.

Six Sigma Melhoria de processos.

MOF – MSF – MSM

Gerenciamento de processos operacionais de TI para soluções de serviço de missão crítica baseado no ITIL.

ISO 9000 Garantia de qualidade. BS7799 / ISO 17799 Desenvolvimento de software. Forte em controles de

segurança, mas não detalha fluxos de processos. ISO / IEC 15504 Framework de avaliação de processos de software. ISO / IEC 12207 Desenvolvimento de software.

CMM / CMMI Desenvolvimento de software. PMBOK Gestão de projetos.

BSC Medição de desempenho, utiliza ferramentas de BI para implementação e monitoramento de indicadores de gestão do negócio.

Tabela: Abrangência Metodologias de GTI

O diagrama a seguir, ilustra um modelo de melhoria de processos de TI com suporte dos frameworks e padrões de GTI:

MBA-ENGSOFT Segurança de Sistemas 12 © 2005 Halan Ridolphi

Page 13: Governança TI halan

Figura: Modelo de Melhoria de Processos por GTI

5.1 ITIL

O ITIL™ (Information Technology Infrastructure Library) é um modelo de referência para gerenciamento de processos de TI. A metodologia foi criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, para desenvolver as melhores práticas para a gestão da área de TI nas empresas privadas e públicas. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo é descrever os processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos.

Entre os processos que fazem parte do modelo de referência, podemos citar: planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração, operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes. As empresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa e provar este valor de maneira adequada, através de processos corretos.

O ITIL™ é composto por módulos. Os mais importantes são o "IT Service Support" e o "IT Service Delivery". A seguir, descrevemos as características do ITIL™:

• Modelo de referência para processos de TI não proprietário; • Adequado para todas as áreas de atividade; • Independente de tecnologia e fornecedor; • Um padrão de fato; • Baseado nas melhores práticas; • Um modelo de referência para a implementação de processos de TI; • Padronização de terminologias; • Interdependência de processos;

MBA-ENGSOFT Segurança de Sistemas 13 © 2005 Halan Ridolphi

Page 14: Governança TI halan

• Diretivas básicas para implementação; • Diretivas básicas para funções e responsabilidades dentro de cada processo; • Checklist testado e aprovado; • O que fazer e o que não fazer.

O ITIL™ contempla disciplinas táticas (planejamento) e operacionais:

• Disciplinas Táticas Service Level Management IT Service Continuity Management Financial Management Capacity Management Availability Management Security Management Customer Relationship Management Supplier Management

• Disciplinas Operacionais Incident Management Problem Management Configuration Management Change Management Release Management

Figura: Arquitetura ITIL™

Resultados que podem ser alcançadas com implantação do ITIL™:

• Fortalecimento dos Controles e da Gestão dos ambientes de TI; • Orientação a processos com significativa redução nos tempos de execução e

distribuição de serviços; • Diminuição gradativa da indisponibilidade dos recursos e sistemas de tecnologia a

informação, causados por falhas no planejamento das mudanças e implantações em TI;

MBA-ENGSOFT Segurança de Sistemas 14 © 2005 Halan Ridolphi

Page 15: Governança TI halan

• Elevação dos níveis de satisfação dos usuários internos e clientes com relação à disponibilidade e qualidade dos serviços de TI;

• Redução dos custos operacionais de TI; • Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores

e clientes; • Aderência às instruções normativas das entidades reguladoras e certificadoras.

5.2 CobiT

O CobiT (Control Objectives for Information and related Technology) é uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento.

As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. O CobiT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. O foco central é o gerenciamento da informação com os recursos de TI para garantir o negócio da organização.

O CobiT contempla quatro domínios incluindo processos técnicos e gerenciais para garantir uma completa gestão da infra-estrutura de TI:

• Planejamento e Organização Define o plano estratégico de TI; Define a arquitetura da informação; Determina a direção tecnológica; Define a organização de TI e seus relacionamentos; Gerencia os investimentos em TI; Gerencia a comunicação das direções de TI; Gerencia os recursos humanos; Assegura o alinhamento de TI com os requerimentos externos; Avalia os riscos; Gerencia os projetos; Gerencia a qualidade;

• Aquisição e implementação Identifica as soluções de automação; Adquire e mantém os softwares; Adquire e mantém a infra-estrutura tecnológica; Desenvolve e mantém os procedimentos; Instala e certifica softwares; Gerencia as mudanças;

• Entrega e suporte Define e mantém os acordos de níveis de serviços (SLA); Gerencia os serviços de terceiros; Gerencia o desempenho e capacidade do ambiente; Assegura a continuidade dos serviços; Assegura a segurança dos serviços; Identifica e aloca custos; Treina os usuários; Assiste e aconselha os usuários; Gerencia a configuração; Gerencia os problemas e incidentes; Gerencia os dados;

MBA-ENGSOFT Segurança de Sistemas 15 © 2005 Halan Ridolphi

Page 16: Governança TI halan

Gerencia a infra-estrutura; Gerencia as operações;

• Monitoração Monitora os processos; Analisa a adequação dos controles internos; Prove auditorias independentes; Prove segurança independente.

Figura: Domínios CobiT

As recomendações de gerenciamento do CobiT com orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. As diretrizes de gerenciamento do CobiT focam na gerência por desempenho usando os princípios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com o modelo de negócio da organização.

MBA-ENGSOFT Segurança de Sistemas 16 © 2005 Halan Ridolphi

Page 17: Governança TI halan

5.3 BSC

O conceito do Balanced Scorecard (BSC) ajuda-o a traduzir a estratégia em ação. A criação do BSC tem início na visão e estratégias da organização, a partir das quais são definidos os fatores críticos de sucesso. Os indicadores de desempenho permitem a definição de metas e a medição dos resultados atingidos em áreas críticas da execução das estratégias. Assim, o Balanced Scorecard é um sistema de gestão de desempenho, derivado da visão e estratégia, refletindo os aspectos mais importantes do negócio.

Ao relacionar os objetivos, as iniciativas e os indicadores com a estratégia da empresa, o BSC garante o alinhamento das ações das diferentes áreas organizacionais em torno do entendimento comum dos objetivos estratégicos e das metas a atingir, permitindo desta forma avaliar e atualizar a própria estratégia.

Os sistemas tradicionais de gestão e controlo, ao focarem-se exclusivamente em dados financeiros e contabilísticos, tornaram-se rapidamente obsoletos, não respondendo às novas necessidades de monitorização do negócio.

O BSC, integrando indicadores financeiros e não financeiros, garante também uma perspectiva abrangente do desempenho das áreas críticas do negócio. Neste contexto, os criadores do BSC, Kaplan & Norton, definiram quatro dimensões através das quais a atividade de uma organização deve ser analisada:

• Dimensão Financeira Como estamos perante os nossos acionistas?

• Dimensão Cliente Como estamos perante os clientes ou mercado?

• Dimensão Processos Como está o nosso desempenho nos processos e recursos críticos?

• Dimensão Aprendizagem e Inovação Como deveremos sustentar a nossa capacidade de mudança e melhoria?

5.3.1 Processo

Como criar um Balanced Balanced Scorecard: É necessário em primeiro lugar identificar a visão da organização. Qual o caminho pretendido para a organização? Ao identificar as estratégias, são clarificadas as formas para atingir a visão. Defina, em seguida, os Fatores Críticos de Sucesso e as dimensões para o Balanced Scorecard (BSC), o que significa que deve perguntar o que deve fazer bem em cada uma das dimensões. Seguidamente efetue a pergunta “como podemos avaliar se tudo está a ser executado conforme o pretendido?”. Agora é necessário avaliar o seu Scorecard. Considere como pode medir se estamos a analisar as componentes adequadas. Com base na análise dos indicadores poderá identificar e criar planos de ação e iniciativas. Torna-se então necessário planear os mecanismos de reporting e a operacionalização do Scorecard. Como podemos gerir o Scorecard? Que colaboradores deverão receber relatórios e como deverão ser estes apresentados?

MBA-ENGSOFT Segurança de Sistemas 17 © 2005 Halan Ridolphi

Page 18: Governança TI halan

MBA-ENGSOFT Segurança de Sistemas 18 © 2005 Halan Ridolphi

Figura 1: Processo BSC

5.3.2 Abrangência

A imagem apresenta um exemplo muito genérico de um Scorecard. Para onde vamos? A visão: “Queremos dominar o Mercado.” Como? Através de um enfoque em eficiência de custos e elevada qualidade, investindo em novas tecnologias. Em quais dimensões devemos procurar a excelência? Seguidamente, são identificados os Fatores Críticos de Sucesso para cada dimensão do Scorecard, que por sua vez são monitorizados através dos indicadores de desempenho. A utilização de indicadores permite a definição de metas concretas alinhadas com a estratégia da organização. Por forma a atingir as metas são definidas responsabilidades e identificados planos de ação. Se construir um Scorecard é fácil, implementar um Scorecard administrável e utilizado pela organização é um desafio.

Page 19: Governança TI halan

MBA-ENGSOFT Segurança de Sistemas 19 © 2005 Halan Ridolphi

Figura 2: Abrangência BSC

5.3.3 Benefícios

Os benefícios decorrentes da implementação do BSC na corporação:

• Traduz a estratégia em objectivos e acções concretas; • Promove o alinhamento dos indicadores chave com os objectivos estratégicos a

todos os níveis organizacionais; • Proporciona à gestão uma visão sistematizada do desempenho operacional; • Constitui um processo de avaliação e actualização da estratégia; • Facilita a comunicação dos objectivos estratégicos, focalizando os colaboradores

na sua consecução; • Permite desenvolver uma cultura de aprendizagem e melhoria contínua; • Suporta a atribuição de incentivos em função do desempenho individual e da

contribuição para os resultados do negócio.

O Balanced Scorecard ajuda reduz a quantidade de informação utilizada a um conjunto mínimo de indicadores vitais e críticos.

5.4 Six Sigma

A metodologia Six Sigma prove técnicas e ferramentas para melhorar a capacidade e reduzir defeitos em qualquer processo, produto ou serviço. A técnica foi desenvolvida pela Motorola, em sua divisão de manufatura, onde milhões de peças são produzidos pelo mesmo processo repetidamente. Eventualmente, Six Sigma abrange e é aplicado a outros processos que não sejam de manufaturada. Hoje em dia pode-se aplicar Six Sigma para muitos outros campos do conhecimento e de negócio, tais como, suporte ao consumidor, setor de serviços, gerência de projetos, gerenciamento da cadeia de suprimentos, medicina, procedimentos de segurança e call centers. Metodologia Six Sigma aperfeiçoa qualquer processo de negócio existente pela revisão e afinação constante do processo. Para alcançar isto, Six Sigma utiliza uma metodologia

Page 20: Governança TI halan

conhecida como DMAIC (Define opportunities, Measure performance, Analyze opportunity, Improve performance, Control performance). Six Sigma incorpora os princípios básicos e técnicas usadas em Negócios, Estatística e Engenharia. Esses três formam os elementos centrais da metodologia Six Sigma. Six Sigma melhora o desempenho de processo, diminui a variação e mantém qualidade consistente da saída do processo. Estas ligações para redução de defeitos e aumento nos lucros, qualidade do produto e satisfação do cliente. Ela permite somente 3.4 defeitos por milhão de oportunidades para cada produto ou transação de serviço. Six Sigma confia pesadamente nas técnicas estatísticas para reduzir defeitos e medir a qualidade.

Os três elementos chave de Six Sigma são:

• Satisfação do Consumidor; • Definição de Processos e Definição de Métricas e Medidas de Processos; • Construção da Equipe e Envolvimento dos Empregados.

Todo membro da equipe deve ter um papel bem definido e objetivos mensuráveis.

5.5 MOF – MSF - MSM

Frameworks criados pela Microsoft para gerenciamento interno e de parceiros, posteriormente estendido a clientes. Detalham as melhores práticas que ensinam como acelerar o planejamento, a implantação e a manutenção dos processos de TI operacionais. MOF – Microsoft Operations Framework – compreende um manual para planejamento, implementação, e manutenção de processos de TI para soluções de serviço de missão critica, baseado no framework ITIL™. MSF – Microsoft Solutions Framework – compreende um manual para gerência de projetos de tecnologia. MSM – Microsoft Solutions for Management – compõem um manual de diretrizes técnicas para apoiar as organizações a alcançarem excelência operacional por meio de uma melhor qualidade de serviço, confiabilidade, disponibilidade e segurança, além de reduzir o custo total de propriedade. Os frameworks consideram a adoção de soluções e serviços desenvolvidos com aplicação de produtos e tecnologias da Microsoft Corporation.

Benefícios possíveis de ser alcançados pela implantação dos frameworks Microsoft:

• Implantação rápida de software e atualizações críticas em toda a empresa a partir de um console centralizado;

• Altos níveis de disponibilidade e desempenho em toda a empresa; • Ajuda a aperfeiçoar a confiabilidade, disponibilidade e desempenho de aplicativos

críticos para o negócio; • Implementa as melhores práticas de gerenciamento, independentemente das

plataformas ou tecnologias usadas no seu ambiente; • Aperfeiçoa a capacidade do departamento de TI de oferecer suporte aos requisitos

de disponibilidade e desempenho para aplicativos críticos para o negócio; • Desenvolver manuais de operações personalizados, específicos para as

necessidades da organização; • Avalia as necessidades de gerenciamento operacional da organização em um

método modular para identificar e resolver questões de gerenciamento por prioridade ou como um todo.

MBA-ENGSOFT Segurança de Sistemas 20 © 2005 Halan Ridolphi

Page 21: Governança TI halan

Figura: Microsoft Frameworks

5.6 BS7799

Norma NBR ISO/IEC 17799 define um conjunto de boas práticas de gestão da segurança. Serve de base para regulamentação de políticas de segurança. Seus controles permitem a auditoria de segurança de informação.

A norma BS7799 abrange os seguintes aspectos técnicos e gerenciais:

• Política de Segurança; • Organização da Segurança; • Classificação e Controle de Ativos; • Segurança de Pessoal; • Segurança Física e Ambiental; • Gerenciamento de Comunicações e Operações; • Controle de Acesso; • Desenvolvimento e Manutenção de Software; • Planejamento de Continuidade de Negócios; • Planejamento de Aderência (compliance).

5.7 CMM/CMMI

Metodologia objetiva a avaliação e a melhoria da capacitação de uma organização no que diz respeito ao processo de desenvolvimento de software. Publicado em 1992, foi devolvido pelo Software Engineering Institute (SEI) para avaliação das empresas que produzem software. Cada nível de maturidade (com exceção do nível 1) é composto de várias áreas chave de processo (KPA).

Descrição de características dos níveis de maturidade classificados pelo modelo CMM:

MBA-ENGSOFT Segurança de Sistemas 21 © 2005 Halan Ridolphi

Page 22: Governança TI halan

Nível CMM Descrição

Inicial O processo é caracterizado como ad-hoc e algumas vezes caótico. Poucos processos são definidos e o êxito depende do esforço individual.

Repetível É estabelecido um processo gerencial basicamente para monitorar custos, cronograma e funcionalidade. A disciplina necessária ao processo está estabelecida de forma a poder ser repetida com sucesso em projetos com aplicações semelhantes.

Definido O processo de software tanto para as atividades de gerência quanto de engenharia está documentado, normalizado e integrado em um processo padrão para a organização. Todos os projetos da organização usam o processo.

Gerenciado São coletadas medidas detalhadas da qualidade do processo e do produto O processo e o produto são quantitativamente entendidos e controlados.

Otimizado O processo sofre contínuas melhorias através do feedback quantitativo do processo e da introdução de idéias e tecnologias inovadoras.

CMMI (CMM Integration) foi criado para resolver a existência de múltiplas versões do CMM. Seu objetivo é combinar o SW-CMM (Capability Maturity Model for Software), SECM (System Engineering Capability Model) e o IPD-CMM (Integrated Product Development Capability Maturity Model). Abrange as seguintes áreas de conhecimento:

• Engenharia de Sistemas; • Engenharia de Software; • Desenvolvimento integrado de produtos e processos; • Contratação de fornecedores.

MBA-ENGSOFT Segurança de Sistemas 22 © 2005 Halan Ridolphi

Page 23: Governança TI halan

Figura: Níveis do CMM

5.8 PMBOK

PMBOK denota o Universo de Conhecimento em Gerência de Projetos, ou seja, o somatório da “aplicação de conhecimentos, habilidades, e técnicas para projetar atividades que visem atingir ou exceder as necessidades e expectativas das partes envolvidas, com relação ao projeto”. As diretrizes neste documento são mantidas pelo PMI (Project Management Institute) como uma estrutura consistente para administração de programas de desenvolvimento profissional incluindo:

• Certificação de Profissionais de Gerência de Projetos (PMP – Project Management Professional);

• Credenciamento dos programas educacionais que concedem grau em Gerência de Projetos.

Abrange nove áreas de conhecimento, a saber:

• Gerência da Integração do Projeto; • Gerência do Escopo do Projeto; • Gerência do Tempo do Projeto; • Gerência do Custo do Projeto; • Gerência da Qualidade do Projeto; • Gerência dos Recursos Humanos do Projeto; • Gerência das Comunicações do Projeto; • Gerência dos Riscos do Projeto; • Gerência das Aquisições do Projeto.

MBA-ENGSOFT Segurança de Sistemas 23 © 2005 Halan Ridolphi

Page 24: Governança TI halan

Figura: PMBOK - Áreas de Conhecimento da Gerência de Projetos

MBA-ENGSOFT Segurança de Sistemas 24 © 2005 Halan Ridolphi

Page 25: Governança TI halan

6 Aplicações Alguns domínios de aplicação para Governança de TI:

• TCO (Total Cost of Ownership): A meta em TI é reduzir o custo total de propriedade dos ativos;

• Terceirização: A terceirização é uma tendência da GTI; Terceirizar quando não pertence ao core business da organização.

• Consolidação de parques tecnológicos e equipamentos: Plataformas de hardware; Plataformas de telecomunicação; Plataformas de banco de dados;

• Plano Diretor de TI: Melhor aproveitamento da evolução tecnológica; Melhor avaliação dos investimentos; Melhor gerenciamento de infra-estrutura; Utilizar os conceitos e métricas de governança corporativa para manter a área

de TI em sintonia com os avanços da empresa e os avanços tecnológicos.

• Padronização de tecnologia: Processos de software; Processos de gerência de configuração; Processos de resolução de problemas; Processos de garantia de qualidade; Ferramentas de desenvolvimento de software; Ferramentas de groupware, workflow e integração.

Algumas situações de aplicação para Governança de TI:

• Não existe metodologia de desenvolvimento: Neste caso pode-se utilizar o CMM ou ISO / IEC 12207 ou SPICE para apoio na

implantação de uma metodologia;

• Não existe nenhuma metodologia e controle para identificação e gerenciamento de riscos em meus projetos:

Neste caso, o PMI pode ser muito útil;

• Não estão formalizados os processos de gerenciamento de rotinas de produção: O COBIT poderá auxiliar no desenvolvimento de controles e formalização de

tais rotinas;

• Não há processo para gerenciamento da capacidade dos recursos: O COBIT e o ITIL poderão auxiliar no desenvolvimento do processo, dos

controles e da formalização de tais atividades;

• O processo de gerenciamento de mudanças não produz os resultados esperados, sendo necessário redesenhar:

O COBIT e o ITIL poderão auxiliar no redesenho do processo.

MBA-ENGSOFT Segurança de Sistemas 25 © 2005 Halan Ridolphi

Page 26: Governança TI halan

7 Benefícios Econômicos A seguir, apresentamos alguns benefícios tangíveis pelas corporações quanto à adoção e

implantação de tecnologias, ferramentas e métodos correlatos a Governança de TI (GTI).

7.1 Cliente e Usuário

Razões para investimentos em GTI do ponto de vista do cliente e do usuário:

• Redução do tempo de processamento e manuseio de papel;

• Aumento de satisfação do usuário;

• Incremento à produtividade;

• Melhoria da satisfação com o trabalho;

• Acesso imediato e multiusuário a qualquer informação;

• Melhoria da qualidade do trabalho;

• Alta velocidade e precisão na localização de documentos;

• Melhor atendimento ao cliente por proporcionar respostas mais precisas e instantâneas.

7.2 Gestão da Informação

Razões para investimentos em GTI do ponto de vista da gestão da informação:

• Melhor controle dos documentos;

• Redução do espaço físico de armazenagem;

• Facilidade de implementar temporalidade documental;

• Integração com outros sistemas e tecnologias;

• Facilidade adicional para implantar empresa virtual;

• Possibilidade da empresa virtual sem limites físicos;

• Minimização de perda e extravio de documentos.

7.3 Equipe de TI

Razões para adoção de GTI do ponto de vista da equipe de TI:

• Disponibilidade instantânea de documentos sem limites físicos;

• Gerenciamento e otimização do Workflow;

• Maior agilidade nas transações entre empresas;

• Alta velocidade e precisão na localização de documentos;

• Estabelecer e manter boa imagem e reputação com a administração;

• Assegurar que os projetos de TI previstos adicionam valor à empresa

• Vender produtos e serviços de TI apropriados para terceiros;

• Controlar custos de TI;

• Maior velocidade na implementação de mudanças nos processos.

MBA-ENGSOFT Segurança de Sistemas 26 © 2005 Halan Ridolphi

Page 27: Governança TI halan

7.4 Investimentos em Informação

Razões para adoção de GTI do ponto de vista da redução e proteção dos investimentos em informação:

• Redução de custos com novos escritórios/depósitos/equipamentos;

• Proteção do patrimônio;

• Eliminação de retornos;

• Proteção contra processos;

• Eliminação de fraudes, principalmente em agências governamentais;

• Explicita a relação entre aumento nos custos de TI e aumento no valor da informação;

• Proteção contra catástrofes que poderiam danificar seu acervo.

7.5 Alinhamento ao Modelo de Negócio

Razões para adoção de GTI do ponto de vista de alinhamento a estratégia de negócios da corporação:

• Disponibilidade das informações necessárias para suportar as necessidades de negócios;

• Riscos de falta de integridade e confidencialidade das informações;

• Eficiência nos custos dos processos e operações;

• Ampliação da produtividade e efetividade dos serviços de TI;

• Confirmação de confiabilidade, efetividade e conformidade das informações;

• Controle de contratos e orçamentos de projetos internos e externos;

• Alinha a estratégia de TI com as do negócio;

• Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais;

• Mantém os riscos do negócio sob controle;

• Explicita a importância da TI na continuidade dos negócios;

• Mede e melhora continuamente a performance de TI.

MBA-ENGSOFT Segurança de Sistemas 27 © 2005 Halan Ridolphi

Page 28: Governança TI halan

8 Governança de TI no Brasil A seguir, comentamos casos reais de aplicação da Governança de TI em corporações

brasileiras, incluindo relatos de experiências, metodologias, implementação, resultados alcançados, estatísticas de satisfação e atingimento de metas.

8.1 Petrobrás

8.2 CLARO

Atualmente está em processo de diagnóstico dos próprios riscos, controles e processos internos. As equipes de TI, Gestão de Projetos, Produção, VAS, Ativos Virtuais e Change Control conjuntamente estão realizando estudos de viabilidade para implementação do framework CobiT. O plano de diagnóstico do cenário atual da política e infra-estrutura de TI compreende a exploração das seguintes etapas:

• Relacionamento de TI com a Alta Administração;

• Papéis e Responsabilidades em TI;

• Mapeamento de todos os processos existentes;

• Análise critica destes processos;

• Identificação dos riscos inerentes em cada processo;

• Mapeamento dos controles existentes que mitigam os riscos inerentes identificados.

8.3 HSBC

8.4 ABN Amro Bank

Iniciou ITIL em 2001 – datacenter e implantação de equipamentos do banco, incluindo agências. Deve estar concluído em 2005.

Resultados e estatísticas de satisfação apurados:

• Centralização do help-desk;

• Aumento de chamados de 20.000 para 60.000, evidenciando ampliação do controle e não dos chamados;

• Tempo de atendimento reduzido em 20%;

• Volume de reclamações reduzido em 80%;

• 94% dos atendimentos completados em menos de 20 segundos.

8.5 Vale do Rio Doce

O projeto de governança na Vale começou em 1998 logo após a privatização da companhia. Diante de uma arquitetura heterogênea, sem políticas definidas e nenhum tipo de padronização, foi decidido reorganizar tudo. A estratégia de TI foi segmentada, então, em três pilares: produção (que compreende o controle dos custos, ativos e os níveis de serviço prestados pelos fornecedores); projetos (que define a arquitetura de TI e cuida de cada modificação que precisa ser feita); e inovação, responsável por definir os passos da empresa rumo ao futuro. "Tínhamos gente focada em manutenção, suporte técnico e sistemas, mas não pessoas que entendessem de mineração, ferrovias e logística, que é o core business da empresa", comenta Adriana, diretora de TI da corporação. A saída foi trocar praticamente metade do time. O passo seguinte foi realizar o levantamento de todos os recursos tecnológicos da empresa, hoje catalogados e sob controle.

MBA-ENGSOFT Segurança de Sistemas 28 © 2005 Halan Ridolphi

Page 29: Governança TI halan

Outro ponto fundamental do projeto de TI da Vale foi o da redução de custos, que, em alguns processos, chegou a cair pela metade. Hoje, o orçamento total de tecnologia da empresa é de 70 milhões de dólares, sendo aproximadamente 40 milhões destinados ao custeio da área e 30 milhões para investimentos. Os custos, no entanto, já foram muito maiores. "A governança trouxe ganhos significativos, sobretudo nos custos por usuário, que caíram muito. Também economizamos um bocado eliminando a redundância de alguns projetos e aumentando nosso poder de negociação com os fornecedores, o que barateou a terceirização", afirma Adriana.

Diferentemente do que ocorre nos projetos de outsourcing, a Vale manteve a propriedade dos ativos de informática e terceirizou somente a gestão. Além disso, uma equipe de TI com 20 profissionais foi mantida para cuidar de perto da administração dos fornecedores, um dos pontos cruciais do projeto de governança. Todos foram treinados de acordo com as especificações do Project Management Institute (PMI), o que garantiu mais transparência na hora de gerir os projetos.

O projeto deu certo e despertou a atenção do MIT (Massachusetts Institute of Technology), que possui um convênio de inovação tecnológica com a Vale e, durante uma visita ao Brasil, convidou Adriana para ministrar aulas num curso de gestão de tecnologia. "Eles ficaram impressionados com a abrangência do projeto. Foi um prêmio", afirma Adriana. "Temos muito a avançar, mas chegamos a um ponto em que sabemos onde estamos bem, onde precisamos melhorar. A TI que desenhamos na Vale é toda voltada ao negócio. Penso o tempo todo em como priorizar projetos, em como gerar orçamentos alinhados à estratégia e em corte de custos", diz Adriana.

INFRA-ESTRUTURA DE TI:

• Usuários: 14 mil

• Estações de trabalho: 12 mil

• Sistemas: 400

• Pacote de gestão: Oracle

• Administração de infra-estrutura: EDS

• Administração de sistemas: Accenture

• Administração da rede: Telemar

Relatos obtidos na revista Info Corporate.

MBA-ENGSOFT Segurança de Sistemas 29 © 2005 Halan Ridolphi

Page 30: Governança TI halan

MBA-ENGSOFT Segurança de Sistemas 30 © 2005 Halan Ridolphi

9 Bibliografia Fontes de artigos, informativos e livros acerca de Governança de Tecnologia da

Informação e assuntos correlatos:

• Sordi, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo: Atlas, 2003. 185p.

• Graelm, A. R. Sistemas de Informação - O alinhamento da estratégia de TI com a estratégia corporativa. 1. Ed. Atlas, 2003. 159p.

• Mesquita, R. A Organização Faz a Força - Governança em TI. Brasília, Dezembro. 2002. • Spafford, G. Achieving Project Management Balance. Julho. 2003. • Teófilo, A. Segurança sob a perspectiva do ITIL. Maio. 2004. • Coen, L. Metodologias trazem maturidade à área de TI. Novembro. 2003. • Fagundes, E. M. COBIT - Um kit de ferramentas para a excelência na gestão de TI. • ITIL - www.ITIL.co.uk • Forum - www.itsmf.net • CMM - www.itservicecmm.org • SLM - www.nextslm.org • COBIT - www.isaca.org/cobit.htm • GOVERNANÇA TI - http://www.sit.com.br/SeparataGTI129.htm • HELP DESK INSTITUTE - http://www.helpdeskinst.com/ • CRM KNOWLEDGE BASE - http://www.crmassist.com/ • IT Governance Institute - http://www.itgovernance.org • Site revista CIO - http://www.cio.com • ITIL, Cobit e ISO17799 -

http://www.itsmf.org.za/Presentations/CobiT%20ITIL%20and%20BS7799.pdf • ITIL - http://www.ogc.gov.uk/index.asp?id=2261 • IT Service Management Fórum - http://www.itsmf.com/ • Institute of IT Service Management - http://www.iosm.com • Aquisição ITIL - http://www.tso.co.uk/bookshop/bookstore.asp?FO=1150345 – • Softwares ITIL - http://www.pinkelephant.com/consultingservices/toolsets.htm • ISACA e CobiT - http://www.isaca.org • CMMI - http://www.sei.cmu.edu/cmmi/ • Project Management Institute - http://www.pmi.org • PMI-RS - http://www.pmirs.org • PRINCE2 - http://www.prince2.org.uk/ • Módulo (gestão da segurança) - http://www.modulo.com.br