Gestão estratégica de serviços de TI

Prévia do material em texto

As empresas estão cada vez mais dependentes de sistemas de informação e recursos
tecnológicos para alcançar seus objetivos de negócios. Isso faz com que a TI tenha um papel
cada vez mais estratégico, devendo haver um alinhamento com a estratégia da empresa e a
sua governança corporativa. Tendo em vista essa necessidade, modelos são propostos para
sustentar a implementação de processos de TI, que podem se apoiar na criação de uma
governança de TI, com mecanismos de controle e um gerenciamento mais e�ciente dos
serviços relacionados.
Caro(a) estudante, ao ler este roteiro, você vai:
entender o alinhamento entre a governança de TI e a governança corporativa;
compreender a necessidade da criação de um programa de governança de TI nas
empresas;
avaliar o modelo COBIT para auxiliar na criação da governança de TI;
avaliar o modelo ITIL para auxiliar nos processos de gestão de serviços de TI;
compreender a necessidade de cuidados com a segurança da informação;
entender os requisitos da LGPD (Lei Geral de Proteção dos Dados);
analisar os dados necessários para a confecção de um Plano de Continuidade de
Negócios.
Introdução
Gestão Estratégica de Serviços de TI
Roteiro de Roteiro de 
EstudosEstudos
Autor: Me. Marcelo Takashi Uemura
Revisora: Ma. Amanda de Britto Murtinho
Os serviços de TI estão presentes na rotina de trabalho dos principais processos de negócios de
uma empresa. Conectividade à internet, e-mail, sistemas de informação e impressão são alguns
exemplos de serviços providenciados pela área de TI de uma organização, cujos problemas
podem gerar grandes impactos nas suas operações.
Nesse contexto, o que a área de TI pode implementar para estar alinhada com a estratégia de
negócios da empresa e assegurando a disponibilidade de seus serviços? A resposta é um
programa de governança de TI, que pode ser implementado com o uso de modelos bem
conhecidos no mercado.
Essa abordagem necessita do apoio da alta administração da empresa, sob a responsabilidade
da área de TI, devendo ser promovida o quanto antes, especialmente se a empresa estiver
passando por problemas com os serviços de TI. Caso não seja implementada, a empresa �ca
fragilizada e suscetível aos riscos do não cumprimento com as metas estratégicas de negócios.
Para que a Tecnologia de Informação possa prover serviços alinhados com a estratégia da
organização, serão apresentados conceitos que apoiarão a construção do conhecimento
necessário para gerenciar os serviços de TI por meio da implementação de um programa de
governança de TI.
Governança Corporativa e
Governança de TI
Segundo Blok (2017), a governança corporativa é um conceito que representa como as
organizações são dirigidas e controladas, contemplando o poder de controle e de direção de
uma empresa. É utilizada para trazer uma maior transparência da gestão de uma empresa,
principalmente para os acionistas, por meio das prestações de contas e responsabilidade
corporativa.
Para garantir uma maior efetividade da governança corporativa, são utilizados modelos de
controle interno (auditorias) e gestão de riscos, seja por interesse próprio ou por questões de
regulação. Os sistemas de controle e riscos criados pela governança corporativa acabam por
gerar restrições de operações e serviços de TI, implicando decisões sobre políticas e
investimentos em TI, auditorias em TI e monitoramento dos riscos de TI (FERNANDES; ABREU,
2014).
Para que a TI esteja alinhada com as restrições da governança corporativa e a estratégia da
empresa, deve-se ter uma governança de TI, com a implementação de controles e processos
para o gerenciamento de projetos e serviços de TI.
Segundo Fernandes e Abreu (2014), os componentes típicos do modelo de governança de TI
são:
riscos e compliance – de�nição da tolerância de riscos da organização e na avaliação
conjunta dos riscos com o negócio; 
avaliação independente – avaliações independentes para veri�car a conformidade de TI; 
gestão da mudança organizacional – processo de avaliar a prontidão para a mudança nas
áreas de TI; 
alinhamento estratégico – interação entre TI e a alta administração, estabelecendo
mecanismos de direitos decisórios; 
entrega de valor – gerenciamento dos programas e projetos avaliando o valor entregue e
o gerenciamento do portfólio de TI; 
gestão do desempenho – de�nição de indicadores, mecanismos de coleta e análise de
indicadores de resultado (metas) e de desempenho de TI; 
comunicação – comunicação do valor entregue pela TI ao negócio; 
gerenciamento de recursos – supervisão do investimento, do uso e da alocação dos
recursos de TI.
O passo inicial para a implementação da governança de TI é a estruturação de funções e
responsabilidade da governança de TI, podendo ser atribuído a uma pessoa ou a um grupo de
pessoas. Deve-se realizar o alinhamento estratégico, do qual, a partir dos objetivos e das
estratégias do negócio, derivam-se as iniciativas estratégicas de TI, que serão transformadas
em projetos e serviços, compondo um Plano de Tecnologia da Informação.
Com o alinhamento estratégico, serão de�nidas as prioridades de TI e, assim, gerar-se-á o
portfólio de TI, que de�nirá como será a rotina diária das operações de serviços de TI. Deve-se
garantir que todas as implementações realizadas por TI sejam controladas, monitoradas e
atendam aos parâmetros de riscos da TI para o negócio, aos requisitos de compliance externos
(leis, regulações etc.) e aos controles internos solicitados para TI.
No tópico a seguir, será apresentado um dos modelos que apoiam a governança de TI, o
modelo COBIT (FERNANDES; ABREU, 2014).
 COBIT ( Control Objectives for
Information andrelated
Technology )
COBIT foi criado em 1994 pela ISACF ( Information System Audit and Control Function ), para ser
um modelo que estabelece um conjunto de objetivos de controle , promovendo um melhor
entendimento e a adoção dos princípios de governança de TI (FERNANDES; ABREU, 2014).
Esse modelo evoluiu ao longo dos anos, promovendo um alinhamento com outros modelos
como COSO, ITIL e ISO/IEC 17799. Segundo Fernandes e Abreu (2014), o principal objetivo das
práticas do COBIT é contribuir para a entrega de produtos e serviços de TI com sucesso, tendo
como base as necessidades de negócio, trazendo um foco maior sobre o controle da execução.
Em outras palavras, o COBIT:
LEITURA
Tecnologia da Informação
Autores : Henry C Lucas Jr.
Editora : Grupo GEN
Ano : 2006
Comentário : O livro aborda questões reais de tecnologia com
as quais os administradores de hoje se defrontam, como o que
fazer com sistemas legados, quando terceirizar e como escolher
um provedor de processamento e serviços, entre outros. A obra
apresenta linguagem didática e prática, com temática relevante
para o conteúdo desta unidade.
Esse título está disponível na Minha Biblioteca Ânima.
estabelece relacionamentos com os requisitos do negócio;
organiza as atividades de TI em um modelo de processos genérico;
identi�ca os principais recursos de TI, nos quais deve haver mais investimento;
de�ne os objetivos de controle que devem ser considerados para a gestão.
Na visão do COBIT, os pilares que sustentam o núcleo de governança de TI são: alinhamento
estratégico entre o plano de negócios e TI, agregação de valor, gerenciamento de recursos,
gerenciamento de riscos e medição de desempenho. Os requisitos de negócio (e�cácia,
e�ciência, con�dencialidade, integridade, disponibilidade, conformidade, con�abilidade) devem
direcionar os investimentos em recursos de TI (sistemas aplicativos, informação, infraestrutura,
pessoas) que são utilizados por processos de TI a �m de fornecer informações empresariais
que, por sua vez, irão atender aos negócios da empresa, formando um ciclo.
O COBIT é um framework aberto que pode ser adaptado a qualquer
organização. No entanto, a atuação do COBIT se dá de maneira mais forte com
o apoio da alta administração, visto que fornece diretrizes para o controle dos
riscos e controle do nível operacional, e assim,proporciona a autoavaliação
por meio da medição do desempenho e o controle de metas (ALC NTARA, 2018,
p. 18).
Para tanto, o COBIT oferece um framework de processos que estão distribuídos em quatro
domínios.
Planejamento e Organização (PO): identi�ca as formas por meio das quais a TI pode
contribuir melhor para atendimento dos objetivos de negócio, envolvendo planejamento,
comunicação e gerenciamento em diversas perspectivas. 
Aquisição e Implementação (AI): identi�cação, desenvolvimento e/ou aquisição de
soluções de TI para executar a estratégia de TI estabelecida, assim como sua
implementação e integração junto aos processos de negócio. 
Entrega e Suporte (DS): cobre a entrega propriamente dita dos serviços requeridos,
incluindo gerenciamento de segurança e continuidade, suporte aos serviços para os
usuários, gestão de dados e da infraestrutura operacional. 
Monitoração e Avaliação (ME): assegurar a qualidade dos processos de TI, bem como a
governança e a conformidade com os objetivos de controle.
O objetivo de controle de�ne o resultado ou propósito atingido por meio dos procedimentos de
controle, sendo que este é o conjunto de políticas, procedimentos, práticas e estruturas
organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócios
serão atingidos (FERNANDES, ABREU, 2014).
O modelo COBIT pode ser aplicado na avaliação de processos de TI, auditoria de riscos
operacionais de TI, implementação modular da governança de TI, realização de benchmarking e
quali�cação de fornecedores de TI. Como principais benefícios, o COBIT pode trazer
responsabilidades e protocolos de comunicação bastante claros, visão clara acerca da situação
atual dos processos de TI, redução da exposição a riscos, maior solidez e assertividade no
planejamento encadeado das ações de melhoria, alta visibilidade do impacto dos esforços de
melhoria de TI, redução dos custos operacionais e melhoria da imagem perante os clientes.
A seguir, será apresentado o modelo ITIL, que apoia o gerenciamento de serviços de TI e pode
ser utilizado em conjunto com o COBIT.
ITIL ( Information Technology
Infrastructure Library )
O modelo ITIL foi desenvolvido pelo CCTA ( Central Computer and Telecommunication Agency ),
para atender a uma solicitação do governo britânico, insatisfeito com o nível de qualidade dos
serviços de TI. O ITIL surgiu como um modelo de melhores práticas para gerenciar a utilização
e�ciente e responsável dos recursos de TI (FERNANDES; ABREU, 2014).
O principal objetivo do ITIL é trazer uma abordagem das melhores práticas utilizadas no
gerenciamento de serviços de TI , desde a sua concepção até sua operacionalização.
Alcântara (2018, p. 35) explicita que:
Por ser um framework, o principal objetivo da ITIL é prover um conjunto de
práticas de gerenciamento de serviços de TI testadas e comprovadas no
mercado. A adoção das práticas da ITIL pretende levar uma organização a um
grau de maturidade e qualidade que permita o uso e�caz e e�ciente dos seus
ativos estratégicos de TI, incluindo sistemas de informação e infraestrutura de
TI, sempre com o foco no alinhamento e na integração com as necessidades
dos clientes e usuários.
Apresenta uma abordagem do ciclo de vida de um serviço de TI, através de 5 publicações.
Estratégia de Serviço: políticas e processos de serviços de TI podem ser desenhados,
desenvolvidos e implementados como ativos estratégicos. 
Desenho do Serviço: fornece orientação para o desenho de um novo serviço, com
aspectos voltados para gerenciamento do catálogo de serviços, do nível de serviço, da
capacidade, da disponibilidade, da continuidade, da segurança da informação e dos
fornecedores. 
Transição do Serviço: aborda a inserção de serviços novos ou modi�cados para o
ambiente operacional, levando em consideração o gerenciamento de mudanças,
con�guração, liberação e distribuição. 
Operação do Serviço: responsável pelas atividades do dia a dia, abordando o
gerenciamento de eventos, problemas, incidentes, dentre outros. 
Melhoria Contínua do Serviço: realiza as melhorias incrementais de forma sistemática,
focando o gerenciamento da qualidade.
Figura 1 - Ciclo de vida do ITIL 
Fonte: marigranula / 123RF.
Os processos de�nidos pelo ITIL estão distribuídos nesses cinco estágios (publicações),
conforme pode ser visto no quadro a seguir (FERNANDES, ABREU, 2014):
Publicações Processos Funções
Estratégia
de Serviço
Gerenciamento
Financeiro de TI
Gerenciamento do
Portfólio de Serviços
Gerenciamento da
Demanda
Desenho do
Serviço
Gerenciamento do
Catálogo de Serviços
Gerenciamento do Nível
de Serviço
Gerenciamento da
Capacidade
Gerenciamento da
Disponibilidade
Gerenciamento da
Continuidade do Serviço
Gerenciamento da
Segurança da Informação
Gerenciamento de
Fornecedores
Transição
do Serviço
Gerenciamento de
Mudanças
Gerenciamento de Ativos
de Serviços e da
Con�guração
Gerenciamento da
Liberação e da
Distribuição
Validação e Testes do
Serviço
Avaliação
Gerenciamento do
Conhecimento
Operação
do Serviço
Gerenciamento de
Eventos
Gerenciamento de
Incidentes
Execução de Requisições
Central de
Serviços
Gerenciamento
Técnico
Gerenciamento
das  Operações
Quadro 1 - Processos ITIL 
Fonte: Fernandes e Abreu (2014).
O ITIL também propõe a criação de algumas funções especí�cas para a implementação dos
processos de�nidos. Uma das funções de grande relevância para a operação dos serviços de TI
é a Central de Serviços, conhecida como Service Desk. Essa função é responsável pela resposta
a requisições, reclamações e problemas de usuários, a �m de permitir que os serviços sejam
executados com a qualidade esperada. Ela pode ser implementada de forma centralizada, local
ou virtual, tendo as seguintes modalidades (FERNANDES; ABREU, 2014):
Central de Atendimento – ênfase no atendimento de um grande número de chamadas
telefônicas.
Help Desk – visa gerenciar, coordenar e resolver incidentes no menor tempo possível.
Central de Serviços – permite a integração dos processos de negócio à infraestrutura de
gerenciamento dos serviços de TI.
O acordo de nível de serviço ( Service Level Agreement – SLA) é uma de�nição importante para
uma operação correta da Central de Atendimento. Esse item propõe um acordo em relação ao
tempo de retorno e resposta para cada solicitação feita à Central de Atendimento, baseado em
prioridades e, em especial, ao impacto gerado para as atividades de negócios.
Enquanto o COBIT tem um foco maior sobre os objetivos de controle da TI, o ITIL traz uma
abordagem sobre as melhores práticas a serem adotadas para processos de gerenciamento de
serviços de TI, ambos importantes para a governança de TI de uma empresa.
No próximo tópico, serão abordados os aspectos de segurança da informação e a LGPD.
Gerenciamento de
Problemas
Gerenciamento do Acesso
de TI
Gerenciamento
de Aplicações
Melhoria
Contínua do
Serviço
Relato do Serviço
Medição do Serviço
Segurança da Informação e LGPD
A informação tem se tornado um dos bens mais valiosos para uma organização, trazendo um
grande valor para os negócios, mas também uma preocupação com relação à segurança do seu
transporte. Surge, então, a segurança da informação, que deve proteger os ativos de
informação de uma organização.
Manoel (2014) cita a norma ABNT NBR ISO/IEC 27014:2013 como referência para a
implementação de governança voltada para segurança da informação, por meio de exemplos
simples. A governança de segurança de informação é um conjunto de estruturas e processos
para garantir a direção, a avaliação, a monitoração e a comunicação de atividades de segurança
da informação para suportar os objetivos estratégicos da organização. O autor cita, ainda,
alguns princípios para a governança de segurança da informação:
1. estabelecer a segurança da informação em toda a organização;
LEITURA
Fundamentos do gerenciamento de serviços de TI:
preparatório para a certi�cação ITIL® Foundation
Autor : Marcos André dos Santos Freitas
Editora : Grupo GEN
Ano : 2011
Comentário: O livro fornece os fundamentos do framework do
ITIL, estudos de casos para a melhor compreensão de
framework, detalhamento das atividades e conceitos que
podem ser planejados e aplicados às empresas, preparando-as
para certi�cação ITIL. Esse material é voltado a todos os
envolvidos nos processos: gestores de empresas de TI, gestores
de empresas, gerentes de negócios.
Esse título está disponível na Minha Biblioteca Ânima.
2. adotar uma abordagem baseada em riscos;
3. estabelecer a direção de decisão de investimentos (quanto investir em segurança da
informação);
4. assegurar conformidade com os requisitos internos e externos;
5. promover um ambiente positivo de segurança;
6. analisar criticamente o desempenho em relação aos resultados de negócios.
Um plano estratégico de segurança da informação pode ser elaborado, com os registros de
requisitos de segurança da informação. E, para apoiar a implementação de segurança da
informação, pode ser utilizada a família de normas ISO 27000, que traz a Política de Segurança
de Informação, como um mecanismo preventivo de proteção dos dados e processos
importantes de uma organização, trazendo um conjunto de regras para o tratamento da
informação.
Um ponto importante a ser considerado com relação aos dados utilizados para a geração de
informação nas organizações é a LGPD (Lei Geral de Proteção dos Dados), criada, no Brasil, por
meio da Lei n. 13.709/2018, tendo como base a GDPR ( General Data Protection Regulation ) da
União Europeia.
Essa lei determina que dados pessoais sejam coletados somente com o consentimento do
usuário, havendo penalidades caso ocorram infrações. As empresas devem rever suas políticas
de privacidade, principalmente com a revolução da transformação digital, em que dados são
solicitados e utilizados por diversos meios de comunicação (SERPRO, 2019).
A seguir, será apresentado o Plano de Continuidade de Negócios, utilizado para assegurar que
os recursos tecnológicos usados para os processos de negócios estejam disponíveis durante as
operações.
Plano de Continuidade de
Negócios
Um dos processos de�nidos no ITIL é o Gerenciamento de Continuidade de Serviço, que faz
parte da publicação Desenho do Serviço. Dentro desse processo, temos o artefato Plano de
Continuidade de Negócios (PCN), resultante do gerenciamento dos riscos de TI que podem
impactar os negócios de uma organização.
Segundo Freitas (2013), a continuidade está relacionada à capacidade da empresa em prever
eventos de risco que possam afetar o negócio e como reagir caso esses eventos ocorram.
Serviços que não sejam considerados críticos à continuidade do negócio e apresentem
indisponibilidade devem ser tratados pelo gerenciamento de incidentes. Já a indisponibilidade
de um serviço considerado função vital de negócio será chamada de desastre e deve ser
tratada conforme o PCN, por meio dos planos de recuperação.
LEITURA
Fundamentos de Sistemas de Informação
Autor : Jorge Luis Nicolas Audy
Editora : Grupo A
Ano : 2011
Comentário : A obra aborda as teorias gerais de sistemas, bem
como as bases conceituais de sistemas de informação. O texto
apresenta bibliogra�a básica em teoria geral de sistemas e
fundamentos de sistemas de informação. O livro traz linguagem
didática e compreensível.
Esse título está disponível na Minha Biblioteca Ânima.
O gerenciamento de incidentes tem por meta restaurar os serviços rapidamente, e o
gerenciamento de problemas tem por objetivo minimizar os impactos dos incidentes e preveni-
los para que não ocorram novamente, podendo assumir uma postura proativa ou reativa.
As políticas de recuperação (ou restauração) apresentam, dentro do escopo da restauração, o
Objetivo do Ponto de Restauração (OPR), que contempla a quantidade mínima de dados que
devem ser restaurados, e o Objetivo de Tempo de Restauração (OTR), que provê o prazo
máximo que o negócio pode suportar sem os serviços de TI (FREITAS, 2013).
Alguns exemplos de opções de restauração de serviços são:
solução de contorno manual – solução de contorno temporária por meio de intervenção
manual;
backup ou contingência – garante que dados essenciais ao negócio sejam copiados para
outro dispositivo;
acordo recíproco – acordo entre duas empresas para compartilhar recursos durante
períodos de emergência;
recuperação gradual – provisionamento de recursos para reposição dos que estão
indisponíveis;
recuperação intermediária – restauração por meio de componentes sobressalentes
planejados;
recuperação rápida – restauração por meio de componentes sobressalentes já
preparados;
recuperação imediata – restauração imediata por meio da duplicação de recursos e
componentes de TI.
É importante que sejam feitos testes de recuperação, para que possa haver con�abilidade no
plano de continuidade de negócios, caso contrário, tem-se o risco dos planos de recuperação
não serem efetivos.
Conclusão
Com os conceitos abordados neste roteiro de estudos, pode-se obter uma visão mais ampla
sobre a governança de TI, com o propósito de melhorar o controle e a e�ciência do
gerenciamento de serviços de TI, estando alinhado com os objetivos estratégicos de uma
empresa. O uso de modelos de padrões internacionais, como COBIT e ITIL, auxilia com
sugestões de processos, como melhores práticas, que podem ser adotadas como referências
para a implementação de uma governança de TI. Essa implementação sustenta a melhoria da
qualidade dos serviços de TI, além de aumentar a disponibilidade de serviços mais críticos que
impactam os negócios da empresa.
Referências
ALC NTARA, A. O. Ferramentas de governança de TI: agregando vantagens competitivas às
organizações. Revista Cientí�ca Multidisciplinar Núcleo do Conhecimento , São Paulo, v. 4,
n. 5, p. 5-45, maio 2018. Disponível em:
https://www.nucleodoconhecimento.com.br/tecnologia/ferramentas-de-governanca-de-ti .
Acesso em: 13 set. 2021.
AUDY, J. L. N. Fundamentos de Sistemas de Informação . São Paulo: Grupo A, 2011.
BLOK, M. Compliance e governança corporativa . Rio de Janeiro: Freitas Bastos, 2017.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI : da estratégia à gestão dos
processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014.
FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI . Rio de Janeiro: Brasport,
2011.
LUCAS JUNIOR, H. C. Tecnologia da Informação . São Paulo: Grupo GEN, 2006.
MANOEL, S. S. Governança de segurança da informação . Rio de Janeiro: Brasport, 2014.
SERPRO e LGPD: segurança e inovação. Serpro , [ s. l. ]. Disponível em:
https://www.serpro.gov.br/lgpd . Acesso em: 22 out. 2019.
https://www.nucleodoconhecimento.com.br/tecnologia/ferramentas-de-governanca-de-ti
https://www.serpro.gov.br/lgpd