Baixe o app para aproveitar ainda mais
Prévia do material em texto
As empresas estão cada vez mais dependentes de sistemas de informação e recursos tecnológicos para alcançar seus objetivos de negócios. Isso faz com que a TI tenha um papel cada vez mais estratégico, devendo haver um alinhamento com a estratégia da empresa e a sua governança corporativa. Tendo em vista essa necessidade, modelos são propostos para sustentar a implementação de processos de TI, que podem se apoiar na criação de uma governança de TI, com mecanismos de controle e um gerenciamento mais e�ciente dos serviços relacionados. Caro(a) estudante, ao ler este roteiro, você vai: entender o alinhamento entre a governança de TI e a governança corporativa; compreender a necessidade da criação de um programa de governança de TI nas empresas; avaliar o modelo COBIT para auxiliar na criação da governança de TI; avaliar o modelo ITIL para auxiliar nos processos de gestão de serviços de TI; compreender a necessidade de cuidados com a segurança da informação; entender os requisitos da LGPD (Lei Geral de Proteção dos Dados); analisar os dados necessários para a confecção de um Plano de Continuidade de Negócios. Introdução Gestão Estratégica de Serviços de TI Roteiro de Roteiro de EstudosEstudos Autor: Me. Marcelo Takashi Uemura Revisora: Ma. Amanda de Britto Murtinho Os serviços de TI estão presentes na rotina de trabalho dos principais processos de negócios de uma empresa. Conectividade à internet, e-mail, sistemas de informação e impressão são alguns exemplos de serviços providenciados pela área de TI de uma organização, cujos problemas podem gerar grandes impactos nas suas operações. Nesse contexto, o que a área de TI pode implementar para estar alinhada com a estratégia de negócios da empresa e assegurando a disponibilidade de seus serviços? A resposta é um programa de governança de TI, que pode ser implementado com o uso de modelos bem conhecidos no mercado. Essa abordagem necessita do apoio da alta administração da empresa, sob a responsabilidade da área de TI, devendo ser promovida o quanto antes, especialmente se a empresa estiver passando por problemas com os serviços de TI. Caso não seja implementada, a empresa �ca fragilizada e suscetível aos riscos do não cumprimento com as metas estratégicas de negócios. Para que a Tecnologia de Informação possa prover serviços alinhados com a estratégia da organização, serão apresentados conceitos que apoiarão a construção do conhecimento necessário para gerenciar os serviços de TI por meio da implementação de um programa de governança de TI. Governança Corporativa e Governança de TI Segundo Blok (2017), a governança corporativa é um conceito que representa como as organizações são dirigidas e controladas, contemplando o poder de controle e de direção de uma empresa. É utilizada para trazer uma maior transparência da gestão de uma empresa, principalmente para os acionistas, por meio das prestações de contas e responsabilidade corporativa. Para garantir uma maior efetividade da governança corporativa, são utilizados modelos de controle interno (auditorias) e gestão de riscos, seja por interesse próprio ou por questões de regulação. Os sistemas de controle e riscos criados pela governança corporativa acabam por gerar restrições de operações e serviços de TI, implicando decisões sobre políticas e investimentos em TI, auditorias em TI e monitoramento dos riscos de TI (FERNANDES; ABREU, 2014). Para que a TI esteja alinhada com as restrições da governança corporativa e a estratégia da empresa, deve-se ter uma governança de TI, com a implementação de controles e processos para o gerenciamento de projetos e serviços de TI. Segundo Fernandes e Abreu (2014), os componentes típicos do modelo de governança de TI são: riscos e compliance – de�nição da tolerância de riscos da organização e na avaliação conjunta dos riscos com o negócio; avaliação independente – avaliações independentes para veri�car a conformidade de TI; gestão da mudança organizacional – processo de avaliar a prontidão para a mudança nas áreas de TI; alinhamento estratégico – interação entre TI e a alta administração, estabelecendo mecanismos de direitos decisórios; entrega de valor – gerenciamento dos programas e projetos avaliando o valor entregue e o gerenciamento do portfólio de TI; gestão do desempenho – de�nição de indicadores, mecanismos de coleta e análise de indicadores de resultado (metas) e de desempenho de TI; comunicação – comunicação do valor entregue pela TI ao negócio; gerenciamento de recursos – supervisão do investimento, do uso e da alocação dos recursos de TI. O passo inicial para a implementação da governança de TI é a estruturação de funções e responsabilidade da governança de TI, podendo ser atribuído a uma pessoa ou a um grupo de pessoas. Deve-se realizar o alinhamento estratégico, do qual, a partir dos objetivos e das estratégias do negócio, derivam-se as iniciativas estratégicas de TI, que serão transformadas em projetos e serviços, compondo um Plano de Tecnologia da Informação. Com o alinhamento estratégico, serão de�nidas as prioridades de TI e, assim, gerar-se-á o portfólio de TI, que de�nirá como será a rotina diária das operações de serviços de TI. Deve-se garantir que todas as implementações realizadas por TI sejam controladas, monitoradas e atendam aos parâmetros de riscos da TI para o negócio, aos requisitos de compliance externos (leis, regulações etc.) e aos controles internos solicitados para TI. No tópico a seguir, será apresentado um dos modelos que apoiam a governança de TI, o modelo COBIT (FERNANDES; ABREU, 2014). COBIT ( Control Objectives for Information andrelated Technology ) COBIT foi criado em 1994 pela ISACF ( Information System Audit and Control Function ), para ser um modelo que estabelece um conjunto de objetivos de controle , promovendo um melhor entendimento e a adoção dos princípios de governança de TI (FERNANDES; ABREU, 2014). Esse modelo evoluiu ao longo dos anos, promovendo um alinhamento com outros modelos como COSO, ITIL e ISO/IEC 17799. Segundo Fernandes e Abreu (2014), o principal objetivo das práticas do COBIT é contribuir para a entrega de produtos e serviços de TI com sucesso, tendo como base as necessidades de negócio, trazendo um foco maior sobre o controle da execução. Em outras palavras, o COBIT: LEITURA Tecnologia da Informação Autores : Henry C Lucas Jr. Editora : Grupo GEN Ano : 2006 Comentário : O livro aborda questões reais de tecnologia com as quais os administradores de hoje se defrontam, como o que fazer com sistemas legados, quando terceirizar e como escolher um provedor de processamento e serviços, entre outros. A obra apresenta linguagem didática e prática, com temática relevante para o conteúdo desta unidade. Esse título está disponível na Minha Biblioteca Ânima. estabelece relacionamentos com os requisitos do negócio; organiza as atividades de TI em um modelo de processos genérico; identi�ca os principais recursos de TI, nos quais deve haver mais investimento; de�ne os objetivos de controle que devem ser considerados para a gestão. Na visão do COBIT, os pilares que sustentam o núcleo de governança de TI são: alinhamento estratégico entre o plano de negócios e TI, agregação de valor, gerenciamento de recursos, gerenciamento de riscos e medição de desempenho. Os requisitos de negócio (e�cácia, e�ciência, con�dencialidade, integridade, disponibilidade, conformidade, con�abilidade) devem direcionar os investimentos em recursos de TI (sistemas aplicativos, informação, infraestrutura, pessoas) que são utilizados por processos de TI a �m de fornecer informações empresariais que, por sua vez, irão atender aos negócios da empresa, formando um ciclo. O COBIT é um framework aberto que pode ser adaptado a qualquer organização. No entanto, a atuação do COBIT se dá de maneira mais forte com o apoio da alta administração, visto que fornece diretrizes para o controle dos riscos e controle do nível operacional, e assim,proporciona a autoavaliação por meio da medição do desempenho e o controle de metas (ALC NTARA, 2018, p. 18). Para tanto, o COBIT oferece um framework de processos que estão distribuídos em quatro domínios. Planejamento e Organização (PO): identi�ca as formas por meio das quais a TI pode contribuir melhor para atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas. Aquisição e Implementação (AI): identi�cação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como sua implementação e integração junto aos processos de negócio. Entrega e Suporte (DS): cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, suporte aos serviços para os usuários, gestão de dados e da infraestrutura operacional. Monitoração e Avaliação (ME): assegurar a qualidade dos processos de TI, bem como a governança e a conformidade com os objetivos de controle. O objetivo de controle de�ne o resultado ou propósito atingido por meio dos procedimentos de controle, sendo que este é o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócios serão atingidos (FERNANDES, ABREU, 2014). O modelo COBIT pode ser aplicado na avaliação de processos de TI, auditoria de riscos operacionais de TI, implementação modular da governança de TI, realização de benchmarking e quali�cação de fornecedores de TI. Como principais benefícios, o COBIT pode trazer responsabilidades e protocolos de comunicação bastante claros, visão clara acerca da situação atual dos processos de TI, redução da exposição a riscos, maior solidez e assertividade no planejamento encadeado das ações de melhoria, alta visibilidade do impacto dos esforços de melhoria de TI, redução dos custos operacionais e melhoria da imagem perante os clientes. A seguir, será apresentado o modelo ITIL, que apoia o gerenciamento de serviços de TI e pode ser utilizado em conjunto com o COBIT. ITIL ( Information Technology Infrastructure Library ) O modelo ITIL foi desenvolvido pelo CCTA ( Central Computer and Telecommunication Agency ), para atender a uma solicitação do governo britânico, insatisfeito com o nível de qualidade dos serviços de TI. O ITIL surgiu como um modelo de melhores práticas para gerenciar a utilização e�ciente e responsável dos recursos de TI (FERNANDES; ABREU, 2014). O principal objetivo do ITIL é trazer uma abordagem das melhores práticas utilizadas no gerenciamento de serviços de TI , desde a sua concepção até sua operacionalização. Alcântara (2018, p. 35) explicita que: Por ser um framework, o principal objetivo da ITIL é prover um conjunto de práticas de gerenciamento de serviços de TI testadas e comprovadas no mercado. A adoção das práticas da ITIL pretende levar uma organização a um grau de maturidade e qualidade que permita o uso e�caz e e�ciente dos seus ativos estratégicos de TI, incluindo sistemas de informação e infraestrutura de TI, sempre com o foco no alinhamento e na integração com as necessidades dos clientes e usuários. Apresenta uma abordagem do ciclo de vida de um serviço de TI, através de 5 publicações. Estratégia de Serviço: políticas e processos de serviços de TI podem ser desenhados, desenvolvidos e implementados como ativos estratégicos. Desenho do Serviço: fornece orientação para o desenho de um novo serviço, com aspectos voltados para gerenciamento do catálogo de serviços, do nível de serviço, da capacidade, da disponibilidade, da continuidade, da segurança da informação e dos fornecedores. Transição do Serviço: aborda a inserção de serviços novos ou modi�cados para o ambiente operacional, levando em consideração o gerenciamento de mudanças, con�guração, liberação e distribuição. Operação do Serviço: responsável pelas atividades do dia a dia, abordando o gerenciamento de eventos, problemas, incidentes, dentre outros. Melhoria Contínua do Serviço: realiza as melhorias incrementais de forma sistemática, focando o gerenciamento da qualidade. Figura 1 - Ciclo de vida do ITIL Fonte: marigranula / 123RF. Os processos de�nidos pelo ITIL estão distribuídos nesses cinco estágios (publicações), conforme pode ser visto no quadro a seguir (FERNANDES, ABREU, 2014): Publicações Processos Funções Estratégia de Serviço Gerenciamento Financeiro de TI Gerenciamento do Portfólio de Serviços Gerenciamento da Demanda Desenho do Serviço Gerenciamento do Catálogo de Serviços Gerenciamento do Nível de Serviço Gerenciamento da Capacidade Gerenciamento da Disponibilidade Gerenciamento da Continuidade do Serviço Gerenciamento da Segurança da Informação Gerenciamento de Fornecedores Transição do Serviço Gerenciamento de Mudanças Gerenciamento de Ativos de Serviços e da Con�guração Gerenciamento da Liberação e da Distribuição Validação e Testes do Serviço Avaliação Gerenciamento do Conhecimento Operação do Serviço Gerenciamento de Eventos Gerenciamento de Incidentes Execução de Requisições Central de Serviços Gerenciamento Técnico Gerenciamento das Operações Quadro 1 - Processos ITIL Fonte: Fernandes e Abreu (2014). O ITIL também propõe a criação de algumas funções especí�cas para a implementação dos processos de�nidos. Uma das funções de grande relevância para a operação dos serviços de TI é a Central de Serviços, conhecida como Service Desk. Essa função é responsável pela resposta a requisições, reclamações e problemas de usuários, a �m de permitir que os serviços sejam executados com a qualidade esperada. Ela pode ser implementada de forma centralizada, local ou virtual, tendo as seguintes modalidades (FERNANDES; ABREU, 2014): Central de Atendimento – ênfase no atendimento de um grande número de chamadas telefônicas. Help Desk – visa gerenciar, coordenar e resolver incidentes no menor tempo possível. Central de Serviços – permite a integração dos processos de negócio à infraestrutura de gerenciamento dos serviços de TI. O acordo de nível de serviço ( Service Level Agreement – SLA) é uma de�nição importante para uma operação correta da Central de Atendimento. Esse item propõe um acordo em relação ao tempo de retorno e resposta para cada solicitação feita à Central de Atendimento, baseado em prioridades e, em especial, ao impacto gerado para as atividades de negócios. Enquanto o COBIT tem um foco maior sobre os objetivos de controle da TI, o ITIL traz uma abordagem sobre as melhores práticas a serem adotadas para processos de gerenciamento de serviços de TI, ambos importantes para a governança de TI de uma empresa. No próximo tópico, serão abordados os aspectos de segurança da informação e a LGPD. Gerenciamento de Problemas Gerenciamento do Acesso de TI Gerenciamento de Aplicações Melhoria Contínua do Serviço Relato do Serviço Medição do Serviço Segurança da Informação e LGPD A informação tem se tornado um dos bens mais valiosos para uma organização, trazendo um grande valor para os negócios, mas também uma preocupação com relação à segurança do seu transporte. Surge, então, a segurança da informação, que deve proteger os ativos de informação de uma organização. Manoel (2014) cita a norma ABNT NBR ISO/IEC 27014:2013 como referência para a implementação de governança voltada para segurança da informação, por meio de exemplos simples. A governança de segurança de informação é um conjunto de estruturas e processos para garantir a direção, a avaliação, a monitoração e a comunicação de atividades de segurança da informação para suportar os objetivos estratégicos da organização. O autor cita, ainda, alguns princípios para a governança de segurança da informação: 1. estabelecer a segurança da informação em toda a organização; LEITURA Fundamentos do gerenciamento de serviços de TI: preparatório para a certi�cação ITIL® Foundation Autor : Marcos André dos Santos Freitas Editora : Grupo GEN Ano : 2011 Comentário: O livro fornece os fundamentos do framework do ITIL, estudos de casos para a melhor compreensão de framework, detalhamento das atividades e conceitos que podem ser planejados e aplicados às empresas, preparando-as para certi�cação ITIL. Esse material é voltado a todos os envolvidos nos processos: gestores de empresas de TI, gestores de empresas, gerentes de negócios. Esse título está disponível na Minha Biblioteca Ânima. 2. adotar uma abordagem baseada em riscos; 3. estabelecer a direção de decisão de investimentos (quanto investir em segurança da informação); 4. assegurar conformidade com os requisitos internos e externos; 5. promover um ambiente positivo de segurança; 6. analisar criticamente o desempenho em relação aos resultados de negócios. Um plano estratégico de segurança da informação pode ser elaborado, com os registros de requisitos de segurança da informação. E, para apoiar a implementação de segurança da informação, pode ser utilizada a família de normas ISO 27000, que traz a Política de Segurança de Informação, como um mecanismo preventivo de proteção dos dados e processos importantes de uma organização, trazendo um conjunto de regras para o tratamento da informação. Um ponto importante a ser considerado com relação aos dados utilizados para a geração de informação nas organizações é a LGPD (Lei Geral de Proteção dos Dados), criada, no Brasil, por meio da Lei n. 13.709/2018, tendo como base a GDPR ( General Data Protection Regulation ) da União Europeia. Essa lei determina que dados pessoais sejam coletados somente com o consentimento do usuário, havendo penalidades caso ocorram infrações. As empresas devem rever suas políticas de privacidade, principalmente com a revolução da transformação digital, em que dados são solicitados e utilizados por diversos meios de comunicação (SERPRO, 2019). A seguir, será apresentado o Plano de Continuidade de Negócios, utilizado para assegurar que os recursos tecnológicos usados para os processos de negócios estejam disponíveis durante as operações. Plano de Continuidade de Negócios Um dos processos de�nidos no ITIL é o Gerenciamento de Continuidade de Serviço, que faz parte da publicação Desenho do Serviço. Dentro desse processo, temos o artefato Plano de Continuidade de Negócios (PCN), resultante do gerenciamento dos riscos de TI que podem impactar os negócios de uma organização. Segundo Freitas (2013), a continuidade está relacionada à capacidade da empresa em prever eventos de risco que possam afetar o negócio e como reagir caso esses eventos ocorram. Serviços que não sejam considerados críticos à continuidade do negócio e apresentem indisponibilidade devem ser tratados pelo gerenciamento de incidentes. Já a indisponibilidade de um serviço considerado função vital de negócio será chamada de desastre e deve ser tratada conforme o PCN, por meio dos planos de recuperação. LEITURA Fundamentos de Sistemas de Informação Autor : Jorge Luis Nicolas Audy Editora : Grupo A Ano : 2011 Comentário : A obra aborda as teorias gerais de sistemas, bem como as bases conceituais de sistemas de informação. O texto apresenta bibliogra�a básica em teoria geral de sistemas e fundamentos de sistemas de informação. O livro traz linguagem didática e compreensível. Esse título está disponível na Minha Biblioteca Ânima. O gerenciamento de incidentes tem por meta restaurar os serviços rapidamente, e o gerenciamento de problemas tem por objetivo minimizar os impactos dos incidentes e preveni- los para que não ocorram novamente, podendo assumir uma postura proativa ou reativa. As políticas de recuperação (ou restauração) apresentam, dentro do escopo da restauração, o Objetivo do Ponto de Restauração (OPR), que contempla a quantidade mínima de dados que devem ser restaurados, e o Objetivo de Tempo de Restauração (OTR), que provê o prazo máximo que o negócio pode suportar sem os serviços de TI (FREITAS, 2013). Alguns exemplos de opções de restauração de serviços são: solução de contorno manual – solução de contorno temporária por meio de intervenção manual; backup ou contingência – garante que dados essenciais ao negócio sejam copiados para outro dispositivo; acordo recíproco – acordo entre duas empresas para compartilhar recursos durante períodos de emergência; recuperação gradual – provisionamento de recursos para reposição dos que estão indisponíveis; recuperação intermediária – restauração por meio de componentes sobressalentes planejados; recuperação rápida – restauração por meio de componentes sobressalentes já preparados; recuperação imediata – restauração imediata por meio da duplicação de recursos e componentes de TI. É importante que sejam feitos testes de recuperação, para que possa haver con�abilidade no plano de continuidade de negócios, caso contrário, tem-se o risco dos planos de recuperação não serem efetivos. Conclusão Com os conceitos abordados neste roteiro de estudos, pode-se obter uma visão mais ampla sobre a governança de TI, com o propósito de melhorar o controle e a e�ciência do gerenciamento de serviços de TI, estando alinhado com os objetivos estratégicos de uma empresa. O uso de modelos de padrões internacionais, como COBIT e ITIL, auxilia com sugestões de processos, como melhores práticas, que podem ser adotadas como referências para a implementação de uma governança de TI. Essa implementação sustenta a melhoria da qualidade dos serviços de TI, além de aumentar a disponibilidade de serviços mais críticos que impactam os negócios da empresa. Referências ALC NTARA, A. O. Ferramentas de governança de TI: agregando vantagens competitivas às organizações. Revista Cientí�ca Multidisciplinar Núcleo do Conhecimento , São Paulo, v. 4, n. 5, p. 5-45, maio 2018. Disponível em: https://www.nucleodoconhecimento.com.br/tecnologia/ferramentas-de-governanca-de-ti . Acesso em: 13 set. 2021. AUDY, J. L. N. Fundamentos de Sistemas de Informação . São Paulo: Grupo A, 2011. BLOK, M. Compliance e governança corporativa . Rio de Janeiro: Freitas Bastos, 2017. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI : da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI . Rio de Janeiro: Brasport, 2011. LUCAS JUNIOR, H. C. Tecnologia da Informação . São Paulo: Grupo GEN, 2006. MANOEL, S. S. Governança de segurança da informação . Rio de Janeiro: Brasport, 2014. SERPRO e LGPD: segurança e inovação. Serpro , [ s. l. ]. Disponível em: https://www.serpro.gov.br/lgpd . Acesso em: 22 out. 2019. https://www.nucleodoconhecimento.com.br/tecnologia/ferramentas-de-governanca-de-ti https://www.serpro.gov.br/lgpd
Compartilhar