Anexo Governanca de TI

Prévia do material em texto

1 
GOVERNANÇA DE TI 
 
A Governança de TI está subordinada à governança Corporativa que, segundo o Instituto Brasileiro 
de Governança Corporativa (IBGC), "é o sistema pelo qual as organizações são dirigidas, 
monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de 
administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem 
princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e 
otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua 
longevidade." 
 
Introdução à governança de TI 
O principal objetivo da governança de TI é agregar valor à organização alinhando o planejamento 
estratégico da área de tecnologia da informação com o planejamento estratégico da empresa. A 
governança de TI verifica quais são as melhores práticas para atender às demandas do setor sem 
perder as referências globais do ambiente. Existem diversas definições para a governança de TI, mas 
todas devem assegurar um nível aceitável de riscos, garantir a utilização de recursos de forma 
eficiente, apoiar os processos da organização e garantir o alinhamento estratégico com seus objetivos 
e valores. 
 
 
Além da governança corporativa e da governança de TI, existe o gerenciamento de TI, que envolve 
um conjunto de políticas, processos, normas e procedimentos destinados a permitir à direção da 
companhia o planejamento, o direcionamento, o controle e o monitoramento da utilização da TI. 
 
Existem diversos padrões para o gerenciamento de TI como, por exemplo, ITIL, COBIT, ISO, 
CMMI e TOGAF. Nesse capítulo, veremos uma visão geral dos padrões ITIL e COBIT. 
 
Frameworks de governança 
Existem diversos frameworks voltados para a governança de TI. Alguns são mais generalistas e 
outros mais específicos, voltados para alguma área específica como, por exemplo, segurança da 
informação e gerenciamento de projetos. 
 
A seguir, apresentamos alguns dos frameworks mais reconhecidos pelo mercado, com exceção do 
ITIL e COBIT que serão apresentados em mais detalhes. 
 
• ISO/IEC 27001 
A ISO 27001 é um padrão para a gestão da segurança da informação, definido pelo ISO 
(International Organization for Standardization) e IEC (International Electrotechnical Commission), 
 2 
que define regras para as organizações manterem suas informações seguras, envolvendo pessoas, 
processos e tecnologia. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) elaborou a 
NBR ISO/IEC 27001, que é uma tradução da ISO/IEC 2700. 
 
• ISO/IEC 20000 
A ISO/IEC 20000 é a primeira norma publicada pelo ISO que trata do gerenciamento de 
qualidade de serviços e define as melhores práticas de gerenciamento de serviços de TI, garantindo a 
entrega aos clientes de serviços de qualidade. 
São requisitos da norma definição de políticas, objetivos, procedimentos e processos de 
gerenciamento para assegurar a qualidade efetiva na prestação desses serviços. 
 
• CMM 
O CMM (Capability Maturity Model) ou Modelo de Maturidade em Capacitação pode ser 
definido como as melhores práticas para o desenvolvimento de softwares em uma organização. O 
CMM descreve os principais elementos de um processo de desenvolvimento de software e os 
estágios de maturidade por que passam as organizações. Por meio de avaliação contínua, 
identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos, a 
organização pode evoluir o seu ciclo de desenvolvimento de software. 
 
• TOGAF 
O TOGAF (The Open Group Architecture Framework) é um framework que fornece uma 
abordagem para o projeto, planejamento, implementação e gerenciamento de uma arquitetura de TI. 
Essa arquitetura é modelada em quarto níveis: negócio, aplicação, dados e tecnologia e é fortemente 
baseada em modularização, padronização, tecnologias e produtos já consolidados. 
 
• PMBOK 
O PMBOK (Project Management Body of Knowledge) é um conjunto das melhores práticas 
no campo do gerenciamento de projetos desenvolvido pelo PMI (Project Management Institute). O 
PMBOK consiste de processos e áreas do conhecimento que são geralmente aceitas como as 
melhores práticas no gerenciamento de projetos e pode ser aplicado em projetos de qualquer tipo, 
tamanho ou organização. O gerenciamento de projetos descrito no PMBOK consiste nas seguintes 
áreas de conhecimento: 
• Gestão de integração do projeto 
• Gestão do escopo do projeto 
• Gestão de tempo do projeto 
• Gestão de custos do projeto 
• Gestão da qualidade do projeto 
• Gestão de recursos humanos do projeto 
• Gestão das comunicações do projeto 
• Gestão de riscos do projeto 
• Gestão de aquisições do projeto 
• Gestão de envolvidos no projeto 
 
 
 
 
 
 
 
 
 
 
 
 3 
ITIL 
O ITIL (Information Technology Infrastructure Library) é um conjunto de boas práticas para 
o gerenciamento de serviços de TI que tem o objetivo de alinhar os serviços de TI com as 
necessidades do negócio da empresa. O ITIL é publicado em uma série de cinco volumes, cada um 
cobrindo diferentes estágios do ciclo de vida do gerenciamento de serviços de TI. 
Os volumes são: 
1. Estratégia do serviço: compreende os objetivos da organização e as necessidades 
 do cliente. 
2. Desenho do serviço: torna a estratégia de serviço em um plano para a 
 entrega dos objetivos do negócio. 
3. Transição do serviço: desenvolve e amplia a capacidade de criar novos 
 serviços no ambiente existente. 
4. Operação do serviço: gerencia os serviços no ambiente existente. 
5. Melhoramento contínuo do serviço: permite incrementos e melhorias 
 nos serviços oferecidos. 
 
• Estratégia do serviço 
A estratégia do serviço (service strategy) oferece um guia para a priorização dos serviços a 
serem oferecidos e ajuda as empresas de TI a melhorar e desenvolver serviços em longo prazo, 
sendo considerada a principal parte do ciclo de vida do serviço. 
Na fase da estratégia do serviço, é identificada a estratégia para o ciclo de vida completo do 
serviço para agregar valor ao cliente por meio do gerenciamento da TI. 
Nessa fase, são tratados os seguintes processos: 
• Gerenciamento de estratégia para serviços de TI 
• Gerenciamento de portfólio de serviço 
• Gerenciamento financeiro para serviços de TI 
• Gerenciamento de demanda 
 Gerenciamento de relacionamento do negócio 
• Desenho do serviço 
O desenho do serviço (service design) fornece um guia de boas práticas no projeto e 
gerenciamento de serviços e processos de TI. A ideia é como a TI pode ajudar o negócio da 
companhia e não focar a TI como um fim em si mesma. 
Nessa fase, são tratados os seguintes processos: 
• Coordenação de projeto 
• Gerenciamento de catálogo de serviços 
• Gerenciamento de níveis de serviço 
• Gerenciamento de disponibilidade 
• Gerenciamento de capacidade 
• Gerenciamento da continuidade dos serviços de TI 
• Gerenciamento de segurança 
• Gerenciamento de fornecedor 
• Transição do serviço 
A transição do serviço (service transition) envolve todos os aspectos para a entrega dos 
serviços da TI necessários à operação do negócio. 
Nessa fase, são tratados os seguintes processos: 
• Planejamento e suporte à transição 
• Gerenciamento de mudanças 
• Gerenciamento de configurações e ativos de serviços 
• Gerenciamento de versões e implantações 
• Teste e validação de serviços 
• Avaliação de mudanças 
• Gerenciamento do conhecimento 
• Operação do serviço 
 4 
A operação do serviço (service operation) fornece as melhores práticas para alcançar e 
entregar os níveis de serviços acordadoscom os clientes e usuários. Além disso, fazem parte da 
operação o monitoramento dos ativos e eventos, a disponibilidade, o gerenciamento das aplicações, o 
gerenciamento de operações e atendimento aos usuários (service ou help desk). 
Nessa fase, são tratados os seguintes processos: 
• Gerenciamento de eventos 
• Gerenciamento de incidentes 
• Cumprimento de solicitações 
• Gerenciamento de problemas 
• Gerenciamento de identidade 
• Melhoramento contínuo do serviço 
 
O melhoramento contínuo do serviço (continual service improvement) permite que a TI 
oferecida ao negócio esteja sempre alinhada os seus objetivos atuais e futuros. Com base na 
estratégia da empresa, a TI deve analisar dados, definir melhorias e implementa-las. 
Nessa fase, são tratados os seguintes processos: 
• Identificar a estratégia para a melhora. 
• Definir o que será medido. 
• Recolher os dados. 
• Processar os dados. 
• Analisar as informações. 
• Apresentar e utilizar as informações. 
• Implementar as melhorias. 
 
COBIT 
O COBIT (Control Objectives for Information and Related Technology) é um guia de boas 
práticas dirigido para a gestão da TI. Patrocinado pelo ISACA (Information Systems Audit and 
Control Association), possui uma série de diretrizes que servem como modelo de referência 
(framework) para gestão da TI. O COBIT é recomendado como meio para aperfeiçoar os 
investimentos, melhorando seu retorno e fornecendo métricas para a avaliação dos resultados. 
 
 
 
 5 
O COBIT baseia-se em cinco princípios básicos: 
1. Atender às necessidades das partes interessadas. 
2. Cobrir a organização de ponta a ponta. 
3. Aplicar um modelo único e integrado. 
4. Permitir uma abordagem holística. 
5. Distinguir a governança da gestão. 
 
• Atender às necessidades das partes interessadas 
As empresas existem para criar valor para as partes interessadas, que nem sempre estão de 
acordo com o valor ou valores esperados. A ideia é de que o COBIT, por meio de suas práticas, 
consiga harmonizar os diferentes interesses, custos e riscos envolvidos. 
 
• Cobrir a organização de ponta a ponta 
O COBIT trabalha a governança e a TI de maneira ampla, cobrindo a organização de ponta a 
ponta, ou seja, acompanha todas as funções e processos como ativos, considerando-os como bens da 
corporação. 
 
• Aplicar um modelo único e integrado 
O COBIT está alinhado com os demais frameworks de governança existentes, permitindo a 
sua integração com padrões como COSO, ISO, ITIL, PMBOK, CMMI, TOGAF etc. 
 
• Permitir uma abordagem holística 
O COBIT visa à governança e ao gerenciamento da TI da corporação como um todo e define 
sete facilitadores para alcançar os objetivos: 
• Processos 
• Estrutura organizacional 
• Cultura, ética e comportamento 
• Princípios, políticas e frameworks 
• Informação 
• Serviços, infraestrutura e aplicações 
• Pessoas, conhecimentos e competências 
• Distinguir a governança da gestão. 
 
O COBIT faz uma clara distinção entre governança e gerenciamento, pois são itens que 
envolvem diferentes tipos de atividades, necessitam de diferentes estruturas da organização e servem 
a diferentes propósitos. 
A governança garante que os objetivos da companhia sejam alcançados de acordo com as 
necessidades dos interessados, considerando as condições e opções, as prioridades, as tomadas de 
decisão e os objetivos. 
O gerenciamento da TI planeja, implementa, executa e monitora as atividades alinhando-as 
com as determinações definidas pela governança para alcançar os objetivos da companhia. 
 
CERTIFICAÇÕES ITIL / COBIT 
• Certificação ITIL 
Atualmente, a certificação em ITIL é dividida em quatro perfis de profissionais: 
foundation, intermediate, expert and master, sendo a foundation a mais básica e a master a 
mais avançada. 
 
Para obter a certificação foundation, basta realizar uma prova; para a certificação intermediate, além 
da anterior, quatro provas (intermediate lifecycle) ou cinco provas (intermediate capability); para 
certificação expert, todas as anteriores e, finalmente, para a certificação master, além de todas as 
anteriores, mais uma prova. 
 6 
 
As provas são pagas e realizadas em centros de provas autorizados pelo EXIN ou pela Internet. 
 
O EXIN controla todo o processo de certificação ITIL. 
Para mais informações sobre certificação ITIL, consultar o site do EXIN. 
 
• CERTIFICAÇÃO COBIT 
Existem três provas para a certificação COBIT: 
- foundation (fundamentos), 
- Implementação e 
- Assessor. 
 
Para poder realizar as provas de implementação e assessor, é necessário ter passado 
primeiramente na prova de foundation. 
No caso da prova de foundation, é necessário agendar a prova no site da APMG, que pode ser 
feita presencialmente ou pela Internet. O exame consiste de 50 questões de múltipla escolha e exige 
uma pontuação de 50% ou mais para ser aprovado. Para mais informações sobre os exames COBIT, 
consulte o site do ICASA e, para mais informações sobre como fazer as provas, consulte o site da 
APMG International. 
 
ACORDO DE NÍVEL DE SERVIÇO 
A TI fornece diversos serviços aos usuários, departamentos e a toda a organização. 
Não apenas a TI entrega serviços, mas também contrata serviços de terceiros, ou seja, de 
outras empresas. Independentemente de o serviço ter sido prestado ou contratado pela TI, deve 
existir um processo que garanta a qualidade desses serviços e que atenda às necessidades do negócio. 
Para garantir a qualidade dos serviços da TI em seus diferentes aspectos, criouse o acordo de nível 
de serviço ou SLA (service level agreement). O SLA é estabelecido entre o usuário e o fornecedor 
do serviço. No caso de uma empresa, o usuário pode ser um departamento e o fornecedor a TI. Da 
mesma forma, é possível que a TI seja usuária de um serviço prestado por terceiros e o SLA garante 
que a empresa contratada dispõe de requisitos mínimos para sua realização e entrega. 
 
 
 7 
Uma empresa que contrata um serviço de Internet de uma operadora de telecomunicações 
pode exigir, no SLA firmado no contrato entre as partes, que, por exemplo, a taxa de transmissão 
seja de no mínimo 100 Mbps, a taxa de erros de no máximo 0,1% e, se ocorrer algum problema com 
link, o reparo seja feito em no máximo uma hora. 
 
Um outro exemplo seria uma empresa que fornece um sistema Web para seus usuários 
internos. É possível definir um SLA entre os usuários do sistema e a TI de forma a garantir, por 
exemplo, uma disponibilidade do sistema de 99,99% ao ano, um tempo de resposta de no máximo 
cinco segundos e exigir treinamento para os novos usuários do sistema. 
 
Caso o SLA acordado não seja cumprido, podem ocorrer diversas penalidades como, por exemplo, 
multa, rompimento de contrato, troca de gestores e demissões. O SLA é definido pelo gerenciamento 
de serviços, que é formado por pessoas, processo e ferramentas com o objetivo de garantir a 
qualidade dos serviços de TI. Vários frameworks possuem esse módulo, como é o caso do ITIL. 
 
MÉTRICAS 
Os projetos envolvendo desenvolvimento de software, especialmente os grandes projetos, são 
extremamente complexos de gerenciar. Sem as informações adequadas, não é possível, por exemplo, 
estimar o custo do desenvolvimento, o número de profissionais, a quantidade de recursos 
computacionais e o prazo de entrega. As métricas de software permitem o planejamento do projeto 
de desenvolvimento de software e também sua manutenção. 
 
Existem diversas métricas para os projetos de desenvolvimento de software. 
Vejamos as mais conhecidas: 
 
• Análise de pontos de função 
A análise de pontos de função mede o número de funcionalidades do software percebidas 
pelo usuário do sistema, independentementeda tecnologia utilizada para desenvolvê-lo. Cada 
funcionalidade identificada no software é enquadrada em uma das cinco categorias possíveis: saídas, 
solicitações, entradas, arquivos internos e interfaces externas. 
Após essa etapa, cada função é avaliada por sua complexidade e é-lhe atribuído um número, 
que funciona como um peso e que corresponde à sua pontuação. 
A soma dos pontos de cada função permite estimar o desenvolvimento do software em 
questão. 
 
• Número de linhas de código 
O número de linhas de código representa o número total de linhas de código que fazem parte 
do projeto de desenvolvimento do software. O grande problema dessa métrica é conseguir prever 
antecipadamente, com alguma precisão, o número de linhas código necessário no projeto e, 
dependendo do tipo de linguagem de programação utilizada, pode haver variação na contagem das 
linhas de código do software.