Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 GOVERNANÇA DE TI A Governança de TI está subordinada à governança Corporativa que, segundo o Instituto Brasileiro de Governança Corporativa (IBGC), "é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade." Introdução à governança de TI O principal objetivo da governança de TI é agregar valor à organização alinhando o planejamento estratégico da área de tecnologia da informação com o planejamento estratégico da empresa. A governança de TI verifica quais são as melhores práticas para atender às demandas do setor sem perder as referências globais do ambiente. Existem diversas definições para a governança de TI, mas todas devem assegurar um nível aceitável de riscos, garantir a utilização de recursos de forma eficiente, apoiar os processos da organização e garantir o alinhamento estratégico com seus objetivos e valores. Além da governança corporativa e da governança de TI, existe o gerenciamento de TI, que envolve um conjunto de políticas, processos, normas e procedimentos destinados a permitir à direção da companhia o planejamento, o direcionamento, o controle e o monitoramento da utilização da TI. Existem diversos padrões para o gerenciamento de TI como, por exemplo, ITIL, COBIT, ISO, CMMI e TOGAF. Nesse capítulo, veremos uma visão geral dos padrões ITIL e COBIT. Frameworks de governança Existem diversos frameworks voltados para a governança de TI. Alguns são mais generalistas e outros mais específicos, voltados para alguma área específica como, por exemplo, segurança da informação e gerenciamento de projetos. A seguir, apresentamos alguns dos frameworks mais reconhecidos pelo mercado, com exceção do ITIL e COBIT que serão apresentados em mais detalhes. • ISO/IEC 27001 A ISO 27001 é um padrão para a gestão da segurança da informação, definido pelo ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), 2 que define regras para as organizações manterem suas informações seguras, envolvendo pessoas, processos e tecnologia. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) elaborou a NBR ISO/IEC 27001, que é uma tradução da ISO/IEC 2700. • ISO/IEC 20000 A ISO/IEC 20000 é a primeira norma publicada pelo ISO que trata do gerenciamento de qualidade de serviços e define as melhores práticas de gerenciamento de serviços de TI, garantindo a entrega aos clientes de serviços de qualidade. São requisitos da norma definição de políticas, objetivos, procedimentos e processos de gerenciamento para assegurar a qualidade efetiva na prestação desses serviços. • CMM O CMM (Capability Maturity Model) ou Modelo de Maturidade em Capacitação pode ser definido como as melhores práticas para o desenvolvimento de softwares em uma organização. O CMM descreve os principais elementos de um processo de desenvolvimento de software e os estágios de maturidade por que passam as organizações. Por meio de avaliação contínua, identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos, a organização pode evoluir o seu ciclo de desenvolvimento de software. • TOGAF O TOGAF (The Open Group Architecture Framework) é um framework que fornece uma abordagem para o projeto, planejamento, implementação e gerenciamento de uma arquitetura de TI. Essa arquitetura é modelada em quarto níveis: negócio, aplicação, dados e tecnologia e é fortemente baseada em modularização, padronização, tecnologias e produtos já consolidados. • PMBOK O PMBOK (Project Management Body of Knowledge) é um conjunto das melhores práticas no campo do gerenciamento de projetos desenvolvido pelo PMI (Project Management Institute). O PMBOK consiste de processos e áreas do conhecimento que são geralmente aceitas como as melhores práticas no gerenciamento de projetos e pode ser aplicado em projetos de qualquer tipo, tamanho ou organização. O gerenciamento de projetos descrito no PMBOK consiste nas seguintes áreas de conhecimento: • Gestão de integração do projeto • Gestão do escopo do projeto • Gestão de tempo do projeto • Gestão de custos do projeto • Gestão da qualidade do projeto • Gestão de recursos humanos do projeto • Gestão das comunicações do projeto • Gestão de riscos do projeto • Gestão de aquisições do projeto • Gestão de envolvidos no projeto 3 ITIL O ITIL (Information Technology Infrastructure Library) é um conjunto de boas práticas para o gerenciamento de serviços de TI que tem o objetivo de alinhar os serviços de TI com as necessidades do negócio da empresa. O ITIL é publicado em uma série de cinco volumes, cada um cobrindo diferentes estágios do ciclo de vida do gerenciamento de serviços de TI. Os volumes são: 1. Estratégia do serviço: compreende os objetivos da organização e as necessidades do cliente. 2. Desenho do serviço: torna a estratégia de serviço em um plano para a entrega dos objetivos do negócio. 3. Transição do serviço: desenvolve e amplia a capacidade de criar novos serviços no ambiente existente. 4. Operação do serviço: gerencia os serviços no ambiente existente. 5. Melhoramento contínuo do serviço: permite incrementos e melhorias nos serviços oferecidos. • Estratégia do serviço A estratégia do serviço (service strategy) oferece um guia para a priorização dos serviços a serem oferecidos e ajuda as empresas de TI a melhorar e desenvolver serviços em longo prazo, sendo considerada a principal parte do ciclo de vida do serviço. Na fase da estratégia do serviço, é identificada a estratégia para o ciclo de vida completo do serviço para agregar valor ao cliente por meio do gerenciamento da TI. Nessa fase, são tratados os seguintes processos: • Gerenciamento de estratégia para serviços de TI • Gerenciamento de portfólio de serviço • Gerenciamento financeiro para serviços de TI • Gerenciamento de demanda Gerenciamento de relacionamento do negócio • Desenho do serviço O desenho do serviço (service design) fornece um guia de boas práticas no projeto e gerenciamento de serviços e processos de TI. A ideia é como a TI pode ajudar o negócio da companhia e não focar a TI como um fim em si mesma. Nessa fase, são tratados os seguintes processos: • Coordenação de projeto • Gerenciamento de catálogo de serviços • Gerenciamento de níveis de serviço • Gerenciamento de disponibilidade • Gerenciamento de capacidade • Gerenciamento da continuidade dos serviços de TI • Gerenciamento de segurança • Gerenciamento de fornecedor • Transição do serviço A transição do serviço (service transition) envolve todos os aspectos para a entrega dos serviços da TI necessários à operação do negócio. Nessa fase, são tratados os seguintes processos: • Planejamento e suporte à transição • Gerenciamento de mudanças • Gerenciamento de configurações e ativos de serviços • Gerenciamento de versões e implantações • Teste e validação de serviços • Avaliação de mudanças • Gerenciamento do conhecimento • Operação do serviço 4 A operação do serviço (service operation) fornece as melhores práticas para alcançar e entregar os níveis de serviços acordadoscom os clientes e usuários. Além disso, fazem parte da operação o monitoramento dos ativos e eventos, a disponibilidade, o gerenciamento das aplicações, o gerenciamento de operações e atendimento aos usuários (service ou help desk). Nessa fase, são tratados os seguintes processos: • Gerenciamento de eventos • Gerenciamento de incidentes • Cumprimento de solicitações • Gerenciamento de problemas • Gerenciamento de identidade • Melhoramento contínuo do serviço O melhoramento contínuo do serviço (continual service improvement) permite que a TI oferecida ao negócio esteja sempre alinhada os seus objetivos atuais e futuros. Com base na estratégia da empresa, a TI deve analisar dados, definir melhorias e implementa-las. Nessa fase, são tratados os seguintes processos: • Identificar a estratégia para a melhora. • Definir o que será medido. • Recolher os dados. • Processar os dados. • Analisar as informações. • Apresentar e utilizar as informações. • Implementar as melhorias. COBIT O COBIT (Control Objectives for Information and Related Technology) é um guia de boas práticas dirigido para a gestão da TI. Patrocinado pelo ISACA (Information Systems Audit and Control Association), possui uma série de diretrizes que servem como modelo de referência (framework) para gestão da TI. O COBIT é recomendado como meio para aperfeiçoar os investimentos, melhorando seu retorno e fornecendo métricas para a avaliação dos resultados. 5 O COBIT baseia-se em cinco princípios básicos: 1. Atender às necessidades das partes interessadas. 2. Cobrir a organização de ponta a ponta. 3. Aplicar um modelo único e integrado. 4. Permitir uma abordagem holística. 5. Distinguir a governança da gestão. • Atender às necessidades das partes interessadas As empresas existem para criar valor para as partes interessadas, que nem sempre estão de acordo com o valor ou valores esperados. A ideia é de que o COBIT, por meio de suas práticas, consiga harmonizar os diferentes interesses, custos e riscos envolvidos. • Cobrir a organização de ponta a ponta O COBIT trabalha a governança e a TI de maneira ampla, cobrindo a organização de ponta a ponta, ou seja, acompanha todas as funções e processos como ativos, considerando-os como bens da corporação. • Aplicar um modelo único e integrado O COBIT está alinhado com os demais frameworks de governança existentes, permitindo a sua integração com padrões como COSO, ISO, ITIL, PMBOK, CMMI, TOGAF etc. • Permitir uma abordagem holística O COBIT visa à governança e ao gerenciamento da TI da corporação como um todo e define sete facilitadores para alcançar os objetivos: • Processos • Estrutura organizacional • Cultura, ética e comportamento • Princípios, políticas e frameworks • Informação • Serviços, infraestrutura e aplicações • Pessoas, conhecimentos e competências • Distinguir a governança da gestão. O COBIT faz uma clara distinção entre governança e gerenciamento, pois são itens que envolvem diferentes tipos de atividades, necessitam de diferentes estruturas da organização e servem a diferentes propósitos. A governança garante que os objetivos da companhia sejam alcançados de acordo com as necessidades dos interessados, considerando as condições e opções, as prioridades, as tomadas de decisão e os objetivos. O gerenciamento da TI planeja, implementa, executa e monitora as atividades alinhando-as com as determinações definidas pela governança para alcançar os objetivos da companhia. CERTIFICAÇÕES ITIL / COBIT • Certificação ITIL Atualmente, a certificação em ITIL é dividida em quatro perfis de profissionais: foundation, intermediate, expert and master, sendo a foundation a mais básica e a master a mais avançada. Para obter a certificação foundation, basta realizar uma prova; para a certificação intermediate, além da anterior, quatro provas (intermediate lifecycle) ou cinco provas (intermediate capability); para certificação expert, todas as anteriores e, finalmente, para a certificação master, além de todas as anteriores, mais uma prova. 6 As provas são pagas e realizadas em centros de provas autorizados pelo EXIN ou pela Internet. O EXIN controla todo o processo de certificação ITIL. Para mais informações sobre certificação ITIL, consultar o site do EXIN. • CERTIFICAÇÃO COBIT Existem três provas para a certificação COBIT: - foundation (fundamentos), - Implementação e - Assessor. Para poder realizar as provas de implementação e assessor, é necessário ter passado primeiramente na prova de foundation. No caso da prova de foundation, é necessário agendar a prova no site da APMG, que pode ser feita presencialmente ou pela Internet. O exame consiste de 50 questões de múltipla escolha e exige uma pontuação de 50% ou mais para ser aprovado. Para mais informações sobre os exames COBIT, consulte o site do ICASA e, para mais informações sobre como fazer as provas, consulte o site da APMG International. ACORDO DE NÍVEL DE SERVIÇO A TI fornece diversos serviços aos usuários, departamentos e a toda a organização. Não apenas a TI entrega serviços, mas também contrata serviços de terceiros, ou seja, de outras empresas. Independentemente de o serviço ter sido prestado ou contratado pela TI, deve existir um processo que garanta a qualidade desses serviços e que atenda às necessidades do negócio. Para garantir a qualidade dos serviços da TI em seus diferentes aspectos, criouse o acordo de nível de serviço ou SLA (service level agreement). O SLA é estabelecido entre o usuário e o fornecedor do serviço. No caso de uma empresa, o usuário pode ser um departamento e o fornecedor a TI. Da mesma forma, é possível que a TI seja usuária de um serviço prestado por terceiros e o SLA garante que a empresa contratada dispõe de requisitos mínimos para sua realização e entrega. 7 Uma empresa que contrata um serviço de Internet de uma operadora de telecomunicações pode exigir, no SLA firmado no contrato entre as partes, que, por exemplo, a taxa de transmissão seja de no mínimo 100 Mbps, a taxa de erros de no máximo 0,1% e, se ocorrer algum problema com link, o reparo seja feito em no máximo uma hora. Um outro exemplo seria uma empresa que fornece um sistema Web para seus usuários internos. É possível definir um SLA entre os usuários do sistema e a TI de forma a garantir, por exemplo, uma disponibilidade do sistema de 99,99% ao ano, um tempo de resposta de no máximo cinco segundos e exigir treinamento para os novos usuários do sistema. Caso o SLA acordado não seja cumprido, podem ocorrer diversas penalidades como, por exemplo, multa, rompimento de contrato, troca de gestores e demissões. O SLA é definido pelo gerenciamento de serviços, que é formado por pessoas, processo e ferramentas com o objetivo de garantir a qualidade dos serviços de TI. Vários frameworks possuem esse módulo, como é o caso do ITIL. MÉTRICAS Os projetos envolvendo desenvolvimento de software, especialmente os grandes projetos, são extremamente complexos de gerenciar. Sem as informações adequadas, não é possível, por exemplo, estimar o custo do desenvolvimento, o número de profissionais, a quantidade de recursos computacionais e o prazo de entrega. As métricas de software permitem o planejamento do projeto de desenvolvimento de software e também sua manutenção. Existem diversas métricas para os projetos de desenvolvimento de software. Vejamos as mais conhecidas: • Análise de pontos de função A análise de pontos de função mede o número de funcionalidades do software percebidas pelo usuário do sistema, independentementeda tecnologia utilizada para desenvolvê-lo. Cada funcionalidade identificada no software é enquadrada em uma das cinco categorias possíveis: saídas, solicitações, entradas, arquivos internos e interfaces externas. Após essa etapa, cada função é avaliada por sua complexidade e é-lhe atribuído um número, que funciona como um peso e que corresponde à sua pontuação. A soma dos pontos de cada função permite estimar o desenvolvimento do software em questão. • Número de linhas de código O número de linhas de código representa o número total de linhas de código que fazem parte do projeto de desenvolvimento do software. O grande problema dessa métrica é conseguir prever antecipadamente, com alguma precisão, o número de linhas código necessário no projeto e, dependendo do tipo de linguagem de programação utilizada, pode haver variação na contagem das linhas de código do software.
Compartilhar