PIM VII

Prévia do material em texto

Governança de TI (GTI) - introdução
Desde que a TI foi introduzida no mundo dos negócios, vem adquirindo cada vez mais um papel estratégico para as empresas, tanto como provedoras de informações como de soluções de tecnologia e serviços, cujos objetivos visam a aumentar a produtividade e, conseqüentemente, os lucros experimentados por tais companhias, principalmente na fidelização de seus clientes e parceiros de negócio.
Ao longo do tempo, diversos modelos para dar apoio aos gestores de TI têm sido desenvolvidos a aprimorados para permitir que a TI se alinhe como o negócio da organização. Esses modelos com suas práticas têm como propósito orientar o planejamento e as execuções de TI, buscando com isso o alinhamento estratégico entre a Ti e os planos diretores da organização.
Para implantar a Governança de TI em sua empresa, é importante que você conheça todos os frameworks – em outras palavras, modelos de trabalho – que fornecem as métricas e o que deve ser feito para garantir a eficácia desta prática.
Os principais frameworks da GTI são:
Cobit (Control Objectives for Information and related Technology)
Este é o modelo de trabalho mais utilizado na Governança de TI e está na sua versão 5. Ele apresenta recursos que incluem sumário executivo, controle de objetivos, mapas de auditorias, indicadores de metas e performances e um guia com técnicas de gerenciamento. Suas práticas de gestão são recomendadas por especialistas da área e ele pode ser utilizado para testar e garantir a qualidade dos serviços de TI prestados, utilizando um sistema de métricas próprio.
ITIL (Information Technology Infrastructure Library)
Este é um framework que é voltado para o público e não para o proprietário. O ITIL define o conjunto de práticas para o gerenciamento dos serviços de TI por meio de “bibliotecas” que fazem parte de cada módulo de gestão. Dessa forma, diferentemente do Cobit, este é um modelo mais focado para os serviços de TI em si.
PmBOK (Project Management Body of Knowledge)
Este framework está voltado para o gerenciamento de projetos da área e melhorar o desenvolvimento e a atuação dos profissionais de TI. Todas as definições, conjuntos de ações e processos do PmBOK estão descritos em seu manual, que expõe as habilidades, ferramentas e técnicas necessárias para realizar a gestão de um projeto.
Governança de TI – Conceitos
Para os autores Weill e Ross (2004), governança de TI significa a especificação dos direitos decisórios e do framework de responsabilidade para estimular comportamentos desejáveis na utilização da TI.
Para a norma ISO/IEC 38.500 (2008), a GTI por ser conceituada como o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados, o que significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.
Governança de TI, na sua definição mais básica, o processo pelo qual são decididos os gastos com a tecnologia da informação. A GTI define como as decisões são tomadas, quem toma as decisões, como os gastos são apropriados e como as ações resultantes das decisões são medidas e gerenciadas (CARDOSO, 2013)
Modelos de Maturidade da GTI
O termo maturidade tem diversas definições nos dicionários da língua portuguesa. De acordo com o Novo Dicionário Aurélio, “é o estado das pessoas ou das coisas que atingiram completo desenvolvimento”.
Os modelos de maturidade foram desenvolvidos com os objetivos de avaliar a produção com qualidade de áreas administrativas e operacionais de uma empresa, conforme o planejamento estratégico institucionalizado. Mas o que vem a ser maturidade em uma organização?
A maturidade pode ser medida pelo desenvolvimento de sistemas e pelos processos que são por natureza repetitivos e que pode garantir com alta probabilidade que sejam um sucesso (KERZNER, 2004).
Existem muitos modelos de maturidade no mercado, abrangendo vários segmentos de TI, mas alguns se destacam pela sua ampla aceitação baseada na notoriedade de seus idealizadores; institutos, entidades, ou mesmo fornecedores e provedores de serviços de TI, de ponta tecnologia, que têm interesse nesse sentido. Citarei apenas dois.
O modelo de maturidade de processos de negócios (BPMM)
O BPMM (business process matury model) é um modelo publicado pelo OMG, tendo como foco o estudo do gerenciamento de software orientado a objetos. 
O modelo de maturidade em segurança (BSIMM)
O foco desse modelo de maturidade, o BSIMM (building security im maturity model), foi desenvolvido por um grupo de especialistas em segurança de sistemas de informação ou segurança em software e foi publicado em 2009. O modelo foi elaborado com base em iniciativas de segurança de nove empresas diferentes, entre elas Adobe, EMC, Google e Microsoft.
A Empresa
Quando trabalha-se a algum tempo em uma empresa, e vai vivenciando algumas situações incomodas, como; falta de credibilidade da TI junto a alta administração, falta de conhecimento quanto ao andamento dos projetos, serviços sem confiabilidade, insatisfação por parte dos clientes, desconhecimento do negócio da empresa, além de outras situações. Tudo isto é reflexo da falta de GTI.
Nessa Empresa, especificamente, deve-se gerenciar os riscos, mas isto não é feito, afinal, ele é ignorado. A Empresa vai perdendo credibilidade por ter o site hakeado, o banco de dados invadido, ou ainda, ter as informações vazadas. Pois possui uma política de segurança, mas não é disseminada dentro da Empresa.
Implementação do modelo de maturidade em segurança (BSIMM)
A Empresa está percebendo que precisa ajustar sua iniciativa de segurança e como resultado, a segurança de software está finalmente se tornando um assunto em pauta.
Com o surgimento de novas tendências como a Internet das Coisas, cabe às equipes de segurança ensinar desenvolvedores como proteger seu código.
Modelos de maturidade têm sido aplicados em diferentes áreas há muito tempo, com bom nível de disseminação. O BSIMM (bulding security in maturity model) se apresenta num formato já consolidado e aceito internacionalmente.
O Building Security In Maturity Model (BSIMM) é o resultado do estudo de vários anos sobre iniciativas de segurança de software do mundo real. Nós apresentamos o modelo que foi construindo diretamente de dados observados em sessenta e sete iniciativas de segurança de software de diversas empresas, entre elas: Adobe, Aetna, Bankof America, Box, Capital One,Comerica Bank, EMC, Epsilon, F-Secure, Fannie Mae, Fidelity,Goldman Sachs, HSBC, Intel, e outras mais.
O BSIMM é um instrumento de medida para a segurança de software. O melhor modo de utilizar o BSIMM é comparar e contrastar a sua própria iniciativa com os dados sobre o que outras organizações estão fazendo contidos no modelo. Pode-se então identificar metas e objetivos por conta própria e observar o BSIMM para determinar qual atividade adicional faz sentido para você.
Os dados do BSIMM mostram o quanto iniciativas altamente maduras são bem equilibradas implementando uma série de atividades em todas as doze práticas descritas pelo modelo. O modelo também descreve como iniciativas maduras de segurança de software se desenvolvem, mudam e se aprimoram ao longo do tempo.
O BSIMM não é um guia completo ou um “how-to-do” (como fazer), mas é excelente para aqueles que lidam com desenvolvimento e implantação de sistemas de informação ou que, de alguma forma, depende da confiabilidade dos aplicativos e programas que suportam o negócio de sua organização.
Referências 
WEILL, P.; ROSS, J. W. IT Governance on one page. Cambridge. MA: MITSloan Management, 2004.
CARDOSO, J. A. Governança da TI. [s.d.]. Disponível em http://www.portusconsultoria.com/files/Portus_Consultoria_Governança_da_TI.pdf. Acesso em: 3 maio 2013
KERZNER, H. Using the Project management maturity model: straegic planning for project management. NY: John Wiley & Sons Inc., 2004.
OPSERVISES. O que você deve saber sobre governança de TI. Disponível em:http://www.opservices.com.br/governanca-de-ti/. Acesso em: 5 outubro 2017