PROJETO INTEGRADO MULTIDISCIPLINAR 7 PIMVII

Prévia do material em texto

UNIP INTERATIVA 
Projeto Integrado Multidisciplinar 
Gestão da Tecnologia da Informação 
 
 
 
 
 
 
 
 
 
 
 
 
 
PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII 
 
A GOVERNANÇA DE TI AGREGANDO VALOR ÀS ORGANIZAÇÕES 
Resolvendo problemas por meio da Governança de TI 
 
 
 
 
 
 
 
 
 
 
Senador Canedo – GO 
2016 
 
 
UNIP INTERATIVA 
. 
. 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII 
 
A GOVERNANÇA DE TI AGREGANDO VALOR ÀS ORGANIZAÇÕES 
Resolvendo problemas por meio da Governança de TI 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Senador Canedo - GO 
2016 
 
UNIP INTERATIVA 
Trabalho – Projeto PIM VII – Gestão da Tecnologia 
da Informação. 
Apresentado à: Universidade Paulista – UNIP 
. 
. 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII 
 
CONSULTORIA À FACULDADE CARNEIRO DE ANDRADE 
Resolvendo problemas por meio da Governança de TI 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Senador Canedo – GO 
2016 
Nome: Leonardo Freitas Neiva, 
RA: 1541335 
Curso: Gestão da Tecnologia da Informação 
 
RESUMO 
 O projeto apresentado é uma atividade necessária à conclusão da disciplina 
‘Projeto Integrado Multidisciplinar VII – PIM VII, da Universidade Paulista – UNIP. 
 Considerando o caso fictício estabelecido, será feita uma análise gerencial 
de processos e ocorrências no âmbito da área de Tecnologia da Informação de uma 
empresa denominada FACULDADE CARNEIRO DE ANDRADE (FCA) com o 
objetivo de implantar um projeto de Governança de TI, que por sua vez deve 
assegurar que as metas e objetivos da TI estejam fortemente vinculados às metas e 
objetivos da empresa. 
 A análise deve se utilizar dos conhecimentos adquiridos através das 
disciplinas Governança de TI, Gestão da Qualidade e Sistemas para Internet e 
Software Livre, gerando propostas de melhorias para os processos de TI da 
empresa Faculdade Carneiro de Andrade – FCA. 
 
 Palavras-chave: Governança, Qualidade, Software Livre, ITIL, COBIT. 
 
 
 
 
 
 
 
. 
ABSTRACT 
The project presented is a necessary activity to the conclusion of the course 
'Integrated Project Multidisciplinary VII - VII PIM, the Universidade Paulista - UNIP. 
Considering the fictitious case established, will be a management review 
processes and issues within the Information Technology area of a company called 
FACULDADE CARNEIRO DE ANDRADE (FCA) in order to deploy an IT 
Governance project, which in turn should ensure that the goals and iT goals are 
strongly linked to the goals and objectives of the company. 
The analysis should use the knowledge acquired through the disciplines of IT 
Governance, Quality Management and Systems for Internet and Free Software, 
generating proposals for improvements to the company's IT processes Faculdade 
Carneiro de Andrade - FCA. 
 
 Keywords: Governance, Quality, Free Software, ITIL, COBIT. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
1. INTRODUÇÃO.................................................................................................01 
2. HISTÓRICO DA EMPRESA............................................................................02 
3. MISSÃO, VISÃO E VALORES........................................................................02 
4. DESCRIÇÃO DO CASO..................................................................................02 
5. PROBLEMAS DE TI – FCA............................................................................03 
6. GOVERNANÇA DE TI.....................................................................................06 
7. DOMÍNIOS DA GOVERNANÇA DE TI...........................................................08 
8. COMPONENTES DA GOVERNANÇA DE TI.................................................11 
9. METODOLOGIAS /FRAMEWORK’S..............................................................12 
10. METODOLOGIA PROPOSTA.........................................................................18 
11. PROPOSTAS DE SOLUÇÃO.........................................................................33 
11.1. PROPOSTA 01: Política de Segurança da Informação....................34 
11.2. PROPOSTA 02: Investimento em TI..................................................45 
11.3. PROPOSTA 03: Gestão de Qualidade...............................................48 
12. CONCLUSÃO..................................................................................................53 
13. REFERÊNCIAS BIBLIOGRÁFICAS...............................................................55 
 
 
 
. 
. 
. 
. 
. 
 
1 
 
1. INTRODUÇÃO. 
 
A TI tornou-se com o tempo essencial à competitividade dos negócios de 
uma empresa e igualmente importante aos investimentos em inovação e eficiência. 
Por tecnologia da informação, é compreendida uma gama de soluções 
relacionadas com diversos setores, dentre eles, estratégico, organizacional e 
administrativo, colocando a TI como de vital importância para manter e apoiar o 
crescimento de qualquer organização. Em razão direta, e somada a grande 
especificidade dos produtos e soluções disponíveis atualmente no mercado de TI, 
existe uma necessidade crescente de investimentos na área, e com isso, cresce 
também a atenção em relação ao planejamento da escolha e da correta definição 
das soluções a serem adquiridas. Muitos métodos, ferramentas e melhores práticas 
existem para apoiar os executivos para mensurar os valores tangíveis e intangíveis 
da TI de uma empresa, entre eles a implantação de uma Governança de TI. 
A Governança de TI vem inserida dentro do contexto da governança 
corporativa e tem como propósito medir o desempenho da TI e sempre manter o 
alinhamento entre tecnologia e negócios. 
Colocar em prática um programa de governança de TI, é implementar ações 
que primem por um alinhamento do setor com as diretrizes e objetivos da empresa. 
Para isso, é preciso orientar e priorizar as atividades de TI de forma a justificar os 
recursos aplicados em TI, garantindo assim, o controle e o retorno dos investimentos 
com melhorias dos serviços prestados. 
Através da apresentação conceitual de alguns métodos e melhores práticas, 
e da exposição de um caso fictício de uma empresa identificada como Faculdade 
Carneiro de Andrade (FCA), será mostrado quais pontos chaves devem ser 
melhorados para que o controle da Governança seja mais efetivo nas organizações. 
 
 
 
 
2 
 
2. HISTÓRICO DA EMPRESA 
Fundada há mais de três décadas, a Faculdade Carneiro de Andrade (FCA) 
tem se destacado pelo seu pioneirismo na oferta de cursos superiores de curta 
duração, conhecidos como cursos superiores de tecnologia. Hoje, ela conta com um 
enorme campus, onde são oferecidas vagas em, pelo menos, 30 cursos de 
graduação divididas nos três turnos (matutino, vespertino e noturno), contando com, 
aproximadamente, 12.000 alunos. 
3. MISSÃO, VISÃO E VALORES 
A missão da FCA é: “Contribuir para a construção de um mundo melhor, 
produzindo conhecimento e formando talentos criativos e empreendedores, capazes 
de ter sucesso emsua vida pessoal, social e profissional.” 
A visão da FCA é: “Ser percebida em nível nacional como uma das 
instituições de Ensino Superior mais modernas, arrojadas e inovadoras.” 
Os valores da FCA são: “Responsabilidade corporativa, compromisso 
social, transparência e ética.” 
Na FCA, os alunos são capacitados, dentro de suas especialidades, a 
empreender e 
identificar constantemente oportunidades de negócios, alinhadas às necessidades 
de mercado, levando-os a experimentar e aplicar na prática os conhecimentos 
adquiridos em sala de aula. Deste modo, desenvolve-se uma visão crítica na busca 
de soluções para os desafios do dia a dia. Tudo isso aliado à infraestrutura de 
padrão internacional. 
4. DESCRIÇÃO DO CASO 
A FCA cria condições para que os conceitos e as ações de 
Responsabilidade Social de Sustentabilidade estejam presentes no dia a dia da vida 
acadêmica e nas práticas de ensino, bem como na relação com as comunidades nas 
quais se insere. Isso por meio de programas, projetos e ações planejadas, diversas 
práticas são orientadas e estimuladas para difundir entre os estudantes a 
importância da dimensão social em suas formações profissionais. 
 
3 
 
O prédio onde a FCA está instalada é próprio, com utilização de 
praticamente 90% de sua capacidade. Por isso, a FCA fez a aquisição de um novo 
prédio vizinho em vista do aumento de suas operações. 
Embora o cenário atual da FCA seja, de modo geral, animador, há dentro de suas 
estruturas inúmeras deficiências que, ao longo de anos, têm prejudicado o negócio 
como um todo. Uma das maiores deficiências constatadas encontra-se na área de 
TI. 
Por isso, em sua última reunião, a Direção e os gestores da FCA expuseram 
que em sua visão a raiz de todos os problemas era a falta de Governança de TI. A 
primeira deliberação dada, então, ao gestor de TI foi no intuito de mapear todos os 
problemas de Governança de TI e encaminhar soluções acompanhadas de 
indicadores para o acompanhamento da Direção da FCA. A segunda deliberação 
determinava que o gestor de TI apresentasse um estudo sobre o uso de Internet e 
soluções de conectividade que poderiam auxiliar a FCA a melhorar as suas 
operações de modo geral. 
5. PROBLEMAS DE TI – FCA 
Após um grande levantamento da situação da FCA, o gestor de TI encontrou 
os seguintes problemas: 
 Queda nos investimentos em TI; 
 Crescimento no número de matrículas de alunos, gerando problemas de 
gerenciamento de demanda de alguns sistemas; 
 Soluções de hardwares obsoletos e desalinhados das novas tecnologias 
desenvolvidas; 
 Não há qualquer acompanhamento de melhoria contínua nos processos e nas 
atividades. É executado tudo da mesma forma desde o começo da empresa 
conforme estabelecido pela alta gerência e acionistas; 
 Não há uma definição clara de papéis e responsabilidades. Uma área não 
sabe exatamente o que a outra faz, apenas envia as informações e as recebe; 
 É gasto muito tempo e dinheiro em atividades manuais e sem monitoramento 
de desempenho dos recursos, gerando atrasos e duplicidade de informações; 
 A falta de envolvimento da TI com as outras áreas e a falta de integração 
entre os sistemas dos departamentos são os fatores mais críticos na área de 
TI, impactando diretamente o negócio; 
 
4 
 
 Toda estrutura física está centralizada no mesmo prédio sem redundância em 
outros locais. Não há uma contingência em casos de incêndio, alagamento ou 
outros desastres naturais. Os riscos foram mapeados, porém não foi dada a 
devida importância e investimento necessário para a mitigação deles pela alta 
gerência; 
 A empresa não possui uma política de segurança de informação, não sendo 
possível atingir padrões a serem seguidos por todos. A própria falta de cultura 
na empresa chega a ser um risco em diversos aspectos; 
 As mudanças são feitas de forma desorganizada e sem planejamento, não 
havendo o alinhamento com a área de TI com antecedência. A falta de 
procedimentos documentados sobre o funcionamento da empresa afeta o 
tempo de integração e aprendizado de novos funcionários; 
 A infraestrutura não foi desenvolvida pensando no crescimento dos setores, 
não sendo possível atualmente ampliar o parque de máquinas, pois não 
possuem uma estrutura flexível, em que podem ser acrescentados mais 
pontos de redes e tomadas, tendo que ser feita novamente toda a estrutura 
de cabeamento e parte elétrica; 
 Não foi renovado o contrato referente à garantia das estações após o período 
de vencimento junto ao fornecedor, para tal ação foi montada uma equipe 
técnica de suporte dividida em 2 níveis (analista júnior e analista sênior) e um 
coordenador; 
 Atualmente não possuem parcerias com fornecedores de qualquer tipo, o 
processo de compra é feito somente quando é aprovado e liberado orçamento 
pela área financeira mediante autorização do presidente; 
 O sistema de banco de dados está em Access em que ocorrem travamentos 
constantes em épocas de matrículas e rematrículas. Esse servidor não tem 
controle de acesso físico ou lógico, todos visualizam os módulos. Por esse 
motivo cobranças são feitas mais de uma vez, ou cadastros são perdidos, 
gerando constrangimento com os parceiros e os alunos; 
 Não possuem software de ERP atualmente, o que dificulta a integração da 
empresa conforme as etapas são executadas nos departamentos. A migração 
desse sistema para outro foi efetuada com a compra de um novo software, 
porém vários problemas ocorreram por falta de uma gestão eficiente de 
projetos. Foi necessário voltar a utilizar o sistema antigo devido à má 
implantação do novo sistema por erro de projeto do diretor de TI; 
 Existe um pequeno CPD em que estão os servidores, os bancos de dados, os 
roteadores e as informações importantes relativas à empresa. Na mesma 
sala, ainda se encontram os armários contendo arquivos referentes à 
faculdade em papel, em que todos os setores têm acesso sem qualquer tipo 
de restrição ou identificação; 
 Os técnicos de TI dividem a mesma sala com a equipe de manutenção, o que 
traz muita desorganização no ambiente em que é feita a troca de peças dos 
microcomputadores, também por esse motivo peças acabam sumindo, dentre 
outros problemas. Todos da equipe de manutenção e TI possuem a chave da 
sala que só é trancada à noite; 
 
5 
 
 Os técnicos de TI são vistos como “bombeiros” que são acionados apenas 
quando há um incêndio, no caso de um problema ou dúvidas operacionais. 
A TI não tem participação ativa em reuniões para alinhamento estratégico ou 
projetos, apenas executa, gerando muito retrabalho por falha de comunicação 
e gerenciamento; 
 Atualmente na empresa apenas alguns técnicos têm certificações na área de 
TI, o coordenador é certificado em ITIL V2, o analista júnior em Windows XP e 
o sênior em redes e servidores; 
 Falta um ambiente de testes para homologação de softwares e equipamento 
de backup em caso de alguma máquina parar de funcionar ou peças para 
eventuais trocas; 
 O índice de turnover é muito alto, não foi estipulado um plano de carreira ou 
benefícios fora os previstos pelas leis trabalhistas para motivar e reter 
recursos; 
 Não há terceirização em qualquer setor, todos os funcionários trabalham em 
regime CLT contratados diretamente pela FCA; 
 Os técnicos atendem as solicitações por telefone e vão até o usuário, não há 
um software de gerenciamento de incidentes; 
 Não há qualquer tipo de revisão periódica ou manutenção preventiva nos 
computadores e sistemas devido ao horário de expediente dos técnicos 
residentes. A TI como um todo trabalha de forma reativa e desorganizada, por 
falta de métricas de desempenho e investimentos da gerência que enxerga a 
TI como custo e falta de planejamento do diretor de TI; 
 Não há qualquer tipo de sistema que gere relatóriosde desempenho ou 
pesquisas de satisfação interna ou para os clientes, dificultando na 
justificativa de contratação de recursos e compra de novas tecnologias. O 
único controle interno para entrada e saída de equipamentos da empresa é 
apenas uma planilha em Excel informando onde está cada equipamento e o 
nome do usuário. Não há uma gestão voltada a mudanças dentro da 
empresa, logística ou controle de ativos; 
 Alguns softwares são utilizados de forma irregular, não estando devidamente 
licenciados ou “piratas”, alguns desses softwares são utilizados nas versões 
de teste por 30 dias, depois instalados novamente em outra máquina, pois 
não há o investimento necessário para a aquisição das licenças originais das 
ferramentas colaborativas ou número suficientes de ativações; 
 Muitos alunos reclamam das máquinas lentas e desatualizadas. O hardware 
não suporta alguns softwares mais robustos dos próprios cursos, travando 
constantemente; 
 O único canal de reclamações dos alunos é na central de atendimento, onde 
é depositado em uma urna as dúvidas e reclamações, o processo é feito 
manualmente; 
 O sinal da rede sem fio não atende à demanda atual, sinal inexiste em alguns 
pontos específicos e é difícil a conexão. E a internet via cabo de rede é muito 
lenta, impactando nas atividades em sala de aula e nos setores 
administrativos; 
 
6 
 
 O horário de maior reclamação e mais crítico para área de TI é no início de 
cada período, quando os alunos e professores chegam na sala, que está 
desorganizada por outras turmas anteriores; 
 Não temos parcerias com fornecedores de telefonia móvel, tendo apenas um 
plano empresarial disponibilizando linhas e aparelhos aos diretores e gerentes 
de cada área; 
 Devido à localização da instituição e a infraestrutura elétrica serem antigas e 
mal dimensionadas, temos quedas constantes de energia, trazendo perdas de 
trabalhos e problemas nas maquinas devido seu desligamento inesperado. 
A FCA não possui geradores, nobreaks, salas refrigeradas, backup fora do 
prédio ou link redundante; 
 O sistema de informação dos professores não funciona corretamente, muitos 
são obrigados a fazer chamada manualmente, pois o sistema é lento devido 
ao horário. Nas salas há formulários para preenchimento do professor sobre 
ocorrências com as estações nas salas, porém o monitoramento é feito de 
forma desorganizada. 
 
Após a relação estruturada de problemas de TI da FCA, foi possível 
reconhecer que o desempenho da TI é uma das grandes preocupações da empresa 
e considerando essa conclusão este projeto deverá viabilizar a implantação de um 
projeto de governança fundamentado nos principais modelos de referência que 
abordam a Governança de TI. A implantação do projeto de Governança de TI deve 
garantir a transparência e proporcionar melhores resultados a FCA, em sintonia com 
sua missão de prover processos e controles que suportem a gestão da TI, com base 
em padrões internos e frameworks de mercado. 
6. GOVERNANÇA DE TI 
Governança de TI, está relacionada ao desenvolvimento de um conjunto estruturado 
de competências e habilidades estratégicas para profissionais de TI responsáveis 
pelo planejamento, implantação, controle e monitoramento de programas e projetos 
de governança, requisito fundamental para as organizações, seja sob os aspectos 
operacionais, seja sob suas implicações legais. 
A Governança de TI é essencial para garantir melhorias eficazes e eficientes nos 
processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os 
recursos de TI e as informações às estratégias e objetivos da empresa, contudo, 
compor uma governança de TI significa assegurar que as informações da empresa e 
a tecnologia aplicada suportam os objetivos do negócio, permitindo, dessa forma, 
 
7 
 
que a empresa absorva total proveito das informações, maximizando benefícios, 
capitalizando em oportunidades e adquirindo vantagem competitiva. Esses fatores 
podem levar à obtenção não apenas de vantagem competitiva, mas também: 
 • Maior agilidade e capacidade para novos modelos de negócios e/ou ajuste 
em modelos já em vigor. 
 • Explicitação na relação entre custos de TI e valor da informação. 
 • Explicitação da importância da área de TI na continuidade do negócio. 
 • Medição e melhoria contínua da performance de TI. 
 • Viabilização de acompanhamento de contratos internos e externos. 
 • Definição de condições para o exercício eficaz da gestão com base em 
conceitos consolidados de qualidade (BRODBECK, 2004). 
Governança de TI é uma parte integral da Governança Corporativa e é 
formada pela liderança, estruturas organizacionais e processos que garantem que a 
TI sustenta e melhora a estratégia e objetivos da organização”. 
A GTI lida com cinco domínios, todos alinhados com as diretrizes dos 
stakeholders, dos quais dois são resultados: Valor de TI e Gerenciamento de Risco 
e três são direcionadores: Alinhamento Estratégico, Gerenciamento de Recursos e 
Mensuração de desempenho. 
 
 
8 
 
 
 
7. DOMÍNIOS DA GOVERNANÇA DE TI 
Alinhamento Estratégico: a Governança de TI garante que tanto os processos de 
negócio como os de tecnologia da informação sejam bem executados. A maior 
dificuldade atualmente é fazer com que a área de TI da FCA caminhe em direção 
aos objetivos de negócio do cliente (externo ou interno), com o planejamento 
necessário, e a utilização otimizada dos recursos disponíveis. 
Para que o alinhamento da TI com o Negócio do cliente seja possível, é 
necessário criar um plano estratégico para alcançar os objetivos desejados. Esta 
mudança de comportamento visa à criação de uma postura proativa e não reativa, 
como é comum atualmente. 
Todo projeto deve ser planejado estrategicamente antes da sua execução, 
para evitar retrabalhos futuros e dificuldades na hora de justificar o orçamento 
prazos definidos inicialmente; para isso, a TI deve participar efetivamente das 
definições de mudanças de regras, ou das pretensões dos seus clientes quanto às 
novas necessidades, para que as decisões sejam tomadas considerando o ponto de 
vista da TI e dos seus recursos disponíveis. As solicitações de mudanças, ou criação 
de novos serviços, devem respeitar critérios de priorização, recursos financeiros e a 
garantia de continuidade dos serviços. Esta postura da TI auxilia na otimização do 
negócio. 
 
9 
 
O alinhamento estratégico de TI, é inicialmente produto do alinhamento 
estático é estabelecido a partir das estratégias de negócio intencionadas, as quais 
posteriormente poderão sofrer modificações em função de possíveis mudanças no 
cenário do mercado, economia ou política, fazendo que essas estratégias definidas 
sofram alterações, exigindo um novo alinhamento da TI onde efetivamente as 
estratégias estarão de fato sendo executadas, a que chamados de alinhamento 
dinâmico. 
A TI é um habilitador e facilitador, para que as estratégias de negócio do 
cliente possam ser implementadas e realizadas com sucesso. 
Entrega de Valor da TI: benefício importante da Governança de TI, assegurando 
que o setor de tecnologia da informação seja o mais eficiente e eficaz possível. 
É importante entender os desejos do cliente, sabendo diferenciar entre o 
essencial e o necessário. 
O cliente, muitas vezes, está preocupado com o necessário, se esquecendo 
do que realmente é essencial. Se a TI não tiver a postura proativa de identificar o 
que é essencial para o negócio do seu cliente, certamente trabalhará em soluções 
que não agregam valor efetivo aos objetivos do mesmo. 
Uma vez identificado o que é essencial para o seu cliente, ou seja, aquilo 
que realmente irá gerar retorno ao investimentoempregado, a TI pode desenvolver 
um plano estratégico para a posterior execução do projeto, bem como a definição 
dos papéis dos envolvidos e patrocinadores da solução. 
Gerenciamento de Riscos: a Governança de TI permite que a empresa visualize de 
forma abrangente eventuais riscos para o negócio e dá meios de minimizá-los. 
Gerenciamento de Recursos: neste caso, o papel da Governança de TI é garantir 
que a gestão dos recursos humanos e tecnológicos da empresa seja o mais 
otimizada possível. 
Mensuração de Desempenho: utilizando-se de indicadores que vão muito além dos 
critérios financeiros, a Governança de TI assegura uma medição e avaliação precisa 
dos resultados do negócio. 
 
10 
 
Entre os motivadores para a implantação do programa de Governança de TI 
podemos considerar: 
 Estreitar o relacionamento entre a TI e os outros departamentos; 
 Compartilhar responsabilidade e assegurar o desempenho de 
papéis de forma mais transparente e com o mínimo de conflitos; 
 Reduzir custos e operacionais e otimizar processos; 
 Integração tecnológica e garantir a segurança da informação e 
preservação da mesma; 
 Assegurar a geração e a sustentação de valor para o negócio. 
Entre as inúmeras atribuições destinadas a Governança de TI algumas 
funções de grande importância delegadas as mesmas são: 
 Inovação de TI – responsável por fomentar a adoção de novas 
tecnologias e pela gestão do processo contínuo de inovação e 
experimentação de novas tecnologias; 
 Direcionamento Tecnológico – responsável pela avaliação, 
escolha e direcionamento de ferramentas tecnológicas e pela arquitetura 
orientada a Serviços. Também é responsável pelo gerenciamento da 
obsolescência tecnológica e pela padronização de plataformas tecnológicas; 
 Planejamento e Gestão da TI - responsável pela gestão 
estratégica do portfólio e dos investimentos de TI, garantindo a disciplina 
orçamentária da área. Também é responsável pela elaboração e manutenção 
de padrões técnicos e operacionais, fluxos de processo e indicadores de TI, 
além da geração periódica de relatórios para avaliação de desempenho da TI. 
Concentra as comunicações da TI para os públicos internos e externos; 
 Administração de Contratos de TI – responsável pela 
formalização e controle de contratos, utilizando boas práticas de mercado a 
fim de reduzir riscos legais e operacionais; 
 
11 
 
 Administração dos Pagamentos de TI – responsável pela 
centralização, gerenciamento e provisão dos recursos financeiros, além da 
consolidação de informações e emissão de relatórios financeiros da área. 
Considerando as responsabilidades da Governança de TI Foram analisados 
diferentes aspectos referentes aos principais problemas da TI na FCA e entre os 
mesmos vou considerar as seguintes propostas destinadas a reestruturação da TI 
 
8. COMPONENTES DA GOVERNANÇA DE TI 
 
A governança de TI possui diversas áreas de atuação de forma a garantir o 
alinhamento com a estratégia de negócio da instituição. A figura abaixo mostra os 
principais componentes da GTI e lista alguns modelos, ferramentas e/ou boas 
práticas que podem ser utilizados para cada assunto. 
 
 
 
 
 
12 
 
9. METODOLOGIAS /FRAMEWORK’S 
 
Para execução de um planejamento estratégico de TI existem diversas 
metodologias e quando se fala em implementação de “estruturas”, “conjunto de 
práticas” ou “melhores práticas”, significa a menção de modelos específicos que 
servem de guias e podem ser seguidos pelas empresas ao aplicar um programa de 
governança de TI. Como exemplos de metodologias disponíveis e largamente 
aceitas no mercado, podemos citar: 
 COBIT (Control Objectives for Information and related Technology); 
 BSC (Balanced Scorecard) 
 ITIL (Information Technology Infrastructure Library) e ISO 20000 
 PMBOK 
 CMMI e MPS.BR 
 Val IT 
 TOGAF 
 NBR ISO/IEC 38500 
 SIX SIGMA 
9.1. Framework: São as próprias estruturas dos modelos dos quais 
falamos antes. Correspondem a um conjunto consolidado das 
melhores práticas. Em geral, são desenvolvidos por profissionais da 
área de TI incentivados por grandes empresas ou por estímulos 
governamentais. 
9.2. COBIT: Control Objectives for Information and Related 
Technology: O COBIT - Control Objectives for Information and 
related Technology fornece boas práticas por meio de um modelo de 
domínios e processos, e apresenta atividades em uma estrutura 
lógica e gerenciável. As boas práticas do COBIT representam o 
consenso de especialistas. Elas são fortemente focadas mais nos 
controles e menos na execução. Essas práticas irão ajudar a otimizar 
 
13 
 
os investimentos em TI, assegurar a entrega dos serviços e prover 
métricas para julgar quando as coisas saem erradas. 
Para o COBIT, os pilares fundamentais que sustentam o núcleo da 
Governança de TI podem ser representados por cinco áreas, conforme mostra a 
Figura abaixo e já definidas acima, cada qual seu respectivo foco: 
 
 
 
 
 
9.2.3. DOMÍNIOS DO COBIT: 
 
Planejamento e Organização (PO): Provê direção para entrega de soluções (AI) e 
entrega de serviços (DS); 
Aquisição e Implementação (AI): Provê as soluções e as transfere para tornarem-
se serviços; 
Entrega e Suporte (DS): Recebe as soluções e as torna passíveis de uso pelos 
usuários finais; 
 
14 
 
Monitoração e Avaliação dos processos de TI (ME): Monitora todos os processos 
para garantir que a direção definida seja seguida; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
9.3. BSC (Balanced Scorecard): o BSC é uma maneira bastante 
comprovada e difundida para se elaborar a “Estratégia Corporativa” 
de uma empresa. Para possibilitar uma boa Governança de TI é 
imprescindível que a estratégia de TI da empresa esteja 
perfeitamente alinhada com a Estratégia Corporativa como um todo. 
Com o uso do BSC visualiza-se o quadro geral da empresa por meio 
de quatro perspectivas: financeira; cliente; processos internos; e 
aprendizado/crescimento. Com base nelas é gerado um mapa 
estratégico do qual são traduzidas a missão e a visão da empresa, 
além de indicadores e medições de desempenho vitais para uma boa 
gestão. As seguintes perguntas devem ser respondidas: 
 Onde queremos ir agora? – Extração da visão da empresa e 
dos objetivos do negócio. 
 
15 
 
 Onde estamos agora? – Avaliação da situação atual da 
empresa (Inclui desenho dos processos e definição dos indicadores). 
 Como chegaremos lá? – Definição da Estratégia Corporativa 
com base nas informações anteriores. (Inclui nova definição de indicadores e 
processos) 
 Como saberemos se chegamos? – Medições de resultados 
com base nos indicadores previamente definidos. 
9.4. ITIL e ISO 20000: enquanto o COBIT é utilizado para auditoria e 
controle de processos, o ITIL desempenha seu papel no 
Gerenciamento de Serviços. Ambos são frameworks distintos, não 
concorrentes, e que se completam. O ITIL (Information Technology 
Infrastructure Library) é um conjunto de melhores práticas para a 
gestão de serviços em TI e para o alinhamento desta área com os 
negócios da empresa. Atualmente o ITIL é aceito como referência 
para Gestão de Serviços, consolidando-se com a publicação da ISO 
20000, que trata diretamente de Gerenciamento de Serviços de TI. 
O ITIL descreve os processos necessários para suporte e gerenciamento da 
Infraestrutura de TI assim como fornecimento serviço de qualidade com custos 
aceitáveis, agregando valor ao negócio. 
 ITIL é definida como sendo uma biblioteca personalizada de melhores 
práticas para implementar os processos de gestão de TI. Trata-se de um conjunto dedocumentos que definem os processos a serem implementados para os serviços de 
suporte e de disponibilidade de forma a atingir uma gestão eficaz de serviço de TI de 
acordo com o negócio a que se destina. Cada módulo da biblioteca fornece um 
código de prática para melhorar a eficácia das TI, reduzindo custos e aumentando a 
eficácia e a qualidade de gestão e de infraestrutura dos serviços de TI. Esta gestão 
de serviços é uma abordagem orientada ao negócio para a gestão das TI que 
considera o valor estratégico do negócio pela organização TI e a necessidade de 
disponibilizar uma elevada qualidade de serviço TI. A adoção de ITIL fornece, hoje 
em dia, documentação consistente e compreensiva de melhores práticas na gestão 
 
16 
 
de serviços de TI. ITIL consiste num conjunto de livros que fornecem conselhos e 
orientação para obter qualidade dos serviços de TI e para acomodação e 
ambientação de necessidades para suportar as TI. Não só apresenta um modelo de 
como as atividades de gestão de serviços interagem umas com as outras, como 
também apresenta uma forma flexível de integrar e estruturar processos existentes. 
9.5. PMBOK: o Project Management Body of Knowledge (PMBOK) é um 
conjunto de práticas em gerenciamento de projetos publicado 
pelo Project Management Institute (PMI) e constitui uma base de 
conhecimento em gerenciamento de projetos. Estas práticas são 
compiladas na forma de um guia, chamado de o Guia PMBOK. 
O Guia PMBOK baseia-se em processos e subprocessos para descrever de 
forma organizada as atividades a serem realizadas durante um projeto. 
9.6. CMMI e MPS.BR: o CMMI (Capability Maturity Model Integration) é um 
modelo de referência que contém práticas necessárias à maturidade 
ou capacidade dos processos. O CMU/SEI (2010) define o CMMI 
como “um modelo de melhoria de processo que fornece às 
organizações os elementos essenciais para obtenção de processos 
eficazes e melhoria no desempenho”. 
O CMMI é uma evolução do CMM que procura estabelecer um modelo único 
para o processo de melhoria corporativo, integrando diferentes modelos e 
disciplinas. 
A versão atual do CMMI (versão 1.3) foi publicada em 2010 e apresenta três 
modelos: 
 CMMI for Development (CMMI-DEV), voltado ao processo de 
desenvolvimento de produtos e serviços. 
 CMMI for Acquisition (CMMI-ACQ), voltado aos processos de 
aquisição e terceirização de bens e serviços. 
 CMMI for Services (CMMI-SVC), voltado aos processos de 
empresas prestadoras de serviços. 
 
17 
 
O MPS.BR é um modelo de maturidade de processos relacionados com o 
desenvolvimento de software sendo na realidade a adequação do CMMI-DEV para o 
mercado brasileiro. Isto foi necessário, pois o mercado nacional apresenta um nível 
de granularidade maior do que a média mundial e consequentemente evolui de 
maneira mais gradual. Assim, os cinco níveis de maturidade do CMMI-DEV foram 
substituídos por sete níveis no MPS.BR. 
9.7. Val IT: o Val IT (Value of Information Technology) foi criado com o 
objetivo de ajudar os gestores a avaliar, selecionar e medir o retorno 
de seus investimentos (ROI) em TI. A exigência por ambientes de TI 
cada vez mais complexos e que ficam obsoletos mais rapidamente, 
faz com que a substituição de hardware e software aumente 
significativamente. Desenhado especificamente como um 
complemento ao modelo COBIT, ambos formam um ciclo completo de 
Governança de TI. O Val IT está divido em três domínios: Governança 
de Valor (VG); Gerenciamento de Portfólio (PM); e Gerenciamento de 
Investimento (IM). 
Tem como principais objetivos: 
 Ajudar a gerência a assegurar que as organizações obtenham o 
máximo de retorno dos investimentos habilitados por TI a um custo razoável e 
com um nível de risco conhecido e aceito. 
 Prover diretrizes, processos e práticas de apoio para ajudar os 
conselhos, diretorias, equipes de gerência executivas e outros líderes da 
empresa no entendimento e desempenho dos seus respectivos papéis, em 
relação aos investimentos habilitados por TI. 
9.8. TOGAF: TOGAF (The Open Group Architecture Framework) é um 
framework que permite criar, avaliar e construir a arquitetura certa 
para sua organização. 
Ele é baseado no Architecture Development Method (ADM), um método 
comprovado para o desenvolvimento de uma arquitetura de TI que atenda às 
necessidades da empresa e do seu negócio. 
 
18 
 
O TOGAF é projetado para suportar ao menos quatro arquiteturas: 
Arquitetura de Negócio; Arquitetura de Dados; Arquitetura de Aplicações; e 
Arquitetura de Tecnologia; 
9.9. NBR ISO/IEC 38500: ISO/IEC 38500 (Governança corporativa de 
tecnologia da informação) é um padrão internacional para a 
governança corporativa de TI. Esta norma estabelece seis princípios 
orientadores para diretores de organizações sobre o uso eficaz, 
eficiente e aceitável da TI dentro de suas organizações: 
Responsabilidade; Estratégia; Aquisição; Desempenho; 
Conformidade; e Comportamento humano. 
9.10. SIX SIGMA: Six Sigma tem como principal finalidade atingir um 
elevado nível de desempenho, confiabilidade e valor para o cliente. É 
utilizada em todo o mundo como um dos principais temas de TQM 
(Total Quality Management). 
Foi desenvolvido por Bill Smith da Motorola em 1986, e concebido como 
uma forma de medir defeitos e melhorar a qualidade global. Basicamente determina 
uma taxa mínima de 3,4 defeitos por milhão de oportunidades, o equivalente a um 
padrão de qualidade de 99,9997%. 
10. METODOLOGIA PROPOSTA 
10.1. Níveis de maturidade 
Para o desenvolvimento da Metodologia de Avaliação de Maturidade da 
FCA, adotou-se o COBIT com a abordagem proposta, pois se acredita que 
avaliando cada sentença, independente do nível de maturidade, no final se obtém 
um resultado mais fiel à realidade. 
COBIT 5 é a última edição da estrutura globalmente aceita do ISACA. Ele 
fornece, do princípio ao fim, uma visão da governança dos negócios da TI, refletindo, 
assim, o papel central da informação e da tecnologia na criação de valor para 
empresas de todos os tamanhos. 
 
19 
 
Os princípios, práticas, modelos e ferramentas analíticas encontrados no 
COBIT 5 incorporam a liderança de pensamento e a orientação de especialistas em 
TI, negócios e governança ao redor do mundo. 
Modelos de maturidade fornecem uma escala para comparar (fazer 
benchmarking) as práticas da empresa em relação a indústria e padrões e diretrizes 
internacionais. Um modelo de maturidade é uma medida que possibilita uma 
organização a classificar sua maturidade para um certo processo de inexistente (0) à 
otimizado (5). 
O modelo de maturidade fornecido pelas diretrizes de gerenciamento do 
CobiT para os 34 processos de TI está se tornando uma ferramenta cada vez mais 
popular para gerenciar questões típicas de balanceamento de riscos e controle de 
forma a levar em consideração o custo-efetivo. 
Uma característica fundamental do modelo de maturidade é que ele permite 
uma organização medir o nível de maturidade e definir quais níveis de maturidade 
quer chegar e quais brechas nos processos querem eliminar. 
Como resultado, uma organização pode descobrir aperfeiçoamentos práticos 
para o sistema de controles internos de TI. 
10.1.1. Maturidade Nível 1 – Inicial / Ad Hoc 
Há evidências de que a organização reconheceu que problemas existem e 
devem ser endereçados. Entretanto, não há processos padronizados. 
Em vez disso, abordagens pontuais são adotadas e há uma tendência de 
serem aplicadas em uma base individual ou caso-a-caso. A abordagem geral de 
gerenciamento é desorganizada. 
Em resumo, já existe processo, só que ainda são ad hoc, tendem a ser 
aplicados a um indivíduo ou tratadocasualmente. De forma geral ainda o 
gerenciamento é desorganizado. 
10.1.2. Maturidade Nível 2- Repetível, mas intuitivo 
 
20 
 
Processos forma desenvolvidos ao estágio onde procedimentos similares 
são seguidos por diferentes pessoas executando a mesma tarefa. 
Não há treinamento formal ou comunicação sobre os procedimentos 
padronizados, e a responsabilidade é tratada de maneira individual. A um alto grau 
de dependência no conhecimento de indivíduos e erros são muito comuns. 
10.1.3. Maturidade Nível 3 – Processos Definidos 
Procedimentos foram padronizados, documentados e comunicados por meio 
de treinamento. É mandatório que estes processos sejam seguidos. É incomum que 
desvios sejam detectados. 
Os procedimentos propriamente ditos não são sofisticados, mas existe a 
formalização sobre as práticas existentes. 
10.1.4. Maturidade Nível 4 – Gerenciados e Medidos 
O Gerenciamento monitora e mede a aderência aos procedimentos e toma 
ações onde os processos parecem não estar funcionando efetivamente. Processos 
estão sob melhoria constante e fornecem melhores práticas. Ferramentas 
automatizadas são utilizadas em uma maneira limitada ou fragmentada. 
 
10.1.5. Maturidade Nível 5 – Otimizado 
Processos foram refinados ao nível de boas práticas, baseados nos 
resultados de melhoria contínua e modelos de maturidade com outras empresas. TI 
é utilizada de maneira integrada para automatizar os fluxos de trabalho, fornecendo 
ferramentas para melhoria de qualidade e efetividade, fazendo que a organização 
rapidamente se adapte. 
10.2. Proposta de implantação da estratégia de serviços da ITIL na FCA 
A ITIL propõe um conjunto de melhores práticas, inseridas no contexto do 
Ciclo de vida de Serviços, que tem como objetivo agregar valor ao negócio do 
cliente. 
 
21 
 
O ciclo, que é composto por 5 fases - Estratégia de serviços, Desenho de 
serviços, Transição de serviços, Operação de serviços e Melhoria de serviços 
continuada - forma uma sequência ordenada para o aperfeiçoamento da entrega de 
serviços de TI e cada fase gera uma saída para a fase seguinte, conforme imagem 
abaixo: 
 
Especificamente na fase estratégica dos serviços, quando o serviço é 
confirmado e os recursos necessários contratados, é gerado um Pacote de Desenho 
de Serviço (PDS) para a fase de Desenho de Serviço, que será utilizada no 
desenvolvimento da solução. 
Esta proposta de implantação refere-se a este nível estratégico do Ciclo de 
Vida do Serviço da ITIL, e vem ao encontro à necessidade da FCA, de aperfeiçoar 
os serviços prestados atualmente aos seus clientes, criando um planejamento 
estratégico para cada serviço, e aperfeiçoando os seus recursos de TI para 
agregarem valor ao Negócio do cliente, e garantir a satisfação do mesmo. 
Nela serão abordados os principais processos necessários para a Gestão da 
estratégia de serviços, e como estes poderão ser implementados na empresa FCA, 
a fim de elevar o nível de satisfação do cliente, bem como otimizar o retorno do seu 
investimento. 
 
22 
 
A proposta aqui descrita trata da implantação gradual das gerências da ITIL 
dentro da empresa FCA, iniciando sua implementação pela fase de Estratégia de 
serviços, para que a empresa tenha uma visão cronológica dos acontecimentos no 
gerenciamento de serviços de TI. 
O objetivo é tornar cada serviço da empresa em um ativo estratégico, 
alinhado e chancelado pelo cliente, com o fim de agregar valor ao negócio, e orientar 
como a TI deve utilizar os seus recursos e habilidades para fornecer serviços de 
qualidade aos seus clientes. 
Após a implantação das gerências tratadas pela fase estratégica da ITIL, a 
empresa terá condições de seguir com a implementação de outros processos do 
ciclo de vida do serviço, já que o nível estratégico é considerado o propulsor para as 
fases seguintes, pois todas as decisões tomadas nesta fase vão influenciar todo o 
ciclo de vida do serviço. 
10.2.1. Razões para adotar a ITIL 
Vejamos algumas razões que explicam porque a ITIL é o modelo mais 
utilizado para Gerenciamento de Serviços de TI no mundo todo: 
• É um modelo não proprietário – Independe de plataforma tecnológica e 
pode ser usado por qualquer empresa; 
• Não é um modelo prescritivo – A ITIL é flexível: deve ser adotada e 
adaptada, e independe do tamanho da empresa e do setor; 
• Fornece as boas práticas e as melhores práticas: As empresas se 
beneficiam destas práticas sem terem que investir tempo para reinventar a roda; 
• É usada por milhares de empresas no mundo todo, sendo uma referência 
para o Gerenciamento de Serviços de TI: Ajuda a estabelecer uma terminologia 
comum entre provedores de TI, internos e externos; 
• Ajuda a atender aos requisitos da ISO/IEC 20000: Não existe certificado 
ITIL para empresas. Entretanto, as empresas que adotam a ITIL estarão alinhadas 
 
23 
 
com os requisitos da ISO-IEC 20000 – que é o padrão internacional de 
Gerenciamento de Serviços de TI. 
Mais de 15.000 empresas no mundo todo já adotaram as boas práticas da 
ITIL. Isso comprova sua maturidade e aceitação pelo mercado. Muitas empresas no 
Brasil já adotaram e já temos vários casos de sucesso. 
10.2.2. Estrutura da ITIL 
o A ITIL pode ser considerada uma fonte de boas práticas utilizada pelas 
organizações para estabelecer e melhorar suas capacitações em 
gerenciamento de serviços, e possui como componentes: 
 Núcleo da ITIL: Orientações de melhores práticas aplicáveis a todos os tipos 
de organizações que fornecem serviços para um negócio; 
 Orientação Complementar à ITIL: Conjunto de publicações complementares 
destinadas a especializar a implementação e a utilização das práticas do 
Núcleo para diferentes setores empresariais, tipos de empresas, plataformas 
tecnológicas, etc., concebido para ser uma biblioteca dinâmica de conteúdo 
relacionado, podendo receber contribuições de toda a comunidade. 
O Núcleo da ITIL é composto por 5 publicações, cada uma delas relacionada 
a um estágio do ciclo de vida do serviço, contendo orientações para uma abordagem 
integrada de gerenciamento de serviços: 
 
 
 
 
 
 
 
 
24 
 
Figura - O Núcleo da ITIL 
 Estratégia de Serviço: Orienta sobre como as políticas e processos de 
gerenciamento de serviço podem ser desenhadas, desenvolvidas e 
implementadas como ativos estratégicos ao longo do ciclo de vida de serviço 
Entre os tópicos abordados no projeto estão os ativos de serviço, o catálogo 
de serviços, o gerenciamento financeiro, o gerenciamento do portfólio de serviços, o 
gerenciamento da demanda, o gerenciamento de relacionamento de negócio, o 
desenvolvimento organizacional, e os riscos estratégicos; 
A estratégia de serviço serve como guia para que a TI consiga entender o 
que é necessário para atingir seus objetivos, acompanhando, assim, o negócio. A 
estratégia da organização é formada pela soma dos quatro PS (Padrão, Posição, 
Plano e Perspectiva), conforme imagem abaixo: 
 
 
 
 
 
 
Figura – Ps da Estratégia 
 Desenho de Serviço: Fornece orientação para o desenho e desenvolvimento 
dos serviços e dos processos de gerenciamento de serviços, detalhando 
aspectos da coordenação de desenho, do gerenciamento do catálogo de 
serviços, do nível de serviço, da capacidade, da disponibilidade, da 
continuidade, da segurança da informação e dos fornecedores, além de 
mudanças e melhorias necessárias para manter ou agregar valor aos clientes 
ao longo do ciclo de vida de serviço; 
 
25 
 
 Transição de Serviço: Orienta sobre como efetivar a transição de serviços 
novos e modificados para operações implementadas, detalhando os 
processos de planejamentoe suporte à transição, gerenciamento de 
mudanças, gerenciamento da configuração e dos ativos de serviço, 
gerenciamento da liberação e da distribuição, teste e validação de serviço, 
avaliação e gerenciamento do conhecimento; 
 Operação de Serviço: Descreve a fase do ciclo de vida do gerenciamento de 
serviços que é responsável pelas atividades do dia-a-dia, orientando sobre 
como garantir a entrega e o suporte a serviços de forma eficiente e eficaz, e 
detalhando os processos de gerenciamento de eventos, incidentes, 
problemas, acessos e de execução de requisições; 
 Melhoria de Serviço Continuada: Orienta, por meio de princípios, práticas e 
métodos de gerenciamento da qualidade, sobre como fazer sistematicamente 
melhorias incrementais e de larga escala na qualidade dos serviços, nas 
metas de eficiência operacional, na continuidade dos serviços, etc., com base 
no modelo PDCA preconizado pela ISO/IEC 20000. 
10.2.3. Processos do ITIL 
O ITIL pode ser dividido em processos estratégico, tático e operacional. 
Possui exatos 26 processos, listados a seguir nominalmente e agrupados de acordo 
com o estágio ou fase do ciclo de vida de serviço (volumes) a que pertencem. 
Processo Publicação Extensão 
 
Fase do Ciclo de Vida de Serviço Processo 
Avaliação de Serviço ST 
Estratégias de Serviço 
Geração de Estratégia 
Cumprimento de 
Requisição 
 
SO 
 
 
Gerenciamento 
Financeiro 
Geração de Estratégia 
 
SS 
Gerenciamento de 
Portfólio de Serviço 
Gerenciamento da 
Capacidade 
 
SD 
SO, CSI 
 
Gerenciamento da 
Demanda 
Gerenciamento da 
Configuração e de Ativo 
de Serviço 
 
ST SO 
Desenho de Serviço 
Gerenciamento da 
Capacidade 
Gerenciamento da 
Continuidade do Serviço 
de TI 
 
SD CSI 
Gerenciamento da 
Continuidade do Serviço 
de TI 
Gerenciamento da 
Demanda 
 
SS 
 
SD 
Gerenciamento da 
Disponibilidade 
Gerenciamento da 
Disponibilidade 
 
SD CSI 
Gerenciamento de 
Fornecedor 
Gerenciamento de 
Acesso 
SO 
Gerenciamento de 
Segurança da 
 
26 
 
 Informação 
Gerenciamento de 
Evento 
 
SO 
Gerenciamento do 
Catálogo de Serviço 
Gerenciamento de 
Fornecedor 
 
SD 
 
 
Gerenciamento do Nível 
de Serviço 
Gerenciamento de 
Incidente 
 
SO CSI 
Transição de Serviço 
Avaliação de Serviço 
Gerenciamento de 
liberação e Implantação 
 
ST SO 
Gerenciamento da 
Configuração e de Ativo 
de Serviço 
Gerenciamento de 
Mudança 
 
ST 
Gerenciamento de 
liberação e Implantação 
Gerenciamento de 
Portfólio de Serviço 
 
SS SD 
Gerenciamento de 
Mudança 
Gerenciamento de 
Problema 
 
SO CSI 
Gerenciamento do 
Conhecimento 
Gerenciamento de 
Segurança da 
Informação 
 
SD SO 
Planejamento e Suporte 
da Transição 
Gerenciamento do 
Catálogo de Serviço 
 
SD SS 
Validação de Serviço e 
Testes 
Gerenciamento do 
Conhecimento 
 
ST CSI 
Operação de Serviço 
Cumprimento de 
Requisição 
Gerenciamento do Nível 
de Serviço 
 
SD CSI 
Gerenciamento de 
Acesso 
Gerenciamento 
Financeiro 
 
SS 
Gerenciamento de 
Evento 
Avaliação de Serviços 
 
CSI 
Gerenciamento de 
Incidente 
Planejamento e Suporte 
da Transição 
 
ST 
Gerenciamento de 
Problema 
Processo de Melhoria em 
7 Etapas 
 
CSI 
Melhoria Contínua de Serviço 
Medição de Serviço 
Relatório de Serviço 
 
CSI Melhoria em 7 Etapas 
Validação de Serviço e 
Testes 
 
ST Relatório de Serviço 
 
SS – Estratégia de Serviço 
• Gerência de Portfólio de Serviços – visa governar os investimentos em 
gerenciamento de serviços através da empresa, e gerenciá-los para que adicionem 
valor ao negócio. Há duas categorias: os serviços de negócio definidos pelo próprio 
negócio, e os serviços de TI fornecidos pela TI ao negócio, mas que este não 
reconhece dentro de seus domínios; 
As camadas e estados que compõem este processo são: 
Funil de Serviço: serviços propostos que ainda não foram desenvolvidos, ou 
que estão em desenvolvimento; 
 
27 
 
 Catálogo de Serviço: serviços que estão em produção, ou que 
estão sendo preparados para entrar em produção. Esta é a única parte que 
está visível para o cliente. 
 Nesta camada, a disponibilização dos serviços que estão em 
desenvolvimento, é uma decisão de negócio da FCA, podendo ser tratada 
como opcional; 
 Serviços obsoletos: serviços que não são mais oferecidos, que 
foram retirados do ambiente de produção. As principais atividades do 
Gerenciamento de Portfólio serão definidas a seguir, conforme figura abaixo: 
 
Figura – Atividades do Gerenciamento de Portfólio 
 Definir: documentar tudo que é disponibilizado atualmente aos 
clientes, além dos serviços que estão em desenvolvimento. Verificar os casos 
de negócios existentes e validar se estão de acordo com as regra definidas 
anteriormente; 
 Analisar: maximizar o valor do portfólio, priorizando, dentre os 
serviços, os que devem receber os recursos necessários no momento, ou 
definir quais serviços podem ser descontinuados. 
 Aprovar: após análise, finalizar o portfólio proposto, solicitando 
a aprovação dos serviços e recursos necessários. 
 
28 
 
 Formalizar: após a tomada de decisões, estas devem ser 
comunicadas, para que os recursos possam ser disponibilizados. 
• Gerência Financeira – visa gerenciar o ciclo financeiro do Portfólio de 
serviços de TI de uma organização, de forma a prover a sustentação econômica 
necessária para a execução dos seus serviços; 
• Gerência da Demanda – visa gerenciar de forma síncrona os ciclos de 
produção dos serviços e os ciclos de consumo dos serviços. 
SD – Desenho de Serviço 
• Gerência do Nível de Serviço – visa manter e melhorar a qualidade dos 
serviços de TI, por meio de um ciclo contínuo de atividades envolvendo o 
planejamento, coordenação, elaboração, estabelecimento de acordo de metas e 
desempenho e responsabilidades mútuas, monitorando e divulgação de níveis de 
serviço, de níveis operacionais e de contratos de apoio; 
• Gerência de Catálogo de Serviço – garante uma fonte única de 
informações consistentes e atualizadas sobre todos os serviços que estão em 
operação, e sobre aqueles que estão sendo preparados para entrar em operação. 
Há duas subdivisões: o catálogo de Serviços de Negócio (visão do cliente 
sobre os serviços de TI, e os seus relacionamentos com os processos e estruturas 
organizacionais do negócio) e o catálogo de serviços técnicos (detalhes técnicos de 
todos os serviços entregues ao cliente, e os seus relacionamentos com os serviços 
de suporte, itens de configuração, componentes e serviços compartilhados); 
• Gerência de Disponibilidade – visa assegurar que os serviços de TI 
sejam projetados para atender e preservar os níveis de disponibilidade e 
confiabilidade requeridos pelo negócio, minimizando os riscos de interrupção por 
meio de atividades de monitoramento físico, solução de incidentes e melhoria 
contínua da infraestrutura e da organização de suporte; 
• Gerência de Segurança da Informação – abrange processos 
relacionados à garantia da confidencialidade, integridade e disponibilidade de dados, 
 
29 
 
assim como à segurança dos componentes de hardware e software, da 
documentação e dos procedimentos correlacionados; 
• Gerência de Fornecedor – gerencia fornecedores e os contratos 
necessários para suportar os serviços por eles prestados, visando prover um serviço 
de TI com qualidade transparente para o negócio, 
 • Gerência de Capacidade – assegura que a capacidade da infraestrutura 
de TI absorva as demandas evolutivas do negócio de forma eficaze dentro do custo 
previsto, balanceando a oferta de serviços em relação à demanda, e otimizando a 
infraestrutura necessária à prestação dos serviços de TI. 
• Gerência de Continuidade do serviço de TI – desdobramento do 
processo de gerenciamento da continuidade do negócio, que visa assegurar que 
todos os recursos técnicos e serviços de TI necessários possam ser recuperados 
dentro de um tempo preestabelecido. 
ST – Transição de Serviço 
• Planejamento e Suporte da Transição – visa planejar e coordenar os 
recursos necessários para colocar um serviço novo ou modificado no ambiente de 
produção, dentro do custo, prazo e qualidade estimados; 
• Gerência de liberação e Implantação – abrange o gerenciamento do 
tratamento de um conjunto de mudanças em um serviço de TI, devidamente 
autorizadas, visando criar um conjunto de componentes finais, e implantá-los em 
bloco em um ambiente de produção, de forma a adicionar valor ao cliente, em 
conformidade com os requisitos estabelecidos na estratégia e no desenho do 
serviço; 
• Validação e Teste de Serviço – relacionado à garantia da qualidade de 
uma liberação, incluindo todos os seus componentes de serviço, os serviços 
resultantes e a capacitação do serviço por ela viabilizada. Um serviço validado e 
testado está pronto para o uso dentro dos propósitos para os quais foi desenhado e 
construído. 
 
30 
 
• Gerenciamento de Avaliação – visa criar meios padronizados e 
consistentes para avaliar o desempenho de uma mudança no contexto de uma 
infraestrutura de TI e serviços já existentes, confrontando–os com as metas 
previstas, registrando e gerenciando os desvios encontrados; 
• Gerenciamento de Mudança – visa assegurar o tratamento sistemático e 
padronizado de todas as mudanças ocorridas no ambiente operacional, 
minimizando, assim, os impactos decorrentes de incidentes ou problemas 
relacionados a estas mudanças na qualidade do serviço, e melhorando, 
consequentemente, a rotina operacional da organização; 
• Gerenciamento de Configuração e de ativo de Serviço – abrange a 
identificação, o registro, o controle e a verificação de ativos de serviços de itens de 
configuração, incluindo suas versões, componentes e interfaces, dentro de um 
repositório centralizado; 
• Gerenciamento de Conhecimento – visa garantir que a informação 
correta seja entregue no local apropriado, para uma pessoa que tenha competência 
para atuar no tempo certo, habilitando a tomada de decisões informadas. 
SO – Operação do Serviço 
• Gerência de Incidentes – visa restaurar a operação normal de um serviço 
no menor tempo possível, de forma a minimizar os impactos adversos para o 
negócio, garantindo que os níveis de qualidade e disponibilidade sejam mantidos 
dentro dos padrões acordados; 
• Gerência de Eventos – monitora todos os eventos que ocorrem na 
infraestrutura de TI, para atestar a normalidade da operação. Caso sejam 
detectadas condições de exceção, este processo deve escalonar para resolução 
técnica ou atuação hierárquica; 
• Cumprimento de Requisição – trata as requisições dos usuários que não 
foram geradas por um incidente, mas que foram originadas a partir de uma 
solicitação de serviço ou de uma simples solicitação de informação. 
 
31 
 
• Gerência de Problemas – visa minimizar os impactos adversos de 
incidentes e problemas para o negócio, quando causados por falhas na 
infraestrutura de TI, assim como prevenir que incidentes relacionados a estas falhas 
ocorram novamente. 
• Gerência de Acesso – controla o acesso de usuários ao direito de utilizar 
os serviços, garantindo–o àqueles que foram previamente autorizados e 
restringindo–o a todos os demais. Consiste na execução das políticas e ações 
definidas anteriormente nos processos de Gerenciamento da Disponibilidade e 
Gerenciamento da Segurança da Informação. A operação possui 4 funções: 
1 Central de Serviços – destinada a responder rapidamente às questões, 
reclamações e problemas dos usuários, de forma a permitir que os serviços sejam 
executados com o grau de qualidade esperado. 
Pode ser implementada de forma centralizada, local ou virtual, nas 
modalidades de central de atendimento, help desk e central de serviço; 
2 Gerenciamento Técnico – função relacionada aos grupos, áreas ou 
equipes que possuem experiência e conhecimento técnico especializado para 
suportar a operação. Também deve garantir que haja recursos treinados para 
desenhar, construir, fazer as transições, operar e melhorar a tecnologia utilizada nos 
serviços. 
3 Gerenciamento de aplicações – é responsável por gerenciar aplicativos 
ao longo de seu ciclo de vida, que desempenha um importante papel no desenho, 
teste e nas melhorias dos aplicativos que suportam serviços de TI. Aborda o ciclo de 
vida completo dos aplicativos de software relacionados à implementação de serviços 
de TI, incluindo atividades de desenvolvimento e de gerenciamento; 
4 Gerenciamento de Operação de TI – é relacionada aos grupos, áreas ou 
equipes responsáveis pela execução das atividades diárias da operação. Esta 
função se subdivide em Controle de Operações e Gerenciamento de Facilidades. 
CSI – Melhoria Continuada 
 
32 
 
• Processo de melhoria continuada – descreve atividades que suportam o 
planejamento contínuo da melhoria de processos, tais como análise das informações 
gerenciais e das tendências quanto ao alcance dos níveis de serviço e dos 
resultados desejados pelos serviços, avaliações de maturidade e auditorias internas 
periódicas, pesquisas de satisfação junto aos clientes, gerenciamento do Plano de 
Melhoria de Serviços e identificação de oportunidades de melhoria. 
 
10.2.4. ITIL na Entrega de Valor 
A ITIL diz que para obter valor, o serviço deve ter utilidade e garantia. 
Juntos, estes dois critérios servem para atender aos requisitos do cliente: 
• Utilidade: Funcionalidade oferecida por um produto ou serviço para atender 
a uma necessidade particular. É adequado ao propósito. 
• Garantia: Uma promessa ou garantia que um produto ou serviço irá 
atender aos requisitos acordados no Acordo de nível de serviço. É adequado para o 
uso. 
A figura abaixo demonstra os parâmetros necessários para a criação de 
valor: 
 
Figura – Necessidades para a criação de valor. 
 
33 
 
O valor de um serviço pode ser algo subjetivo, nem sempre pode ser 
quantificado pelo valor financeiro, existem outros aspectos não financeiros, que 
podem ser utilizados para valorizar o serviço, como sentimentos, ou mesmo a 
percepção do cliente. 
O provedor de serviços deve alinhar o seu entendimento sobre o valor do 
serviço com o seu cliente, para entender qual é a sua percepção, sua preferência e 
os resultados esperados para seus negócios, com o objetivo, de entregar o valor que 
o cliente espera. Para definir um serviço, a TI deve usar a mentalidade do Marketing, 
seguindo um roteiro de perguntas: 
• Qual é o negócio? 
• Quem é o nosso cliente? 
• O que gera valor para o cliente? 
• Quem depende dos nossos serviços? 
• Como nossos serviços são usados? 
• Por que nossos serviços têm valor para o cliente? 
Estas perguntas auxiliarão a TI a definir os seus serviços, e a entender o que 
o cliente espera deles. 
11. PROPOSTAS DE SOLUÇÃO 
A Avaliação do cenário atual da FCA demonstrou claramente a necessidade 
da reestruturação da Área de TI, e após a convocação de uma reunião de 
emergência envolvendo o Gestor de TI e os gestores de outras áreas, para tratar de 
dois grandes problemas na segurança da informação descritos abaixo, foram 
desenvolvidas propostas que viabilizam soluções tecnológicas para reverter a 
situação atual da FCA. 
- Problema 1: Segundo o gestor da áreafinanceira, os arquivos utilizados pela 
mesma foram invadidos e danificados e não se sabe informar quem efetuou tal ação. 
 
34 
 
- Problema 2: A mais nova pesquisa de satisfação do cliente aponto que as 
ferramentas tecnológicas representam o principal ponto de insatisfação do aluno 
para com a instituição. 
11.1. PROPOSTA 1: Desenvolvimento da Política de Segurança da Informação 
Considerando a preocupação dos gestores da FCA com a segurança, 
principalmente após o episódio ocorrido no departamento financeiro apresento um 
Plano Estratégico em Segurança Computacional para o caso estudado que tem o 
objetivo de definir um plano de atividades que permita implementar e obter melhorias 
consistentes na percepção interna e externa sobre a segurança no uso dos recursos 
computacionais desta empresa. 
Entre os diversos aspectos analisados para o desenvolvimento da política de 
segurança da informação desta empresa nos baseamos nos seguintes princípios: 
- Confidencialidade: toda informação mantida em equipamentos sob 
responsabilidade da FCA só pode ser acessada por pessoas formalmente 
identificadas e autorizadas. Comunicações de/para a FCA envolvendo ou não 
pessoas e entidades externas à FCA só podem ser conhecidas pelos pares 
autorizados, não podendo ser recuperada por terceiros durante seu trânsito, sem 
expressa autorização das partes. 
- Integridade: toda a informação trocada de/para a FCA deve manter seu 
conteúdo inalterado desde o momento que deixa a origem até chegar ao seu 
destino, independente dos recursos utilizados na comunicação (ex: meio físico). 
- Legitimidade: a origem e o destino das mensagens deve pertencer a 
autores legitimamente identificados nos sistemas de origem e destino. 
- Disponibilidade: o acesso à informação deve ser possível para o conjunto 
da comunidade FCA autorizada, a qualquer tempo e sem degradação no 
desempenho. 
- Legalidade: toda informação com origem ou destino em sistema provido 
pela FCA, ou que trafega utilizando-se de infra-estrutura de comunicação da FCA, 
 
35 
 
estará sujeita a auditoria para identificação de seus autores, tempo e meios 
utilizados, durante um período definido em lei. 
Missão 
Considerado o escopo de segurança que se deseja tratar, propõe-se como 
missão para o desenvolvimento deste projeto: 
“Sugerir estruturas, padrões, processos e recursos, para que a FCA atinja 
níveis de segurança em TI, iguais ou superiores às instituições de mesma dimensão, 
estrutura e escopo de atuação”. 
Objetivos e Metas 
É objetivo deste projeto: 
• Definir um plano de ações para melhoria continuada em segurança 
computacional. 
Metas para consecução dos objetivos propostos: 
• Efetuar um diagnóstico da segurança na FCA, levantando os pontos 
fracos e fortes, por área de segurança. 
• Prospectar oportunidades e investigar ameaças. 
• Definir o nível de segurança atual e o desejado, por área por área de 
atuação (comercial e administrativo). 
• Propor os elementos constituintes básicos de uma Política de 
Segurança referencial que ofereça respaldo nas ações e tomada de decisão 
relativas à segurança, para grupos responsáveis na FCA. 
• Indicar estruturas e procedimentos para proteger o patrimônio FCA 
dependente de recursos computacionais. 
• Recomendar formas para capacitar os profissionais de TI. 
 
 
36 
 
Escopo e Metodologia 
Como conceito, a Segurança Computacional pode ser entendida sob a 
Norma NBR 17799 (NBR17799, 2007), que abrange os seguintes aspectos de 
segurança: 
1. Política de segurança 
2. Organização da segurança 
3. Controle e classificação de ativos computacionais 
4. Gestão de pessoas e seus papéis em segurança computacional 
5. Segurança ambiental e física 
6. Gerenciamento físico e de comunicação 
7. Controle de acesso aos sistemas computacionais 
8. Manutenção e desenvolvimento de sistemas 
9. Gerenciamento da continuidade de negócios 
A ISO/IEC 17799 (NBR17799, 2007) foi atualizada para numeração ISO/IEC 
27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 
2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez 
era uma cópia fiel do padrão britânico BS 7799-1:1999. 
No mundo atual, globalizado e interativo, temos a capacidade de 
disponibilizar e absorver uma quantidade considerável de informação, 
principalmente através dos meios de comunicação e da internet. Informação 
significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a 
transmissão de notícia e/ou conhecimentos, uma instrução’ (Dicionário WEB). 
Quando levamos em consideração as organizações, a informação toma uma 
dimensão extremamente importante, pois decisões importantes são tomadas com 
base na mesma. Assim, neste ambiente de empresas interligadas e extremamente 
 
37 
 
competitivas, a informação se torna um fator essencial para a abertura e 
manutenção de negócios e como tal, precisa ser protegida. 
A segurança da informação é a forma encontrada pelas organizações para 
proteger os seus dados, através de regras e controles rígidos, estabelecidos, 
implementados e monitorados constantemente. É sabido que muitos sistemas de 
informação não foram projetados para protegerem as informações que geram ou 
recebem, e essa é uma realidade tanto do setor Público como Privado. A 
interligação de redes públicas e privadas e o compartilhamento de recursos de 
informação dificultam o controle e a segurança do acesso, isso porque a 
computação distribuída acaba se tornando um empecilho à implementação eficaz de 
um controle de acesso centralizado. O sucesso da implementação de regras e 
controles rígidos de segurança da informação dependem de diversos fatores tais 
como: comprometimento de todos os níveis gerenciais; requisitos de segurança 
claros e objetivos; política de segurança que reflita o negócio da organização; 
processo eficaz de gestão dos incidentes da segurança da informação que possam 
acontecer, dentre outros. 
De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da 
política de segurança da informação é "Prover uma orientação e apoio da direção 
para a segurança da informação de acordo com os requisitos do negócio e com as 
leis e regulamentações relevantes. Convém que a direção estabeleça uma política 
clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento 
com a segurança da informação por meio da publicação e manutenção de uma 
política de segurança da informação para toda a organização". 
Se a orientação e o apoio aos objetivos da segurança da informação devem 
partir da direção da organização, fica claro que o profissional de TI é peça chave 
nesse contexto, já que uma das principais responsabilidades do mesmo é a 
gerência, manutenção e segurança das informações, dos servidores e dos 
equipamentos da rede. Este profissional deverá estar comprometido, apoiando 
ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a 
direção da organização poderá direcionar e identificar as necessidades para a 
consultoria de um especialista interno ou externo em segurança da informação, 
analisando e coordenando os resultados desta consultoria por toda a organização. 
 
38 
 
O padrão é um conjunto de recomendações para práticas na gestão de 
Segurança da Informação. Ideal para aqueles que querem criar, implementar e 
manter um sistema. 
A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de 
Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo 
de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma 
família de normas de sistema de gestão de segurança da informação SGSI queinclui normas sobre requisitos de sistema de gestão da segurança da informação, 
gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família 
de normas adota um esquema de numeração usando a série de números 27000 em 
sequência. 
A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios 
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da 
informação em uma organização. Também pode ser utilizada como um guia prático 
para desenvolver os procedimentos de segurança da informação da organização. 
Após definidas as diretrizes que devem nortear a implantação dos processos 
de segurança da informação do caso estudado, serão apresentadas propostas e 
soluções tecnológicas que devem somar ao planejamento estratégico desta 
organização. 
 
O ciclo de vida do projeto 
O ciclo de vida para se implantar um Projeto de Gestão de Segurança da 
Informação, como qualquer outro projeto, é composto por um conjunto de fases: 
iniciar, planejar, executar, controlar e encerrar. 
Cada uma destas fases é caracterizada por gerar um produto tangível e 
verificável. 
Primeira fase do ciclo de vida do projeto: Iniciação. 
Nesta etapa, é necessário determinar a especificação do produto, elaborar 
um plano estratégico, estabelecer critérios de seleção e levantar o histórico relativo a 
 
39 
 
evoluções do negócio e vulnerabilidades técnicas e organizacionais. Para tal, é 
essencial um mapeamento da Segurança. Esta identificação das vulnerabilidades 
pode ser realizada utilizando-se como ferramenta o diagrama de causa e efeito. 
Assim, é possível definir um plano de ação corporativo alinhado com os 
objetivos da direção, obtendo-se o cenário de grau de segurança desejado a 
alcançar. A identificação das vulnerabilidades, ameaças e riscos, ajuda a priorizar 
ações de segurança, podendo ajudar na confecção do WBS, definição dos produtos, 
e subsidiar a implantação de controles eficazes posteriormente. 
Segunda fase do ciclo de vida do projeto: Planejamento. 
Nesta fase serão definidos o escopo, as atividades a serem realizadas, a 
elaboração de cronograma, planejamento de custos, de qualidade e de aquisições e 
a formação de equipe. Nesta fase também será realizado o planejamento do 
gerenciamento do risco, constituído da identificação de riscos, análise qualitativa e 
quantitativa e planejamento de respostas a riscos das Vulnerabilidades de 
Segurança da Informação identificadas na Organização e os riscos do 
gerenciamento do projeto propriamente dito. Exemplos de ações desta fase: criação 
do comitê interdepartamental de segurança, início da capacitação em segurança de 
técnicos e executivos, criação da política de segurança, realização de ações 
corretivas imediatas a partir das vulnerabilidades identificadas e preparação da 
análise de risco. 
Terceira fase do ciclo de vida do projeto: Execução. 
Esta etapa tem como objetivo executar o plano de projeto e de qualidade, o 
desenvolvimento da equipe, as aquisições e administrar contratos. Para o projeto de 
implantação da Segurança, temos como exemplos a divulgação da política de 
segurança na Organização, capacitação de todos os funcionário envolvendo-os no 
projeto, além do esforço de alcançar o comprometimento de cada um. Também faz 
parte desta etapa implementar os mecanismos de controle em todos os ambientes 
de acordo com a política de segurança e planos executivos. 
Quarta fase do ciclo de vida do projeto: Controle. 
 
40 
 
O avanço do projeto deve ser medido e monitorado. Nesta fase são 
executadas ações de coordenação de alterações do escopo e do próprio projeto, 
formalizações de aceites de produtos e controles de orçamento. São acompanhados 
e monitorados os riscos identificados, os resultados específicos do projeto e os 
requisitos de qualidade. Aqui é feita a administração da segurança, exercendo-se o 
monitoramento e medição dos controles implementados, além de se garantir a 
conformidade com normas, regras e legislações existentes. Os planos de 
contingência e recuperação de desastres são atualizados e mantidos. Também deve 
ser acompanhado o retorno dos investimentos (ROI). 
Quinta fase do ciclo de vida do projeto: Encerramento. 
O encerramento do projeto acontece após seus objetivos terem sido 
atingidos. O encerramento requer documentação dos resultados a fim de formalizar 
a aceitação do produto. No nosso caso, medidas deverão ter sido estabelecidas e 
incorporadas aos processos de negócio da Organização. O encerramento do projeto 
requer a confirmação de que os produtos propostos foram atingidos. Isto poderá ser 
demonstrado a partir de medições e relatórios com os resultados alcançados e 
comparados com os propostos. Deverá ser preparado um arquivo do projeto, com 
toda documentação das fases anteriores. As lições aprendidas também deverão ser 
descritas. 
Política de Segurança da Informação 
Temos a definição do Escopo e Metodologia, e conhecemos o ciclo de vida 
para se implantar um Projeto de Gestão de Segurança da Informação, mais como já 
foi discutido e preciso identificar as principais ameaças de segurança de TI e saber 
como combatê-las. 
O bem mais importante que as empresas possuem, sem dúvida, são as 
informações gerenciais, sendo muito importantes para a tomada de decisões. É 
importante criar normas rígidas e principalmente treinar toda a equipe interna e 
externa. 
A maioria dos incidentes de segurança são ocasionados no ambiente 
interno, sendo que atualmente a grande parte dos recursos são investidos no 
 
41 
 
ambiente externo (medidas de proteção, firewall, IDS, etc). A equipe interna pode 
ser um grande problema, se não for bem treinada. É preciso mostrar como é 
fundamental proteger as informações gerenciais, tanto para a empresa quanto para 
o profissional. É através de uma política de segurança bem elaborada que podemos 
minimizar problemas e conscientizar melhor essas pessoas. 
A Política de Segurança da Informação – PSI é um documento que registra 
os princípios e as diretrizes de segurança adotado pela organização, a serem 
observados por todos os seus integrantes e colaboradores e aplicados a todos os 
sistemas de informação e processos corporativos. 
O que precisamos colocar numa política de segurança da informação? 
1º Precisamos fazer um planejamento, levantando o perfil da empresa. 
Analisar o que deve ser protegido, tanto interno como externamente. 
2º Aprovação da política de segurança pela diretoria. 
Garantir que a diretoria apoie a implantação da política. 
3º Análise interna e externa dos recursos a serem protegidos. 
Estudar o que deve ser protegido, verificando o atual programa de 
segurança da empresa, se houver, enumerando as deficiências e fatores de risco. 
4º Elaboração das normas e proibições, tanto física, lógica e humana. 
Nesta etapa devemos criar as normas relativas à utilização de programas, 
utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, 
bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc. 
5º Aprovação pelo Recursos Humanos 
As normas e procedimentos devem ser lidas e aprovadas pelo departamento 
de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos 
funcionários da organização. 
6º Aplicação e Treinamento da Equipe 
 
42 
 
Elaborar um treinamento prático com recursos didáticos, para apresentar a 
política de segurança da informação, recolhendo declaração de comprometimento 
dos funcionários. A política deve ficar sempre disponível para todos os 
colaboradores da organização. 
7º Avaliação Periódica 
A política de segurança da informação deve ser sempre revista, nunca pode 
ficar