Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP INTERATIVA Projeto Integrado Multidisciplinar Gestão da Tecnologia da Informação PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII A GOVERNANÇA DE TI AGREGANDO VALOR ÀS ORGANIZAÇÕES Resolvendo problemas por meio da Governança de TI Senador Canedo – GO 2016 UNIP INTERATIVA . . Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII A GOVERNANÇA DE TI AGREGANDO VALOR ÀS ORGANIZAÇÕES Resolvendo problemas por meio da Governança de TI Senador Canedo - GO 2016 UNIP INTERATIVA Trabalho – Projeto PIM VII – Gestão da Tecnologia da Informação. Apresentado à: Universidade Paulista – UNIP . . Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM – PROJETO INTEGRADO MULTIDISCIPLINAR – VII CONSULTORIA À FACULDADE CARNEIRO DE ANDRADE Resolvendo problemas por meio da Governança de TI Senador Canedo – GO 2016 Nome: Leonardo Freitas Neiva, RA: 1541335 Curso: Gestão da Tecnologia da Informação RESUMO O projeto apresentado é uma atividade necessária à conclusão da disciplina ‘Projeto Integrado Multidisciplinar VII – PIM VII, da Universidade Paulista – UNIP. Considerando o caso fictício estabelecido, será feita uma análise gerencial de processos e ocorrências no âmbito da área de Tecnologia da Informação de uma empresa denominada FACULDADE CARNEIRO DE ANDRADE (FCA) com o objetivo de implantar um projeto de Governança de TI, que por sua vez deve assegurar que as metas e objetivos da TI estejam fortemente vinculados às metas e objetivos da empresa. A análise deve se utilizar dos conhecimentos adquiridos através das disciplinas Governança de TI, Gestão da Qualidade e Sistemas para Internet e Software Livre, gerando propostas de melhorias para os processos de TI da empresa Faculdade Carneiro de Andrade – FCA. Palavras-chave: Governança, Qualidade, Software Livre, ITIL, COBIT. . ABSTRACT The project presented is a necessary activity to the conclusion of the course 'Integrated Project Multidisciplinary VII - VII PIM, the Universidade Paulista - UNIP. Considering the fictitious case established, will be a management review processes and issues within the Information Technology area of a company called FACULDADE CARNEIRO DE ANDRADE (FCA) in order to deploy an IT Governance project, which in turn should ensure that the goals and iT goals are strongly linked to the goals and objectives of the company. The analysis should use the knowledge acquired through the disciplines of IT Governance, Quality Management and Systems for Internet and Free Software, generating proposals for improvements to the company's IT processes Faculdade Carneiro de Andrade - FCA. Keywords: Governance, Quality, Free Software, ITIL, COBIT. SUMÁRIO 1. INTRODUÇÃO.................................................................................................01 2. HISTÓRICO DA EMPRESA............................................................................02 3. MISSÃO, VISÃO E VALORES........................................................................02 4. DESCRIÇÃO DO CASO..................................................................................02 5. PROBLEMAS DE TI – FCA............................................................................03 6. GOVERNANÇA DE TI.....................................................................................06 7. DOMÍNIOS DA GOVERNANÇA DE TI...........................................................08 8. COMPONENTES DA GOVERNANÇA DE TI.................................................11 9. METODOLOGIAS /FRAMEWORK’S..............................................................12 10. METODOLOGIA PROPOSTA.........................................................................18 11. PROPOSTAS DE SOLUÇÃO.........................................................................33 11.1. PROPOSTA 01: Política de Segurança da Informação....................34 11.2. PROPOSTA 02: Investimento em TI..................................................45 11.3. PROPOSTA 03: Gestão de Qualidade...............................................48 12. CONCLUSÃO..................................................................................................53 13. REFERÊNCIAS BIBLIOGRÁFICAS...............................................................55 . . . . . 1 1. INTRODUÇÃO. A TI tornou-se com o tempo essencial à competitividade dos negócios de uma empresa e igualmente importante aos investimentos em inovação e eficiência. Por tecnologia da informação, é compreendida uma gama de soluções relacionadas com diversos setores, dentre eles, estratégico, organizacional e administrativo, colocando a TI como de vital importância para manter e apoiar o crescimento de qualquer organização. Em razão direta, e somada a grande especificidade dos produtos e soluções disponíveis atualmente no mercado de TI, existe uma necessidade crescente de investimentos na área, e com isso, cresce também a atenção em relação ao planejamento da escolha e da correta definição das soluções a serem adquiridas. Muitos métodos, ferramentas e melhores práticas existem para apoiar os executivos para mensurar os valores tangíveis e intangíveis da TI de uma empresa, entre eles a implantação de uma Governança de TI. A Governança de TI vem inserida dentro do contexto da governança corporativa e tem como propósito medir o desempenho da TI e sempre manter o alinhamento entre tecnologia e negócios. Colocar em prática um programa de governança de TI, é implementar ações que primem por um alinhamento do setor com as diretrizes e objetivos da empresa. Para isso, é preciso orientar e priorizar as atividades de TI de forma a justificar os recursos aplicados em TI, garantindo assim, o controle e o retorno dos investimentos com melhorias dos serviços prestados. Através da apresentação conceitual de alguns métodos e melhores práticas, e da exposição de um caso fictício de uma empresa identificada como Faculdade Carneiro de Andrade (FCA), será mostrado quais pontos chaves devem ser melhorados para que o controle da Governança seja mais efetivo nas organizações. 2 2. HISTÓRICO DA EMPRESA Fundada há mais de três décadas, a Faculdade Carneiro de Andrade (FCA) tem se destacado pelo seu pioneirismo na oferta de cursos superiores de curta duração, conhecidos como cursos superiores de tecnologia. Hoje, ela conta com um enorme campus, onde são oferecidas vagas em, pelo menos, 30 cursos de graduação divididas nos três turnos (matutino, vespertino e noturno), contando com, aproximadamente, 12.000 alunos. 3. MISSÃO, VISÃO E VALORES A missão da FCA é: “Contribuir para a construção de um mundo melhor, produzindo conhecimento e formando talentos criativos e empreendedores, capazes de ter sucesso emsua vida pessoal, social e profissional.” A visão da FCA é: “Ser percebida em nível nacional como uma das instituições de Ensino Superior mais modernas, arrojadas e inovadoras.” Os valores da FCA são: “Responsabilidade corporativa, compromisso social, transparência e ética.” Na FCA, os alunos são capacitados, dentro de suas especialidades, a empreender e identificar constantemente oportunidades de negócios, alinhadas às necessidades de mercado, levando-os a experimentar e aplicar na prática os conhecimentos adquiridos em sala de aula. Deste modo, desenvolve-se uma visão crítica na busca de soluções para os desafios do dia a dia. Tudo isso aliado à infraestrutura de padrão internacional. 4. DESCRIÇÃO DO CASO A FCA cria condições para que os conceitos e as ações de Responsabilidade Social de Sustentabilidade estejam presentes no dia a dia da vida acadêmica e nas práticas de ensino, bem como na relação com as comunidades nas quais se insere. Isso por meio de programas, projetos e ações planejadas, diversas práticas são orientadas e estimuladas para difundir entre os estudantes a importância da dimensão social em suas formações profissionais. 3 O prédio onde a FCA está instalada é próprio, com utilização de praticamente 90% de sua capacidade. Por isso, a FCA fez a aquisição de um novo prédio vizinho em vista do aumento de suas operações. Embora o cenário atual da FCA seja, de modo geral, animador, há dentro de suas estruturas inúmeras deficiências que, ao longo de anos, têm prejudicado o negócio como um todo. Uma das maiores deficiências constatadas encontra-se na área de TI. Por isso, em sua última reunião, a Direção e os gestores da FCA expuseram que em sua visão a raiz de todos os problemas era a falta de Governança de TI. A primeira deliberação dada, então, ao gestor de TI foi no intuito de mapear todos os problemas de Governança de TI e encaminhar soluções acompanhadas de indicadores para o acompanhamento da Direção da FCA. A segunda deliberação determinava que o gestor de TI apresentasse um estudo sobre o uso de Internet e soluções de conectividade que poderiam auxiliar a FCA a melhorar as suas operações de modo geral. 5. PROBLEMAS DE TI – FCA Após um grande levantamento da situação da FCA, o gestor de TI encontrou os seguintes problemas: Queda nos investimentos em TI; Crescimento no número de matrículas de alunos, gerando problemas de gerenciamento de demanda de alguns sistemas; Soluções de hardwares obsoletos e desalinhados das novas tecnologias desenvolvidas; Não há qualquer acompanhamento de melhoria contínua nos processos e nas atividades. É executado tudo da mesma forma desde o começo da empresa conforme estabelecido pela alta gerência e acionistas; Não há uma definição clara de papéis e responsabilidades. Uma área não sabe exatamente o que a outra faz, apenas envia as informações e as recebe; É gasto muito tempo e dinheiro em atividades manuais e sem monitoramento de desempenho dos recursos, gerando atrasos e duplicidade de informações; A falta de envolvimento da TI com as outras áreas e a falta de integração entre os sistemas dos departamentos são os fatores mais críticos na área de TI, impactando diretamente o negócio; 4 Toda estrutura física está centralizada no mesmo prédio sem redundância em outros locais. Não há uma contingência em casos de incêndio, alagamento ou outros desastres naturais. Os riscos foram mapeados, porém não foi dada a devida importância e investimento necessário para a mitigação deles pela alta gerência; A empresa não possui uma política de segurança de informação, não sendo possível atingir padrões a serem seguidos por todos. A própria falta de cultura na empresa chega a ser um risco em diversos aspectos; As mudanças são feitas de forma desorganizada e sem planejamento, não havendo o alinhamento com a área de TI com antecedência. A falta de procedimentos documentados sobre o funcionamento da empresa afeta o tempo de integração e aprendizado de novos funcionários; A infraestrutura não foi desenvolvida pensando no crescimento dos setores, não sendo possível atualmente ampliar o parque de máquinas, pois não possuem uma estrutura flexível, em que podem ser acrescentados mais pontos de redes e tomadas, tendo que ser feita novamente toda a estrutura de cabeamento e parte elétrica; Não foi renovado o contrato referente à garantia das estações após o período de vencimento junto ao fornecedor, para tal ação foi montada uma equipe técnica de suporte dividida em 2 níveis (analista júnior e analista sênior) e um coordenador; Atualmente não possuem parcerias com fornecedores de qualquer tipo, o processo de compra é feito somente quando é aprovado e liberado orçamento pela área financeira mediante autorização do presidente; O sistema de banco de dados está em Access em que ocorrem travamentos constantes em épocas de matrículas e rematrículas. Esse servidor não tem controle de acesso físico ou lógico, todos visualizam os módulos. Por esse motivo cobranças são feitas mais de uma vez, ou cadastros são perdidos, gerando constrangimento com os parceiros e os alunos; Não possuem software de ERP atualmente, o que dificulta a integração da empresa conforme as etapas são executadas nos departamentos. A migração desse sistema para outro foi efetuada com a compra de um novo software, porém vários problemas ocorreram por falta de uma gestão eficiente de projetos. Foi necessário voltar a utilizar o sistema antigo devido à má implantação do novo sistema por erro de projeto do diretor de TI; Existe um pequeno CPD em que estão os servidores, os bancos de dados, os roteadores e as informações importantes relativas à empresa. Na mesma sala, ainda se encontram os armários contendo arquivos referentes à faculdade em papel, em que todos os setores têm acesso sem qualquer tipo de restrição ou identificação; Os técnicos de TI dividem a mesma sala com a equipe de manutenção, o que traz muita desorganização no ambiente em que é feita a troca de peças dos microcomputadores, também por esse motivo peças acabam sumindo, dentre outros problemas. Todos da equipe de manutenção e TI possuem a chave da sala que só é trancada à noite; 5 Os técnicos de TI são vistos como “bombeiros” que são acionados apenas quando há um incêndio, no caso de um problema ou dúvidas operacionais. A TI não tem participação ativa em reuniões para alinhamento estratégico ou projetos, apenas executa, gerando muito retrabalho por falha de comunicação e gerenciamento; Atualmente na empresa apenas alguns técnicos têm certificações na área de TI, o coordenador é certificado em ITIL V2, o analista júnior em Windows XP e o sênior em redes e servidores; Falta um ambiente de testes para homologação de softwares e equipamento de backup em caso de alguma máquina parar de funcionar ou peças para eventuais trocas; O índice de turnover é muito alto, não foi estipulado um plano de carreira ou benefícios fora os previstos pelas leis trabalhistas para motivar e reter recursos; Não há terceirização em qualquer setor, todos os funcionários trabalham em regime CLT contratados diretamente pela FCA; Os técnicos atendem as solicitações por telefone e vão até o usuário, não há um software de gerenciamento de incidentes; Não há qualquer tipo de revisão periódica ou manutenção preventiva nos computadores e sistemas devido ao horário de expediente dos técnicos residentes. A TI como um todo trabalha de forma reativa e desorganizada, por falta de métricas de desempenho e investimentos da gerência que enxerga a TI como custo e falta de planejamento do diretor de TI; Não há qualquer tipo de sistema que gere relatóriosde desempenho ou pesquisas de satisfação interna ou para os clientes, dificultando na justificativa de contratação de recursos e compra de novas tecnologias. O único controle interno para entrada e saída de equipamentos da empresa é apenas uma planilha em Excel informando onde está cada equipamento e o nome do usuário. Não há uma gestão voltada a mudanças dentro da empresa, logística ou controle de ativos; Alguns softwares são utilizados de forma irregular, não estando devidamente licenciados ou “piratas”, alguns desses softwares são utilizados nas versões de teste por 30 dias, depois instalados novamente em outra máquina, pois não há o investimento necessário para a aquisição das licenças originais das ferramentas colaborativas ou número suficientes de ativações; Muitos alunos reclamam das máquinas lentas e desatualizadas. O hardware não suporta alguns softwares mais robustos dos próprios cursos, travando constantemente; O único canal de reclamações dos alunos é na central de atendimento, onde é depositado em uma urna as dúvidas e reclamações, o processo é feito manualmente; O sinal da rede sem fio não atende à demanda atual, sinal inexiste em alguns pontos específicos e é difícil a conexão. E a internet via cabo de rede é muito lenta, impactando nas atividades em sala de aula e nos setores administrativos; 6 O horário de maior reclamação e mais crítico para área de TI é no início de cada período, quando os alunos e professores chegam na sala, que está desorganizada por outras turmas anteriores; Não temos parcerias com fornecedores de telefonia móvel, tendo apenas um plano empresarial disponibilizando linhas e aparelhos aos diretores e gerentes de cada área; Devido à localização da instituição e a infraestrutura elétrica serem antigas e mal dimensionadas, temos quedas constantes de energia, trazendo perdas de trabalhos e problemas nas maquinas devido seu desligamento inesperado. A FCA não possui geradores, nobreaks, salas refrigeradas, backup fora do prédio ou link redundante; O sistema de informação dos professores não funciona corretamente, muitos são obrigados a fazer chamada manualmente, pois o sistema é lento devido ao horário. Nas salas há formulários para preenchimento do professor sobre ocorrências com as estações nas salas, porém o monitoramento é feito de forma desorganizada. Após a relação estruturada de problemas de TI da FCA, foi possível reconhecer que o desempenho da TI é uma das grandes preocupações da empresa e considerando essa conclusão este projeto deverá viabilizar a implantação de um projeto de governança fundamentado nos principais modelos de referência que abordam a Governança de TI. A implantação do projeto de Governança de TI deve garantir a transparência e proporcionar melhores resultados a FCA, em sintonia com sua missão de prover processos e controles que suportem a gestão da TI, com base em padrões internos e frameworks de mercado. 6. GOVERNANÇA DE TI Governança de TI, está relacionada ao desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de TI responsáveis pelo planejamento, implantação, controle e monitoramento de programas e projetos de governança, requisito fundamental para as organizações, seja sob os aspectos operacionais, seja sob suas implicações legais. A Governança de TI é essencial para garantir melhorias eficazes e eficientes nos processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os recursos de TI e as informações às estratégias e objetivos da empresa, contudo, compor uma governança de TI significa assegurar que as informações da empresa e a tecnologia aplicada suportam os objetivos do negócio, permitindo, dessa forma, 7 que a empresa absorva total proveito das informações, maximizando benefícios, capitalizando em oportunidades e adquirindo vantagem competitiva. Esses fatores podem levar à obtenção não apenas de vantagem competitiva, mas também: • Maior agilidade e capacidade para novos modelos de negócios e/ou ajuste em modelos já em vigor. • Explicitação na relação entre custos de TI e valor da informação. • Explicitação da importância da área de TI na continuidade do negócio. • Medição e melhoria contínua da performance de TI. • Viabilização de acompanhamento de contratos internos e externos. • Definição de condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade (BRODBECK, 2004). Governança de TI é uma parte integral da Governança Corporativa e é formada pela liderança, estruturas organizacionais e processos que garantem que a TI sustenta e melhora a estratégia e objetivos da organização”. A GTI lida com cinco domínios, todos alinhados com as diretrizes dos stakeholders, dos quais dois são resultados: Valor de TI e Gerenciamento de Risco e três são direcionadores: Alinhamento Estratégico, Gerenciamento de Recursos e Mensuração de desempenho. 8 7. DOMÍNIOS DA GOVERNANÇA DE TI Alinhamento Estratégico: a Governança de TI garante que tanto os processos de negócio como os de tecnologia da informação sejam bem executados. A maior dificuldade atualmente é fazer com que a área de TI da FCA caminhe em direção aos objetivos de negócio do cliente (externo ou interno), com o planejamento necessário, e a utilização otimizada dos recursos disponíveis. Para que o alinhamento da TI com o Negócio do cliente seja possível, é necessário criar um plano estratégico para alcançar os objetivos desejados. Esta mudança de comportamento visa à criação de uma postura proativa e não reativa, como é comum atualmente. Todo projeto deve ser planejado estrategicamente antes da sua execução, para evitar retrabalhos futuros e dificuldades na hora de justificar o orçamento prazos definidos inicialmente; para isso, a TI deve participar efetivamente das definições de mudanças de regras, ou das pretensões dos seus clientes quanto às novas necessidades, para que as decisões sejam tomadas considerando o ponto de vista da TI e dos seus recursos disponíveis. As solicitações de mudanças, ou criação de novos serviços, devem respeitar critérios de priorização, recursos financeiros e a garantia de continuidade dos serviços. Esta postura da TI auxilia na otimização do negócio. 9 O alinhamento estratégico de TI, é inicialmente produto do alinhamento estático é estabelecido a partir das estratégias de negócio intencionadas, as quais posteriormente poderão sofrer modificações em função de possíveis mudanças no cenário do mercado, economia ou política, fazendo que essas estratégias definidas sofram alterações, exigindo um novo alinhamento da TI onde efetivamente as estratégias estarão de fato sendo executadas, a que chamados de alinhamento dinâmico. A TI é um habilitador e facilitador, para que as estratégias de negócio do cliente possam ser implementadas e realizadas com sucesso. Entrega de Valor da TI: benefício importante da Governança de TI, assegurando que o setor de tecnologia da informação seja o mais eficiente e eficaz possível. É importante entender os desejos do cliente, sabendo diferenciar entre o essencial e o necessário. O cliente, muitas vezes, está preocupado com o necessário, se esquecendo do que realmente é essencial. Se a TI não tiver a postura proativa de identificar o que é essencial para o negócio do seu cliente, certamente trabalhará em soluções que não agregam valor efetivo aos objetivos do mesmo. Uma vez identificado o que é essencial para o seu cliente, ou seja, aquilo que realmente irá gerar retorno ao investimentoempregado, a TI pode desenvolver um plano estratégico para a posterior execução do projeto, bem como a definição dos papéis dos envolvidos e patrocinadores da solução. Gerenciamento de Riscos: a Governança de TI permite que a empresa visualize de forma abrangente eventuais riscos para o negócio e dá meios de minimizá-los. Gerenciamento de Recursos: neste caso, o papel da Governança de TI é garantir que a gestão dos recursos humanos e tecnológicos da empresa seja o mais otimizada possível. Mensuração de Desempenho: utilizando-se de indicadores que vão muito além dos critérios financeiros, a Governança de TI assegura uma medição e avaliação precisa dos resultados do negócio. 10 Entre os motivadores para a implantação do programa de Governança de TI podemos considerar: Estreitar o relacionamento entre a TI e os outros departamentos; Compartilhar responsabilidade e assegurar o desempenho de papéis de forma mais transparente e com o mínimo de conflitos; Reduzir custos e operacionais e otimizar processos; Integração tecnológica e garantir a segurança da informação e preservação da mesma; Assegurar a geração e a sustentação de valor para o negócio. Entre as inúmeras atribuições destinadas a Governança de TI algumas funções de grande importância delegadas as mesmas são: Inovação de TI – responsável por fomentar a adoção de novas tecnologias e pela gestão do processo contínuo de inovação e experimentação de novas tecnologias; Direcionamento Tecnológico – responsável pela avaliação, escolha e direcionamento de ferramentas tecnológicas e pela arquitetura orientada a Serviços. Também é responsável pelo gerenciamento da obsolescência tecnológica e pela padronização de plataformas tecnológicas; Planejamento e Gestão da TI - responsável pela gestão estratégica do portfólio e dos investimentos de TI, garantindo a disciplina orçamentária da área. Também é responsável pela elaboração e manutenção de padrões técnicos e operacionais, fluxos de processo e indicadores de TI, além da geração periódica de relatórios para avaliação de desempenho da TI. Concentra as comunicações da TI para os públicos internos e externos; Administração de Contratos de TI – responsável pela formalização e controle de contratos, utilizando boas práticas de mercado a fim de reduzir riscos legais e operacionais; 11 Administração dos Pagamentos de TI – responsável pela centralização, gerenciamento e provisão dos recursos financeiros, além da consolidação de informações e emissão de relatórios financeiros da área. Considerando as responsabilidades da Governança de TI Foram analisados diferentes aspectos referentes aos principais problemas da TI na FCA e entre os mesmos vou considerar as seguintes propostas destinadas a reestruturação da TI 8. COMPONENTES DA GOVERNANÇA DE TI A governança de TI possui diversas áreas de atuação de forma a garantir o alinhamento com a estratégia de negócio da instituição. A figura abaixo mostra os principais componentes da GTI e lista alguns modelos, ferramentas e/ou boas práticas que podem ser utilizados para cada assunto. 12 9. METODOLOGIAS /FRAMEWORK’S Para execução de um planejamento estratégico de TI existem diversas metodologias e quando se fala em implementação de “estruturas”, “conjunto de práticas” ou “melhores práticas”, significa a menção de modelos específicos que servem de guias e podem ser seguidos pelas empresas ao aplicar um programa de governança de TI. Como exemplos de metodologias disponíveis e largamente aceitas no mercado, podemos citar: COBIT (Control Objectives for Information and related Technology); BSC (Balanced Scorecard) ITIL (Information Technology Infrastructure Library) e ISO 20000 PMBOK CMMI e MPS.BR Val IT TOGAF NBR ISO/IEC 38500 SIX SIGMA 9.1. Framework: São as próprias estruturas dos modelos dos quais falamos antes. Correspondem a um conjunto consolidado das melhores práticas. Em geral, são desenvolvidos por profissionais da área de TI incentivados por grandes empresas ou por estímulos governamentais. 9.2. COBIT: Control Objectives for Information and Related Technology: O COBIT - Control Objectives for Information and related Technology fornece boas práticas por meio de um modelo de domínios e processos, e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do COBIT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar 13 os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas. Para o COBIT, os pilares fundamentais que sustentam o núcleo da Governança de TI podem ser representados por cinco áreas, conforme mostra a Figura abaixo e já definidas acima, cada qual seu respectivo foco: 9.2.3. DOMÍNIOS DO COBIT: Planejamento e Organização (PO): Provê direção para entrega de soluções (AI) e entrega de serviços (DS); Aquisição e Implementação (AI): Provê as soluções e as transfere para tornarem- se serviços; Entrega e Suporte (DS): Recebe as soluções e as torna passíveis de uso pelos usuários finais; 14 Monitoração e Avaliação dos processos de TI (ME): Monitora todos os processos para garantir que a direção definida seja seguida; 9.3. BSC (Balanced Scorecard): o BSC é uma maneira bastante comprovada e difundida para se elaborar a “Estratégia Corporativa” de uma empresa. Para possibilitar uma boa Governança de TI é imprescindível que a estratégia de TI da empresa esteja perfeitamente alinhada com a Estratégia Corporativa como um todo. Com o uso do BSC visualiza-se o quadro geral da empresa por meio de quatro perspectivas: financeira; cliente; processos internos; e aprendizado/crescimento. Com base nelas é gerado um mapa estratégico do qual são traduzidas a missão e a visão da empresa, além de indicadores e medições de desempenho vitais para uma boa gestão. As seguintes perguntas devem ser respondidas: Onde queremos ir agora? – Extração da visão da empresa e dos objetivos do negócio. 15 Onde estamos agora? – Avaliação da situação atual da empresa (Inclui desenho dos processos e definição dos indicadores). Como chegaremos lá? – Definição da Estratégia Corporativa com base nas informações anteriores. (Inclui nova definição de indicadores e processos) Como saberemos se chegamos? – Medições de resultados com base nos indicadores previamente definidos. 9.4. ITIL e ISO 20000: enquanto o COBIT é utilizado para auditoria e controle de processos, o ITIL desempenha seu papel no Gerenciamento de Serviços. Ambos são frameworks distintos, não concorrentes, e que se completam. O ITIL (Information Technology Infrastructure Library) é um conjunto de melhores práticas para a gestão de serviços em TI e para o alinhamento desta área com os negócios da empresa. Atualmente o ITIL é aceito como referência para Gestão de Serviços, consolidando-se com a publicação da ISO 20000, que trata diretamente de Gerenciamento de Serviços de TI. O ITIL descreve os processos necessários para suporte e gerenciamento da Infraestrutura de TI assim como fornecimento serviço de qualidade com custos aceitáveis, agregando valor ao negócio. ITIL é definida como sendo uma biblioteca personalizada de melhores práticas para implementar os processos de gestão de TI. Trata-se de um conjunto dedocumentos que definem os processos a serem implementados para os serviços de suporte e de disponibilidade de forma a atingir uma gestão eficaz de serviço de TI de acordo com o negócio a que se destina. Cada módulo da biblioteca fornece um código de prática para melhorar a eficácia das TI, reduzindo custos e aumentando a eficácia e a qualidade de gestão e de infraestrutura dos serviços de TI. Esta gestão de serviços é uma abordagem orientada ao negócio para a gestão das TI que considera o valor estratégico do negócio pela organização TI e a necessidade de disponibilizar uma elevada qualidade de serviço TI. A adoção de ITIL fornece, hoje em dia, documentação consistente e compreensiva de melhores práticas na gestão 16 de serviços de TI. ITIL consiste num conjunto de livros que fornecem conselhos e orientação para obter qualidade dos serviços de TI e para acomodação e ambientação de necessidades para suportar as TI. Não só apresenta um modelo de como as atividades de gestão de serviços interagem umas com as outras, como também apresenta uma forma flexível de integrar e estruturar processos existentes. 9.5. PMBOK: o Project Management Body of Knowledge (PMBOK) é um conjunto de práticas em gerenciamento de projetos publicado pelo Project Management Institute (PMI) e constitui uma base de conhecimento em gerenciamento de projetos. Estas práticas são compiladas na forma de um guia, chamado de o Guia PMBOK. O Guia PMBOK baseia-se em processos e subprocessos para descrever de forma organizada as atividades a serem realizadas durante um projeto. 9.6. CMMI e MPS.BR: o CMMI (Capability Maturity Model Integration) é um modelo de referência que contém práticas necessárias à maturidade ou capacidade dos processos. O CMU/SEI (2010) define o CMMI como “um modelo de melhoria de processo que fornece às organizações os elementos essenciais para obtenção de processos eficazes e melhoria no desempenho”. O CMMI é uma evolução do CMM que procura estabelecer um modelo único para o processo de melhoria corporativo, integrando diferentes modelos e disciplinas. A versão atual do CMMI (versão 1.3) foi publicada em 2010 e apresenta três modelos: CMMI for Development (CMMI-DEV), voltado ao processo de desenvolvimento de produtos e serviços. CMMI for Acquisition (CMMI-ACQ), voltado aos processos de aquisição e terceirização de bens e serviços. CMMI for Services (CMMI-SVC), voltado aos processos de empresas prestadoras de serviços. 17 O MPS.BR é um modelo de maturidade de processos relacionados com o desenvolvimento de software sendo na realidade a adequação do CMMI-DEV para o mercado brasileiro. Isto foi necessário, pois o mercado nacional apresenta um nível de granularidade maior do que a média mundial e consequentemente evolui de maneira mais gradual. Assim, os cinco níveis de maturidade do CMMI-DEV foram substituídos por sete níveis no MPS.BR. 9.7. Val IT: o Val IT (Value of Information Technology) foi criado com o objetivo de ajudar os gestores a avaliar, selecionar e medir o retorno de seus investimentos (ROI) em TI. A exigência por ambientes de TI cada vez mais complexos e que ficam obsoletos mais rapidamente, faz com que a substituição de hardware e software aumente significativamente. Desenhado especificamente como um complemento ao modelo COBIT, ambos formam um ciclo completo de Governança de TI. O Val IT está divido em três domínios: Governança de Valor (VG); Gerenciamento de Portfólio (PM); e Gerenciamento de Investimento (IM). Tem como principais objetivos: Ajudar a gerência a assegurar que as organizações obtenham o máximo de retorno dos investimentos habilitados por TI a um custo razoável e com um nível de risco conhecido e aceito. Prover diretrizes, processos e práticas de apoio para ajudar os conselhos, diretorias, equipes de gerência executivas e outros líderes da empresa no entendimento e desempenho dos seus respectivos papéis, em relação aos investimentos habilitados por TI. 9.8. TOGAF: TOGAF (The Open Group Architecture Framework) é um framework que permite criar, avaliar e construir a arquitetura certa para sua organização. Ele é baseado no Architecture Development Method (ADM), um método comprovado para o desenvolvimento de uma arquitetura de TI que atenda às necessidades da empresa e do seu negócio. 18 O TOGAF é projetado para suportar ao menos quatro arquiteturas: Arquitetura de Negócio; Arquitetura de Dados; Arquitetura de Aplicações; e Arquitetura de Tecnologia; 9.9. NBR ISO/IEC 38500: ISO/IEC 38500 (Governança corporativa de tecnologia da informação) é um padrão internacional para a governança corporativa de TI. Esta norma estabelece seis princípios orientadores para diretores de organizações sobre o uso eficaz, eficiente e aceitável da TI dentro de suas organizações: Responsabilidade; Estratégia; Aquisição; Desempenho; Conformidade; e Comportamento humano. 9.10. SIX SIGMA: Six Sigma tem como principal finalidade atingir um elevado nível de desempenho, confiabilidade e valor para o cliente. É utilizada em todo o mundo como um dos principais temas de TQM (Total Quality Management). Foi desenvolvido por Bill Smith da Motorola em 1986, e concebido como uma forma de medir defeitos e melhorar a qualidade global. Basicamente determina uma taxa mínima de 3,4 defeitos por milhão de oportunidades, o equivalente a um padrão de qualidade de 99,9997%. 10. METODOLOGIA PROPOSTA 10.1. Níveis de maturidade Para o desenvolvimento da Metodologia de Avaliação de Maturidade da FCA, adotou-se o COBIT com a abordagem proposta, pois se acredita que avaliando cada sentença, independente do nível de maturidade, no final se obtém um resultado mais fiel à realidade. COBIT 5 é a última edição da estrutura globalmente aceita do ISACA. Ele fornece, do princípio ao fim, uma visão da governança dos negócios da TI, refletindo, assim, o papel central da informação e da tecnologia na criação de valor para empresas de todos os tamanhos. 19 Os princípios, práticas, modelos e ferramentas analíticas encontrados no COBIT 5 incorporam a liderança de pensamento e a orientação de especialistas em TI, negócios e governança ao redor do mundo. Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as práticas da empresa em relação a indústria e padrões e diretrizes internacionais. Um modelo de maturidade é uma medida que possibilita uma organização a classificar sua maturidade para um certo processo de inexistente (0) à otimizado (5). O modelo de maturidade fornecido pelas diretrizes de gerenciamento do CobiT para os 34 processos de TI está se tornando uma ferramenta cada vez mais popular para gerenciar questões típicas de balanceamento de riscos e controle de forma a levar em consideração o custo-efetivo. Uma característica fundamental do modelo de maturidade é que ele permite uma organização medir o nível de maturidade e definir quais níveis de maturidade quer chegar e quais brechas nos processos querem eliminar. Como resultado, uma organização pode descobrir aperfeiçoamentos práticos para o sistema de controles internos de TI. 10.1.1. Maturidade Nível 1 – Inicial / Ad Hoc Há evidências de que a organização reconheceu que problemas existem e devem ser endereçados. Entretanto, não há processos padronizados. Em vez disso, abordagens pontuais são adotadas e há uma tendência de serem aplicadas em uma base individual ou caso-a-caso. A abordagem geral de gerenciamento é desorganizada. Em resumo, já existe processo, só que ainda são ad hoc, tendem a ser aplicados a um indivíduo ou tratadocasualmente. De forma geral ainda o gerenciamento é desorganizado. 10.1.2. Maturidade Nível 2- Repetível, mas intuitivo 20 Processos forma desenvolvidos ao estágio onde procedimentos similares são seguidos por diferentes pessoas executando a mesma tarefa. Não há treinamento formal ou comunicação sobre os procedimentos padronizados, e a responsabilidade é tratada de maneira individual. A um alto grau de dependência no conhecimento de indivíduos e erros são muito comuns. 10.1.3. Maturidade Nível 3 – Processos Definidos Procedimentos foram padronizados, documentados e comunicados por meio de treinamento. É mandatório que estes processos sejam seguidos. É incomum que desvios sejam detectados. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes. 10.1.4. Maturidade Nível 4 – Gerenciados e Medidos O Gerenciamento monitora e mede a aderência aos procedimentos e toma ações onde os processos parecem não estar funcionando efetivamente. Processos estão sob melhoria constante e fornecem melhores práticas. Ferramentas automatizadas são utilizadas em uma maneira limitada ou fragmentada. 10.1.5. Maturidade Nível 5 – Otimizado Processos foram refinados ao nível de boas práticas, baseados nos resultados de melhoria contínua e modelos de maturidade com outras empresas. TI é utilizada de maneira integrada para automatizar os fluxos de trabalho, fornecendo ferramentas para melhoria de qualidade e efetividade, fazendo que a organização rapidamente se adapte. 10.2. Proposta de implantação da estratégia de serviços da ITIL na FCA A ITIL propõe um conjunto de melhores práticas, inseridas no contexto do Ciclo de vida de Serviços, que tem como objetivo agregar valor ao negócio do cliente. 21 O ciclo, que é composto por 5 fases - Estratégia de serviços, Desenho de serviços, Transição de serviços, Operação de serviços e Melhoria de serviços continuada - forma uma sequência ordenada para o aperfeiçoamento da entrega de serviços de TI e cada fase gera uma saída para a fase seguinte, conforme imagem abaixo: Especificamente na fase estratégica dos serviços, quando o serviço é confirmado e os recursos necessários contratados, é gerado um Pacote de Desenho de Serviço (PDS) para a fase de Desenho de Serviço, que será utilizada no desenvolvimento da solução. Esta proposta de implantação refere-se a este nível estratégico do Ciclo de Vida do Serviço da ITIL, e vem ao encontro à necessidade da FCA, de aperfeiçoar os serviços prestados atualmente aos seus clientes, criando um planejamento estratégico para cada serviço, e aperfeiçoando os seus recursos de TI para agregarem valor ao Negócio do cliente, e garantir a satisfação do mesmo. Nela serão abordados os principais processos necessários para a Gestão da estratégia de serviços, e como estes poderão ser implementados na empresa FCA, a fim de elevar o nível de satisfação do cliente, bem como otimizar o retorno do seu investimento. 22 A proposta aqui descrita trata da implantação gradual das gerências da ITIL dentro da empresa FCA, iniciando sua implementação pela fase de Estratégia de serviços, para que a empresa tenha uma visão cronológica dos acontecimentos no gerenciamento de serviços de TI. O objetivo é tornar cada serviço da empresa em um ativo estratégico, alinhado e chancelado pelo cliente, com o fim de agregar valor ao negócio, e orientar como a TI deve utilizar os seus recursos e habilidades para fornecer serviços de qualidade aos seus clientes. Após a implantação das gerências tratadas pela fase estratégica da ITIL, a empresa terá condições de seguir com a implementação de outros processos do ciclo de vida do serviço, já que o nível estratégico é considerado o propulsor para as fases seguintes, pois todas as decisões tomadas nesta fase vão influenciar todo o ciclo de vida do serviço. 10.2.1. Razões para adotar a ITIL Vejamos algumas razões que explicam porque a ITIL é o modelo mais utilizado para Gerenciamento de Serviços de TI no mundo todo: • É um modelo não proprietário – Independe de plataforma tecnológica e pode ser usado por qualquer empresa; • Não é um modelo prescritivo – A ITIL é flexível: deve ser adotada e adaptada, e independe do tamanho da empresa e do setor; • Fornece as boas práticas e as melhores práticas: As empresas se beneficiam destas práticas sem terem que investir tempo para reinventar a roda; • É usada por milhares de empresas no mundo todo, sendo uma referência para o Gerenciamento de Serviços de TI: Ajuda a estabelecer uma terminologia comum entre provedores de TI, internos e externos; • Ajuda a atender aos requisitos da ISO/IEC 20000: Não existe certificado ITIL para empresas. Entretanto, as empresas que adotam a ITIL estarão alinhadas 23 com os requisitos da ISO-IEC 20000 – que é o padrão internacional de Gerenciamento de Serviços de TI. Mais de 15.000 empresas no mundo todo já adotaram as boas práticas da ITIL. Isso comprova sua maturidade e aceitação pelo mercado. Muitas empresas no Brasil já adotaram e já temos vários casos de sucesso. 10.2.2. Estrutura da ITIL o A ITIL pode ser considerada uma fonte de boas práticas utilizada pelas organizações para estabelecer e melhorar suas capacitações em gerenciamento de serviços, e possui como componentes: Núcleo da ITIL: Orientações de melhores práticas aplicáveis a todos os tipos de organizações que fornecem serviços para um negócio; Orientação Complementar à ITIL: Conjunto de publicações complementares destinadas a especializar a implementação e a utilização das práticas do Núcleo para diferentes setores empresariais, tipos de empresas, plataformas tecnológicas, etc., concebido para ser uma biblioteca dinâmica de conteúdo relacionado, podendo receber contribuições de toda a comunidade. O Núcleo da ITIL é composto por 5 publicações, cada uma delas relacionada a um estágio do ciclo de vida do serviço, contendo orientações para uma abordagem integrada de gerenciamento de serviços: 24 Figura - O Núcleo da ITIL Estratégia de Serviço: Orienta sobre como as políticas e processos de gerenciamento de serviço podem ser desenhadas, desenvolvidas e implementadas como ativos estratégicos ao longo do ciclo de vida de serviço Entre os tópicos abordados no projeto estão os ativos de serviço, o catálogo de serviços, o gerenciamento financeiro, o gerenciamento do portfólio de serviços, o gerenciamento da demanda, o gerenciamento de relacionamento de negócio, o desenvolvimento organizacional, e os riscos estratégicos; A estratégia de serviço serve como guia para que a TI consiga entender o que é necessário para atingir seus objetivos, acompanhando, assim, o negócio. A estratégia da organização é formada pela soma dos quatro PS (Padrão, Posição, Plano e Perspectiva), conforme imagem abaixo: Figura – Ps da Estratégia Desenho de Serviço: Fornece orientação para o desenho e desenvolvimento dos serviços e dos processos de gerenciamento de serviços, detalhando aspectos da coordenação de desenho, do gerenciamento do catálogo de serviços, do nível de serviço, da capacidade, da disponibilidade, da continuidade, da segurança da informação e dos fornecedores, além de mudanças e melhorias necessárias para manter ou agregar valor aos clientes ao longo do ciclo de vida de serviço; 25 Transição de Serviço: Orienta sobre como efetivar a transição de serviços novos e modificados para operações implementadas, detalhando os processos de planejamentoe suporte à transição, gerenciamento de mudanças, gerenciamento da configuração e dos ativos de serviço, gerenciamento da liberação e da distribuição, teste e validação de serviço, avaliação e gerenciamento do conhecimento; Operação de Serviço: Descreve a fase do ciclo de vida do gerenciamento de serviços que é responsável pelas atividades do dia-a-dia, orientando sobre como garantir a entrega e o suporte a serviços de forma eficiente e eficaz, e detalhando os processos de gerenciamento de eventos, incidentes, problemas, acessos e de execução de requisições; Melhoria de Serviço Continuada: Orienta, por meio de princípios, práticas e métodos de gerenciamento da qualidade, sobre como fazer sistematicamente melhorias incrementais e de larga escala na qualidade dos serviços, nas metas de eficiência operacional, na continuidade dos serviços, etc., com base no modelo PDCA preconizado pela ISO/IEC 20000. 10.2.3. Processos do ITIL O ITIL pode ser dividido em processos estratégico, tático e operacional. Possui exatos 26 processos, listados a seguir nominalmente e agrupados de acordo com o estágio ou fase do ciclo de vida de serviço (volumes) a que pertencem. Processo Publicação Extensão Fase do Ciclo de Vida de Serviço Processo Avaliação de Serviço ST Estratégias de Serviço Geração de Estratégia Cumprimento de Requisição SO Gerenciamento Financeiro Geração de Estratégia SS Gerenciamento de Portfólio de Serviço Gerenciamento da Capacidade SD SO, CSI Gerenciamento da Demanda Gerenciamento da Configuração e de Ativo de Serviço ST SO Desenho de Serviço Gerenciamento da Capacidade Gerenciamento da Continuidade do Serviço de TI SD CSI Gerenciamento da Continuidade do Serviço de TI Gerenciamento da Demanda SS SD Gerenciamento da Disponibilidade Gerenciamento da Disponibilidade SD CSI Gerenciamento de Fornecedor Gerenciamento de Acesso SO Gerenciamento de Segurança da 26 Informação Gerenciamento de Evento SO Gerenciamento do Catálogo de Serviço Gerenciamento de Fornecedor SD Gerenciamento do Nível de Serviço Gerenciamento de Incidente SO CSI Transição de Serviço Avaliação de Serviço Gerenciamento de liberação e Implantação ST SO Gerenciamento da Configuração e de Ativo de Serviço Gerenciamento de Mudança ST Gerenciamento de liberação e Implantação Gerenciamento de Portfólio de Serviço SS SD Gerenciamento de Mudança Gerenciamento de Problema SO CSI Gerenciamento do Conhecimento Gerenciamento de Segurança da Informação SD SO Planejamento e Suporte da Transição Gerenciamento do Catálogo de Serviço SD SS Validação de Serviço e Testes Gerenciamento do Conhecimento ST CSI Operação de Serviço Cumprimento de Requisição Gerenciamento do Nível de Serviço SD CSI Gerenciamento de Acesso Gerenciamento Financeiro SS Gerenciamento de Evento Avaliação de Serviços CSI Gerenciamento de Incidente Planejamento e Suporte da Transição ST Gerenciamento de Problema Processo de Melhoria em 7 Etapas CSI Melhoria Contínua de Serviço Medição de Serviço Relatório de Serviço CSI Melhoria em 7 Etapas Validação de Serviço e Testes ST Relatório de Serviço SS – Estratégia de Serviço • Gerência de Portfólio de Serviços – visa governar os investimentos em gerenciamento de serviços através da empresa, e gerenciá-los para que adicionem valor ao negócio. Há duas categorias: os serviços de negócio definidos pelo próprio negócio, e os serviços de TI fornecidos pela TI ao negócio, mas que este não reconhece dentro de seus domínios; As camadas e estados que compõem este processo são: Funil de Serviço: serviços propostos que ainda não foram desenvolvidos, ou que estão em desenvolvimento; 27 Catálogo de Serviço: serviços que estão em produção, ou que estão sendo preparados para entrar em produção. Esta é a única parte que está visível para o cliente. Nesta camada, a disponibilização dos serviços que estão em desenvolvimento, é uma decisão de negócio da FCA, podendo ser tratada como opcional; Serviços obsoletos: serviços que não são mais oferecidos, que foram retirados do ambiente de produção. As principais atividades do Gerenciamento de Portfólio serão definidas a seguir, conforme figura abaixo: Figura – Atividades do Gerenciamento de Portfólio Definir: documentar tudo que é disponibilizado atualmente aos clientes, além dos serviços que estão em desenvolvimento. Verificar os casos de negócios existentes e validar se estão de acordo com as regra definidas anteriormente; Analisar: maximizar o valor do portfólio, priorizando, dentre os serviços, os que devem receber os recursos necessários no momento, ou definir quais serviços podem ser descontinuados. Aprovar: após análise, finalizar o portfólio proposto, solicitando a aprovação dos serviços e recursos necessários. 28 Formalizar: após a tomada de decisões, estas devem ser comunicadas, para que os recursos possam ser disponibilizados. • Gerência Financeira – visa gerenciar o ciclo financeiro do Portfólio de serviços de TI de uma organização, de forma a prover a sustentação econômica necessária para a execução dos seus serviços; • Gerência da Demanda – visa gerenciar de forma síncrona os ciclos de produção dos serviços e os ciclos de consumo dos serviços. SD – Desenho de Serviço • Gerência do Nível de Serviço – visa manter e melhorar a qualidade dos serviços de TI, por meio de um ciclo contínuo de atividades envolvendo o planejamento, coordenação, elaboração, estabelecimento de acordo de metas e desempenho e responsabilidades mútuas, monitorando e divulgação de níveis de serviço, de níveis operacionais e de contratos de apoio; • Gerência de Catálogo de Serviço – garante uma fonte única de informações consistentes e atualizadas sobre todos os serviços que estão em operação, e sobre aqueles que estão sendo preparados para entrar em operação. Há duas subdivisões: o catálogo de Serviços de Negócio (visão do cliente sobre os serviços de TI, e os seus relacionamentos com os processos e estruturas organizacionais do negócio) e o catálogo de serviços técnicos (detalhes técnicos de todos os serviços entregues ao cliente, e os seus relacionamentos com os serviços de suporte, itens de configuração, componentes e serviços compartilhados); • Gerência de Disponibilidade – visa assegurar que os serviços de TI sejam projetados para atender e preservar os níveis de disponibilidade e confiabilidade requeridos pelo negócio, minimizando os riscos de interrupção por meio de atividades de monitoramento físico, solução de incidentes e melhoria contínua da infraestrutura e da organização de suporte; • Gerência de Segurança da Informação – abrange processos relacionados à garantia da confidencialidade, integridade e disponibilidade de dados, 29 assim como à segurança dos componentes de hardware e software, da documentação e dos procedimentos correlacionados; • Gerência de Fornecedor – gerencia fornecedores e os contratos necessários para suportar os serviços por eles prestados, visando prover um serviço de TI com qualidade transparente para o negócio, • Gerência de Capacidade – assegura que a capacidade da infraestrutura de TI absorva as demandas evolutivas do negócio de forma eficaze dentro do custo previsto, balanceando a oferta de serviços em relação à demanda, e otimizando a infraestrutura necessária à prestação dos serviços de TI. • Gerência de Continuidade do serviço de TI – desdobramento do processo de gerenciamento da continuidade do negócio, que visa assegurar que todos os recursos técnicos e serviços de TI necessários possam ser recuperados dentro de um tempo preestabelecido. ST – Transição de Serviço • Planejamento e Suporte da Transição – visa planejar e coordenar os recursos necessários para colocar um serviço novo ou modificado no ambiente de produção, dentro do custo, prazo e qualidade estimados; • Gerência de liberação e Implantação – abrange o gerenciamento do tratamento de um conjunto de mudanças em um serviço de TI, devidamente autorizadas, visando criar um conjunto de componentes finais, e implantá-los em bloco em um ambiente de produção, de forma a adicionar valor ao cliente, em conformidade com os requisitos estabelecidos na estratégia e no desenho do serviço; • Validação e Teste de Serviço – relacionado à garantia da qualidade de uma liberação, incluindo todos os seus componentes de serviço, os serviços resultantes e a capacitação do serviço por ela viabilizada. Um serviço validado e testado está pronto para o uso dentro dos propósitos para os quais foi desenhado e construído. 30 • Gerenciamento de Avaliação – visa criar meios padronizados e consistentes para avaliar o desempenho de uma mudança no contexto de uma infraestrutura de TI e serviços já existentes, confrontando–os com as metas previstas, registrando e gerenciando os desvios encontrados; • Gerenciamento de Mudança – visa assegurar o tratamento sistemático e padronizado de todas as mudanças ocorridas no ambiente operacional, minimizando, assim, os impactos decorrentes de incidentes ou problemas relacionados a estas mudanças na qualidade do serviço, e melhorando, consequentemente, a rotina operacional da organização; • Gerenciamento de Configuração e de ativo de Serviço – abrange a identificação, o registro, o controle e a verificação de ativos de serviços de itens de configuração, incluindo suas versões, componentes e interfaces, dentro de um repositório centralizado; • Gerenciamento de Conhecimento – visa garantir que a informação correta seja entregue no local apropriado, para uma pessoa que tenha competência para atuar no tempo certo, habilitando a tomada de decisões informadas. SO – Operação do Serviço • Gerência de Incidentes – visa restaurar a operação normal de um serviço no menor tempo possível, de forma a minimizar os impactos adversos para o negócio, garantindo que os níveis de qualidade e disponibilidade sejam mantidos dentro dos padrões acordados; • Gerência de Eventos – monitora todos os eventos que ocorrem na infraestrutura de TI, para atestar a normalidade da operação. Caso sejam detectadas condições de exceção, este processo deve escalonar para resolução técnica ou atuação hierárquica; • Cumprimento de Requisição – trata as requisições dos usuários que não foram geradas por um incidente, mas que foram originadas a partir de uma solicitação de serviço ou de uma simples solicitação de informação. 31 • Gerência de Problemas – visa minimizar os impactos adversos de incidentes e problemas para o negócio, quando causados por falhas na infraestrutura de TI, assim como prevenir que incidentes relacionados a estas falhas ocorram novamente. • Gerência de Acesso – controla o acesso de usuários ao direito de utilizar os serviços, garantindo–o àqueles que foram previamente autorizados e restringindo–o a todos os demais. Consiste na execução das políticas e ações definidas anteriormente nos processos de Gerenciamento da Disponibilidade e Gerenciamento da Segurança da Informação. A operação possui 4 funções: 1 Central de Serviços – destinada a responder rapidamente às questões, reclamações e problemas dos usuários, de forma a permitir que os serviços sejam executados com o grau de qualidade esperado. Pode ser implementada de forma centralizada, local ou virtual, nas modalidades de central de atendimento, help desk e central de serviço; 2 Gerenciamento Técnico – função relacionada aos grupos, áreas ou equipes que possuem experiência e conhecimento técnico especializado para suportar a operação. Também deve garantir que haja recursos treinados para desenhar, construir, fazer as transições, operar e melhorar a tecnologia utilizada nos serviços. 3 Gerenciamento de aplicações – é responsável por gerenciar aplicativos ao longo de seu ciclo de vida, que desempenha um importante papel no desenho, teste e nas melhorias dos aplicativos que suportam serviços de TI. Aborda o ciclo de vida completo dos aplicativos de software relacionados à implementação de serviços de TI, incluindo atividades de desenvolvimento e de gerenciamento; 4 Gerenciamento de Operação de TI – é relacionada aos grupos, áreas ou equipes responsáveis pela execução das atividades diárias da operação. Esta função se subdivide em Controle de Operações e Gerenciamento de Facilidades. CSI – Melhoria Continuada 32 • Processo de melhoria continuada – descreve atividades que suportam o planejamento contínuo da melhoria de processos, tais como análise das informações gerenciais e das tendências quanto ao alcance dos níveis de serviço e dos resultados desejados pelos serviços, avaliações de maturidade e auditorias internas periódicas, pesquisas de satisfação junto aos clientes, gerenciamento do Plano de Melhoria de Serviços e identificação de oportunidades de melhoria. 10.2.4. ITIL na Entrega de Valor A ITIL diz que para obter valor, o serviço deve ter utilidade e garantia. Juntos, estes dois critérios servem para atender aos requisitos do cliente: • Utilidade: Funcionalidade oferecida por um produto ou serviço para atender a uma necessidade particular. É adequado ao propósito. • Garantia: Uma promessa ou garantia que um produto ou serviço irá atender aos requisitos acordados no Acordo de nível de serviço. É adequado para o uso. A figura abaixo demonstra os parâmetros necessários para a criação de valor: Figura – Necessidades para a criação de valor. 33 O valor de um serviço pode ser algo subjetivo, nem sempre pode ser quantificado pelo valor financeiro, existem outros aspectos não financeiros, que podem ser utilizados para valorizar o serviço, como sentimentos, ou mesmo a percepção do cliente. O provedor de serviços deve alinhar o seu entendimento sobre o valor do serviço com o seu cliente, para entender qual é a sua percepção, sua preferência e os resultados esperados para seus negócios, com o objetivo, de entregar o valor que o cliente espera. Para definir um serviço, a TI deve usar a mentalidade do Marketing, seguindo um roteiro de perguntas: • Qual é o negócio? • Quem é o nosso cliente? • O que gera valor para o cliente? • Quem depende dos nossos serviços? • Como nossos serviços são usados? • Por que nossos serviços têm valor para o cliente? Estas perguntas auxiliarão a TI a definir os seus serviços, e a entender o que o cliente espera deles. 11. PROPOSTAS DE SOLUÇÃO A Avaliação do cenário atual da FCA demonstrou claramente a necessidade da reestruturação da Área de TI, e após a convocação de uma reunião de emergência envolvendo o Gestor de TI e os gestores de outras áreas, para tratar de dois grandes problemas na segurança da informação descritos abaixo, foram desenvolvidas propostas que viabilizam soluções tecnológicas para reverter a situação atual da FCA. - Problema 1: Segundo o gestor da áreafinanceira, os arquivos utilizados pela mesma foram invadidos e danificados e não se sabe informar quem efetuou tal ação. 34 - Problema 2: A mais nova pesquisa de satisfação do cliente aponto que as ferramentas tecnológicas representam o principal ponto de insatisfação do aluno para com a instituição. 11.1. PROPOSTA 1: Desenvolvimento da Política de Segurança da Informação Considerando a preocupação dos gestores da FCA com a segurança, principalmente após o episódio ocorrido no departamento financeiro apresento um Plano Estratégico em Segurança Computacional para o caso estudado que tem o objetivo de definir um plano de atividades que permita implementar e obter melhorias consistentes na percepção interna e externa sobre a segurança no uso dos recursos computacionais desta empresa. Entre os diversos aspectos analisados para o desenvolvimento da política de segurança da informação desta empresa nos baseamos nos seguintes princípios: - Confidencialidade: toda informação mantida em equipamentos sob responsabilidade da FCA só pode ser acessada por pessoas formalmente identificadas e autorizadas. Comunicações de/para a FCA envolvendo ou não pessoas e entidades externas à FCA só podem ser conhecidas pelos pares autorizados, não podendo ser recuperada por terceiros durante seu trânsito, sem expressa autorização das partes. - Integridade: toda a informação trocada de/para a FCA deve manter seu conteúdo inalterado desde o momento que deixa a origem até chegar ao seu destino, independente dos recursos utilizados na comunicação (ex: meio físico). - Legitimidade: a origem e o destino das mensagens deve pertencer a autores legitimamente identificados nos sistemas de origem e destino. - Disponibilidade: o acesso à informação deve ser possível para o conjunto da comunidade FCA autorizada, a qualquer tempo e sem degradação no desempenho. - Legalidade: toda informação com origem ou destino em sistema provido pela FCA, ou que trafega utilizando-se de infra-estrutura de comunicação da FCA, 35 estará sujeita a auditoria para identificação de seus autores, tempo e meios utilizados, durante um período definido em lei. Missão Considerado o escopo de segurança que se deseja tratar, propõe-se como missão para o desenvolvimento deste projeto: “Sugerir estruturas, padrões, processos e recursos, para que a FCA atinja níveis de segurança em TI, iguais ou superiores às instituições de mesma dimensão, estrutura e escopo de atuação”. Objetivos e Metas É objetivo deste projeto: • Definir um plano de ações para melhoria continuada em segurança computacional. Metas para consecução dos objetivos propostos: • Efetuar um diagnóstico da segurança na FCA, levantando os pontos fracos e fortes, por área de segurança. • Prospectar oportunidades e investigar ameaças. • Definir o nível de segurança atual e o desejado, por área por área de atuação (comercial e administrativo). • Propor os elementos constituintes básicos de uma Política de Segurança referencial que ofereça respaldo nas ações e tomada de decisão relativas à segurança, para grupos responsáveis na FCA. • Indicar estruturas e procedimentos para proteger o patrimônio FCA dependente de recursos computacionais. • Recomendar formas para capacitar os profissionais de TI. 36 Escopo e Metodologia Como conceito, a Segurança Computacional pode ser entendida sob a Norma NBR 17799 (NBR17799, 2007), que abrange os seguintes aspectos de segurança: 1. Política de segurança 2. Organização da segurança 3. Controle e classificação de ativos computacionais 4. Gestão de pessoas e seus papéis em segurança computacional 5. Segurança ambiental e física 6. Gerenciamento físico e de comunicação 7. Controle de acesso aos sistemas computacionais 8. Manutenção e desenvolvimento de sistemas 9. Gerenciamento da continuidade de negócios A ISO/IEC 17799 (NBR17799, 2007) foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999. No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação, principalmente através dos meios de comunicação e da internet. Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou conhecimentos, uma instrução’ (Dicionário WEB). Quando levamos em consideração as organizações, a informação toma uma dimensão extremamente importante, pois decisões importantes são tomadas com base na mesma. Assim, neste ambiente de empresas interligadas e extremamente 37 competitivas, a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida. A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, através de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer, dentre outros. De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização". Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização. 38 O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema. A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI queinclui normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência. A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização. Após definidas as diretrizes que devem nortear a implantação dos processos de segurança da informação do caso estudado, serão apresentadas propostas e soluções tecnológicas que devem somar ao planejamento estratégico desta organização. O ciclo de vida do projeto O ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação, como qualquer outro projeto, é composto por um conjunto de fases: iniciar, planejar, executar, controlar e encerrar. Cada uma destas fases é caracterizada por gerar um produto tangível e verificável. Primeira fase do ciclo de vida do projeto: Iniciação. Nesta etapa, é necessário determinar a especificação do produto, elaborar um plano estratégico, estabelecer critérios de seleção e levantar o histórico relativo a 39 evoluções do negócio e vulnerabilidades técnicas e organizacionais. Para tal, é essencial um mapeamento da Segurança. Esta identificação das vulnerabilidades pode ser realizada utilizando-se como ferramenta o diagrama de causa e efeito. Assim, é possível definir um plano de ação corporativo alinhado com os objetivos da direção, obtendo-se o cenário de grau de segurança desejado a alcançar. A identificação das vulnerabilidades, ameaças e riscos, ajuda a priorizar ações de segurança, podendo ajudar na confecção do WBS, definição dos produtos, e subsidiar a implantação de controles eficazes posteriormente. Segunda fase do ciclo de vida do projeto: Planejamento. Nesta fase serão definidos o escopo, as atividades a serem realizadas, a elaboração de cronograma, planejamento de custos, de qualidade e de aquisições e a formação de equipe. Nesta fase também será realizado o planejamento do gerenciamento do risco, constituído da identificação de riscos, análise qualitativa e quantitativa e planejamento de respostas a riscos das Vulnerabilidades de Segurança da Informação identificadas na Organização e os riscos do gerenciamento do projeto propriamente dito. Exemplos de ações desta fase: criação do comitê interdepartamental de segurança, início da capacitação em segurança de técnicos e executivos, criação da política de segurança, realização de ações corretivas imediatas a partir das vulnerabilidades identificadas e preparação da análise de risco. Terceira fase do ciclo de vida do projeto: Execução. Esta etapa tem como objetivo executar o plano de projeto e de qualidade, o desenvolvimento da equipe, as aquisições e administrar contratos. Para o projeto de implantação da Segurança, temos como exemplos a divulgação da política de segurança na Organização, capacitação de todos os funcionário envolvendo-os no projeto, além do esforço de alcançar o comprometimento de cada um. Também faz parte desta etapa implementar os mecanismos de controle em todos os ambientes de acordo com a política de segurança e planos executivos. Quarta fase do ciclo de vida do projeto: Controle. 40 O avanço do projeto deve ser medido e monitorado. Nesta fase são executadas ações de coordenação de alterações do escopo e do próprio projeto, formalizações de aceites de produtos e controles de orçamento. São acompanhados e monitorados os riscos identificados, os resultados específicos do projeto e os requisitos de qualidade. Aqui é feita a administração da segurança, exercendo-se o monitoramento e medição dos controles implementados, além de se garantir a conformidade com normas, regras e legislações existentes. Os planos de contingência e recuperação de desastres são atualizados e mantidos. Também deve ser acompanhado o retorno dos investimentos (ROI). Quinta fase do ciclo de vida do projeto: Encerramento. O encerramento do projeto acontece após seus objetivos terem sido atingidos. O encerramento requer documentação dos resultados a fim de formalizar a aceitação do produto. No nosso caso, medidas deverão ter sido estabelecidas e incorporadas aos processos de negócio da Organização. O encerramento do projeto requer a confirmação de que os produtos propostos foram atingidos. Isto poderá ser demonstrado a partir de medições e relatórios com os resultados alcançados e comparados com os propostos. Deverá ser preparado um arquivo do projeto, com toda documentação das fases anteriores. As lições aprendidas também deverão ser descritas. Política de Segurança da Informação Temos a definição do Escopo e Metodologia, e conhecemos o ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação, mais como já foi discutido e preciso identificar as principais ameaças de segurança de TI e saber como combatê-las. O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa. A maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no 41 ambiente externo (medidas de proteção, firewall, IDS, etc). A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas. A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. O que precisamos colocar numa política de segurança da informação? 1º Precisamos fazer um planejamento, levantando o perfil da empresa. Analisar o que deve ser protegido, tanto interno como externamente. 2º Aprovação da política de segurança pela diretoria. Garantir que a diretoria apoie a implantação da política. 3º Análise interna e externa dos recursos a serem protegidos. Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco. 4º Elaboração das normas e proibições, tanto física, lógica e humana. Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc. 5º Aprovação pelo Recursos Humanos As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização. 6º Aplicação e Treinamento da Equipe 42 Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização. 7º Avaliação Periódica A política de segurança da informação deve ser sempre revista, nunca pode ficar
Compartilhar