Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade V GOVERNANÇA DE TI Prof. Antônio Palmeira Conteúdo da unidade Modelos de governança de TI. Modelos que suportam a governança de TI. Modelo COBIT. Expectativas das áreas de negócios em relação à área de TI Alinhamento entre TI e negócio. Medir desempenho contra requisitos. Atividades organizadas em processos. Recursos de TI bem gerenciados. Objetivos de controle definidos. Orientação da TI e entrega de valor. Definição dos responsáveis. Como atender a estas expectativas? Através das implementação da governança de tecnologia da informação. Requisitos para implantar a governança de TI Liderança para a mudança. Envolvimento da alta direção. Entendimento da maturidade em que se encontra a organização de TI. Ter um modelo de governança de TI Ter um modelo de governança de TI. Atacar as principais vulnerabilidades. Instituir programas de governança de TI. Abordagem de gestão de mudança cultural. Equipe qualificada. Modelos de governança de TI Modelos de governança de TI: COBIT; ISO 38500. Modelos que suportam a governança de TI: ITIL; PMBOK; PRINCE2; BABOK; CBOK CBOK; ISO 20000; MPS.BR. Modelo COBIT (Control Objectives for Information and Related Technology) Desenvolvido a partir do framework COSO, do controle de objetivos originais da ISACA e de outros 50 padrões e práticas de mercado utilizadas em TI. Surgiu em 1996 como um guia de controles, sendo desenvolvido pela ISACA, e hoje é mantido pelo ITGI (extensão da ISACA criada em 1998). Evolução do COBIT COBIT 1: surgiu em 1996, com foco na auditoria. COBIT 2: surgiu em 1998, com foco no controle. COBIT 3: surgiu em 2000, com foco no gerenciamentogerenciamento. COBIT 4: surgiu em 2005, com foco na governança. COBIT 4.1: surgiu em 2007, ainda com foco na governança, mas com algumas atualizações. COBIT 5: foi lançado em abril de 2012; consolidação e integração com outros frameworks de riscos e investimentos em TI, com foco na estratégia. Principais características do COBIT Foco no negócio. Orientado a processos. Baseado em controles. Orientado por métricas. Foco no negócio TI vista a partir da perspectiva do negócio. Traduz os requisitos do negócio para a TI. As metas de negócios têm um link com as metas de TI. A qual responde a COBIT Orientado a processos Organiza as atividades de TI em processos para facilitar o gerenciamento. Os quatros Domínios Inter-relacionados do COBIT Baseado em controles Para cada processo de TI, há objetivos de controle definidos. Controles desenhados para dizer o que poderia ser feito. 34 processos e 318 objetivos de34 processos e 318 objetivos de controle. Orientado por métricas Fornece um conjunto de indicadores que permitem a você medir o desempenho das atividades, dos processos e o desempenho da TI como um todo. Interatividade Qual dos modelos abaixo estabelece uma estrutura de controles para governança de TI? a) COBIT. b) ITIL.b) ITIL. c) PMBOK. d) PRINCE2. e) BABOK. Foco do COBIT Foca mais “o que precisa ser alcançado” do que “como alcançar”. Foca mais o controle do que a execução. Áreas de foco da governança de TI Segundo o ITGI e o modelo estabelecido pelo framework do COBIT, a governança de TI possui cinco áreas de foco. Área 1: Alinhamento estratégico (propósito) Relacionamento entre o planejamento estratégico do negócio e o de TI. Definição, manutenção e validação da proposição de valor para a TI. Alinhamento das operações de TI com asAlinhamento das operações de TI com as dos negócios. Fornecimento de soluções colaborativas que adicionem valor e posicionamento competitivo para os produtos e serviços da empresa.da empresa. Área 1: Alinhamento estratégico (melhores práticas) Investimentos em TI alinhados com os objetivos estratégicos da empresa. Desdobramento da estratégia da organização usando o Balanced Scorecard (BSC). Corresponsabilidade do negócio de TI. Esclarecer os objetivos dos investimentos em TI. Comitês de estratégia de TI. Área 2: Entrega de valor (propósito) Executa a proposição de valor através do ciclo de entrega. Garante que a TI entregue os benefícios prometidos de acordo com a estratégia. Concentra-se em otimizar custos eConcentra se em otimizar custos e fornecer o valor intrínseco da TI. Área 2: Entrega de valor (melhores práticas) Gestão do nível de serviço. Comprometimento com os processos de suporte e entrega de serviços. Priorização e gerenciamento de mudanças.mudanças. Área 3: Gerenciamento de riscos (propósito) Requer conscientização dos gestores da empresa, claro entendimento do apetite por riscos e transparência sobre riscos significativos para a empresa. Inclui responsabilidades no gerenciamento de riscos na operação da empresa. Endereça salvaguarda dos ativos de TI, recuperação de desastres e continuidade das operações. Área 3: Gerenciamento de riscos (melhores práticas) Conscientização dos riscos de TI baseada em uma avaliação contínua. Transparência para todas as partes interessadas. Estabelecimento de responsabilidades eEstabelecimento de responsabilidades e implementação do gerenciamento de riscos na organização. Uso de frameworks de controle e riscos de TI. Área 4: Gerenciamento de recursos (propósito) Investimento otimizado, uso e alocação de recursos de TI e capacidade (pessoas, aplicações, infraestrutura e dados) para servir as necessidades da empresa. Maximização da eficiência destes recursos. Otimização do conhecimento, manutenção das competências. Saber onde e como fazer a terceirização. Área 4: Gerenciamento de recursos (melhores práticas) Treinar, reter pessoal qualificado, incluindo plano de carreira. Gerenciamento de recursos de projetos. Transparência nas contas e alocação dos custos.dos custos. Disciplinas formalizadas para o gerenciamento de fornecedores. Área 5: Mensuração de desempenho (propósito) Acompanha e monitora a implantação da estratégia, entrega de projetos, uso de recursos, desempenho de processos e entrega de serviços. A transparência é alcançada no gerenciamento do desempenho. Área 5: Mensuração de desempenho (melhores práticas) Uso do BSC de TI. Realização de auditorias. Sistemas de relatórios. Uso de benchmarking para comparação de desempenhode desempenho. Interatividade O COBIT é mais focado em: a) Como fazer do que no que precisa ser alcançado. b) O que precisa ser alcançado do que em como fazer.como fazer. c) O que precisa ser organizado do que no que precisa ser alcançado. d) O que precisa ser implantado do que em como medir. e) O que e como fazer, e como medir. Missão do COBIT Pesquisar, desenvolver, publicar e promover um framework de controle para governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia a diapelas organizações e usado no dia a dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria. Framework COBIT Processos de TI 4 domínios. 34 processos. 318 controles. Os quatros Domínios Inter-relacionados do COBIT Planejar e Organizar (PO) Cobre as estratégias e táticas. Preocupa-se com a forma como a TI pode contribuir para alcançar os objetivos do negócio e como a infraestrutura de TI deve ser instalada. Neste domínio, temos os processos: PO1 - Definir um Plano Estratégico de TI. PO2 - Definir a Arquiteturada Informação. PO3 - Determinar o Direcionamento Tecnológico. Planejar e Organizar (PO) PO4 - Definir os Processos, Organização e os Relacionamentos de TI. PO5 - Gerenciar o Investimento de TI. PO6 - Comunicar as Diretrizes e Expectativas da Diretoria.Expectativas da Diretoria. PO7 - Gerenciar os Recursos Humanos de TI. PO8 - Gerenciar a Qualidade. PO9 - Avaliar e Gerenciar os Riscos de TI. PO10 - Gerenciar Projetos. Adquirir e Implementar (AI) Cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida. Cobre as mudanças e manutenções em sistemas, existentes. Neste domínio, temos os processos: AI1 - Identificar Soluções Automatizadas. AI2 - Adquirir e Manter Software Aplicativo. AI3 - Adquirir e Manter Infraestrutura de Tecnologia. Adquirir e Implementar (AI) AI4 - Habilitar Operação e Uso. AI5 - Adquirir Recursos de TI. AI6 - Gerenciar Mudanças. AI7 - Instalar e Homologar Soluções e MudançasMudanças. Entregar e Suportar (DS) Preocupa-se com as entregas reais dos serviços de TI. Temos os seguintes processos: DS1 - Definir e Gerenciar Níveis de Serviços.Serviços. DS2 - Gerenciar Serviços de Terceiros. DS3 - Gerenciar Capacidade e Desempenho. DS4 - Assegurar Continuidade de Serviços. DS5 - Assegurar a Segurança dos Serviços. Entregar e Suportar (DS) DS6 - Identificar e Alocar Custos. DS7 - Educar e Treinar os Usuários. DS8 - Gerenciar a Central de Serviço e os Incidentes. DS9 Gerenciar a Configuração DS9 - Gerenciar a Configuração. DS10 - Gerenciar os Problemas. DS11 - Gerenciar os Dados. DS12 - Gerenciar o Ambiente Físico. DS13 - Gerenciar as Operações DS13 - Gerenciar as Operações. Monitorar e Avaliar (ME) Este domínio endereça o gerenciamento de desempenho, o monitoramento de controles internos, a conformidade regulatória e de governança. Temos os seguintes processos: ME1 - Monitorar e Avaliar o Desempenho. ME2 - Monitorar e Avaliar os Controles Internos. ME3 - Assegurar a Conformidade com Requisitos ExternosRequisitos Externos. ME4 - Prover a Governança de TI. Critérios de informação Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controle denominados critérios de informação. Requisitos de negócios x critérios de informação Critérios de informação Eficácia: capacidade de alcançar metas e resultados propostos. Eficiência: o máximo de resultados com o mínimo de recursos. Confidencialidade: proteção daConfidencialidade: proteção da informação sigilosa. Integridade: inteireza da informação. Disponibilidade: informação disponibilizada quando requerida. Confiabilidade: entrega da informação apropriada. Conformidade: aderente a leis e regulamentos. Interatividade Qual dos itens abaixo é um requisito de segurança do COBIT? a) Eficácia. b) Conformidade. c) Disponibilidadec) Disponibilidade. d) Confiabilidade. e) Eficiência. Recursos de TI Os processos de TI gerenciam recursos de TI e juntos eles entregam a informação desejada pelo negócio. Aplicativos. Informações.Informações. Infraestrutura. Pessoas. Framework do COBIT Processos do COBIT Domínios: 4 Processos: 34 Objetivos de controle: 3 a 15 por processo. Componentes dos processos Descrição do processo. Objetivos de controle. Entradas do processo. Saídas do processo. Atividades, papéis e responsabilidade. Objetivos e métricas. Modelos de maturidade. Descrição de um processo do COBIT Objetivos de controle Conjunto de requisitos de alto nível a ser considerado para o controle efetivo dos processos. Eles ajudam a diminuir a probabilidade de risco e aumentar o valor. Na prática, para que serve? Para desenhar os processos. Para verificar a aderência a processos. Quantos e quais objetivos de controle? Existem controles necessários e desnecessários/prioritários e não prioritários. Entradas, saídas e responsabilidades Entradas: Originam-se de dentro e de fora da estrutura do COBIT. Saídas: Fornecem saídas (entregáveis) para Fornecem saídas (entregáveis) para diversos processos da estrutura do COBIT. Matriz RACI: Define as responsabilidades para cada atividade dentro do COBIT (responsible, accountable, consulted, informed). Metas e métricas Metas e métricas de processos: O que precisa ser realizado pelo processo de TI? Como os proprietários dos processos de TI serão avaliados?de TI serão avaliados? Metas e métricas de atividades: O que precisa acontecer dentro do processo de TI? Como medir o desempenho das atividades dos processos de TI? Modelo de maturidade no COBIT Metodologia derivada do modelo de maturidade para desenvolvimento de software CMMI, proposto pelo SEI. Resumo da unidade Modelos de governança de TI. Modelos que suportam a governança de TI. Modelo COBIT. Interatividade Qual dos itens abaixo não apresenta um componente dos processos do COBIT? a) Descrição do processo. b) Objetivos de controle. c) Entradas do processoc) Entradas do processo. d) Práticas responsáveis. e) Métricas. ATÉ A PRÓXIMA!
Compartilhar