GTI gti UNIP. TECNICO EM INFORMATICA

Prévia do material em texto

Unidade V
GOVERNANÇA DE TI
Prof. Antônio Palmeira
Conteúdo da unidade
 Modelos de governança de TI.
 Modelos que suportam a
governança de TI.
 Modelo COBIT.
Expectativas das áreas de negócios 
em relação à área de TI
 Alinhamento entre TI e negócio.
 Medir desempenho contra requisitos.
 Atividades organizadas em processos.
 Recursos de TI bem gerenciados.
 Objetivos de controle definidos.
 Orientação da TI e entrega de valor.
 Definição dos responsáveis.
Como atender a estas expectativas?
 Através das implementação da 
governança de tecnologia da informação.
Requisitos para implantar a 
governança de TI
 Liderança para a mudança.
 Envolvimento da alta direção.
 Entendimento da maturidade em que se 
encontra a organização de TI.
 Ter um modelo de governança de TI Ter um modelo de governança de TI.
 Atacar as principais vulnerabilidades. 
 Instituir programas de governança de TI. 
 Abordagem de gestão de mudança 
cultural.
 Equipe qualificada.
Modelos de governança de TI
Modelos de governança de TI:
 COBIT;
 ISO 38500.
Modelos que suportam a governança de TI:
 ITIL;
 PMBOK;
 PRINCE2;
 BABOK;
CBOK CBOK;
 ISO 20000;
 MPS.BR.
Modelo COBIT (Control Objectives 
for Information and Related 
Technology)
 Desenvolvido a partir do framework 
COSO, do controle de objetivos originais 
da ISACA e de outros 50 padrões e 
práticas de mercado utilizadas em TI.
 Surgiu em 1996 como um guia de 
controles, sendo desenvolvido pela 
ISACA, e hoje é mantido pelo ITGI 
(extensão da ISACA criada em 1998).
Evolução do COBIT
 COBIT 1: surgiu em 1996, com foco na 
auditoria.
 COBIT 2: surgiu em 1998, com foco no 
controle.
 COBIT 3: surgiu em 2000, com foco no 
gerenciamentogerenciamento.
 COBIT 4: surgiu em 2005, com foco na 
governança.
 COBIT 4.1: surgiu em 2007, ainda com foco 
na governança, mas com algumas 
atualizações.
 COBIT 5: foi lançado em abril de 2012; 
consolidação e integração com outros 
frameworks de riscos e investimentos em 
TI, com foco na estratégia. 
Principais características do COBIT
 Foco no negócio.
 Orientado a processos.
 Baseado em controles.
 Orientado por métricas.
Foco no negócio
 TI vista a partir da perspectiva do negócio.
 Traduz os requisitos do negócio para a TI.
 As metas de negócios têm um link com as 
metas de TI.
A qual 
responde a
COBIT
Orientado a processos
 Organiza as atividades de TI em 
processos para facilitar o gerenciamento.
Os quatros Domínios Inter-relacionados do COBIT
Baseado em controles
 Para cada processo de TI, há objetivos 
de controle definidos.
 Controles desenhados para dizer o que 
poderia ser feito.
 34 processos e 318 objetivos de34 processos e 318 objetivos de 
controle.
Orientado por métricas
 Fornece um conjunto de indicadores que 
permitem a você medir o desempenho 
das atividades, dos processos e o 
desempenho da TI como um todo.
Interatividade
Qual dos modelos abaixo estabelece uma 
estrutura de controles para governança de 
TI?
a) COBIT.
b) ITIL.b) ITIL.
c) PMBOK.
d) PRINCE2.
e) BABOK.
Foco do COBIT
 Foca mais “o que precisa ser alcançado” 
do que “como alcançar”.
 Foca mais o controle do que a execução.
Áreas de foco da governança de TI
 Segundo o ITGI e o modelo estabelecido 
pelo framework do COBIT, a governança 
de TI possui cinco áreas de foco.
Área 1: Alinhamento estratégico
(propósito)
 Relacionamento entre o planejamento 
estratégico do negócio e o de TI.
 Definição, manutenção e validação da 
proposição de valor para a TI.
 Alinhamento das operações de TI com asAlinhamento das operações de TI com as 
dos negócios.
 Fornecimento de soluções colaborativas 
que adicionem valor e posicionamento 
competitivo para os produtos e serviços 
da empresa.da empresa.
Área 1: Alinhamento estratégico
(melhores práticas)
 Investimentos em TI alinhados com os 
objetivos estratégicos da empresa.
 Desdobramento da estratégia da 
organização usando o Balanced 
Scorecard (BSC).
 Corresponsabilidade do negócio de TI.
 Esclarecer os objetivos dos 
investimentos em TI.
 Comitês de estratégia de TI.
Área 2: Entrega de valor
(propósito)
 Executa a proposição de valor através do 
ciclo de entrega.
 Garante que a TI entregue os benefícios 
prometidos de acordo com a estratégia.
 Concentra-se em otimizar custos eConcentra se em otimizar custos e 
fornecer o valor intrínseco da TI.
Área 2: Entrega de valor 
(melhores práticas)
 Gestão do nível de serviço.
 Comprometimento com os processos de 
suporte e entrega de serviços.
 Priorização e gerenciamento de 
mudanças.mudanças.
Área 3: Gerenciamento de riscos
(propósito)
 Requer conscientização dos gestores da 
empresa, claro entendimento do apetite 
por riscos e transparência sobre riscos 
significativos para a empresa.
 Inclui responsabilidades no 
gerenciamento de riscos na operação da 
empresa.
 Endereça salvaguarda dos ativos de TI, 
recuperação de desastres e continuidade 
das operações.
Área 3: Gerenciamento de riscos 
(melhores práticas)
 Conscientização dos riscos de TI 
baseada em uma avaliação contínua.
 Transparência para todas as partes 
interessadas.
 Estabelecimento de responsabilidades eEstabelecimento de responsabilidades e 
implementação do gerenciamento de 
riscos na organização.
 Uso de frameworks de controle e riscos 
de TI.
Área 4: Gerenciamento de recursos 
(propósito)
 Investimento otimizado, uso e alocação 
de recursos de TI e capacidade (pessoas, 
aplicações, infraestrutura e dados) para 
servir as necessidades da empresa.
 Maximização da eficiência destes 
recursos.
 Otimização do conhecimento, 
manutenção das competências.
 Saber onde e como fazer a terceirização.
Área 4: Gerenciamento de recursos 
(melhores práticas)
 Treinar, reter pessoal qualificado, 
incluindo plano de carreira.
 Gerenciamento de recursos de projetos.
 Transparência nas contas e alocação 
dos custos.dos custos.
 Disciplinas formalizadas para o 
gerenciamento de fornecedores.
Área 5: Mensuração de 
desempenho (propósito)
 Acompanha e monitora a implantação da 
estratégia, entrega de projetos, uso de 
recursos, desempenho de processos e 
entrega de serviços.
 A transparência é alcançada no 
gerenciamento do desempenho.
Área 5: Mensuração de 
desempenho (melhores práticas)
 Uso do BSC de TI.
 Realização de auditorias.
 Sistemas de relatórios.
 Uso de benchmarking para comparação 
de desempenhode desempenho.
Interatividade
O COBIT é mais focado em:
a) Como fazer do que no que precisa ser 
alcançado.
b) O que precisa ser alcançado do que em 
como fazer.como fazer.
c) O que precisa ser organizado do que no 
que precisa ser alcançado.
d) O que precisa ser implantado do que em 
como medir.
e) O que e como fazer, e como medir.
Missão do COBIT
 Pesquisar, desenvolver, publicar e 
promover um framework de controle 
para governança de TI que seja 
embasado, atualizado, 
internacionalmente aceito para a adoção 
pelas organizações e usado no dia a diapelas organizações e usado no dia a dia 
pelos gerentes de negócio, profissionais 
de TI e profissionais de auditoria.
Framework COBIT
Processos de TI
 4 domínios.
 34 processos.
 318 controles.
Os quatros Domínios Inter-relacionados do COBIT
Planejar e Organizar (PO)
Cobre as estratégias e táticas.
Preocupa-se com a forma como a TI pode 
contribuir para alcançar os objetivos do 
negócio e como a infraestrutura de TI deve 
ser instalada.
Neste domínio, temos os processos:
 PO1 - Definir um Plano Estratégico de TI.
 PO2 - Definir a Arquiteturada 
Informação.
 PO3 - Determinar o Direcionamento 
Tecnológico.
Planejar e Organizar (PO)
 PO4 - Definir os Processos, Organização 
e os Relacionamentos de TI.
 PO5 - Gerenciar o Investimento de TI.
 PO6 - Comunicar as Diretrizes e 
Expectativas da Diretoria.Expectativas da Diretoria.
 PO7 - Gerenciar os Recursos Humanos 
de TI.
 PO8 - Gerenciar a Qualidade.
 PO9 - Avaliar e Gerenciar os Riscos de 
TI.
 PO10 - Gerenciar Projetos.
Adquirir e Implementar (AI)
Cobre a identificação, desenvolvimento 
e/ou aquisição de soluções de TI para 
executar a estratégia de TI estabelecida.
Cobre as mudanças e manutenções em 
sistemas, existentes.
Neste domínio, temos os processos:
 AI1 - Identificar Soluções Automatizadas.
 AI2 - Adquirir e Manter Software 
Aplicativo.
 AI3 - Adquirir e Manter Infraestrutura de 
Tecnologia.
Adquirir e Implementar (AI)
 AI4 - Habilitar Operação e Uso.
 AI5 - Adquirir Recursos de TI.
 AI6 - Gerenciar Mudanças.
 AI7 - Instalar e Homologar Soluções e 
MudançasMudanças.
Entregar e Suportar (DS)
Preocupa-se com as entregas reais dos 
serviços de TI.
Temos os seguintes processos:
 DS1 - Definir e Gerenciar Níveis de 
Serviços.Serviços.
 DS2 - Gerenciar Serviços de Terceiros.
 DS3 - Gerenciar Capacidade e 
Desempenho.
 DS4 - Assegurar Continuidade de 
Serviços.
 DS5 - Assegurar a Segurança dos 
Serviços.
Entregar e Suportar (DS)
 DS6 - Identificar e Alocar Custos.
 DS7 - Educar e Treinar os Usuários.
 DS8 - Gerenciar a Central de Serviço e os 
Incidentes.
 DS9 Gerenciar a Configuração DS9 - Gerenciar a Configuração.
 DS10 - Gerenciar os Problemas.
 DS11 - Gerenciar os Dados.
 DS12 - Gerenciar o Ambiente Físico.
 DS13 - Gerenciar as Operações DS13 - Gerenciar as Operações.
Monitorar e Avaliar (ME)
Este domínio endereça o gerenciamento de 
desempenho, o monitoramento de 
controles internos, a conformidade 
regulatória e de governança.
Temos os seguintes processos:
 ME1 - Monitorar e Avaliar o Desempenho.
 ME2 - Monitorar e Avaliar os Controles 
Internos.
 ME3 - Assegurar a Conformidade com 
Requisitos ExternosRequisitos Externos.
 ME4 - Prover a Governança de TI.
Critérios de informação
 Para atender aos objetivos de negócios, 
as informações precisam se adequar a 
certos critérios de controle denominados 
critérios de informação.
Requisitos de negócios x critérios 
de informação
Critérios de informação
 Eficácia: capacidade de alcançar metas e 
resultados propostos.
 Eficiência: o máximo de resultados com 
o mínimo de recursos.
 Confidencialidade: proteção daConfidencialidade: proteção da 
informação sigilosa.
 Integridade: inteireza da informação.
 Disponibilidade: informação 
disponibilizada quando requerida.
 Confiabilidade: entrega da informação 
apropriada.
 Conformidade: aderente a leis e 
regulamentos.
Interatividade
Qual dos itens abaixo é um requisito de 
segurança do COBIT?
a) Eficácia.
b) Conformidade.
c) Disponibilidadec) Disponibilidade.
d) Confiabilidade.
e) Eficiência.
Recursos de TI
Os processos de TI gerenciam recursos de 
TI e juntos eles entregam a informação 
desejada pelo negócio.
 Aplicativos.
 Informações.Informações.
 Infraestrutura. 
 Pessoas.
Framework do COBIT
Processos do COBIT
 Domínios: 4
 Processos: 34
 Objetivos de controle: 3 a 15 por 
processo.
Componentes dos processos
 Descrição do processo.
 Objetivos de controle.
 Entradas do processo.
 Saídas do processo.
 Atividades, papéis e responsabilidade.
 Objetivos e métricas.
 Modelos de maturidade.
Descrição de um
processo do COBIT
Objetivos de controle
 Conjunto de requisitos de alto nível a ser 
considerado para o controle efetivo dos 
processos.
 Eles ajudam a diminuir a probabilidade 
de risco e aumentar o valor.
Na prática, para que serve?
 Para desenhar os processos.
 Para verificar a aderência a processos.
Quantos e quais objetivos de controle?
 Existem controles necessários e 
desnecessários/prioritários e não 
prioritários.
Entradas, saídas e 
responsabilidades
Entradas:
 Originam-se de dentro e de fora da 
estrutura do COBIT.
Saídas:
 Fornecem saídas (entregáveis) para Fornecem saídas (entregáveis) para 
diversos processos da estrutura do 
COBIT.
Matriz RACI:
 Define as responsabilidades para cada 
atividade dentro do COBIT 
(responsible, accountable, consulted, 
informed).
Metas e métricas
Metas e métricas de processos:
 O que precisa ser realizado pelo 
processo de TI?
 Como os proprietários dos processos 
de TI serão avaliados?de TI serão avaliados?
Metas e métricas de atividades:
 O que precisa acontecer dentro do 
processo de TI?
 Como medir o desempenho das 
atividades dos processos de TI?
Modelo de maturidade no COBIT
 Metodologia derivada do modelo de 
maturidade para desenvolvimento de 
software CMMI, proposto pelo SEI.
Resumo da unidade
 Modelos de governança de TI.
 Modelos que suportam a governança
de TI.
 Modelo COBIT.
Interatividade
Qual dos itens abaixo não apresenta um 
componente dos processos do COBIT?
a) Descrição do processo.
b) Objetivos de controle.
c) Entradas do processoc) Entradas do processo.
d) Práticas responsáveis.
e) Métricas.
ATÉ A PRÓXIMA!