Conceitos Básicos em Governança de TI

Prévia do material em texto

Conceitos Básicos em 
Governança de TI
Com ênfase em infraestrutura e segurança da informação
Autor: Silvio Luiz Caffer Markies 
Abril/2013
O que é Governança de TI
O termo "Governança de TI" significa controlar, otimizar,
mensurar e entregar resultados em um ambiente tecnológico para o
cliente.
É um conjunto de estruturas e processos que visa garantir que a
TI suporte e maximize adequadamente os objetivos e estratégias de
negócio da organização, adicionando valores aos serviços entregues,
balanceando e mitigando os riscos e obtendo o retorno sobre os
investimentos em TI.
O conselho de administração e os executivos são responsáveis
pela Governança de TI.
A Tecnologia da Informação é um grande conjunto responsável
pela gestão de qualquer tipo de informação que se faça necessária
através de equipamentos, operações e armazenamento de dados, de
forma a gerar informação, manter informações, e ter isto como um
grande auxílio na tomada de decisões, isto dentre outras grandes
funcionalidades.
Com a maior competitividade do mercado e o fim das distâncias
geográficas, é necessário agilidade na informação, consistência dos
dados e informações, separação do que é informação real e do que é
informação abstrata, do contrário, jamais teremos a capacidade de
tomar uma decisão com grandes garantias de não se tornar um risco.
A Importância da TI nas organizações
Principais desafios da TI
• Promover o alinhamento entre TI e negócio
• Reduzir os custos da TI e do negócio
• Gerenciar a complexidade da TI
• Proporcionar segurança da informação
• Aumentar a qualidade dos serviços de TI
• Gerenciar fornecedores externos
• Estar em conformidade com leis e regulamentos
Principais benefícios na Governança da TI
• Confiança da alta administração
• TI mais comprometida com o negócio
• Maior ROI ( Return on Investment)
• Serviços mais confiáveis 
• Mais transparência 
• Fornecedores
• Usuários
• Órgãos públicos
• Governo
• Acionistas
• Diretores/executivos/gerentes
Principais Stakeholders
(interessados) na governança de TI
Para pensarmos em Governança de TI, devemos levar em
consideração que a área de negócio de uma empresa, tem o respaldo de
Aplicações de TI, que por sua vez depende de toda a Infraestrutura de TI, e
que essas informações devem ser sempre confiáveis.
Isto está de acordo com a definição do professor João Peres (FGV),
que nos diz que a Governança de TI é “um conjunto de práticas, padrões e
relacionamentos estruturados, assumidos por executivos, gestores, técnicos
e usuários de TI de uma organização, com a finalidade de garantir controles
efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o
desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as
melhores decisões e consequentemente alinhar TI aos negócios.”
Framework de controles de 
processos
Principais Framework de Controles
A lei Sarbanes-Oxley foi criada nos EUA em 30 de Julho de 2002 pelos senadores Sarbanes e Oxley,
sendo a lei batizada com a junção de seus nomes. O gatilho para a criação desta lei foram os escândalos
financeiros ocorridos nos EUA. Algumas empresas, sendo o caso mais famoso da Enron, uma das líderes
mundiais em distribuição de energia e comunicações da época e de faturamento de cerca de 100 bilhões de
dólares no ano 2000, fraudou diversos demonstrativos fiscais e contábeis com auxílio de empresas e bancos,
omitindo do seu balanço anual dívidas de cerca de 25 bilhões de dólares. Esta omissão fez com que
investidores comprassem ações de uma empresa aparentemente rentável e sadia, sendo que a mesma estava á
beira da falência, onde muitos perderam investimentos de uma forma irrecuperável a curto/longo prazo. Para
consolidar ainda mais essa situação a Enron necessitava de pareceres favoráveis das suas demonstrações
contábeis para isso contou com o aval e conivência da conceituada Arthur Andersen, empresa que auditava
suas demonstrações a quase 10 anos e lhe prestava consultoria. Podemos dizer que a incompatibilidade das
duas atividades exercidas pela ARTHUR ANDERSEN na Enron eram conflitantes porque, se por um lado, a
auditoria tinha como função verificar as demonstrações financeiras da corporação de forma isenta e
transparente, por outro, a atividade de consultoria está diretamente relacionada à otimização de lucros e
processos internos que muitas vezes se distanciam do dever de transparência da auditoria. Para fazer com que
a credibilidade nas aplicações na bolsa fossemmelhoradas, a SOX surgiu.
Antes da SOX, somente as empresas eram punidas devido fraudes financeiras. Portanto, se o
executivo cometia alguma fraude, passava ileso, sendo a empresa responsabilizada. A SOX responsabiliza civil e
criminalmente os executivos do negócio em caso de fraudes, mesmo que eles não tenham participação direta.
A idéia da SOX é que as empresas demonstrem eficiência na Governança Corporativa.
Lei Sarbanes-Oxley (SOX) e a TI
Esta lei afeta diretamente a TI pelo fato de todas as informações financeiras serem guardadas em
sistemas de informação. A SOX exige entre outras coisas que:
• Estabelece regras de elaboração e publicações de resultados financeiros. Portanto os sistemas
de informação precisam estar adequados para isso.
• O CEO ( Chief Executive Officer) e CFO (Chief Financial Officer) precisam atestar e assinar que os
relatórios financeiros estão corretos. Imaginem a pressão deles por controles adequados dos
sistemas por parte da TI. Eles são responsabilizados em casos de erros, fraudes e etc.
• O conteúdo da informação precisa ser correto.
• A informação precisa estar disponível no momento correto (questões de disponibilidade).
• Acessível somente por pessoas autorizadas (segurança).
• Informação precisa estar atualizada.
• Os sistemas internos precisam ter controles relativos às informações, novas funcionalidades e
permitir o rastreio (logs) no caso de erros em relatórios, alterações indevidas.
• Novos processos de TI precisam ser implementados para mitigar os riscos.
Como a SOX afeta a TI?
No final dos anos 1980 a CCTA (Central Computer and Telecommunications
Agency), órgão do governo da Inglaterra, coletou e analisou informações de
diversas organizações e selecionou as orientações mais úteis para a CCTA e
seus clientes no governo britânico, a partir da necessidade do governo de ter
processos organizados na área de TIC (Tecnologia da Informação e
Comunicações). Este estudo resultou num livro de orientações para ser
aplicado nas empresas ligadas ao governo. As empresas de fora do governo
perceberam que essas orientações eram geralmente aplicáveis aos seus
negócios e ambientes computacionais, e passaram a adotar estas
orientações. O resultado deste processo, foi a compilação de um compêndio
(biblioteca) de melhores processos e melhores práticas de prestação e
gestão de serviços de TI, que passou a ser conhecido coma ITIL - Information
Technology Infrastructure Library.
História do ITIL
ITIL v3 – Ciclo de Vida do Serviço
• A Estratégia de Serviço.
• Avalia a fase de desenho, desenvolvimento e implementação – possibilitando agir de forma estratégica suportando a Organização;
• Metas da estratégia do serviço – Permite que provedores de serviço pensem de forma estratégica visando atingir metas e 
objetivos;
• Avalia e analisa a relação entre sistemas, serviços e processos.
• O que a Estratégia de Serviço garante?
• Decisões sensatas referente ao tipo de serviço que é fornecido sejam tomadas;
• Como processos, pessoas e tecnologia trabalham de forma integrada, ou seja, em conjunto, e como são transformados em 
serviços.
• Os objetivos da Estratégia de Serviço estão definidos em questões como:
• Que serviços precisamos fornecer?
• Quem está utilizando nossos serviços?
• Como definimos qualidade?
• Onde devemos investir dinheiroe recursos?
• Como podemos dividir dinheiro e recursos entre diferentes serviços?
• Estratégia de Serviço - Que serviços precisamos fornecer?
ITIL v3 – Service Strategy
• Os serviços que vieram da Estratégia do Serviço para este estágio do ciclo de vida são trabalhados por uma série de processos que, 
no fim das contas, possuem os seguintes objetivos:
Desenhar o serviço de forma que atenda os objetivos de negócio.
• Desenhar o serviço para que seja desenvolvido da forma mais fácil e eficiente possível dentro de prazos e custos apropriados.
• Desenhar processos eficientes e efetivos não apenas para a fase de Desenho do Serviço, mas também para a transição, operação e 
qualificação de serviços de TI de alta qualidade.
• Identificar e gerenciar riscos para que os mesmos possam ser tratados antes da implantação do Serviço. É bom lembrar que este
trabalho começa a ser feito lá na Estratégia do Serviço quando da verificação da viabilidade do serviço em termos financeiros e de 
negócio.
• Desenhar a infraestrutura de TI, ambientes, aplicativos e dados/informações seguras e eficientes que possam atender as 
necessidades atuais e futuras do negócio.
• Desenhar a forma de medir (métodos e métricas) a fim de avaliar a efetividade e a eficiência do desenho do processo e seus 
entregáveis.
• Produzir e manter os planos de TI, processos, políticas, arquiteturas, estruturas e documentos.
• Desenvolver perfil e habilidade dentro da TI, transformando atividades de estratégia e desenho em atividades operacionais.
• Contribuir para a qualificação geral do serviço de TI dentro das restrições de desenho impostas.
ITIL v3 – Service Design
• O livro 3 da terceira versão da Biblioteca ITIL aborda a Transição de Serviços e 
todos os seus processos e atividades correlatas. O correto gerenciamento da 
transição de serviços agrega bastante valor ao negócio. Alguns exemplos:
• Reduz os riscos e impactos “não previstos’;
• Reduz a diferença: “estimado” versus “executado”;
• Adequa os serviços aos seus propósitos e utilização.
• Além destes exemplos algumas práticas abordadas nesta disciplina também 
contribuem para este objetivo. Dentre elas:
1. Planejamento e suporte proativos à transição de serviços;
2. Integração do planejamento para as diversas transições de serviços;
ITIL v3 – Service Transition
• A Operação de Serviço coordena e realiza as atividades e processos necessários
para fornecer e gerenciar serviços em níveis acordados com o usuário e clientes
do negócio.
• Fazem parte os seguintes Gerenciamentos:
1. de Incidente: interrupção não planejada ou redução na qualidade de um serviço de TI;
2. de Evento: qualquer ocorrência que tem significado para o gerenciamento de uma 
infraestrutura de TI ou entrega de serviço de TI;
3. de Problema: identificar as causas principais dos problemas e minimizar ao máximo seus 
impactos na infraestrutura de TI do negócio, e prevenir que estes mesmos problemas 
voltem a acontecer novamente;
4. de Acesso: conceder ou negar o acesso de determinados usuários a certos serviços ou 
grupos de serviços disponíveis. Também tem a função de executar as políticas de 
segurança estabelecidas no processo de Ger. de Segurança da Informação;
ITIL v3 – Service Operation
ITIL v3 ITIL v3 ITIL v3 ITIL v3 –––– Service OperationService OperationService OperationService Operation
• A melhoria continuada de serviço tem como missão alinhar e realinhar continuamente os serviços de TI com o negócio. 
Como o negócio muda os requerimentos de serviço também mudam. 
• Existem motivadores de negócio e motivadores técnicos para a realização da melhoria continuada de serviços de TI. Os 
motivadores de negócio estão ligados a necessidade de alinhar continuamente os serviços de TI aos requerimentos do 
negócio. Os motivadores técnicos estão focados em garantir o melhor uso da tecnologia utilizada pelos serviços de TI.
• As melhorias continuadas podem ser identificadas comparando os resultados obtidos, aferindo os benefícios obtidos, 
verificando o retorno do investimento (ROI) feito nas melhorias e avaliando o valor agregado dos serviços.
O ITIL V3 sugere-se uma sequencia de seis passos para a realização da melhoria continuada de serviços:
1 – Entender os objetivos de negócio e os consequentes requerimentos de serviços de TI;
2 – Identificar a situação atual;
3 – Identificar as prioridades baseadas na Estratégia de Serviços;
4 – Detalhar o plano de melhoria continuada de serviços;
5 – Verificar se as métricas estão em conformidade com os requerimentos de níveis de serviços, processos, e objetivos do 
negócio;
6 – Garantir a manutenção da qualidade das melhorias.
ITIL v3 – Melhoria Continuada de Serviço
• http://www.issoe.com.br/issoe/index.php/component/content/article/154.html
• http://gestaocircular.wordpress.com/2011/10/31/a-importancia-da-tecnologia-da-informacao-na-gestao-das-organizacoes-
modernas/
• http://www.tiexames.com.br
• http://www.governancadeti.com/2010/07/o-que-e-governanca-de-ti-e-para-que-existe/
• http://www.abepro.org.br/biblioteca/ENEGEP2007_TR630468_0476.pdf
• http://computerworld.uol.com.br/gestao/2007/10/15/idgnoticia.2007-10-11.7772720716/
• https://www.teclogica.com.br/blog/?p=1144
• http://www.governancadeti.com/2010/08/governanca-de-ti-lei-sarbanes-oxley-e-a-ti/
• http://www.google.com.br/search?q=itil+v3&hl=pt-
BR&tbm=isch&tbo=u&source=univ&sa=X&ei=yz93UaOWI5G54AOA7YHgCQ&ved=0CFcQsAQ&biw=1366&bih=673#imgrc=xSzyLXC
7_tK4aM%3A%3BuPPnRxgky5aNBM%3Bhttp%253A%252F%252Fricardoconzatti.com%252Fblog%252Fwp-
content%252Fuploads%252F2013%252F03%252Fitil-v3.jpg%3Bhttp%253A%252F%252Fricardoconzatti.com%252Fblog%252Fciclo-
de-vida-do-servico-itil%252Fitil-v3%252F%3B480%3B484
• http://blog.argusconsultoria.com.br/index.php?option=com_content&view=article&id=58:introducao-da-estrategia-de-servico-itil-
v3&catid=36:itil&Itemid=53
• http://tiinteligente.blogspot.com.br/2011/04/itil-v3-desenho-do-servico-metas-e.html
• http://www.infoblogs.com.br/view.action?contentId=23352
• http://gestaodati10.blogspot.com.br/2011/01/itil-v3-melhoria-continuada-de-servico.html
Referências e Sugestões de Leitura