Baixe o app para aproveitar ainda mais
Prévia do material em texto
Conceitos Básicos em Governança de TI Com ênfase em infraestrutura e segurança da informação Autor: Silvio Luiz Caffer Markies Abril/2013 O que é Governança de TI O termo "Governança de TI" significa controlar, otimizar, mensurar e entregar resultados em um ambiente tecnológico para o cliente. É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias de negócio da organização, adicionando valores aos serviços entregues, balanceando e mitigando os riscos e obtendo o retorno sobre os investimentos em TI. O conselho de administração e os executivos são responsáveis pela Governança de TI. A Tecnologia da Informação é um grande conjunto responsável pela gestão de qualquer tipo de informação que se faça necessária através de equipamentos, operações e armazenamento de dados, de forma a gerar informação, manter informações, e ter isto como um grande auxílio na tomada de decisões, isto dentre outras grandes funcionalidades. Com a maior competitividade do mercado e o fim das distâncias geográficas, é necessário agilidade na informação, consistência dos dados e informações, separação do que é informação real e do que é informação abstrata, do contrário, jamais teremos a capacidade de tomar uma decisão com grandes garantias de não se tornar um risco. A Importância da TI nas organizações Principais desafios da TI • Promover o alinhamento entre TI e negócio • Reduzir os custos da TI e do negócio • Gerenciar a complexidade da TI • Proporcionar segurança da informação • Aumentar a qualidade dos serviços de TI • Gerenciar fornecedores externos • Estar em conformidade com leis e regulamentos Principais benefícios na Governança da TI • Confiança da alta administração • TI mais comprometida com o negócio • Maior ROI ( Return on Investment) • Serviços mais confiáveis • Mais transparência • Fornecedores • Usuários • Órgãos públicos • Governo • Acionistas • Diretores/executivos/gerentes Principais Stakeholders (interessados) na governança de TI Para pensarmos em Governança de TI, devemos levar em consideração que a área de negócio de uma empresa, tem o respaldo de Aplicações de TI, que por sua vez depende de toda a Infraestrutura de TI, e que essas informações devem ser sempre confiáveis. Isto está de acordo com a definição do professor João Peres (FGV), que nos diz que a Governança de TI é “um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TI aos negócios.” Framework de controles de processos Principais Framework de Controles A lei Sarbanes-Oxley foi criada nos EUA em 30 de Julho de 2002 pelos senadores Sarbanes e Oxley, sendo a lei batizada com a junção de seus nomes. O gatilho para a criação desta lei foram os escândalos financeiros ocorridos nos EUA. Algumas empresas, sendo o caso mais famoso da Enron, uma das líderes mundiais em distribuição de energia e comunicações da época e de faturamento de cerca de 100 bilhões de dólares no ano 2000, fraudou diversos demonstrativos fiscais e contábeis com auxílio de empresas e bancos, omitindo do seu balanço anual dívidas de cerca de 25 bilhões de dólares. Esta omissão fez com que investidores comprassem ações de uma empresa aparentemente rentável e sadia, sendo que a mesma estava á beira da falência, onde muitos perderam investimentos de uma forma irrecuperável a curto/longo prazo. Para consolidar ainda mais essa situação a Enron necessitava de pareceres favoráveis das suas demonstrações contábeis para isso contou com o aval e conivência da conceituada Arthur Andersen, empresa que auditava suas demonstrações a quase 10 anos e lhe prestava consultoria. Podemos dizer que a incompatibilidade das duas atividades exercidas pela ARTHUR ANDERSEN na Enron eram conflitantes porque, se por um lado, a auditoria tinha como função verificar as demonstrações financeiras da corporação de forma isenta e transparente, por outro, a atividade de consultoria está diretamente relacionada à otimização de lucros e processos internos que muitas vezes se distanciam do dever de transparência da auditoria. Para fazer com que a credibilidade nas aplicações na bolsa fossemmelhoradas, a SOX surgiu. Antes da SOX, somente as empresas eram punidas devido fraudes financeiras. Portanto, se o executivo cometia alguma fraude, passava ileso, sendo a empresa responsabilizada. A SOX responsabiliza civil e criminalmente os executivos do negócio em caso de fraudes, mesmo que eles não tenham participação direta. A idéia da SOX é que as empresas demonstrem eficiência na Governança Corporativa. Lei Sarbanes-Oxley (SOX) e a TI Esta lei afeta diretamente a TI pelo fato de todas as informações financeiras serem guardadas em sistemas de informação. A SOX exige entre outras coisas que: • Estabelece regras de elaboração e publicações de resultados financeiros. Portanto os sistemas de informação precisam estar adequados para isso. • O CEO ( Chief Executive Officer) e CFO (Chief Financial Officer) precisam atestar e assinar que os relatórios financeiros estão corretos. Imaginem a pressão deles por controles adequados dos sistemas por parte da TI. Eles são responsabilizados em casos de erros, fraudes e etc. • O conteúdo da informação precisa ser correto. • A informação precisa estar disponível no momento correto (questões de disponibilidade). • Acessível somente por pessoas autorizadas (segurança). • Informação precisa estar atualizada. • Os sistemas internos precisam ter controles relativos às informações, novas funcionalidades e permitir o rastreio (logs) no caso de erros em relatórios, alterações indevidas. • Novos processos de TI precisam ser implementados para mitigar os riscos. Como a SOX afeta a TI? No final dos anos 1980 a CCTA (Central Computer and Telecommunications Agency), órgão do governo da Inglaterra, coletou e analisou informações de diversas organizações e selecionou as orientações mais úteis para a CCTA e seus clientes no governo britânico, a partir da necessidade do governo de ter processos organizados na área de TIC (Tecnologia da Informação e Comunicações). Este estudo resultou num livro de orientações para ser aplicado nas empresas ligadas ao governo. As empresas de fora do governo perceberam que essas orientações eram geralmente aplicáveis aos seus negócios e ambientes computacionais, e passaram a adotar estas orientações. O resultado deste processo, foi a compilação de um compêndio (biblioteca) de melhores processos e melhores práticas de prestação e gestão de serviços de TI, que passou a ser conhecido coma ITIL - Information Technology Infrastructure Library. História do ITIL ITIL v3 – Ciclo de Vida do Serviço • A Estratégia de Serviço. • Avalia a fase de desenho, desenvolvimento e implementação – possibilitando agir de forma estratégica suportando a Organização; • Metas da estratégia do serviço – Permite que provedores de serviço pensem de forma estratégica visando atingir metas e objetivos; • Avalia e analisa a relação entre sistemas, serviços e processos. • O que a Estratégia de Serviço garante? • Decisões sensatas referente ao tipo de serviço que é fornecido sejam tomadas; • Como processos, pessoas e tecnologia trabalham de forma integrada, ou seja, em conjunto, e como são transformados em serviços. • Os objetivos da Estratégia de Serviço estão definidos em questões como: • Que serviços precisamos fornecer? • Quem está utilizando nossos serviços? • Como definimos qualidade? • Onde devemos investir dinheiroe recursos? • Como podemos dividir dinheiro e recursos entre diferentes serviços? • Estratégia de Serviço - Que serviços precisamos fornecer? ITIL v3 – Service Strategy • Os serviços que vieram da Estratégia do Serviço para este estágio do ciclo de vida são trabalhados por uma série de processos que, no fim das contas, possuem os seguintes objetivos: Desenhar o serviço de forma que atenda os objetivos de negócio. • Desenhar o serviço para que seja desenvolvido da forma mais fácil e eficiente possível dentro de prazos e custos apropriados. • Desenhar processos eficientes e efetivos não apenas para a fase de Desenho do Serviço, mas também para a transição, operação e qualificação de serviços de TI de alta qualidade. • Identificar e gerenciar riscos para que os mesmos possam ser tratados antes da implantação do Serviço. É bom lembrar que este trabalho começa a ser feito lá na Estratégia do Serviço quando da verificação da viabilidade do serviço em termos financeiros e de negócio. • Desenhar a infraestrutura de TI, ambientes, aplicativos e dados/informações seguras e eficientes que possam atender as necessidades atuais e futuras do negócio. • Desenhar a forma de medir (métodos e métricas) a fim de avaliar a efetividade e a eficiência do desenho do processo e seus entregáveis. • Produzir e manter os planos de TI, processos, políticas, arquiteturas, estruturas e documentos. • Desenvolver perfil e habilidade dentro da TI, transformando atividades de estratégia e desenho em atividades operacionais. • Contribuir para a qualificação geral do serviço de TI dentro das restrições de desenho impostas. ITIL v3 – Service Design • O livro 3 da terceira versão da Biblioteca ITIL aborda a Transição de Serviços e todos os seus processos e atividades correlatas. O correto gerenciamento da transição de serviços agrega bastante valor ao negócio. Alguns exemplos: • Reduz os riscos e impactos “não previstos’; • Reduz a diferença: “estimado” versus “executado”; • Adequa os serviços aos seus propósitos e utilização. • Além destes exemplos algumas práticas abordadas nesta disciplina também contribuem para este objetivo. Dentre elas: 1. Planejamento e suporte proativos à transição de serviços; 2. Integração do planejamento para as diversas transições de serviços; ITIL v3 – Service Transition • A Operação de Serviço coordena e realiza as atividades e processos necessários para fornecer e gerenciar serviços em níveis acordados com o usuário e clientes do negócio. • Fazem parte os seguintes Gerenciamentos: 1. de Incidente: interrupção não planejada ou redução na qualidade de um serviço de TI; 2. de Evento: qualquer ocorrência que tem significado para o gerenciamento de uma infraestrutura de TI ou entrega de serviço de TI; 3. de Problema: identificar as causas principais dos problemas e minimizar ao máximo seus impactos na infraestrutura de TI do negócio, e prevenir que estes mesmos problemas voltem a acontecer novamente; 4. de Acesso: conceder ou negar o acesso de determinados usuários a certos serviços ou grupos de serviços disponíveis. Também tem a função de executar as políticas de segurança estabelecidas no processo de Ger. de Segurança da Informação; ITIL v3 – Service Operation ITIL v3 ITIL v3 ITIL v3 ITIL v3 –––– Service OperationService OperationService OperationService Operation • A melhoria continuada de serviço tem como missão alinhar e realinhar continuamente os serviços de TI com o negócio. Como o negócio muda os requerimentos de serviço também mudam. • Existem motivadores de negócio e motivadores técnicos para a realização da melhoria continuada de serviços de TI. Os motivadores de negócio estão ligados a necessidade de alinhar continuamente os serviços de TI aos requerimentos do negócio. Os motivadores técnicos estão focados em garantir o melhor uso da tecnologia utilizada pelos serviços de TI. • As melhorias continuadas podem ser identificadas comparando os resultados obtidos, aferindo os benefícios obtidos, verificando o retorno do investimento (ROI) feito nas melhorias e avaliando o valor agregado dos serviços. O ITIL V3 sugere-se uma sequencia de seis passos para a realização da melhoria continuada de serviços: 1 – Entender os objetivos de negócio e os consequentes requerimentos de serviços de TI; 2 – Identificar a situação atual; 3 – Identificar as prioridades baseadas na Estratégia de Serviços; 4 – Detalhar o plano de melhoria continuada de serviços; 5 – Verificar se as métricas estão em conformidade com os requerimentos de níveis de serviços, processos, e objetivos do negócio; 6 – Garantir a manutenção da qualidade das melhorias. ITIL v3 – Melhoria Continuada de Serviço • http://www.issoe.com.br/issoe/index.php/component/content/article/154.html • http://gestaocircular.wordpress.com/2011/10/31/a-importancia-da-tecnologia-da-informacao-na-gestao-das-organizacoes- modernas/ • http://www.tiexames.com.br • http://www.governancadeti.com/2010/07/o-que-e-governanca-de-ti-e-para-que-existe/ • http://www.abepro.org.br/biblioteca/ENEGEP2007_TR630468_0476.pdf • http://computerworld.uol.com.br/gestao/2007/10/15/idgnoticia.2007-10-11.7772720716/ • https://www.teclogica.com.br/blog/?p=1144 • http://www.governancadeti.com/2010/08/governanca-de-ti-lei-sarbanes-oxley-e-a-ti/ • http://www.google.com.br/search?q=itil+v3&hl=pt- BR&tbm=isch&tbo=u&source=univ&sa=X&ei=yz93UaOWI5G54AOA7YHgCQ&ved=0CFcQsAQ&biw=1366&bih=673#imgrc=xSzyLXC 7_tK4aM%3A%3BuPPnRxgky5aNBM%3Bhttp%253A%252F%252Fricardoconzatti.com%252Fblog%252Fwp- content%252Fuploads%252F2013%252F03%252Fitil-v3.jpg%3Bhttp%253A%252F%252Fricardoconzatti.com%252Fblog%252Fciclo- de-vida-do-servico-itil%252Fitil-v3%252F%3B480%3B484 • http://blog.argusconsultoria.com.br/index.php?option=com_content&view=article&id=58:introducao-da-estrategia-de-servico-itil- v3&catid=36:itil&Itemid=53 • http://tiinteligente.blogspot.com.br/2011/04/itil-v3-desenho-do-servico-metas-e.html • http://www.infoblogs.com.br/view.action?contentId=23352 • http://gestaodati10.blogspot.com.br/2011/01/itil-v3-melhoria-continuada-de-servico.html Referências e Sugestões de Leitura
Compartilhar