Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE TI: ANÁLISE DAS BOAS PRÁTICAS EM SOFTWARES Alef Rodrigues Macena¹, Daniel Attias de Oliveira2, Ísys Nogueira de Araújo3, João Pedro Nascimento Silveira4 Universidade Federal de Rondônia - UNIR, Graduação em Ciência da Computação. BR-364, Porto Velho - RO - CEP. 76801-059 alef_goiabinha@hotmail.com1, danielattias@live.com², isysnog@gmail.com3, pedrozle@outlook.com4 Resumo Considerando a importância de boas práticas na implementação de um sistema de governança de TI (Tecnologia da Informação), a aplicabilidade é o meio de organizar a gestão e a manter os fluxos e processos de uma instituição com funcionalidades de crescimento e longevidade. Este artigo estuda os conjuntos de boas práticas necessários e se no estudo de caso foram estabelecidos e executados os conceitos nos planos. Definida a metodologia do trabalho, o estudo de caso foi realizado na Fundação Universidade Federal de Rondônia - UNIR. Neste intuito, foram apresentadas uma revisão e estudo qualitativo, bibliográfico e documental do assunto, a fim de se obter um embasamento teórico necessário. Palavras-chave: Software, tipos de software, governança de TI, COBIT. Abstract Considering the importance of good practice in implementing an IT (Information Technology) governance system, applicability is the means of organizing management and maintaining the flows and processes of an institution with growth and longevity features. This paper studies the sets of good practices required and if the case s’tudy has established and implemented the concepts in the plans. Defined the methodology of the work, the case study was conducted at the Federal University Foundation of Rondônia - UNIR. To this end, a review and qualitative bibliographic and documentary study of the subject were presented, in order to obtain a necessary. Keywords: Software, types of software, IT governance, COBIT. 1. INTRODUÇÃO No mundo atual a tecnologia da informação pode ser considerada o ramo mais inestimável dentro de uma instituição, um ativo (tudo que pode ter ou fornecer valor) que na maioria das vezes são considerados irrelevantes. Porém, o índice de empresas que reconhecem os benefícios e a importância de gerenciar um negócio com o apoio da TI, vêm crescendo a cada ano. De acordo com a Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação, em 2016 no Brasil o mercado na área de TI empregou cerca de 1,3 milhão de pessoas e, 50 mil postos de trabalho investem em profissionais qualificados. Segundo o ITGI (IT Governance Institute - Instituto da Governança de TI) a TI deve fazer parte integral da estratégia corporativa na organização garantindo a relação entre os planos de negócio e de TI, de maneira que sejam alinhadas as operações tanto da TI quanto da organização. Atualmente, para que esses conceitos sejam colocados em práticas, utilizam-se na área de TI vários modelos e práticas para que os processos sejam executados. Nessas práticas são estabelecidas as atividades, as etapas, controles, domínios e riscos relacionados a TI. Um desses modelos de processos de controle é o COBIT - Control Objectives for Information and related Technology (Controle de Objetivos à Tecnologia da Informação), com base nele, as boas práticas de governança de TI desempenham em uma organização uma função estratégica. Assim, de maneira geral o COBIT é um framework de negócios para governança e gestão de TI que consiste na organização das atividades de TI, na identificação dos recursos a serem utilizados, nos controles que os processos devem possuir, além da correlação entre os objetivos da organização com os objetivos de TI. A figura 1 apresenta o cubo do COBIT com os princípios dos componentes necessários para alcançar os requisitos de negócio, os processos de TI e os recursos de TI de uma organização. No requisito de negócio são elencados componentes como efetividade, eficiência, confiabilidade, integridade, disponibilidade, conformidade e confiabilidade. Já nos recursos de TI são analisadas aplicações, informações, infraestrutura e pessoas. Domínios, processos e atividades são os componentes dos processos de TI. Figura 1 - Cubo do COBIT: requisitos de negócios, recursos de TI e processos de TI. Fonte: COBIT 4.1 A TI, no COBIT, é dividida em cinco áreas para que o processo de governança esteja alinhado com os negócios, habilite o negócio e maximize os benefícios, os recursos sejam usados de maneira responsável e os riscos sejam gerenciados. Essas cinco áreas, figura 2, são divididas em: ● Alinhamento estratégico: garantir a ligação entre os planos de negócios e TI, validando a proposta de valor de TI; ● Entrega do valor: execução da proposta de valor de TI através do ciclo de entrega; ● Gestão de Recursos: melhor utilização dos investimentos e gerenciamentos dos recursos críticos de TI; ● Gestão de Risco: funcionários mais experientes devem se preocupar com os riscos de maneira a gerenciá-los adequadamente; ● Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços. Figura 2 - Cinco áreas da Governança de TI. Fonte: COBIT 4.1 Todas essas características até aqui citadas são utilizadas como modelo de referência para elaboração de processos na área de TI dentro das organizações, de forma que as atividades sejam gerenciadas e organizadas continuamente. 2. ESTUDO DE CASO: UNIR De maneira a analisar na prática os conceitos até aqui apresentados, foi escolhido como estudo de caso a Universidade Federal de Rondônia - UNIR, em que foram realizados as comparações na área de software, mostrando se os requisitos necessários, de acordo com o modelo de governança (COBIT), foram aplicados nos processos de TI. No atual contexto da DTI/UNIR, vem sendo implementado os princípios da Governança de TI, seguindo o framework COBIT 4.1, conforme exposto no sítio web da DTI/UNIR. Em 2009, foi implementado o Comitê Gestor de Tecnologia da Informação (CGTI), através da Resolução nº 090-2009-CONSAD-CGTI, que foi aprovado pelo Parecer nº 207 da Câmara de Política de Pessoal e Modernização Administrativa (CPPMA). Nesse primeiro momento foi instituído o então Plano de Tecnologia da Informação PTI - 2009, em 2009. Com a maturidade da Gestão Pública, houveram mudanças na política de planejamento e execução da gestão da Tecnologia da Informação, o planejamento estratégico de TI deve indicar os projetos e serviços de TI que receberão recursos, os custos, as fontes de recursos e as metas a serem alcançadas. Deve ser uma atividade regular e os documentos resultantes devem ser aprovados pela alta administração. (Acórdão nº 2.471/2008-TCU-Plenário). Nesse rastro, em 2011 foi aprovado o primeiro Plano Diretor de Tecnologia da Informação (PDTI) da UNIR, aprovado pela primeira reunião do CGTI, também no mesmo ano. Em 2013, no relatório de gestão de 2013 da UNIR, foi apresentado os resultados de monitoramento. (DTI/UNIR, 2019). Na instituiçãode ensino existem 4 planos que organizam os processos para desenvolvimento. O primeiro, PDI - Plano de Desenvolvimento Institucional, tem como objetivo definir as missões, a política e as estratégias para atingir as metas da IES. Já o PDTI (Plano Diretor de Tecnologia da Informação), é um plano de gestão que visa envolver os planejamentos e diagnósticos relacionados às habilidades, competências, hardware, software, redes, sistemas, etc., de maneira a atender as demandas necessárias da Instituição. O terceiro plano, PETI (Plano Estratégico de Tecnologia da Informação) tem por objetivo estruturar as diretrizes e princípios na gestão de TI a fim de organizar os sistemas de informação e infraestrutura . Por último, o PDA (Plano de Dados Abertos) estabelecer “priorização dos conjuntos de dados que serão disponibilizados, considerando o grau de relevância das informações para o cidadão, o alinhamento com os instrumentos de planejamento estratégico e a disponibilidades de dados já gerenciados pelos Sistemas Integrados de Gestão da UNIR” (PDA - UNIR, 2019). Atualmente, na DTI/UNIR (Departamento de Tecnologia da Informação) está sendo usado com base para tomada de decisões em seus planos de gerenciamento na área de TI, além do COBIT, o PDTI 2017-2019. 3. SOFTWARE Por definição geral, software é um conjunto de componentes lógicos de computador ou sistema de processamento de dados; programa, rotina ou conjunto de instruções que controlam o funcionamento de um computador; suporte lógico. Nas organizações, são necessários para o gerenciamento, o desenvolvimento de técnicas para controlar e gerenciar o crescimento contínuo da demanda por produtos de software, que por sua vez, estão maiores e complexos. Muitos projetos destinados a essa área fracassam devido a inexistência ou falha de gerenciamento. Para o COBIT, os softwares devem ser disponibilizados em alinhamento com os requisitos de negócio de forma que sejam englobados os projetos das aplicações, a inclusão de controles e requisitos de segurança, o desenvolvimento e configuração alinhado com padrões da organização. Dentro dessa área de software, foram analisados 5 componentes que estão interligados ao tema, que são os aplicativos, SGBD (Sistema de Gerenciamento de Banco de Dados), sistemas operacionais, escritório e segurança. Nessa análise foi verificado se os componentes atendem os requisitos de modelos básicos de governança. 3.1. APLICATIVOS Um aplicativo, em suma, desempenha a função de executar uma comunicação eficiente e veloz entre duas ou mais partes, assim realizando suas tarefas pré-definidas de acordo com as solicitações emitidas. A universidade atualmente dispõe de uma plataforma online para exibição e compartilhamento de informações referentes ao curso entre docentes e discentes, a qual pode ser acessada por meio de qualquer dispositivo com conexão à internet. Funções como consulta de notas, emissão de atestados de matrícula e disponibilização de materiais utilizados em sala de aula são algumas das várias atualmente fornecidas pelo Sistema Integrado de Gestão de Atividades Acadêmicas (SIGAA). Anteriormente, alguns destes serviços eram prestados pelo SINGU - MÓDULO ACADÊMICO até o atual ano de 2019, quando este fora substituído em definitivo pelo SIGAA, recentemente. 3.2. SGBD O SGBD(sistema gerenciador de banco de dados) trata-se de um sistema para gerenciar uma base de dados ou banco de dados. Na DTI é utilizado em conjunto com os programas(software) que utilizam banco de dados, servindo como um intermediador entre o programa(software) e os dados. Não foi encontrado nenhum documento, exposto no sítio web da DTI/UNIR, citando diretamente um SGBD. Mas conforme elencado pela DTI/UNIR (2017, p.30) no plano diretor: … Para apoiar as atividades pedagógicas e administrativas, a DTI desenvolve e administra sistemas corporativos. Todos são desenvolvidos para plataforma de acesso via Internet e com linguagem de programação com licença livre. Todos os sistemas utilizam banco de dados centralizado também com licença livre… Pode-se presumir que quando dito: “[...] Todos os sistemas utilizam banco de dados [...] com licença livre [...]”; se refere como popularmente dito, mas de forma errônea, que o banco de dados, citado aqui, seja o sistema gerenciador de banco de dados. 3.3. SISTEMAS OPERACIONAIS A possibilidade de comunicação entre os componentes físicos de um computador (hardware) e o usuário é possível devido a existência de um sistema operacional. Dessa maneira, um sistema operacional é um programa de computador / software que gerencia esses componentes, além de ser base para os demais programas. Sua função geral é proporcionar uma interface entre homem e máquina, em que todas as funções complexas são restritas aos recursos internos, o que possibilita a utilização do computador mais simples, rápida e segura. Assim, é preciso considerar que: O sistema operacional é uma camada de software entre o hardware e os programas que executam tarefas para os usuários. [...] O sistema operacional é responsável pelo acesso aos periféricos; sempre que um programa necessita de algum tipo de operação de entrada e saída, ele solicita ao sistema operacional. Dessa forma, o programador não precisa conhecer os detalhes do hardware. (OLIVEIRA, 2010, p. 22). Como finalidade, os sistemas operacionais interpretam os comandos dos usuários, controlam os dispositivos de entrada e saída, e organizam os arquivos em disco, ou seja, eles asseguram e administram todos os programas e partes de um computador. Assim, existe uma diversidade de sistemas operacionais, entre eles, DOS, Unix, Linux, Mac OS, OS-2 e Windows NT. Na UNIR, o sistema operacional utilizado na rede de computadores é o Windows Server (2003 ou 2008), em que a licença é adquirida na compra de um novo computador que já venha com esse sistema operacional. É utilizado também nos computadores de servidores o sistema operacional, na sua maioria, o Linux. Os demais utilizam como sistema operacional . Para os desktops, na sua maioria utilizam sistemas operacionais Windows nas versões XP, Vista, 7 e 8. Porém não existe um sistema institucional de controle de licenças e de atualização de software, sendo implantado recentemente apenas o serviço de Active Director ou similar. 3.4. ESCRITÓRIO Softwares de escritório ou suítes de escritório são expressões que remetem ao conjunto integrado de aplicativos voltados para as tarefas de escritório, tais como editores de texto, editores de planilhas, editores de apresentação, aplicativos, agenda de compromissos, contatos, entre outros. Visam a dinamizar as tarefas do dia-a-dia de um escritório. Suítes de escritório, ou suíte de produtividade é um conjunto de programas reunidos com uma interface de usuário consistente. A maioria dos aplicativos de escritório incluem pelo menos um editor de textos e uma planilha eletrônica. Em soma à estes, a suíte pode conter um programa de apresentações, banco de dados,suíte gráfica e ferramentas de comunicação, como um leitor de e-mails. Estes podem ser classificados como, softwares de licença gratuita ou softwares de licença paga. Este último possuiriam pagamento semestral ou anual. As principais suítes de escritório Pagos e Gratuitos são, respectivamente, Microsoft Office e Libre Office. Microsoft Office é a solução da Microsoft para programa de escritório e é a solução mais completa que se pode encontrar no mercado. Possui os programas Microsoft Word, Microsoft Powerpoint, Microsoft Excel, Microsoft Outlook, Microsoft Publisher e Microsoft Access, sendo estes Editor de texto, Editor de apresentações, Editor de planilhas, solução para e-mail, Editor de panfletos e um SGDB respectivamente. Libre Office é a solução da The Document Foundation para programas de escritório e é a segunda solução mais usada no mercado por ser uma alternativa gratuita ao Microsoft Office. Possui os programas Writer, Impress, Calc, Math, Draw, Base, sendo estes Editor e texto, Editor de apresentações, Editor de planilhas, Editor de fórmulas matemáticas, Editor de desenhos vetoriais e um SGDB. Além dos programas de produtividade, outro sistema que também faz parte dos softwares de escritório é o Antivírus. Antivírus são programas desenvolvidos para prevenir, detectar e eliminar vírus de computador e outros tipos de softwares nocivos ao sistema operacional. No mercado existem várias soluções de antivírus, tanto pagos quanto gratuitos, ambos realizam o básico de um antivírus que é a detecção e eliminação destes com um diferencial dos softwares pagos que oferecem proteção web, proteção firewall entre outros. Após a pesquisa realizada, foi constatado que o Departamento de Tecnologia da Informação - DTI da UNIR faz a utilização da suíte de escritório LibreOffice devido às limitações de aquisição de licença da solução da Microsoft. 3.5. SEGURANÇA Segurança da Informação é a disciplina que envolve um conjunto de medidas necessárias por garantir que a confidencialidade, integridade e disponibilidade das informações de uma organização ou indivíduo de forma a preservar esta informação de acordo com necessidades específicas. Com o uso de redes de computadores surgiu diversas possibilidades de utilização eficientes das informações entre computadores, o que também possibilitou um aumento das atividades contra a segurança destas, de forma física e lógica. Ao passo que o software de antivírus utilizado é a Central de Segurança do Windows, que é um software de proteção built-in do SO da Microsoft. Este executa verificações por vírus tanto no sistema quanto nas páginas da web, além de oferecer proteção firewall e de redes domésticas. Na UNIR, tendo em vista o uso crescente de computadores com acesso sem fio à internet, foi inserida uma infraestrutura adequada para provimento desse serviço com algumas políticas de controle de acesso, conforme elencado pela DTI (2017, p.24) no plano diretor: … A permissão de acesso para alunos será provida por credenciais acadêmicas e visitantes será liberada as páginas institucionais e governamentais ou casos específicos. A UNIR possui equipamentos de rede sem fios operando uniformemente em toda a IFES, uma estrutura apropriada operando interligada a um equipamento controlador de forma centralizada, controlada, monitorada e padronizada. Dessa forma, além de poder oferecer acesso aos alunos e visitantes dos campi e da Reitoria, maximiza a segurança às informações institucionais… Quanto ao nível da segurança da rede da UNIR é mediana, sendo necessárias alterações com o objetivo de aumentar o nível de segurança dos dados trafegados na rede. (PDTI, p.24) O acesso de cada campus da UNIR aos computadores servidores e serviços providos pela rede ao data center da UNIR é realizado por um canal fechado de comunicação (através da Internet) devido a serviço prestados pela operadora nos campi. Como a UNIR tende a possuir uma estrutura de comunicação integrada entre todos os campi e Reitoria. O desenvolvimento de uma política de segurança da informação claramente divulgada e descrida dotará a UNIR de “instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;” (Decreto 3505, de 13 de junho de 2000) além de garantir maior transparência quanto aos cuidados com as informações institucionais além de prever como devem ser feitas cópias de segurança, manutenção de serviços, uso de recursos institucional. (PDTI, p.24,25) Seguindo a metodologia indicada pelo SLTI/MPOG, foi feito um planejamento detalhado das ações que devem ser realizadas para o atendimento das necessidades apresentadas por cada uma das áreas. (PDTI, p.45). Em resumo as metas e ações planejadas para a àrea de segurança da informação na UNIR: Descrição da meta Valor Prazo Descrição da ação Responsável Revisar política de segurança da informação da UNIR 100% Semestral Propor descontinuação da Resolução de TI para transformação em política de segurança da informação Comitê de SI Levantar as informações da ISO 27001 pertinentes a UNIR Comitê de SI Definir política de segurança da informação para cada item Comitê de SI Encaminhar minuta de política de segurança da informação para aprovação Comitê de SI Propor revisão anual da política Comitê de SI Divulgar política de segurança da informação 100% Contínuo Divulgar amplamente a política de segurança da informação Comitê de SI 4. CONSIDERAÇÕES FINAIS Como vimos ao decorrer do artigo, dentro das organizações o papel da TI é estratégico e de controle, assim a TI pode trazer de retorno positivo e significativo para as organizações, garantindo conformidade e alinhamento com os objetivos e metas a serem cumpridas. No estudo de caso apresentado, percebeu-se que mesmo que a IES tenha os planos de planejamento (PDI, PDTI, PETI e PDA) relacionados a governança, a organização ainda está em estágio de desenvolvimento em que os objetivos estratégicos podem ser classificados entre os níveis 0 e 1 (conforme modelos de gerenciamentos), mas é válido ressaltar que os encaminhamentos das demandas do setor tendem a evoluir periodicamente. Devido a isso, constatou-se também que a TI não deve ser uma área independente dentro de uma instituição, ela deve estar relacionada sempre com todos os negócios de modo que os investimentos e análise de riscos atendam as demandas da organização. Todas as recomendações dos modelos de governança das boas práticas existentes auxiliam na preservação e melhora do valor da organização, do acesso a recursos e contribui na sua durabilidade. REFERÊNCIAS DTI/UNIR, Governança. Disponível em: <http://www.dti.unir.br/pagina/exibir/10125>. Acesso em: 10 de novembro de 2019. UNIR. Resolução nº 90/CONSAD/2009. Porto Velho: CONSAD, 2009. UNIR. ATA DA 1ª REUNIÃO DO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO DA UNIVERSIDADE FEDERALDE RONDÔNIA. Porto Velho: DTI/UNIR, 2011. UNIR. Resolução nº 165/CONSAD. Porto Velho: CONSAD, 2016. UNIR. Plano Diretor de TI (PDTI) 2017 – 2018. Porto Velho: PROPLAN/DTI, 2017. LIMA, Renato Silva de. Práticas de Governança de TI (COBIT, BSC). Disponível em: <https://pt.scribd.com/document/341774722/Governanca-de-TI>. Acesso em: 24 nov. 2019. OLIVEIRA, Rômulo Silva de; CARISSIMI, Alexandre d. S.; TOSCANI, Simão S.; Sistemas operacionais 4. ed. Disponível em: <https://books.google.com.br/books?hl=pt-BR&lr=&id=9SdddkKFtlYC&oi=fnd&pg=P R7&dq=sistemas+operacionais&ots=kXtJk01P1J&sig=91jNVHur1ll45MIamDjzNoDe MpU#v=onepage&q=sistemas%20operacionais&f=false> . Acesso em: 12 nov. 2019. BALIEIRO, Ricardo. Sistemas operacionais. Rio de Janeiro: SESES, 2015. 144p. SUÍTE DE ESCRITÓRIO. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2019. Disponível em: <https://pt.wikipedia.org/w/index.php?title=Su%C3%ADte_de_escrit%C3%B3rio&oldi d=55885088>. Acesso em: 1 ago. 2019. ANTIVÍRUS. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2019. Disponível em: <https://pt.wikipedia.org/w/index.php?title=Antiv%C3%ADrus&oldid=56037353>. Acesso em: 19 ago. 2019. O que é Segurança da Informação?. In: PORTAL GSTI. Disponível em: <https://www.portalgsti.com.br/seguranca-da-informacao/sobre/>. Acesso em: 20 ago. 2019. https://pt.scribd.com/document/341774722/Governanca-de-TI
Compartilhar