ARTIGO GTI

Prévia do material em texto

GOVERNANÇA DE TI: ANÁLISE DAS BOAS PRÁTICAS EM SOFTWARES 
 
Alef Rodrigues Macena¹, Daniel Attias de Oliveira​2​, Ísys Nogueira de Araújo​3​, 
João Pedro Nascimento Silveira​4 
 
Universidade Federal de Rondônia - UNIR, Graduação em Ciência da Computação. 
BR-364, Porto Velho - RO - CEP. 76801-059 
alef_goiabinha@hotmail.com​1​, danielattias@live.com², isysnog@gmail.com​3​, 
pedrozle@outlook.com​4 
 
Resumo 
Considerando a importância de boas práticas na implementação de um sistema de 
governança de TI (Tecnologia da Informação), a aplicabilidade é o meio de organizar 
a gestão e a manter os fluxos e processos de uma instituição com funcionalidades 
de crescimento e longevidade. Este artigo estuda os conjuntos de boas práticas 
necessários e se no estudo de caso foram estabelecidos e executados os conceitos 
nos planos. Definida a metodologia do trabalho, o estudo de caso foi realizado na 
Fundação Universidade Federal de Rondônia - UNIR. Neste intuito, foram 
apresentadas uma revisão e estudo qualitativo, bibliográfico e documental do 
assunto, a fim de se obter um embasamento teórico necessário. 
 
Palavras-chave:​ Software, tipos de software, governança de TI, COBIT. 
 
Abstract 
 
Considering the importance of good practice in implementing an IT (Information 
Technology) governance system, applicability is the means of organizing 
management and maintaining the flows and processes of an institution with growth 
and longevity features. This paper studies the sets of good practices required and if 
the case s’tudy has established and implemented the concepts in the plans. Defined 
the methodology of the work, the case study was conducted at the Federal University 
Foundation of Rondônia - UNIR. To this end, a review and qualitative bibliographic 
and documentary study of the subject were presented, in order to obtain a necessary. 
 
Keywords:​ Software, types of software, IT governance, COBIT. 
 
 
1. INTRODUÇÃO 
 
No mundo atual a tecnologia da informação pode ser considerada o ramo 
mais inestimável dentro de uma instituição, um ativo (tudo que pode ter ou fornecer 
valor) que na maioria das vezes são considerados irrelevantes. Porém, o índice de 
empresas que reconhecem os benefícios e a importância de gerenciar um negócio 
com o apoio da TI, vêm crescendo a cada ano. ​De acordo com a Associação 
Brasileira de Empresas de Tecnologia da Informação e Comunicação, em 2016 no 
Brasil o mercado na área de TI empregou cerca de 1,3 milhão de pessoas e, 50 mil 
postos de trabalho investem em profissionais qualificados. 
Segundo o ITGI (​IT Governance Institute - Instituto da Governança de TI) a 
TI deve fazer parte integral da estratégia corporativa na organização garantindo a 
relação entre os planos de negócio e de TI, de maneira que sejam alinhadas as 
operações tanto da TI quanto da organização. 
Atualmente, para que esses conceitos sejam colocados em práticas, 
utilizam-se na área de TI vários modelos e práticas para que os processos sejam 
executados. Nessas práticas são estabelecidas as atividades, as etapas, controles, 
domínios e riscos relacionados a TI. ​Um desses modelos de processos de controle é 
o COBIT - ​Control Objectives for Information and related Technology (Controle de 
Objetivos à Tecnologia da Informação), com base nele, as boas práticas de 
governança de TI desempenham em uma organização uma função estratégica. 
Assim, de maneira geral o COBIT é um ​framework de negócios para 
governança e gestão de TI que consiste na organização das atividades de TI, na 
identificação dos recursos a serem utilizados, nos controles que os processos devem 
possuir, além da correlação entre os objetivos da organização com os objetivos de 
TI. 
A figura 1 apresenta o cubo do COBIT com os princípios dos componentes 
necessários para alcançar os requisitos de negócio, os processos de TI e os 
recursos de TI de uma organização. No requisito de negócio são elencados 
componentes como efetividade, eficiência, confiabilidade, integridade, 
disponibilidade, conformidade e confiabilidade. Já nos recursos de TI são analisadas 
 
 
aplicações, informações, infraestrutura e pessoas. Domínios, processos e atividades 
são os componentes dos processos de TI. 
 
Figura 1 - Cubo do COBIT: requisitos de negócios, recursos de TI e processos de TI. 
Fonte: COBIT 4.1 
A TI, no COBIT, é dividida em cinco áreas para que o processo de 
governança esteja alinhado com os negócios, habilite o negócio e maximize os 
benefícios, os recursos sejam usados de maneira responsável e os riscos sejam 
gerenciados. Essas cinco áreas, figura 2, são divididas em: 
 
● Alinhamento estratégico: garantir a ligação entre os planos de negócios 
e TI, validando a proposta de valor de TI; 
● Entrega do valor: execução da proposta de valor de TI através do ciclo 
de entrega; 
● Gestão de Recursos: melhor utilização dos investimentos e 
gerenciamentos dos recursos críticos de TI; 
● Gestão de Risco: funcionários mais experientes devem se preocupar 
com os riscos de maneira a gerenciá-los adequadamente; 
● Mensuração de desempenho: acompanha e monitora a implementação 
da estratégia, término do projeto, uso dos recursos, processo de 
performance e entrega dos serviços. 
 
 
 
 
Figura 2 - Cinco áreas da Governança de TI. 
Fonte: COBIT 4.1 
 
Todas essas características até aqui citadas são utilizadas como modelo de 
referência para elaboração de processos na área de TI dentro das organizações, de 
forma que as atividades sejam gerenciadas e organizadas continuamente. 
 
 
2. ESTUDO DE CASO: UNIR 
 
De maneira a analisar na prática os conceitos até aqui apresentados, foi 
escolhido como estudo de caso a Universidade Federal de Rondônia - UNIR, em que 
foram realizados as comparações na área de software, mostrando se os requisitos 
necessários, de acordo com o modelo de governança (COBIT), foram aplicados nos 
processos de TI. 
No atual contexto da DTI/UNIR, vem sendo implementado os princípios da 
Governança de TI, seguindo o framework COBIT 4.1, conforme exposto no sítio web 
da DTI/UNIR. 
Em 2009, foi implementado o Comitê Gestor de Tecnologia da Informação 
(CGTI), através da Resolução nº 090-2009-CONSAD-CGTI, que foi aprovado pelo 
Parecer nº 207 ​da Câmara de Política de Pessoal e Modernização Administrativa 
(CPPMA). 
 
 
Nesse primeiro momento foi instituído o então Plano de Tecnologia da 
Informação PTI - 2009, em 2009. 
Com a maturidade da Gestão Pública, houveram mudanças na política de 
planejamento e execução da gestão da Tecnologia da Informação, o planejamento 
estratégico de TI deve indicar os projetos e serviços de TI que receberão recursos, 
os custos, as fontes de recursos e as metas a serem alcançadas. Deve ser uma 
atividade regular e os documentos resultantes devem ser aprovados pela alta 
administração. (Acórdão nº 2.471/2008-TCU-Plenário). 
Nesse rastro, em 2011 foi aprovado o primeiro Plano Diretor de Tecnologia da 
Informação (PDTI) da UNIR, aprovado pela primeira reunião do CGTI, também no 
mesmo ano. 
Em 2013, no relatório de gestão de 2013 da UNIR, foi apresentado os 
resultados de monitoramento. (DTI/UNIR, 2019). 
Na instituiçãode ensino existem 4 planos que organizam os processos para 
desenvolvimento. O primeiro, PDI - Plano de Desenvolvimento Institucional, tem 
como objetivo definir as missões, a política e as estratégias para atingir as metas da 
IES. Já o PDTI (Plano Diretor de Tecnologia da Informação), é um plano de gestão 
que visa envolver os planejamentos e diagnósticos relacionados às habilidades, 
competências, hardware, software, redes, sistemas, etc., de maneira a atender as 
demandas necessárias da Instituição. O terceiro plano, PETI (Plano Estratégico de 
Tecnologia da Informação) tem por objetivo estruturar as diretrizes e princípios na 
gestão de TI a fim de organizar os sistemas de informação e infraestrutura . Por 
último, o PDA (Plano de Dados Abertos) estabelecer “priorização dos conjuntos de 
dados que serão disponibilizados, considerando o grau de relevância das 
informações para o cidadão, o alinhamento com os instrumentos de planejamento 
estratégico e a disponibilidades de dados já gerenciados pelos Sistemas Integrados 
de Gestão da UNIR” (PDA - UNIR, 2019). 
Atualmente, na DTI/UNIR (Departamento de Tecnologia da Informação) está 
sendo usado com base para tomada de decisões em seus planos de gerenciamento 
na área de TI, além do COBIT, o PDTI 2017-2019. 
 
 
 
 
3. SOFTWARE 
Por definição geral, software é um conjunto de componentes lógicos de 
computador ou sistema de processamento de dados; programa, rotina ou conjunto 
de instruções que controlam o funcionamento de um computador; suporte lógico. 
Nas organizações, são necessários para o gerenciamento, o desenvolvimento 
de técnicas para controlar e gerenciar o crescimento contínuo da demanda por 
produtos de software, que por sua vez, estão maiores e complexos. Muitos projetos 
destinados a essa área fracassam devido a inexistência ou falha de gerenciamento. 
Para o COBIT, os softwares devem ser disponibilizados em alinhamento com 
os requisitos de negócio de forma que sejam englobados os projetos das aplicações, 
a inclusão de controles e requisitos de segurança, o desenvolvimento e configuração 
alinhado com padrões da organização. 
Dentro dessa área de software, foram analisados 5 componentes que estão 
interligados ao tema, que são os aplicativos, SGBD (Sistema de Gerenciamento de 
Banco de Dados), sistemas operacionais, escritório e segurança. Nessa análise foi 
verificado se os componentes atendem os requisitos de modelos básicos de 
governança. 
 
3.1. APLICATIVOS 
Um aplicativo, em suma, desempenha a função de executar uma 
comunicação eficiente e veloz entre duas ou mais partes, assim realizando suas 
tarefas pré-definidas de acordo com as solicitações emitidas. 
A universidade atualmente dispõe de uma plataforma online para exibição e 
compartilhamento de informações referentes ao curso entre docentes e discentes, a 
qual pode ser acessada por meio de qualquer dispositivo com conexão à internet. 
Funções como consulta de notas, emissão de atestados de matrícula e 
disponibilização de materiais utilizados em sala de aula são algumas das várias 
atualmente fornecidas pelo Sistema Integrado de Gestão de Atividades Acadêmicas 
(SIGAA). 
 
 
 
Anteriormente, alguns destes serviços eram prestados pelo SINGU - 
MÓDULO ACADÊMICO até o atual ano de 2019, quando este fora substituído em 
definitivo pelo SIGAA, recentemente. 
3.2. SGBD 
O SGBD(sistema gerenciador de banco de dados) trata-se de um sistema 
para gerenciar uma base de dados ou banco de dados. 
Na DTI é utilizado em conjunto com os programas(software) que utilizam 
banco de dados, servindo como um intermediador entre o programa(software) e os 
dados. 
Não foi encontrado nenhum documento, exposto no sítio web da DTI/UNIR, 
citando diretamente um SGBD. Mas conforme elencado pela DTI/UNIR (2017, p.30) 
no plano diretor: 
… Para apoiar as atividades pedagógicas e administrativas, a DTI 
desenvolve e administra sistemas corporativos. Todos são desenvolvidos 
para plataforma de acesso via Internet e com linguagem de programação 
com licença livre. Todos os sistemas utilizam banco de dados centralizado 
também com licença livre… 
Pode-se presumir que quando dito: “[...] Todos os sistemas utilizam banco de 
dados [...] com licença livre [...]”; se refere como popularmente dito, mas de forma 
errônea, que o banco de dados, citado aqui, seja o sistema gerenciador de banco de 
dados. 
 
3.3. SISTEMAS OPERACIONAIS 
A possibilidade de comunicação entre os componentes físicos de um 
computador (​hardware​) e o usuário é possível devido a existência de um sistema 
operacional. Dessa maneira, um sistema operacional é um programa de computador 
/ ​software que gerencia esses componentes, além de ser base para os demais 
programas. Sua função geral é proporcionar uma interface entre homem e máquina, 
em que todas as funções complexas são restritas aos recursos internos, o que 
possibilita a utilização do computador mais simples, rápida e segura. Assim, é 
preciso considerar que: 
 
 
O sistema operacional é uma camada de ​software ​entre o ​hardware ​e os 
programas que executam tarefas para os usuários. [...] O sistema 
operacional é responsável pelo acesso aos periféricos; sempre que um 
programa necessita de algum tipo de operação de entrada e saída, ele 
solicita ao sistema operacional. Dessa forma, o programador não precisa 
conhecer os detalhes do ​hardware​. (OLIVEIRA, 2010, p. 22). 
Como finalidade, os sistemas operacionais interpretam os comandos dos 
usuários, controlam os dispositivos de entrada e saída, e organizam os arquivos em 
disco, ou seja, eles asseguram e administram todos os programas e partes de um 
computador. Assim, existe uma diversidade de sistemas operacionais, entre eles, 
DOS, Unix, Linux, Mac OS, OS-2 e Windows NT. 
Na UNIR, o sistema operacional utilizado na rede de computadores é o 
Windows Server (2003 ou 2008), em que a licença é adquirida na compra de um 
novo computador que já venha com esse sistema operacional. É utilizado também 
nos computadores de servidores o sistema operacional, na sua maioria, o Linux. Os 
demais utilizam como sistema operacional . Para os desktops, na sua maioria 
utilizam sistemas operacionais Windows nas versões XP, Vista, 7 e 8. 
Porém não existe um sistema institucional de controle de licenças e de 
atualização de software, sendo implantado recentemente apenas o serviço de Active 
Director ou similar. 
 
3.4. ESCRITÓRIO 
Softwares de escritório ou suítes de escritório são expressões que remetem 
ao conjunto integrado de aplicativos voltados para as tarefas de escritório, tais como 
editores de texto, editores de planilhas, editores de apresentação, aplicativos, 
agenda de compromissos, contatos, entre outros. Visam a dinamizar as tarefas do 
dia-a-dia de um escritório. 
Suítes de escritório, ou suíte de produtividade é um conjunto de programas 
reunidos com uma interface de usuário consistente. A maioria dos aplicativos de 
escritório incluem pelo menos um editor de textos e uma planilha eletrônica. Em 
soma à estes, a suíte pode conter um programa de apresentações, banco de dados,suíte gráfica e ferramentas de comunicação, como um leitor de e-mails. 
 
 
Estes podem ser classificados como, softwares de licença gratuita ou 
softwares de licença paga. Este último possuiriam pagamento semestral ou anual. 
As principais suítes de escritório Pagos e Gratuitos são, respectivamente, Microsoft 
Office e Libre Office. 
Microsoft Office é a solução da Microsoft para programa de escritório e é a 
solução mais completa que se pode encontrar no mercado. Possui os programas 
Microsoft Word, Microsoft Powerpoint, Microsoft Excel, Microsoft Outlook, Microsoft 
Publisher e Microsoft Access, sendo estes Editor de texto, Editor de apresentações, 
Editor de planilhas, solução para e-mail, Editor de panfletos e um SGDB 
respectivamente. 
Libre Office é a solução da The Document Foundation para programas de 
escritório e é a segunda solução mais usada no mercado por ser uma alternativa 
gratuita ao Microsoft Office. Possui os programas Writer, Impress, Calc, Math, Draw, 
Base, sendo estes Editor e texto, Editor de apresentações, Editor de planilhas, Editor 
de fórmulas matemáticas, Editor de desenhos vetoriais e um SGDB​. 
Além dos programas de produtividade, outro sistema que também faz parte 
dos softwares de escritório é o Antivírus. Antivírus são programas desenvolvidos 
para prevenir, detectar e eliminar vírus de computador e outros tipos de softwares 
nocivos ao sistema operacional. No mercado existem várias soluções de antivírus, 
tanto pagos quanto gratuitos, ambos realizam o básico de um antivírus que é a 
detecção e eliminação destes com um diferencial dos softwares pagos que oferecem 
proteção web, proteção firewall entre outros. 
Após a pesquisa realizada, foi constatado que o Departamento de Tecnologia 
da Informação - DTI da UNIR faz a utilização da suíte de escritório LibreOffice devido 
às limitações de aquisição de licença da solução da Microsoft. 
3.5. SEGURANÇA 
Segurança da Informação é a disciplina que envolve um conjunto de medidas 
necessárias por garantir que a confidencialidade, integridade e disponibilidade das 
informações de uma organização ou indivíduo de forma a preservar esta informação 
de acordo com necessidades específicas. Com o uso de redes de computadores 
surgiu diversas possibilidades de utilização eficientes das informações entre 
 
 
computadores, o que também possibilitou um aumento das atividades contra a 
segurança destas, de forma física e lógica. 
Ao passo que o software de antivírus utilizado é a Central de Segurança do 
Windows, que é um software de proteção ​built-in do SO da Microsoft. Este executa 
verificações por vírus tanto no sistema quanto nas páginas da web, além de oferecer 
proteção firewall e de redes domésticas. 
Na UNIR, tendo em vista o uso crescente de computadores com acesso sem 
fio à internet, foi inserida uma infraestrutura adequada para provimento desse 
serviço com algumas políticas de controle de acesso, conforme elencado pela DTI 
(2017, p.24) no plano diretor: 
… A permissão de acesso para alunos será provida por credenciais 
acadêmicas e visitantes será liberada as páginas institucionais e 
governamentais ou casos específicos. A UNIR possui equipamentos de rede 
sem fios operando uniformemente em toda a IFES, uma estrutura 
apropriada operando interligada a um equipamento controlador de forma 
centralizada, controlada, monitorada e padronizada. Dessa forma, além de 
poder oferecer acesso aos alunos e visitantes dos campi e da Reitoria, 
maximiza a segurança às informações institucionais… 
Quanto ao nível da segurança da rede da UNIR é mediana, sendo 
necessárias alterações com o objetivo de aumentar o nível de segurança dos dados 
trafegados na rede. (PDTI, p.24) 
O acesso de cada campus da UNIR aos computadores servidores e serviços 
providos pela rede ao data center da UNIR é realizado por um canal fechado de 
comunicação (através da Internet) devido a serviço prestados pela operadora nos 
campi. 
Como a UNIR tende a possuir uma estrutura de comunicação integrada entre 
todos os campi e Reitoria. O desenvolvimento de uma política de segurança da 
informação claramente divulgada e descrida dotará a UNIR de “instrumentos 
jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e 
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, 
o não-repúdio e a disponibilidade dos dados e das informações tratadas, 
classificadas e sensíveis;” (Decreto 3505, de 13 de junho de 2000) além de garantir 
 
 
maior transparência quanto aos cuidados com as informações institucionais além de 
prever como devem ser feitas cópias de segurança, manutenção de serviços, uso de 
recursos institucional. (PDTI, p.24,25) 
Seguindo a metodologia indicada pelo SLTI/MPOG, foi feito um planejamento 
detalhado das ações que devem ser realizadas para o atendimento das 
necessidades apresentadas por cada uma das áreas. (PDTI, p.45). 
Em resumo as metas e ações planejadas para a àrea de segurança da 
informação na UNIR: 
Descrição da meta Valor Prazo Descrição da ação Responsável 
Revisar política de 
segurança da 
informação da UNIR 
100% Semestral Propor descontinuação 
da Resolução de TI 
para transformação em 
política de segurança 
da informação 
 
Comitê de SI 
Levantar as 
informações da ISO 
27001 pertinentes a 
UNIR 
Comitê de SI 
Definir política de 
segurança da 
informação para cada 
item 
Comitê de SI 
Encaminhar minuta de 
política de segurança 
da informação para 
aprovação 
Comitê de SI 
Propor revisão anual 
da política 
Comitê de SI 
Divulgar política de 
segurança da 
informação 
100% Contínuo Divulgar amplamente a 
política de segurança 
da informação 
Comitê de SI 
 
 
 
 
 
 
 
 
4. CONSIDERAÇÕES FINAIS 
Como vimos ao decorrer do artigo, dentro das organizações o papel da TI é 
estratégico e de controle, assim a TI pode trazer de retorno positivo e significativo 
para as organizações, garantindo conformidade e alinhamento com os objetivos e 
metas a serem cumpridas. 
No estudo de caso apresentado, percebeu-se que mesmo que a IES tenha os 
planos de planejamento (PDI, PDTI, PETI e PDA) relacionados a governança, a 
organização ainda está em estágio de desenvolvimento em que os objetivos 
estratégicos podem ser classificados entre os níveis 0 e 1 (conforme modelos de 
gerenciamentos), mas é válido ressaltar que os encaminhamentos das demandas do 
setor tendem a evoluir periodicamente. 
Devido a isso, constatou-se também que a TI não deve ser uma área 
independente dentro de uma instituição, ela deve estar relacionada sempre com 
todos os negócios de modo que os investimentos e análise de riscos atendam as 
demandas da organização. 
Todas as recomendações dos modelos de governança das boas práticas 
existentes auxiliam na preservação e melhora do valor da organização, do acesso a 
recursos e contribui na sua durabilidade. 
 
REFERÊNCIAS 
 
DTI/UNIR, ​Governança. ​Disponível em: <http://www.dti.unir.br/pagina/exibir/10125>. 
Acesso em: 10 de novembro de 2019. 
 
UNIR. ​Resolução nº 90/CONSAD/2009​. Porto Velho: CONSAD, 2009. 
 
UNIR. ​ATA DA 1ª REUNIÃO DO COMITÊ GESTOR DE TECNOLOGIA DA 
INFORMAÇÃO DA UNIVERSIDADE FEDERALDE RONDÔNIA​. Porto Velho: 
DTI/UNIR, 2011. 
 
UNIR. ​Resolução nº 165/CONSAD​. Porto Velho: CONSAD, 2016. 
 
 
 
UNIR.​ Plano Diretor de TI (PDTI) 2017 – 2018​. Porto Velho: PROPLAN/DTI, 2017. 
 
LIMA, Renato Silva de. ​Práticas de Governança de TI (COBIT, BSC)​. Disponível 
em: <​https://pt.scribd.com/document/341774722/Governanca-de-TI​>. Acesso em: 24 
nov. 2019. 
 
OLIVEIRA, Rômulo Silva de; CARISSIMI, Alexandre d. S.; TOSCANI, Simão S.; 
Sistemas operacionais​ 4. ed. Disponível em: 
<https://books.google.com.br/books?hl=pt-BR&lr=&id=9SdddkKFtlYC&oi=fnd&pg=P
R7&dq=sistemas+operacionais&ots=kXtJk01P1J&sig=91jNVHur1ll45MIamDjzNoDe
MpU#v=onepage&q=sistemas%20operacionais&f=false> . Acesso em: 12 nov. 2019. 
 
BALIEIRO, Ricardo. ​Sistemas operacionais​. Rio de Janeiro: SESES, 2015. 144p. 
 
SUÍTE DE ESCRITÓRIO. In: ​WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia 
Foundation, 2019​. Disponível em: 
<​https://pt.wikipedia.org/w/index.php?title=Su%C3%ADte_de_escrit%C3%B3rio&oldi
d=55885088​>. Acesso em: 1 ago. 2019. 
 
ANTIVÍRUS. In: ​WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 
2019​. Disponível em: 
<​https://pt.wikipedia.org/w/index.php?title=Antiv%C3%ADrus&oldid=56037353​>. 
Acesso em: 19 ago. 2019. 
 
O que é Segurança da Informação?. In: ​PORTAL GSTI​. Disponível em: 
<https://www.portalgsti.com.br/seguranca-da-informacao/sobre/>. Acesso em: 20 
ago. 2019. 
 
https://pt.scribd.com/document/341774722/Governanca-de-TI