You are on page 1of 61

Braslia-DF, 2008.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

Governana de Tecnologia
da Informao

Elaborao:

Mauricio Santos Evangelista


Avaliao e reviso:

Governana de Tecnologia da Informao

Equipe Tcnica do CETEB

DOCUMENTO DE PROPRIEDADE DO CETEB / GIP


TODOS OS DIREITOS RESERVADOS

Nos termos da legislao sobre direitos autorais, proibida a reproduo total ou parcial
deste documento, por qualquer forma ou meio eletrnico ou mecnico, inclusive por
processos xerogrficos de fotocpia e de gravao sem a permisso expressa e por
escrito do CETEB.

Universidade Gama Filho

Sumrio

Apresentao .......................................................................................................................................... 04
Organizao do Caderno de Estudos e Pesquisa .................................................................................. 05
Organizao da Disciplina ..................................................................................................................... 06
Introduo .............................................................................................................................................. 07
Unidade I Governana de TI e suas Melhores Prticas .................................................................... 09
Captulo 1 Conceitos Bsicos sobre Governana Corporativa e de TI .......................................... 09
Captulo 2 Tecnologia da Informao um Ativo da Organizao .................................................. 15
Captulo 3 Arqutipos da Governana de TI ................................................................................ 21
Captulo 4 Mecanismos para Elaborao da Governana de TI .................................................... 24
Unidade II Metodologias e Padres .................................................................................................... 29
Captulo 5 Information tecnhology Infrastructure Library ITIL ................................................. 29
Captulo 6 Control Objectives for Information and Related Tecnhology CobiT .......................... 39
Captulo 7 BSS 7799 (ISO17799) .............................................................................................. 48
Unidade III A Norma ISO 20000 ......................................................................................................... 53
Captulo 8 Conceituaes da Norma ISO 20000 ......................................................................... 53
Captulo 9 Abordagem do Processo ........................................................................................... 55
Para (no) Finalizar ................................................................................................................................ 57

Ps-Graduao a Distncia

Referncias ............................................................................................................................................. 58

Direitos reservados ao CETEB

Apresentao

Caro aluno,

Bem-vindo disciplina Governana de Tecnologia da Informao.


Este o nosso Caderno de Estudos, material elaborado com o objetivo de contribuir para a realizao e o desenvolvimento
de seus estudos, assim como para a ampliao de seus conhecimentos no tocante a Governana de Tecnologia da
Informao.
Para que voc se informe sobre o contedo a ser estudado nas prximas semanas, conhea os objetivos da disciplina, a
organizao dos temas e o nmero aproximado de horas de estudo que devem ser dedicadas a cada unidade.
A carga horria desta disciplina de 40 (quarenta) horas, cabendo a voc administrar seu tempo conforme a sua
disponibilidade. Mas, lembre-se, h uma data limite para a concluso do curso, implicando a apresentao ao seu tutor
das atividades avaliativas indicadas na folha anexa, que contm as respectivas pontuaes e prazos determinados.
Os contedos foram organizados em unidades de estudo, subdivididas em captulos de forma didtica, objetiva e
coerente. Eles sero abordados por meio de textos bsicos, com questes para reflexo, que faro parte das atividades
avaliativas do curso; sero indicadas tambm fontes de consulta para aprofundar os estudos com leituras e pesquisas
complementares.
Desejamos a voc um trabalho proveitoso sobre os temas abordados nesta disciplina! Lembre-se de que, apesar de
distantes, podemos estar muito prximos.

Governana de Tecnologia da Informao

A Coordenao do PosEAD

Universidade Gama Filho

Organizao do Caderno de Estudos e Pesquisa

Organizao do Caderno de Estudos e Pesquisa

Apresentao: Mensagem da Coordenao do PosEAD ao cursista.


Organizao da Disciplina: Apresentao dos objetivos e carga horria das Unidades.
Introduo: Contextualizao do estudo a ser desenvolvido pelo aluno na disciplina, indicando a importncia desta para
a sua formao acadmica.
cones utilizados no material didtico:
Provocao: Pensamentos inseridos no material didtico para provocar a reflexo sobre sua prtica
e seus sentimentos ao desenvolver os estudos em cada disciplina.

Para refletir: Questes inseridas durante o estudo da disciplina, para estimul-lo a pensar a respeito do
assunto proposto. Registre aqui a sua viso, sem se preocupar com o contedo do texto. O importante
verificar seus conhecimentos, suas experincias e seus sentimentos. fundamental que voc reflita
sobre as questes propostas. Elas so o ponto de partida de nosso trabalho.

Textos para leitura complementar: Novos textos, trechos de textos referenciais, conceitos de
dicionrios, exemplos e sugestes, para apresentar novas vises sobre o tema abordado no texto
bsico.
Sintetizando e enriquecendo nossas informaes: Espao para voc fazer uma sntese dos textos
e enriquec-los com a sua contribuio pessoal.

Sugesto de leituras, filmes, sites e pesquisas: Aprofundamento das discusses.

Para (no) finalizar: Texto, ao final do Caderno, com a inteno de instig-lo a prosseguir na
reflexo.
Referncias: Bibliografia consultada para a elaborao do curso. Voc poder consult-la tambm.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

Praticando: Atividades sugeridas, no decorrer das leituras, com o objetivo pedaggico de fortalecer
o processo de aprendizagem.

Organizao da Disciplina

Ementa da disciplina:
Conceitos relacionados Governana de Tecnologia da Informao e sua necessidade atual nas empresas; Conceitos
e aplicaes que tornam importantes a aplicao da Governana Corporativa nas Organizaes, sejam elas do ramo de
prestadoras de servios de Tecnologia da Informao ou empresas que utilizam a tecnologia como suporte aos seus
processos; As melhores prticas de Governana de Tecnologia da Informao; Metodologias e padres de governana
em Tecnologia da Informao; A norma ISO 20000.

Objetivos:
Apresentar as principais metodologias voltadas para a rea da Governana de Tecnologia da Informao;
Conhecer os procedimentos para um alinhamento entre as reas de Tecnologia da Informao e a estratgia
de negcios de uma empresa;
Apresentar os mecanismos para a implantao da Governana de Tecnologia da Informao;
Refletir sobre o Alinhamento Estratgico, a Governana de Tecnologia da Informao e o Desempenho das
Organizaes;
Identificar e apresentar as normas que interagem com a Governana de Tecnologia da Informao.

Unidade I Governana de TI e suas Melhores Prticas


Carga horria: 15 horas
Contedo
Conceitos Bsicos sobre Governana Corporativa e de TI
Tecnologia da Informao um Ativo da Organizao
Arqutipos da Governana de TI
Mecanismos para elaborao da Governana de TI

Captulo
1
2
3
4

Unidade II Metodologias e Padres

Governana de Tecnologia da Informao

Carga horria: 15 horas

Contedo
Information Tecnhology Infrastructure Library ITIL
Control Objectives for Information and Related Tecnhology CobiT
BSS 7799 (ISO17799)

Captulo
5
6
7

Unidade III A Norma ISO 20000


Carga horria: 10 horas
Contedo
Conceituaes da Norma ISO 20000
Abordagem do Processo

Captulo
8
9

Universidade Gama Filho

Introduo

O que no se pode medir, no se pode gerenciar.


Peter Drucker

A nfase dos gestores de Tecnologia da Informao, hoje, est direcionada ao desenvolvimento global da organizao,
enfocando sempre o negcio ou a atividade principal da organizao. Para uma boa gesto da Tecnologia da Informao,
recomenda-se uma gesto participativa, vinculada alta administrao e com trabalhos conjuntos com os clientes ou
usurios.
Como as informaes das empresas esto, na maioria, armazenadas em sistemas de informaes, em forma digital, o
setor de Tecnologia da Informao passou a desempenhar um papel fundamental na governana das organizaes. As
demandas por mais controle, a transparncia e a previsibilidade das organizaes tornaram ainda mais necessria, a
Governana de Tecnologia da Informao TI. As origens dessas demandas datam do comeo dos anos 90, quando as
questes relativas qualidade ganharam uma enorme importncia no cenrio mundial.
Nesse sentido, o primeiro momento do curso tem, como proposta, mostrar os principais conceitos e as aplicaes que
tornam importante a utilizao da Governana de Tecnologia da Informao nas organizaes; em seguida, percorreremos
as principais metodologias, os padres e as melhores prticas da Governana de Tecnologia da Informao, incluindo
ITIL, COBIT e ISO 17799.

Ps-Graduao a Distncia

Finalizando este Caderno, estudaremos a norma ISO 20000, destinada para a rea de servio. Tal norma se tem mostrado
importante na composio da Governana de Tecnologia da Informao, devido esse ltimo recurso nada mais ser do
que um conjunto de preciosos servios.

Direitos reservados ao CETEB

Universidade Gama Filho

Governana de Tecnologia da Informao

Governana de TI e suas Melhores Prticas

Unidade I
Unidade I

Governana de TI e suas Melhores


Prticas
Captulo 1 Conceitos Bsicos sobre Governana Corporativa e de TI

Se a empresa mudar apenas a tecnologia e continuar a realizar


as atividades da mesma forma como elas eram realizadas com a
tecnologia antiga, alm de no garantir o sucesso do investimento,
pode levar a empresa falncia.
Tadeu Cruz, 1998

No conseguimos definir ao certo quando a importncia da Tecnologia da Informao ficou clara para ns. Sabemos sim,
que esse processo ocorreu de forma gradativa ao longo dos anos, envolvendo conversas com administradores e diversos
estudos de pesquisa, e ns ficamos convencidos de que a Governana de TI o mais importante fator de gerao de valor
de negcio de Tecnologia da Informao. Nossa certeza a de que a Governana de TI pode, em longo prazo, produzir
o paradoxo gerencial de incentivar e fomentar a engenhosidade de todas as pessoas da empresa e, ao mesmo tempo,
assegurar a observncia da viso e dos princpios gerais da empresa.

Um excelente exemplo de diretrizes para uma boa governana corporativa foi publicado, em 1999, pela Organizao e
o Desenvolvimento Econmico OCDE, chamado de Princpios de Governana Corporativa. Tais diretrizes definem a
governana corporativa como a criao de uma estrutura que determinasse os objetivos organizacionais e monitorasse
o desempenho para assegurar a concretizao desses objetivos. vlido lembrar que no existe um modelo nico de
boa governana corporativa. A seguir, veremos um diagrama elaborado pelo Center for Information Systems Research
CISR, da MIT Sloan School que serve para associar as Governanas Corporativas e de TI.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

Antes de entramos no conceito de Governana de TI, devemos tratar a questo mais ampla da governana corporativa
nas organizaes. A Governana Corporativa tornou-se um tema dominante nos negcios por ocasio dos escndalos
corporativos ocorridos em meados de 2002 Enron, Worldcom e Tyco, para citar apenas alguns. O interesse na governana
corporativa no novo, mas a gravidade dos impactos financeiros desses escndalos abalou a confiana de investidores
e criou uma preocupao com a habilidade e a determinao das empresas privadas de proteger seus administradores,
funcionrios, acionistas, parceiros, clientes e usurios. Uma boa governana corporativa importante para os investidores
profissionais. Grandes instituies atribuem governana corporativa o mesmo peso que aos indicadores financeiros
quando avaliam decises de investimento.

Governana de TI e suas Melhores Prticas

Unidade I

Figura 1 Associao entre as governanas corporativas e de TI

A parte superior do diagrama mostra os relacionamentos no conselho. A equipe executiva snior, como agente do conselho,
articula estratgias e comportamentos desejveis para cumprir as determinaes do conselho. A metade inferior identifica
os seis ativos principais por meio dos quais as empresas concretizam suas estratgias e geram valor de negcio. As
equipes executivas seniores criam mecanismos para governar a administrao e a utilizao de cada um desses ativos,
tanto independentemente quanto em conjunto. Os elementos essenciais de cada ativo so estes:
Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatrios, competncias.

Governana de Tecnologia da Informao

Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber.

10

Ativos fsicos: prdios, fbricas, equipamentos, manuteno, segurana, utilizao.


Ativos de propriedade intelectual: expertise da organizao no desenvolvimento de produtos, prestao
de servios e processos devidamente patenteados, registrado ou embutido nas pessoas e nos sistemas da
empresa.
Ativos de informao e TI: dados digitalizados, informaes e conhecimentos sobre clientes, desempenho
de processos, finanas, sistemas de informao.
Ativos de relacionamento: relacionamentos dentro da empresa, bem como marca e reputao junto a clientes,
fornecedores, unidade de negcio, rgos reguladores, concorrentes, revendas autorizadas.
A governana dos principais ativos ocorre por meio de mecanismos organizacionais, tais como: estruturas, processos,
comits, procedimentos e auditorias. Alguns mecanismos so exclusivos de um dado ativo, como, por exemplo, o comit
Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

de arquitetura de TI, e outros cruzam e integram vrios tipos de ativos, assegurando a sinergia entre esses ativos. A
maturidade na governana desses seis ativos principais varia, significativamente, na maioria das corporaes, com os
ativos financeiros e fsicos sendo tipicamente os mais bem-governados, e os ativos de informao figurando entre os
piores.
Ainda analisando Figura 1, vemos que, na base do diagrama, encontram-se os mecanismos utilizados para governar
cada um dos seis ativos. Quando temos a empresa com mecanismos comuns para vrios ativos, obtemos um melhor
desempenho.

Como exerccio de esclarecimento, esboce rapidamente uma lista


dos mecanismos utilizados em sua empresa para governar cada um
dos seis ativos.
No somente a criao de mecanismos de governana comuns entre os ativos aumentar a integrao, como um nmero
menor resultante de mecanismos os tornar mais fceis de comunicar e implantar. A educao da equipe de alta gerncia
sobre como os mecanismos de governana se combinam e atuam em favor da empresa uma tarefa essencial e constante
para que se tenha uma governana efetiva. Costuma-se afirmar que muitos benefcios tangveis esto espera de uma
Governana de TI melhor.
"Governana Corporativa o sistema pelo qual, as sociedades so dirigidas e monitoradas, envolvendo
os relacionamentos entre acionistas/cotistas, conselho de administrao, diretoria, auditoria
independente e conselho fiscal. As boas prticas de Governana Corporativa tm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade".
(Instituto Brasileiro de Governana Corporativa IBGC)

A definio do Instituto Brasileiro de Governana Corporativa IBGC, criado em 1994, no intuito de torna-se referncia
em Governana Corporativa. uma entidade cultural de mbito nacional sem fins lucrativos, destinada a colaborar com
a qualidade da alta gesto das organizaes brasileiras.

Origem de uma boa Governana:


http://www.ibgc.org.br
Aps ter apresentado e definido a Governana Corporativa, e antes de ingressarmos de fato na Governana de TI, veja,
a seguir, algumas definies importantes que so comuns nesse ambiente e que so importantes para o nosso curso.

Chief Financial Officer CFO: pessoa que exerce o cargo de diretor financeiro de uma empresa.
Chief Information Officer CIO: pessoa que exerce o cargo de diretor de Tecnologia da Informao de uma
empresa.
Stakeholders: pessoas que possuem algum tipo de envolvimento profissional ou pessoal com uma empresa:
administradores, funcionrios, acionistas, parceiros, clientes, usurios etc.
Framework: expresso muito utilizada em Governana de TI, para definir qualquer atividade, processo, ao
e melhores prticas para se atingir um objetivo.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Chief Executive Officer CEO: pessoa que exerce o cargo de diretor-executivo ou diretor-geral de uma
organizao ou empresa.

11

Governana de TI e suas Melhores Prticas

Unidade I

Desses conceitos descritos, procure se aprofundar sobre os de um


CIO. Identifique as suas funes, seu poder de influncia em uma
empresa e a constituio da sua equipe subordinada.
Para governar TI, podemos aprender muito com uma boa governana financeira e corporativa. Por exemplo, o CFO (diretor
financeiro) no assina todos os cheques nem autoriza todos os pagamentos. Em vez disso, estabelece uma governana
financeira especificando quem pode tomar essas decises e como. Em seguida, examina a carteira de investimentos da
empresa e administra o fluxo de caixa e a exposio a riscos. Ele acompanha uma srie de indicadores para administrar os
ativos financeiros da empresa, intervindo somente quando houver problemas ou oportunidades de melhorias no processo.
Princpios similares aplicam-se a quem pode comprometer a empresa com um contrato ou parceria. Toda essa analogia
deve ser aplicada Governana de Tecnologia da Informao.
"Governana de TI: a especificao dos direitos decisrios e do framework de responsabilidades
para estimular comportamentos desejveis na utilizao da TI". (Peter Weill e Jeanne W. Ross,2004
Governana de TI, p. 8)

Nessa definio da Governana de TI, Perter Weill e Jeanne W. Ross tentam capturar sua simplicidade direitos
decisrios e responsabilidade e sua complexidade comportamentos desejveis que diferem de empresa para empresa.
A governana determina quem toma decises. A administrao o processo de tomar e implantar decises. Por exemplo,
a governana determina quem tem direito de decidir sobre quanto a empresa investir em TI. A administrao determina
a quantia efetivamente a ser investida num dado ano e as reas em que ocorrer o investimento.

Como exerccio, esboce rapidamente uma lista contendo os


nomes das pessoas que so responsveis pelas decises na sua
organizao.
A alta gerncia estabelece os direitos decisrios e as responsabilidades pela TI para estimular os comportamentos
desejveis na empresa. Se o comportamento desejvel envolver unidades de negcio independentes e empreendedoras, as
decises de investimento em TI cabero primariamente aos lderes dessas unidades. Em contraste, se o comportamento
desejvel envolve uma viso unificada da empresa por parte do cliente, com um nico ponto de contato, um modelo mais
centralizado de governana de investimentos em TI funcionar melhor.

Governana de Tecnologia da Informao

Para termos uma Governana de TI eficaz, devemos dar tratamento a trs questes:

12

1. Quais decises devem ser tomadas para garantir a gesto e o uso eficazes de TI?
2. Quem deve tomar essas decises?
3. Como essas decises sero tomadas e monitoradas?
A seguir, veremos na tabela 1, Matriz de Arranjos de Governana, que representa as duas primeiras questes referentes
Governana de TI: quais decises devem ser tomadas e quem deve tom-las? Os ttulos das colunas listam cinco
decises de TI inter-relacionadas.
Princpios de TI esclarecendo o papel de negcio da TI.
Arquitetura de TI definindo os requisitos de integrao e padronizao.
Infra-estutura de TI determinando servios compartilhados e de suporte.
Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

Necessidade de aplicaes de negcio especificando a necessidade comercial de aplicaes de TI, compradas


ou desenvolvidas internamente.
Investimentos e priorizao de TI escolhendo quais iniciativas financiar e quanto gastar.
Essas cinco decises-chave esto inter-relacionadas e requerem vinculao para que haja uma governana eficaz
tipicamente fluindo da esquerda para a direita na tabela. Por exemplo, os princpios de TI motivam a arquitetura, que
leva infra-estrutura. A infra-estrutura habilita o desenvolvimento de aplicaes com base nas necessidades de negcio,
especificadas, freqentemente, pelos detentores dos processos comerciais. Finalmente, os investimentos em TI devem
ser motivados pelos princpios, pela arquitetura, pela infra-estrutura e pelas necessidades de aplicaes. Sabemos que na
prtica uma ou mais pessoas so responsveis por tomar cada uma dessas decises. Tipicamente, muito mais pessoas
contribuem para o processo decisrio. A Governana de TI envolve a definio de quem ser responsvel por tomar as
decises ou contribuir para elas. Os ttulos das linhas da Tabela 1 listam um conjunto de arqutipos* para especificar os
direitos decisrios. Em Governana de TI, os grandes autores e pesquisadores do tema adotaram os arqutipos polticos,
embora exagerados a grande maioria dos administradores identificam-se com esses esteretipos. Cada arqutipo identifica
o tipo de pessoa envolvida em tomar uma deciso em TI.
Monarquia de negcio os altos gerentes.
Monarquia de TI os especialistas em TI.
Feudalismo cada unidade de negcio toma decises independentes.
Federalismo combinao entre o centro corporativo e as unidades de negcio, com ou sem envolvimento do
pessoal de TI.
Duoplio de TI o grupo de TI e algum grupo.
Anarquia tomada de decises individual ou por pequenos grupos de modo isolado.
Deciso
Arqutico

Princpios de TI

Arquitetura
de TI

Estratgias de
Infra-estrutura
de TI

Necessidades
de aplicaes
de negcio

Investimentios
em TI

Monarquia de negcio
Monarquia de TI
Feudalismo
Federalismo
Duoplio
Anarquia
No se sabe

Juntos, esses arqutipos descrevem todos os arranjos decisrios que j foram encontrados. A maioria das empresas
utiliza uma variedade de arqutipos para as cinco decises. O desafio no preenchimento dessa tabela (Tabela 1) est em
determinar quem deve ter a responsabilidade por tomar e contribuir com cada tipo de deciso de governana.
Se a Matriz de Arranjos de Governana (Tabela 1) organiza os tipos de decises e os arqutipos do processo decisrio,
a terceira questo como essas decises sero tomadas e monitoradas requer a formulao e a implantao de
mecanismos de governana, como comits, funes e processos formais.

Ps-Graduao a Distncia

Tabela 1 Matriz de Arranjos de Governana

* o primeiro modelo de alguma coisa. Modelo poltico de governana.

Direitos reservados ao CETEB

13

Governana de TI e suas Melhores Prticas

Unidade I

Vimos que as empresas tomam cinco tipos de decises de TI, em vrios nveis organizacionais, empregando uma
variedade de mecanismos, ficando claro para ns a constatao de como as aes individuais podem agir contra, ao
invs de harmonizarem-se. A complexidade e dificuldade de explicar a Governana de TI uma das mais srias barreiras
ao seu aprimoramento. Um estudo feito pelo Center for Information Systems Research CISR, constatou que o melhor
indicador de desempenho para Governana de TI a porcentagem de administradores em cargos de liderana capazes de
descrev-la corretamente. Algo que agrava os problemas de governana o fato de que a maioria dos altos executivos
no tem familiaridade com sua governana. Nesse estudo, constatou-se tambm que, em mdia, somente 38% dos
administradores em cargos de liderana nas empresas poderiam descrever com preciso sua Governana de TI. Em
empresas com desempenho de governana acima da mdia, 45% ou mais dos administradores conseguiam descrev-la
corretamente. Em umas poucas empresas de altssimo desempenho, 80% dos executivos seniores estavam familiarizados
com sua Governana de TI.

Qual a porcentagem de administradores em cargo de liderana que


sabem descrever qual a Governana de TI da sua empresa?

Governana de Tecnologia da Informao

Para nos ajudar a entender, comunicar e sustentar uma governana eficaz, o CISR, props um Framework de Governana
de TI aqui esboado na Figura 2. Esse Framework ilustra a harmonizao (setas horizontais) entre a estratgia e a
organizao da empresa, os arranjos de Governana de TI e as metas de desempenho do negcio. A estratgia da empresa,
os arranjos de governana e as metas de desempenho so postos em prticas, respectivamente, pela organizao da TI e
comportamentos desejveis, por mecanismos de governana e por mtricas. O Framework ilustra, tambm, a necessidade
de harmonizar a Governana de TI com a governana dos outros ativos principais.

14

Figura 2 Framework de Governana de TI

Uma Governana de TI eficaz requer uma quantidade significativa de tempo e de ateno da administrao. A pergunta
que voc deve estar se fazendo : A Governana de TI vale a pena? A dependncia crescente das empresas em relao
informao e a TI sugere que sim. Uma boa Governana de TI harmoniza decises sobre a administrao e a utilizao de
TI com comportamentos desejveis e objetivos do negcio. Sem estruturas de governana, cuidadosamente, projetadas
e implantadas, as empresas deixam essa harmonia ao acaso. H muitas razes para que a tomada de decises sobre TI
no sejam deixadas ao lu e, ento, requeira sempre uma boa governana.
Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

Captulo 2 Tecnologia da Informao um Ativo da Organizao

Toda empresa precisa tomar cinco decises inter-relacionadas sobre Tecnologia da Informao: os princpios de TI; a
arquitetura de TI; a infra-estrutura de TI; as necessidades de aplicaes do negcio; os investimentos e a priorizao de
TI. A Figura 3 organiza essas decises enfatizando suas interconexes crticas. A deciso referente aos princpios de TI
fica na parte superior do diagrama, uma vez que ela, por explicitar os objetivos empresariais da TI, estabelece diretrizes
para todas as outras decises. Se os princpios no estiverem claros, improvvel que as outras decises sejam aderidas
de maneira significativa. As decises sobre a arquitetura de TI convertem os princpios de TI em requisitos de integrao
e padronizao e, ento, traam um guia tcnico para prover as capacidades necessrias. As decises relativas aos
investimentos e priorizao da TI mobilizam recursos para converter princpios em sistemas.
Decises sobre os Princpios de TI
Declaraes de alto nvel sobre como a TI utilizada no negcio
Decises sobre a Infra-Estrutura
de TI
Decises sobre a Arquitetura de
TI

Servios de TI, coordenados


Decises sobre os Investimentos
de maneira centralizada e
e Priorizao de TI
compartilhados, que provm a base
Organizao lgica de dados,
para a capacidade de TI da empresa.
aplicaes e infra-estruturas,
Decises sobre quanto e onde
definida a partir de um conjunto de
Necessidade de Aplicaes de investir em TI, incluindo a aprovao
polticas, relacionamentos e opes
Negcio
de projetos e as tcnicas de
tcnicas adotadas para obter a
justificao.
padronizao e a integrao de
Especificao da necessidade
tcnicas e de negcios desejadas.
de negcio de aplicaes de
TI adquiridas no mercado ou
desenvolvidas internamente.
Figura 3 Principais Decises sobre a Governana de TI

Vejamos, ento, as decises a serem tomadas no mbito da TI para sua utilizao eficaz. Essas decises tm de ser
vistas de maneira integrada.

Estabelecendo os Princpios de TI
Os princpios na rea de TI declaram sobre como esse recurso utilizado para auxiliar o negcio da organizao. Portanto,
se os negcios da empresa no estiverem claramente definidos, no conseguimos estabelecer os de TI. O CIO deve ter
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Decises sobre infra-estrutura e aplicaes podem fluir de cima para baixo dos princpios, da arquitetura e dos critrios
de investimento. Nesse caso, a infra-estrutura gera as capacidades necessrias de TI e as aplicaes fazem uso dessas
capacidades. Com a mesma freqncia, necessidades e oportunidades de negcio identificam a necessidade de aplicaes
de TI, que surgem na base para gerar novos requisitos de infra-estrutura. Por fim, as decises de investimento selecionam
e financiam as iniciativas de infra-estrutura e aplicaes, que implantam uma arquitetura projetada para incorporar os
princpios de TI e em ltima instncia os princpios do negcio.

15

Governana de TI e suas Melhores Prticas

Unidade I

acesso a essas informaes. Dessa forma, os princpios de TI so um conjunto relacionado de declaraes de alto nvel
sobre como a Tecnologia da Informao utilizada no negcio. Vejamos, a seguir, um exemplo de princpios de negcio
de uma organizao fabricante de papel e embalagens.
Estmulo das economias de mercado
Padronizao de processos e tecnologias sempre que apropriado
Ferramentas comuns e diversidade nos negcios
Controle de custos e eficincia operacional
Alinhamento e responsividade aos requisitos comerciais negociados
A empresa formulou seus princpios de TI articulando suas expectativas de que a Tecnologia da Informao apoiasse
sua estratgia de negcio. Dessa forma, esses princpios de negcio levaram ao seguinte conjunto de princpios de TI
(metas da Governana de TI).
Custo Total de Propriedade TCO, mnimo com benchmark
Integridade arquitetnica
Infra-estrutura consistente e flexvel
Rpida implantao de novas aplicaes
Valor e responsividade mensurados, aprimorados e comunicados
O principal indicador de um conjunto efetivo de princpios de TI uma trilha clara de evidncias que conduza dos princpios
de negcio aos princpios de administrao de TI. Os princpios de TI podem, tambm, ser utilizados como ferramenta
para educar os executivos. Eles devem definir o comportamento desejvel tanto para profissionais quanto para usurios
de Tecnologia da Informao. Ento, resumidamente, os princpios de TI devem:
Prover diretrizes para que a TI seja utilizada de modo a habilitar a estratgia de negcios da empresa.
Fornecer informao para os executivos tomarem decises sobre investimentos em tecnologia.
Definir o comportamento desejvel tanto para profissionais quanto para usurios dessa tecnologia.

Governana de Tecnologia da Informao

Padronizar a integrao de processos da empresa.

16

Criando uma Arquitetura de TI


Ao mostrar como a TI d suporte aos princpios de negcio, os princpios de TI estabelecem implcita ou explicitamente
os requisitos de padronizao e integrao de processos numa empresa. A arquitetura de TI a organizao lgica dos
dados, aplicaes e infra-estruturas, definida a partir de um conjunto de polticas, relacionamentos e opes tcnicas
adotadas para obter a padronizao e a integrao tcnicas de negcios desejadas. Por prover o direcionamento para a
infra-estrutura e aplicaes, as decises arquitetnicas so cruciais para uma gesto e utilizao eficazes de Tecnologia
da Informao.
Nessa rea, devemos pensar em como organizar, logicamente, as informaes e a infra-estrutura com o objetivo de
apoiar os negcios da empresa. Para organizar as informaes, a padronizao dos dados fundamental, pois s assim
promoveremos uma definio unvoca e um conjunto nico de caractersticas a serem capturados da informao. A
Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

centralizao dos dados uma grande soluo. As arquiteturas devem capturar a organizao lgica em polticas e
escolhas tcnicas. A maioria das escolhas tcnicas no precisa ser comunicada aos altos administradores. Elas so
formuladas em nveis intermedirios.
Existe a necessidade de se definir dados e infra-estrutura que dem suporte a aplicaes mais sujeitas a mudanas. As
necessidades do negcio mudam, constantemente, por isso, as empreses precisam dar flexibilidade a suas arquiteturas.
Desde que a empresa no mude sua misso bsica, a infra-estrutura definida pela arquitetura de TI deve dar suporte a
suas aplicaes de negcios. A distino entre infra-estrutura e aplicaes permite, assim, que as empresas estimulem
as economias de escala preservando flexibilidade para reagir a mudanas.
A habilidade de conceber e construir uma arquitetura baseada em componentes decorrer da experincia da empresa com
a especificao e a posterior implementao de padres tcnicos, de processos e de informaes. Algumas empresas
vm-se movendo rapidamente em direo a arquiteturas baseadas em componentes; outras mal comearam a jornada.

A sua empresa possui uma Arquitetura de TI?

Elaborando uma Infra-estrutura de TI


J que estvamos falando sobre a infra-estrutura, melhor descrever o que temos de levar em considerao. Ela a base
da capacidade de planejamento de TI, tanto no aspecto tcnico quanto nos recursos humanos. Para isso, deve disponibilizar
servios compartilhados e confiveis e ter a capacidade de ser utilizada por mltiplas plataformas tecnolgicas.

Ps-Graduao a Distncia

Para se estabelecer uma infra-estrutura que atenda s necessidades da empresa, quase sempre necessrio investimentos
de grande vulto. Investir pouco resulta em implantaes apressadas para cumprir prazos comerciais; em ilhas de automao
que atendem a necessidades pontuais, sem integrao alguma com o restante da empresa; e no compartilhamento restrito
de recursos informacionais. Com isso, o foco e o oportunismo das iniciativas de infra-estrutura podem ter um impacto
significativo no desempenho da empresa. Na figura a seguir (Figura 4), vemos os vrios elementos da infra-estrutura de TI.

Figura 4 Elementos da infra-estrutura de TI


Direitos reservados ao CETEB

17

Governana de TI e suas Melhores Prticas

Unidade I

Normalmente, os servios a serem disponibilizados pela infra-estrutura incluem:


Servio de rede de comunicao de dados.
Proviso e gerenciamento de equipamentos computacionais.
Desenvolvimento de aplicaes informatizadas.
Base de dados compartilhada.
Criao e acesso a Intranet e Internet.
Isso pode ser feito com recursos internos ou de maneira terceirizada. A infra-estrutura interna de uma empresa,
freqentemente, conecta-se a infra-estruturas externas da indstria (como sistemas de pagamento bancrio) e a infraestruturas pblicas (como a Internet e as redes de telecomunicaes).
A respeito da infra-estrutura, sei que devemos descartar isto aqui e acrescentar aquilo ali todos os
anos. Voc pode desativar as coisas, mas no fim voc vai eventualmente acabar encurralado. Por
isso, tento disponibilizar fundos para renovar continuamente, o que no uma opo muito popular.
(Ken Lacy, CIO da UPS)

Cada um dos servios de infra-estrutura de TI pode situar-se no nvel corporativo (extensvel a toda a empresa) ou no
nvel das unidades de negcio. Muitas organizaes vm transferindo capacidades de infra-estrutura das unidades de
negcios para a empresa como um todo, na busca de objetivos de negcio como economias de escala ou um ponto nico
de contato com o cliente. Determinar onde os servios locais de infra-estrutura devem ser posicionados, de que modo
devem ser apreados, quando devem ser atualizados e se cabe ou no terceiriz-los so decises essenciais de infraestrutura. Possuir a infra-estrutura correta significa prover com boa relao custo/benefcio que capacitem a empresa
em adotar rapidamente novas aplicaes de negcio.

Quais as vantagens e desvantagens de se gerenciar a infraestrutura de uma empresa, utilizando recursos internos ou servios
terceirizados? Tudo na vida tem seus pontos positivos e negativos.

Governana de Tecnologia da Informao

Definindo as Necessidades de Aplicaes de Negcio

18

Embora todas as outras idias vistas anteriormente envolvam o valor de negcio da TI, so as decises referentes
s necessidades de negcios especficas que geram valor diretamente. A identificao da necessidade de negcios
de aplicaes de TI costuma ter dois objetivos conflitantes a criatividade e a disciplina. A criatividade consiste em
identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da TI e envolve a identificao de
aplicaes de negcio que dem suporte a objetivos de negcio estratgicos e facilitem experimentos de negcios. A
disciplina consiste na integridade arquitetnica assegurando que as aplicaes aproveitem e amplifiquem a arquitetura de
empresa, ao invs de solapar seus princpios. A disciplina envolve, tambm, foco, comprometendo os recursos necessrios
para concretizar metas de projetos e negcios. Descreveremos agora decises gerenciais que resultam em aplicaes
de negcio criativas e disciplinadas.
As empresas precisam de um fluxo constante de experimentos para identificar e aproveitar novas oportunidades de mercado
e evitar a obsolescncia. Alguns desses experimentos transformar-se-o em melhorias; outros fracassaro rapidamente. O
fluxo de experimentos gera energia criativa e alerta continuamente os administradores quanto s mudanas de condies
de mercado, permitindo-lhes identificar o prximo grande negcio.

Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

As empresas precisam identificar que experimentos podero ser aproveitados para buscar financiamento e avaliao mais
pormenorizada, de maneira que lhes sejam possvel sustentar o ciclo constante de idias criativas e, tambm, abandonar
projetos malsucedidos antes de terem investidos grandes quantias de dinheiro.

Todos esses procedimentos seguem o ciclo PDCA. Voc o conhece?


Pesquise sobre o citado ciclo. Ele poder ser utilizado em vrias
situaes na sua vida.
Solues criativas podem gerar interessantes desafios tcnicos, sobretudo, quando as empresas compram pacotes prontos
dos fabricantes para atender s suas necessidades. As empresas bem-sucedidas tm consistentemente se mostrado
dispostas a sacrificar a funcionalidade em prol de sustentar a integridade arquitetnica.
A minha funo supervisionar a arquitetura e assegurar que ela evolua com o tempo para atingir
os resultados desejados. A condio implcita que sejam escolhidas aplicaes que se ajustem ao
contexto de nossa arquitetura. Se for uma aplicao obrigatria, encontre um que funcione com esta
arquitetura. Se no encontrar, ento conversaremos. (Descrio do modelo empregado pelo CIO da
empresa Meadwestvaco).

Sustentar a integridade arquitetnica exige uma disciplinada coordenao de suas demandas com o portfolio de projetos
da empresa. Decises sobre necessidades de aplicaes de negcio requerem pensadores criativos e gerentes de projetos
disciplinados.

Decidindo sobre Investimentos e Priorizao de TI


A deciso de investimento em TI , freqentemente, a mais visvel e controversa das cinco decises-chave de TI. Alguns
projetos so aprovados, outros so repelidos e o restante passa pelo equivalente organizacional da animao suspensa,
com temida solicitao dos tomadores de deciso de refazer o plano de negcio ou prover mais informaes. As
empresas que obtm o valor superior de TI concentram seus investimentos em suas prioridades estratgicas, cientes da
distino entre capacidades de TI que precisamos ter e que seria bom se tivssemos.
Investir em TI deve ter o mesmo princpio de qualquer outro investimento: o retorno precisa ser decente, seno o negcio
quebra. As decises sobre os investimentos nesse recurso residem em trs pensamentos: quanto gastar, em que gastar
e como conciliar as necessidades dos vrios usurios. Para isso a governana de TI uma ferramenta imprescindvel.

A soluo para esse problema estabelecer os indicadores de sucesso em investimentos de TI. No existe uma frmula
ou indicadores padronizados. Cada CIO deve ter esses indicadores previamente aprovados. As melhores empresas com
retorno de investimentos em TI obedecem esses padres.
Outra soluo inteligente dar um aspecto de negcios aos investimentos de TI, e empresas de diversas reas acham
til considerar esses investimentos como um portfolio, assim como investidores individuais tm portfolios ou carteiras
de investimentos financeiros. Isso permite que os tomadores de deciso alinhem seus portfolios com a estratgia da
empresa e balanceiem riscos e retornos.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

Os retornos incertos de gastos com TI fazem com que muitos executivos se perguntem se esto gastando muito ou
at mesmo, muito pouco. Eles recorrem muitas vezes em benchmarks da indstria como meios de determinar os nveis
apropriados de gastos, concentram-se no papel estratgico que a TI desempenha na organizao e estabelecem um nvel
de custeio para toda a empresa, que habilitar a tecnologia a atingir o seu objetivo.

19

Governana de TI e suas Melhores Prticas

Unidade I

Os investimentos e a priorizao de TI pem o dinheiro e o pessoal da empresa para trabalhar. Se a alta gerncia no
esclareceu ou no comunicou a estratgia da empresa, ou se a estratgia muda freqentemente que no vale a pena investir
na estratgia de hoje, o processo de investimentos de TI vir abaixo. Nenhum framework ou anlise pode substituir uma
direo estratgica clara. Quando um comit de investimento compreende seus objetivos de negcio, ele pode investir
seu dinheiro em TI e gerar retornos significativos.

Verifique se existem essas prticas na sua organizao. Relacione


quais as existentes. Elas atendem aos requisitos vistos? Ela
eficaz? O que fazer para melhorar?

Governana de Tecnologia da Informao

Como resumo e ponto de partida para a formulao da governana, criamos uma srie de perguntas representativas de
cada deciso de TI. Responder devidamente a essas e a questes similares o trabalho das pessoas incumbidas de tomar
decises segundo o Projeto de Governana.

20

Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

Captulo 3 Arqutipos da Governana de TI

Vimos, no captulo anterior, todas as circunstncias que envolvem a TI em uma empresa. Com certeza, chegamos
concluso que esse poderoso recurso no pode mais ser visto como uma simples preocupao de comprar mais ou
menos computadores, se esses equipamentos devem ou no acessar a Internet. um ativo imprescindvel nos dias
atuais. Necessita de preocupao da alta gerncia, de um alto controle e coordenao, portanto, de uma Governana. O
propsito deste captulo oferecer a voc um conjunto de arqutipos e, conseqentemente, de opes para os direitos
decisrios em TI. O captulo utiliza tais arqutipos para descrever como as organizaes tomam as decises sobre
Tecnologia da Informao.
Normalmente, utilizam-se arqutipos polticos (monarquia, feudalismo, federalismo, duoplio e anarquia) para descrever
as combinaes de pessoas que tm o direito decisrio ou contribuem para a tomada de decises de TI. Um desses seis
arqutipos pode descrever como as empresas tomam uma ou mais das cinco decises-chave de TI ou contribui com os
tomadores de deciso.
Estilo
Monarquia de Negcio
Monarquia de TI
Feudalismo
Federalismo
Duoplio de TI
Anarquia

Quem tem direitos decisrios ou de contribuio?


Um grupo de executivos de negcios ou executivos individuais (CxOs). Inclui comits de
executivos seniores de negcios (podendo incluir o CIO). Exclui executivos de TI que atuem
independentemente.
Indivduos ou grupos de executivos de TI.
Lideres das unidades de negcio, detentores de processos-chave ou seus delegados.
Executivos do nvel de diretoria (c-level) e grupos de negcios; incluindo executivos de TI como
participantes adicionais. Equivalente atuao conjunta dos governos federal e estadual.
Executivos de TI e algum outro grupo (os CxOs ou os lderes de unidades de negcios ou
os lderes de processos).
Cada usurio individual.
Tabela 2 Arqutipos de Governana de TI

Monarquia de Negcio
Os altos executivos de negcios tomam decises de TI que afetam a empresa toda. Tipicamente, as monarquias de
negcio aceitam contribuies de muitas fontes para as decises-chave.

Os profissionais de Tecnologia da Informao tomam as decises de TI. As empresas implantam monarquias de TI de


maneiras diferentes, freqentemente, envolvendo profissionais de TI tanto de equipes corporativas quanto de unidades
de negcio.

Feudalismo
O modelo feudal baseado nas tradies da antiga monarquia, em que prncipes, princesas, ou os cavaleiros por eles
escolhidos, tomavam suas prprias decises, otimizando suas necessidades locais. No caso da Governana de TI, a entidade
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Monarquia de TI

21

Governana de TI e suas Melhores Prticas

Unidade I

feudal , tipicamente, a unidade de negcio, a regio ou a funo. De forma geral, o modelo feudal no se mostra muito
comum, pois a maioria das empresas tem buscado uma sinergia entre as unidades de negcio. Esse modelo no facilita
a tomada de decises da empresa como um todo.

Federalismo
O modelo decisrio federalista tem uma longa tradio nos governos. Arranjos federalistas tentam equilibrar as
responsabilidades e cobranas de mltiplos rgos do governo, como pas e estados. Define-se o modelo federalista como
a tomada de decises coordenada que envolve tanto o centro quanto as unidades de negcio. Os representantes das
unidades no modelo federalista podem ser os seus lderes ou os detentores de processos de negcio. Lderes de TI em
nvel corporativo e/ou das unidades de negcio podem tambm,se envolver na governana federalista como participantes
adicionais.
O modelo federalista , sem dvida, o mais difcil arqutipo para a tomada de decises, pois os lderes da organizao tm
preocupaes diferentes das dos lderes das unidades de negcio. Os membros de uma empresa federalista representam
suas prprias responsabilidades exclusivas. Alm disso, os sistemas de incentivo levam os administradores a focarem,
constantemente, nos resultados da unidade de negcio, e no na empresa.
Nos modelos federalistas, as unidades de negcio maiores e mais poderosas, com freqncia, ganham mais ateno
e tm maior influncia sobre as decises. Conseqentemente, as unidades menores esto sempre insatisfeitas e, por
vezes, separam-se da Unio para atender s prprias necessidades. As empresas que adotam estruturas de governana
federalista costumam fazer uso de equipes administrativas e comits executivos para resolver conflitos inerentes.

Duoplio de TI

Governana de Tecnologia da Informao

O duoplio de TI um arranjo entre duas partes em que as decises representam o consenso bilateral entre executivos de
TI e algum outro grupo. Os executivos de TI podem ser um grupo central de TI ou uma equipe composta por organizaes
de TI centrais e das unidades de negcio. O outro grupo pode ser constitudo de CxOs, lderes das unidades de negcio
ou detentores de processos de negcios, ou, ainda, grupos dos principais usurios de sistemas. O duoplio difere do
modelo federalista no sentido de que o arranjo federalista tem sempre representao corporativa com local, ao passo
que o duoplio tem uma ou outra, mas nunca ambas, e inclui, invariavelmente, profissionais de TI.

22

Anarquia
Numa anarquia, indivduos ou pequenos grupos tomam suas prprias decises com base somente em suas necessidades
locais. Anarquias, formalmente sancionadas, so raras, mas existem, sendo adotadas nos casos em que se requer uma
resposta muito rpida a necessidades locais ou de clientes individuais.
A tabela, a seguir (Tabela 3), enumera as caractersticas distintivas dos diferentes arranjos de governana e como se
costuma classificar as empresas.
Executivos de Diretoria
(c-level)
Monarquia de Negcio
Monarquia de TI
Feudalismo

TI corporativa e/ou das


Unidades de Negcio

Lderes das Unidades de Negcio


ou Detentores dos Principais
Processos de Negcio

X
X
X
Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I
X
X
X

Federalismo
Duoplio de TI

X
X
X

X
X
X

Anarquia
Tabela 3 Principais Participantes nos Arqutipos de Governana de TI

Segundo estudos do Center for Information Systems Research CISR, da MIT Sloan School, o padro mais comum
de governana permite colaboraes de base ampla, com direitos decisrios alocados a grupos que variam conforme
a deciso. No caso das trs decises de TI orientadas a negcio (princpios, necessidades de aplicaes de negcio e
investimentos), mais de 80% das empresas permitem a contribuio por meio de um modelo de governana federalista.
Comits, oramentos e processos interfuncionais apresentavam oportunidades de contribuio e feedback referentes a tais
decises. Estruturas federalistas tambm sustentam a contribuio para decises de TI mais tcnicas, mas as abordagens
das empresas em relao a aspectos tcnicos so mais variadas. Os duoplios so, tambm, uma abordagem popular de
contribuio para as decises tcnicas. A abordagem duopolista em matria de contribuio para decises tcnicas tem
objetivos similares aos da abordagem federalista, mas, ao passo que esta ltima abordagem envolve tomadas as unidades
de negcio, o duoplio emprega um conjunto de relacionamentos bilaterais entre a TI e as unidades de negcio.
Alm de procurar contribuies internas para suas decises, muitas firmas tambm as procuram externamente.
Fornecedores, parceiros comerciais, consultores, associaes da indstria, universidades e outros grupos contribuem. Em
geral, no se recomenda a concesso de direitos decisrios a grupos externos em decises-chave de TI (com a exceo
de empresas sem fins lucrativos), como ocorre em alguns arranjos de terceirizao. Mas fontes externas podem oferecer
com freqncia contribuies valiosas.

Ps-Graduao a Distncia

Qual ou quais seriam os arqutipos mais comuns de governana


empregado nas empresas da sua regio?

Direitos reservados ao CETEB

23

Governana de TI e suas Melhores Prticas

Unidade I

Captulo 4 Mecanismos para Elaborao da Governana de TI

"Existem duas coisas que melhor no vermos como so feitas


salsichas e leis."
Peter Weill e Jeanne W. Ross,2004 Governana de TI, p. 87

A sentena acima retirada do livro, Governana de TI, enfatiza que em ambos os casos de elaborao salsichas e
leis um produto bem-embalado resulta de processos caticos. Similarmente, a Governana de TI pode ser catica.
Ela fomenta debates, negociaes, discrdias construtivas, educao mtua e muitas vezes frustrao. O processo
desordenado, mas bons arranjos de governana habilitam indivduos que representam metas conflitantes a reconciliar
suas vises em benefcio de sua empresa.
As empresas desenvolvem seus arranjos de governana por meio de um conjunto de mecanismos de governana
estruturas, processos e comunicaes. Mecanismos bem-concebidos, bem-compreendidos e transparentes promovem
comportamentos desejveis em termos de TI. Por outro lado, se os mecanismos forem mal desenvolvidos, os arranjos
de governana no traro os resultados desejados. No captulo anterior vimos os arqutipos de governana que podem
ser implementados para cada deciso. Neste captulo, trataremos dos mecanismos de governana comuns e como eles
empregam os diferentes arqutipos.

Governana de Tecnologia da Informao

Na figura, a seguir, (Figura 5) observe quinze dos mecanismos mais comuns de Governana de TI. Tal pesquisa foi
realizada em 256 empresas em 23 pases.

24

Figura 5 Mecanismos Comuns de Governana

Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

Uma governana eficaz adota trs tipos diferentes de mecanismos:


Estruturas de Tomadas de Deciso: Unidades e papis organizacionais responsveis por tomar decises de
TI, como comits, equipes executivas e gerentes de relacionamento entre negcios e TI.
Processos de Alinhamento: Processos formais para assegurar que os comportamentos cotidianos sejam
consistentes com as polticas de TI, e contribuam com as decises. Incluem processos de avaliao e proposta
de investimentos em TI, processos de excees de arquitetura, acordos de nvel de servio, cobrana reversa
e mtricas.
Abordagens de Comunicao: Comunicados, porta-vozes, canais e esforos de educao que disseminam
os princpios e as polticas da Governana de TI e os resultados dos processos decisrios em TI.

Estruturas de Tomadas de Deciso


Os mecanismos mais visveis da Governana de TI so as estruturas organizacionais que alocam responsabilidades
decisrias de acordo com os arqutipos pretendidos. Idealmente, toda empresa envolve lderes tanto de TI quanto
de negcios no processo de governana. As estruturas de tomadas de deciso so a abordagem natural para geral
comprometimento embora alguns executivos tenham notoriamente se livrado de suas responsabilidades pela Governana
de TI. Empresas com uma governana eficaz mesclam e combinam estruturas de tomadas de deciso para implementar
arqutipos predefinidos e atingir ao final suas metas organizacionais.

Processos de Alinhamento
As estruturas de tomadas de deciso so o primeiro passo na concepo da Governana de TI. Mas uma governana
eficaz uma questo tanto de aes quanto de decises. Os processos de alinhamento so tcnicas da administrao de
TI para assegurar o envolvimento geral na administrao e utilizao efetiva de Tecnologia da Informao. Os processos
de alinhamento devem levar todos a bordo, tanto contribuindo para as decises de governana quanto disseminando os
produtos das decises de TI. Os principais processos de alinhamento incluem o processo de aprovao de investimentos,
o processo de excees arquitetura, os acordos de nvel de servio, a cobrana reversa, o acompanhamento de projetos
e o rastreamento formal do valor de negcios gerado da TI.

Embora as propostas padronizadas exponham os benefcios e os riscos relativos a cada projeto, elas so menos eficazes
para estabelecer de que modo um projeto proposto contribui para os objetivos estratgicos de uma empresa. A maioria
das empresas incumbe as unidades de negcio e as funes de estabelecer suas prioridades com base em seus prprios
objetivos. Comits de investimento determinam tipicamente o conjunto de projetos que, juntos, proporcionam os maiores
benefcios estratgicos empresa.
Ainda falando sobre os processos de alinhamento, sabemos que poucas empresas podem dar suporte a todas as plataformas
tcnicas que paream teis aos negcios. Os padres tecnolgicos so crticos para a eficincia de TI e dos negcios.
Mas excees ocasionais no apenas so apropriadas, como necessrias. A questo saber como identificar a exceo
ocasional. A resposta o processo de excees arquitetura.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

O objetivo do processo de aprovao de investimentos em TI assegurar que os investimentos gerem retornos significativos
para a empresa em comparao com outras oportunidades alternativas de investimento. A maioria das empresas formaliza
seu processo de proposta de investimentos em TI para garantir que idias criativas e prioridades estratgicas sejam
consideradas pelos tomadores de decises de investimentos. Muitas empresas usam modelos padronizados de solicitao
e aprovao de investimentos, procurando estimar mtricas como Return On Investment ROI, o Valor Presente Lquido
VLP e o risco de cada projeto. Sem modelos de investimento, os tomadores de deciso tm dificuldade em comparar
projetos e podem perder oportunidades de gerar valor, fazendo investimentos com benefcios menos assegurados.

25

Governana de TI e suas Melhores Prticas

Unidade I

com as excees que as empresas aprendem. As empresas adotam o processo de excees para atender a necessidades
de negcios especficas e determinar quando os padres existentes esto se tornando obsoletos. As excees servem
como vlvula de escape para reduzir presses organizacionais. Sem um processo vivel de excees, as unidades de
negcio ignoram os padres da empresa e implementam-nas sem nenhuma aprovao. Essa abordagem provoca tenses
organizacionais que se acumulam com o tempo medida que mais excees no autorizadas ocorrem. Pior ainda, as
excees no autorizadas privam a empresa da oportunidade de aprender.
Os comits de arquitetura costumam ser responsveis pelo estabelecimento de padres. Em muitos casos, o comit de
arquitetura assume tambm a responsabilidade por autorizar excees aos padres. Esses comits, entretanto, podem
facilmente se atolar em batalhas insignificantes, criando um gargalo para as implementaes de TI. Para evitar esse dilema,
a maioria das solicitaes de exceo de arquitetura deve ser resolvida antes de chegar ao comit de arquitetura.
Os processos de exceo mais bem-sucedidos resolvem a maioria das questes no nvel da equipe de projetos, passando
logo adiante quaisquer pedidos de exceo potencialmente estratgico. Uma abordagem pr um arquiteto de TI em
todas as equipes de projetos. Os arquitetos esclarecem padres e resolvem debates menores. Tambm podem ajudar
a equipe de projetos a elaborar seus argumentos para excees com valor. Em empresas em que a padronizao se
ajusta facilmente, por exemplo, nas empresas que enfatizam operaes de baixo custo, os pedidos de exceo so,
necessariamente, raros. Os arquitetos de projetos compreendem a expectativa de que as implementaes de sistemas
devem-se conformar aos padres.
Passemos agora para os Acordos de Nvel de Servio (Service Level Agreement SLAs). Estes, usados pela grande maioria
das empresas, enumeram os servios disponveis, os nveis alternativos de qualidade e respectivos custos. Por meio de
negociaes entre a unidade de servio de TI e as unidades de negcio, um SLA permite a articulao das ofertas de
servios de TI e de seus custos. Essas negociaes esclarecem os requisitos das unidades de negcio, informando com
isso as decises da governana sobre a infra-estrutura, a arquitetura e as necessidades de aplicaes de negcios. Os
SLAs estimulam, freqentemente, comparaes com provedores externos. As comparaes devem resultar na prestao
de servios internos com boa relao de custo/benefcio ou na deciso de terceirizar alguns servios de infra-estrutura
em ambos os casos com resultados desejveis.

Governana de Tecnologia da Informao

Os SLAs estimulam tambm as unidades de negcio a serem mais conscienciosas em suas solicitaes de TI. Tempos de
resposta, garantidos em fraes de segundos para transaes Web, custam tipicamente mais do que tempos de resposta
de 3 segundos. Similarmente, um tempo de resposta garantido em 30 minutos para uma estao de trabalho que sofra
panes mais caro do que um de 4 horas. Um representante de servios de clientes numa central de atendimento pode
justificar o custo extra de um tempo de resposta de 30 minutos mencionando a possibilidade de perda de receita. Um
assistente administrativo, no escritrio de contabilidade, provavelmente no poderia utilizar a mesma justificativa.

26

Os SLAs obrigam as unidades de TI a pensar como provedores externos. Elas vendem seus servios e por isso devem
procurar, constantemente, novos meios de poupar dinheiro. O desafio do processo de SLA est em converter os requisitos
de negcio de nvel de servio em servios de Tecnologia da Informao. Os custos da TI resultam da mo-de-obra e
dos tempos de processamento, da capacidade de armazenamento e assim por diante. As unidades de negcio requerem
servios como processamento de faturas, acesso Web e respostas rpidas consultas on-line. Cada vez mais as
unidades de TI vm traduzindo seus custos em encargos que os administradores de negcio conseguem compreender.
Um SLA que enumere os cursos de TI em termos tecnolgicos no ajudar as unidades de negcio a escolher entre os
nveis de servio de TI nem a utilizar os servios sabiamente. Tampouco ajudar os comits de servios de TI a conceber
servios compartilhados. O SLA tem valor quando a comunicao sobre as necessidades de negcio e servios, facilita
decises que resultem em custos menores e melhor utilizao dos recursos de TI.
Os SLAs devem ajudar os administradores de negcios e de TI a fazer escolhas melhores escolhas sobre como comprar,
vender e aprear. SLAs bem-concebidos estimulam o profissionalismo de ambas as partes da cadeia de oferta e demanda.
Os resultados so melhores servios de Tecnologia da Informao e melhor compreenso, por parte tanto dos negcios
quanto da TI, sobre o valor de negcio gerado.

Universidade Gama Filho

Governana de TI e suas Melhores Prticas

Unidade I

Ainda falando sobre Processos de Alinhamento, veremos agora a Cobrana Reversa. Esta um mecanismo contbil para
alocar os custos centrais da TI nas unidades de negcio. A princpio, ela no parece se associar s decises de Governana
de TO. No entanto, veremos que algumas empresas usam a cobrana reversa com bons resultados para alinhar as decises
sobre infra-estrutura, necessidades de aplicaes de negcios e investimentos em TI com os objetivos do negcio.
O propsito da Cobrana Reversa alocar custos de tal modo que os custos de TI das unidades de negcio reflitam o uso
de servios compartilhados e que a unidade de servios compartilhados ajuste ao mesmo tempo seus custos aos negcios
a que ela d suporte. A cobrana reversa pode funcionar juntamente com o SLA, como um mecanismo de cobrana por
servios prestados, ou pode ser uma alternativa ao SLA no caso de servios de TI para os quais no haja nveis alternativos
de servio. Como no caso dos SLAs, a administrao usualmente espera que a cobrana reversa resulte num uso eficaz
da TI. A maioria dos administradores reflete comportamentos baseados no mercado em resposta cobrana reversa
de TI, ajustando sua demanda de acordo com o valor que recebem e cortando as cobranas das unidades de TI quando
elas parecem fora de linha.
Passemos agora para outro tipo de Processo de Alinhamento o Acompanhamento de Projetos. Um passo crtico na
implementao da Governana de TI desenvolver a disciplina para acompanhar o progresso de projetos individuais de
TI. Boa parte das empresas dizem rastrear os recursos consumidos pelos projetos. As empresas usam uma variedade
de ferramentas para dar suporte ao acompanhamento dos projetos. Nas organizaes de melhor desempenho, o
acompanhamento apenas um dos elementos de uma metodologia padronizada de gesto de projetos. Algumas empresas
fazem uso do Modelo de Maturidade da Capacidade CMM, um processo altamente padronizado para certificar a gesto
organizacional de projetos. Outras empresas aplicam uma metodologia de gesto de projetos desenvolvida internamente.
No existem evidncias de que um tipo de mtrica, ou metodologia de gesto de projetos seja mais bem-sucedida do que
um outro tipo, mas qualquer tentativa de mensurar o progresso de implementaes e de identificar e corrigir problemas
rapidamente aumenta em muito a possibilidade de sucesso da implementao.
E, por fim, vejamos o Ratreamento Formal do Valor de Negcio. Grande parte do desafio de criar uma Governana de TO
eficaz decorre da dificuldade de estimar o valor da Tecnologia da Informao. Os tomadores de decises sobre TI decidem
tanto melhor quanto melhor compreendem o valor que a empresa aufere da TI. Rastrear formalmente o valor de negcio
da TI aumenta o aprendizado organizacional sobre o valor de iniciativas habilitadas pela Tecnologia da Informao.
Rastrear inclui determinar se as expectativas de reduo de custo de um projeto ou de aumento de receita realmente se
materializaram. O processo de rastreamento de valor ajuda executivos tanto de negcios quanto de TI a compreender
as fontes e os obstculos para gerar valor a partir dos investimentos em TI. Com a prtica, ele tambm possibilita
estimativas mais realistas dos benefcios propostos de um sistema. Como os resultados dos projetos so difceis de isolar
particularmente quando os projetos so parte das metas de programas maiores um nmero crescente de empresas
vem formalizando objetivos intermedirios.

Abordagens de Comunicao
Os mecanismos de comunicao destinam-se a difundir a palavra por toda a empresa sobre as decises e os processos
de Governana de TI e sobre os respectivos comportamentos desejveis. As empresas comunicam de vrias maneiras
seus mecanismos de governana. Quanto mais a administrao comunica formalmente a existncia de mecanismos de
governana, como esses mecanismos funcionam e quais os resultados esperados, mais eficaz ser a governana.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

A Governana de TI envolve a concesso de poderes a todos os funcionrios da empresa. Os mecanismos de tomada de


decises concentram-se em trabalhar a estratgia do negcio e as implicaes para a TI. Os processos de alinhamento
permitem que decises estratgicas orientem aes cotidianas. Alm disso, esses processos permitem que experincias
do dia-a-dia com a TI proporcionem feedback ao processo estratgico.

27

Governana de TI e suas Melhores Prticas

Unidade I

Neste captulo avaliamos trs tipos de mecanismos de governana de TI e identificamos os principais mecanismos dentro
de cada tipo. Cada mecanismo deve apresentar trs caractersticas.
Simples: Mecanismos definem sem ambigidade responsabilidades ou objetivos para cada pessoa ou grupo
especfico.
Transparente: Mecanismos eficazes baseiam-se em processos formais. O funcionamento do mecanismo deve
ficar claro para todas as pessoas afetadas pelas decises de governana ou que queiram contest-la.
Adequado: Mecanismos envolvem os indivduos em melhor condio de tomar cada deciso.
No entanto, mecanismos no funcionam isoladamente. O impacto de mecanismos de governana depende de interaes
mtuas entre os mecanismos. Observemos cinco princpios para conceber conjuntos eficazes de mecanismos.
Escolher mecanismos de todos os trs tipos: Mecanismos de tomadas de deciso, de alinhamento e de
comunicao tm objetivos diferentes. Todos so importantes para uma governana eficaz.
Limitar as estruturas de tomadas de deciso: A tomada de decises nas empresas no um fenmeno de
quanto mais, melhor. Organizaes complexas exigem mltiplas estruturas de tomadas de deciso, mas
quanto mais estruturas de tomadas de deciso, maiores sero as chances de contradies e discrepncias. As
responsabilidades pela tomada de decises devem ser disseminadas na empresa toda por meio de mecanismos
de alinhamento, e no de estruturas de tomadas de deciso.
Posicionar membros comuns nas estruturas de tomada de deciso: A Governana de TI requer contribuies
srias em decises sobre necessidades de negcios estratgicas e capacidades tecnolgicas. Para assegurar
que essas perspectivas crticas influenciem todas as decises de Governana de TI pertinentes, os principais
rgos de tomadas de deciso precisam ter membros em comum ou mandatos claros. O modelo da Governana
de TI deve evitar descompassos entre as decises de negcios e as de TI.

Governana de Tecnologia da Informao

Implementar mecanismos em mltiplos nveis na empresa: Embora empresas diversificadas possam ter requisitos
limitados de integrao e padronizao, uma nica unidade de negcio talvez deseje processos estreitamente
integrados. Por isso, o modelo da Governana de TI no nvel da empresa reflete somente uma camada da
governana. A governana no nvel da empresa influencia decises no nvel das unidades de negcio, mas estas
precisam, freqentemente, de arranjos prprios de governana, com mecanismos correspondentes. Uma boa
governana numa firma com mltiplas unidades de negcio requer conexes entre a governana geral e a das
unidades de negcio. Mecanismos como comits de arquitetura e processos de oramento de TI costumam
proporcionar tais conexes.

28

Esclarecer a responsabilidade: Mltiplos mecanismos podem inadvertidamente gerar confuses sobre quem
responsvel pelo o qu ou limitar a habilidade dos administradores de gerar os resultados pelos quais so
responsveis. O modelo de Governana de TI deve esclarecer os objetivos administrativos e suas mtricas.

Universidade Gama Filho

Unidade II

Metodologias e Padres

Unidade II

Metodologias e Padres
Captulo 5 Information Tecnhology Infrastructure Library ITIL

Os problemas significativos que enfrentamos no podem ser


resolvidos pelo mesmo nvel de pensamento que os criou.
Albert Einstein

Falaremos muito sobre processo neste captulo. Procure identificar


o que vem a ser um processo e a sua composio (fornecedores,
insumos, input, output e realimentao).
Controle, transparncia e previsibilidade passaram a ser agora ferramentas de gesto das organizaes. Como as
informaes esto, na maioria dos casos, no formato digital, a rea de TI passou a desempenhar um papel vital na
governana. A auditoria, em geral, trabalhava com as mtricas especficas de TI e comparava os resultados tanto no
mbito interno quanto externo da empresa. No entanto, representava pouco, pois era necessrio melhorar os servios e
processos, e os CIOs passaram a adotar o ITIL e as suas melhores prticas para os servios e processos de TI, reduzindo,
assim, os custos e melhorando a qualidade dos servios.

O ITIL fornece um mtodo comprovado para o planejamento de processos, papis e atividades comuns, com a referncia
apropriada de um para o outro e de como devem ser as linhas de comunicao entre eles. O ITIL considera que o
Gerenciamento de Servios da Tecnologia de Informao e Comunicao TIC (Information Technology Services
Management ITSM), constitudo de processos estreitamente relacionados e altamente integrados.
Um de seus propsitos alinhar a gesto da tecnologia com as necessidades de negcios, com foco integral na qualidade dos
servios de TIC prestados, assegurando os nveis de servios imprescindveis sustentao das operaes crticas.
Para atingir os objetivos do ITSM, os processos devem utilizar o trip pessoas, processos e produtos de forma
eficaz, eficiente e econmica. O ITIL define "o que deve ser feito", ficando a cargo das organizaes a definio de
"como ser feito".
Direitos reservados ao CETEB

Ps-Graduao a Distncia

O ITIL o modelo de referncia para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi
criada pela Secretaria de Comrcio (Office of Government Commerce OGC) do governo ingls, a partir de pesquisas
realizadas por Consultores, Especialistas e Doutores, para desenvolver as melhores prticas na gesto da rea de TI, em
empresas privadas e pblicas. Atualmente, tornou-se a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O
foco desse modelo descrever os processos necessrios para gerenciar a infra-estrutura de TI eficiente e eficazmente
de modo a garantir os nveis de servio acordados com os clientes internos e externos.

29

Metodologias e Padres

Unidade II

Para isso, define os objetivos e as atividades, as entradas e as sadas de cada um dos processos que normalmente as
equipes de TI desenvolvem em uma organizao. Entretanto, o ITIL no d uma descrio especfica de como essas
atividades devem ser executadas, porque em cada organizao estas so diferentes, ou seja, no existe receita de bolo
pronta para voc implementar o ITIL. A nfase est em sugestes que foram provadas na prtica, mas, dependendo das
circunstncias, pode ser implementada de vrias formas. ITIL no um mtodo, ao invs disso, oferece um framework
(melhores prticas) para planejar os processos mais comuns, papis e atividades, indicando as ligaes entre elas e que
linhas de comunicao so necessrias.
importante registrar que o ITIL de domnio pblico e a utilizao dessas prticas podem ser empregadas na sua
empresa.
Observe, a seguir, as principais caractersticas do modelo ITIL.
Modelo de referncia para processos de TI no proprietrio
Independncia de tecnologia e fornecedor
Modelo de referncia para a implementao de processos de TI
Padronizao de terminologias
Interdependncia de processos
Diretivas bsicas para implementao
Diretivas bsicas para funes e responsabilidades dentro de cada processo
Checklist testado e aprovado
O que fazer e o que no fazer

Governana de Tecnologia da Informao

As "melhores prticas" so os melhores modelos de trabalho identificados em situaes reais considerando organizaes
em atividades similares. Uma "melhor prtica" significa que um modelo foi implementado, anteriormente, aps ter sido
determinada e comprovada a sua relevncia. A implantao de uma "melhor prtica" tudo aquilo relacionado a "no
reinveno da roda", mas capacidade de implementar em outras situaes similares, modelos e experincias que j se
mostraram eficientes.

30

A tcnica de implantao de uma "melhor prtica" baseada em ciclo de vida, cujo foco est sempre relacionado
excelncia do Gerenciamento de Servios, podendo ser aplicada a qualquer tempo e em qualquer circunstncia. O objetivo
das melhores prticas reduzir os custos de tecnologia e melhorar o desempenho e a performance dos ativos da tecnologia
e da rea de TI como um todo. Na sua ltima instncia, o ITIL fornece indicadores para benchmarks.
Todos os indicadores atuais so excelentes na sua esfera de competncia, mas nenhum deles leva o foco de TI para o
usurio. O grau ideal de interao de um usurio com tecnologia a relao homem versus lpis, ou seja, uma pessoa
treinada na fase de alfabetizao e a partir da ela capaz de utilizar qualquer lpis a vida inteira, pois o processo de
aprendizado de um novo tipo de lpis totalmente intuitivo.

Por que adotar o ITIL?

Universidade Gama Filho

Metodologias e Padres

Unidade II

Para responder essa pergunta o primeiro passo o entendimento da viso da alta administrao sobre a tecnologia. A
seguir, temos as percepes mais comuns das gerncias de negcio sobre TI.
Proviso de servios inadequada.
Falta de comunicao e entendimento com os usurios.
Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela significativa nos gastos totais
do negcio).
Justificativas insuficientes ou pouco fundamentadas para os custos da proviso dos servios (dificuldade na
comprovao dos seus benefcios para o negcio).
Falta de sintonia entre mudanas na infra-estrutura e os objetivos de negcio.
Entrega de projetos com atrasos e acima do oramento.
importante destacar que, em geral, os gestores do negcio do pouca importncia para a conquista da excelncia
operacional, pois na viso deles a otimizao dos recursos o mnimo que a rea de TI deveria realizar. Para os gestores
do negcio, a rea de TI deve oferecer uma taxa de retorno melhor do que simplesmente funcionar com eficincia e
eficcia.
A adoo das melhores prticas de gerenciamento de servios ITIL enderea as principais questes em relao ao
posicionamento estratgico de TI na organizao, como excelncia operacional, otimizao do uso dos recursos,
previsibilidade, alinhamento com o negcio, entre outros. Seguem os principais desafios dos gestores de TI para conquistar
a credibilidade e a excelncia operacional.
Incrementar a efetividade dos servios.
Estender o ciclo de vida da tecnologia.
Remover gargalos.
Racionalizar a complexidade.
Assegurar a aderncia evoluo dos negcios.
Os desafios mostram que na viso do negcio os recursos de TI so subutilizados, complexos em excesso, e, em geral,
so barreiras pela falta de flexibilidade. O desafio mais comum e importante no momento o prazo de entrega dos
projetos de TI, que demandam, em geral, por seis ou nove meses de implantao madura (sem erros) em um cenrio no
qual as empresas trabalham com oportunidades de dois ou trs meses. O ciclo de vida da tecnologia , sem sombra de
dvida, o desafio dos gestores de TI mais cobrado pelo CFO, pois um ativo diretamente ligado produo depreciado
em aproximadamente 60 meses.

Atuar com foco nos processos.


Atuar de forma preventiva e proativa.
Atuar com foco no cliente (usurio).
Apresentar solues integradas e de gerenciamento centralizado, mas com abrangncia distribuda.
Apresentar demonstrao dos resultados obtidos de forma clara.
Estar permanentemente alinhada ao negcio.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

As melhores prticas do ITIL surgiram para otimizar o uso dos recursos de TI e para que a tecnologia caminhe alinhada
aos negcios, gerando benefcios importantes e relevantes. Em razo dos desafios, o mercado entende que os principais
objetivos de TI so estes.

31

Metodologias e Padres

Unidade II

Esses seis pontos esto presentes nos mais diversos tipos e tamanhos de negcios e, em linha geral, constituem as
expectativas da alta administrao sobre TI. Observe que os objetivos representam um forte equilbrio entre excelncia
operacional, otimizao dos custos, alinhamento com o negcio e agregao de valor. A adoo do ITIL visa enderear esses
seis objetivos em curto, mdio e longo prazo. As melhores prticas do ITIL tm as seguintes metas em curto prazo.
Aumentar a produtividade.
Centralizar controle.
Estender o ciclo de vida da tecnologia.
Remover gargalos.
Simplificar complexidade.
Os fatores motivacionais para adoo do ITIL podem ser classificados em trs grandes grupos: financeiro, qualidade e
competitividade. A seguir, as principais motivaes do ponto vista financeiro.
Reduo dos custos operacionais de TI.
Fortalecimento dos Controles e da Gesto dos ambientes de TI.
O ITIL tem como um dos seus principais pilares de sustentao a melhoria da qualidade de servios. A seguir, as principais
motivaes do aspecto qualidade.
Orientao de processos com significativa reduo nos tempos de execuo e distribuio de servios.
Diminuio gradativa da indisponibilidade dos recursos e sistemas de Tecnologia da Informao, causados por
falhas no planejamento das mudanas e implantaes em TI.
Elevao dos nveis de satisfao dos usurios internos e clientes com relao disponibilidade e qualidade
dos servios de TI.
O terceiro fator motivacional basicamente uma conseqncia do sucesso dos dois anteriores. Com as melhores
prticas nas dimenses financeiras e de qualidade, natural que a competitividade da empresa esteja sendo melhorada.
Custos menores, maior disponibilidade, aumento do ciclo de vida, usurios com melhor atendimento, reduo de erros,
previsibilidade e constncia so os fatores que melhoram a competitividade da empresa pelo uso das melhores prticas
do gerenciamento de servios de TI.

Governana de Tecnologia da Informao

Os objetivos das melhores prticas so audaciosos, porm bastante simples, e a simplicidade vem permitindo que o
mercado alcance resultados significativos.

32

O ITIL, na verdade, uma biblioteca. A Biblioteca no uma propriedade privada, est disponvel para todos e tem sido
produzida utilizando-se os procedimentos certificados para o padro ISO-9001/BS5750. O ncleo dos livros do ITIL foi
revisado e publicado apenas como dois livros, um Suporte a Servios e outro Entrega de Servios. O quebra-cabea do
ITIL mostra os principais elementos localizados nos seus livros. Cada um desses elementos se relaciona entre si, e se
sobrepem em alguns tpicos.
Perspectiva do Negcio
Entrega do Servio
Suporte ao Servio
Gerenciamento da Segurana
Gerenciamento da Infra-estrutura
Gerenciamento de Aplicaes
Planejamento da implementao do Gerenciamento de Servios
Universidade Gama Filho

Metodologias e Padres

Unidade II

Figura 6 Principais livros que compes a biblioteca ITIL


(baseado no livro Service Support da OGC Office of Government Commerce)

Esses sete mdulos constituem o corpo do ITIL. A seguir veremos uma descrio resumida do propsito de cada livro.

Suporte ao Servios
Relata como um cliente consegue acesso aos servios para suportar seus negcios. Nele so tratados os seguintes
assuntos.
Central de Servios
Gerenciamento de Incidentes
Gerenciamento de Problemas
Gerenciamento da Configurao
Gerenciamento de Mudanas
Gerenciamento de Liberao

Entrega de Servios

Gerenciamento do Nvel de Servios


Gerenciamento Financeiro para Servios de TI
Gerenciamento da Capacidade
Gerenciamento da Disponibilidade
Gerenciamento da Continuidade dos Servios de TI
Gerenciamento da Segurana (com referncia ao livro Gerenciamento da Segurana)
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Descreve os servios que o cliente necessita, e o que necessrio para fornecer os servios. Este livro cobre os seguintes
assuntos.

33

Metodologias e Padres

Unidade II

Gerenciamento da Infra-Estrutura ICT


Aborda todos os aspectos do Gerenciamento da Infra-Estrutura, como identificao dos requisitos do negcio, testes,
instalaes, entregas e otimizao das operaes normais dos componentes que fazem parte dos Servios de TI.

Planejamento para Implementao do Gerenciamento de Servios


Examina questes e tarefas envolvidas no planejamento, implementao e aperfeioamento dos processos do Gerenciamento
de Servios dentro de uma organizao. Tambm foca em questes relacionadas Cultura e Mudana Organizacional.

Gerenciamento de Aplicaes
Descreve como gerenciar as aplicaes a partir das necessidades iniciais dos negcios, passando por todos os estgios
do ciclo de vida de uma aplicao, incluindo at a sua sada do ambiente de produo (quando o sistema aposentado).
Esse processo d nfase em assegurar que os projetos de TI e as estratgias estejam corretamente alinhados com o
ciclo de vida da aplicao, assegurando que o negcio consiga obter o retorno do valor investido.

Perspectiva de Negcio
Fornece um conselho e guia para ajudar o pessoal de TI a entender como eles podem contribuir para os objetivos do
negcio e como suas funes e servios podem estar mais bem alinhados e aproveitados para maximizar sua contribuio
para a organizao.

Gerenciamento da Segurana

Governana de Tecnologia da Informao

Detalha o processo de planejamento e gerenciamento a um nvel mais granularizado da segurana da informao e


Servios de TI, incluindo todos os aspectos associados com a reao da segurana dos incidentes. Tambm inclui uma
avaliao e gerenciamento dos riscos e vulnerabilidade, e implementao de custos justificveis para a implementao
de contra-recursos (estratgia de segurana).

34

As aes de TI esto, nos dias de hoje, diretamente conectadas ao faturamento, vendas, crdito das empresas. Por isso,
podemos afirmar que os principais dispositivos do negcio a tecnologia. fato que a lucratividade das empresas depende
de fatores como alta disponibilidade, segurana e desempenho dos servios de TI, e justamente por esse conjunto de
necessidades que o tema maturidade do gerenciamento dos servios de TI ganhou fora e forma no mercado.
O processo tornou-se ainda mais complexo aps a terceirizao dos servios de TI de uma forma parcial ou total. Processo
um conjunto de atividades inter-relacionadas com um objetivo especfico. Possui entradas de dados, informaes e
produtos para, por meio da identificao dos recursos necessrios ao processo, transformar essas entradas nos objetivos
previstos.
A Central de Servios, um dos componentes do ITIL, tambm conhecida em ingls como Service-Desk, uma funo dentro
da TI que tem como objetivo ser o ponto nico de contato entre os usurios/clientes e o departamento de TI. A proposta
sugerida separar dentro das operaes de TI quem faz parte do suporte aos usurios de quem vai realizar atividades
de resoluo de problemas e desenvolvimento. Ter uma rea especfica para o suporte traz vantagens para os usurios,
propiciando um suporte com maior agilidade e qualidade, e para a equipe de TI mais eficincia, pois o tcnico especialista
Universidade Gama Filho

Metodologias e Padres

Unidade II

acaba no sendo mais interrompido pelas chamadas diretas dos usurios. A Central de Servios no um processo do ITIL,
e sim uma funo. O Gerenciamento de Servios de TI est criado em torno da entrega de nveis de servios estabelecidos
aos usurios finais, e para isso necessrio ter uma rea com o foco em dar suporte aos usurios medida que eles
requerem ajuda para o uso dos servios de TI e monitorar o cumprimento dos nveis de servios estabelecidos nos SLAs.
O Gerenciamento de Nvel de Servios um habilitador de negcio primordial para essa funo.
Sendo um ponto nico de contato para o Servio de TI, a Central de Servio deve ter um vnculo com todos os processos
do ITIL. Com alguns processos esse vnculo mais claro do que com outros.
Gerenciamento da
Configurao
Gerenciamento de
Incidentes

Gerenciamento de
Liberao

Central de
Servios

Gerenciamento de
Mudanas

Gerenciamento do
Nvel de Servio

Figura 7 Integrao da Central de Servios com os Processos ITIL

A Central de Servios , de fato, um aspecto operacional importante do processo do Gerenciamento de Incidentes, por
exemplo, controle de incidentes. Ela os registra e controla, relacionando-os aos Itens de Configurao. Se esse vnculo
for suportado por um software, teremos condies de futuramente fazer todo o rastreamento de problemas ocasionados
com determinado equipamento na infra-estrutura.

O ITIL preocupa-se, basicamente, com a entrega e o suporte aos servios de forma apropriada e aderente aos requisitos
do negcio, o modelo de referncia para gerenciamento dos servios de TI mais aceito mundialmente. Em geral, os
servios de TI so fornecidos por meio da infra-estrutura de hardware, software, procedimentos, documentao, base
de conhecimento, comunicaes e pessoas.
O gerenciamento dos servios de TI trata dos servios e do gerenciamento da infra-estrutura de TI. No mercado, tambm
temos os termos Entrega dos Servios de TI e Sistema de Gerenciamento da TI para descrever essas funes.
O Suporte aos Servios de TI e a Entrega dos Servios de TI descrevem os processos-chave para melhorar a qualidade
dos servios de TI.
Gerenciamento de Incidentes

Ps-Graduao a Distncia

Isso tambm permitir a equipe da Central de Servios resolver rapidamente os incidentes buscando solues relacionadas
ao Item de Configurao ou ao problema relacionado. Em alguns casos, a Central de Servios realiza mudanas pequenas
e tem um vnculo com o Gerenciamento de Mudanas e o Gerenciamento de Liberaes. O vnculo entre a Central de
Servios e o Gerenciamento do Nvel de Servio pode ser ilustrado como o resultado da Central de Servios monitorando
os nveis de suporte e reportando se o servio de TI foi restaurado dentro dos limites definidos nos Acordos de Nvel de
Servios ANS. A Central de Servios reportar ao Gerenciamento do Nvel de Servios se os servios no estiverem
restaurados dentro do prazo e se procedimentos de escalonamento no estiverem corretamente definidos para alcanar
os prazos determinados.

Gerenciamento de Problemas
Direitos reservados ao CETEB

35

Metodologias e Padres

Unidade II

Gerenciamento de Configurao
Gerenciamento de Mudanas
Gerenciamento de Liberao
Gerenciamento de Disponibilidade
Gerenciamento de Continuidade
Gerenciamento de Capacidade
Gerenciamento de Nveis de Servio
Gerenciamento de Finanas
Vejamos, a seguir, cada uma delas.

Gerenciamento de Incidentes
Visa restaurar os servios o mais rpido possvel com o mnimo de interrupo, minimizando os impactos negativos nas
reas de negcio. Suas aes no se assemelham as de qualquer projeto. um dos processos mais reativos, pois entrar
em atuao a partir dos incidentes levantados por usurios ou ferramentas de monitoramento. Entretanto, esse processo
vital para manter a agilidade dos servios de TI. importante considerar, tambm, que as informaes dos incidentes
levantadas nesse processo sero de grande importncia para o processo de Gerenciamento de Problemas.

Gerenciamento da Configurao
Por meio do armazenamento e gerenciamento de dados relacionados infra-estrutura de TI, o processo de Gerenciamento
da Configurao d a organizao um controle maior sobre todos os ativos de TI. Quanto mais dependentes dos sistemas
de TI as organizaes so, mais importante se torna o Gerenciamento da Configurao. , entretanto, necessrio manter
um registro de todos os Itens de Configurao ICs dentro da infra-estrutura de TI. O Gerenciamento da Configurao
tem como objetivo fornecer um modelo lgico da infra-estrutura de TI, identificando, controlando, mantendo e verificando
verses de todos os ICs.

Governana de Tecnologia da Informao

Gerenciamento de Liberao

36

Processo que protege o ambiente de produo. A proteo vem em forma de procedimentos formais ou testes extensivos
relacionados a mudanas de software ou hardware que esto sendo propostas dentro do ambiente de produo. Objetivos
do processo de Gerenciamento de Liberao incluem:
Gerenciar, distribuir e implementar itens de software e hardware aprovados.
Prover o armazenamento fsico e seguro de itens de hardware e software no Depsito de Hardware Definitivo
(DHD) e na Biblioteca Definitiva de Software (BDS).
Assegurar que apenas verses de software autorizadas e com processo de qualidade controlado sejam usados
nos ambientes de teste e produo.

Gerenciamento de Problemas
Processo que tem como misso minimizar a interrupo nos servios de TI por meio da organizao dos recursos para
solucionar problemas de acordo com as necessidades de negcio, prevenindo a recorrncia dos mesmos e registrando
Universidade Gama Filho

Metodologias e Padres

Unidade II

informaes que melhorem a maneira pela qual a organizao de TI trata os problemas, resultando em nveis mais altos
de disponibilidade e produtividade. importante que o Processo de Gerenciamento de Problemas venha acompanhado do
Gerenciamento de Mudanas, fazendo com que a correo dos erros seja previamente analisada em relao aos riscos.
Muitas vezes a correo de um erro acaba gerando mais incidentes e criando impacto para os usurios.

Gerenciamento da Disponibilidade
Processo que visa otimizar a capacidade da infra-estrutura de TI, os servios e o suporte para prover, a custo efetivo,
um nvel de disponibilidade que permita ao negcio atender seus objetivos. Isso obtido mediante determinao dos
requerimentos de disponibilidade do negcio e anlise da capacidade da infra-estrutura de TI para atender a esses
requerimentos. As lacunas entre requerimento e capacidade so preenchidas pelas alternativas disponveis e opes de
custos associados.

Gerenciamento de Mudanas
Processo que pode ser a causa dos incidentes se uma mudana no foi executada corretamente. Conseqentemente
muito importante que o Gerenciamento de Incidentes saiba de todas as mudanas planejadas, assim poder relacionar
os incidentes a transformao e notificar o processo de Gerenciamento de Mudanas, para que o processo de retrocesso
(back out) seja executado. De outra forma, alguns incidentes sero resolvidos por meio de uma alterao, no caso de um
equipamento defeituoso ser substitudo, por exemplo.

Gerenciamento da Continuidade dos Servios


Processo de Gerenciamento dos recursos organizacionais, tcnicos e humanos que, logicamente ordenados, garantam
a manuteno dos servios que suportam os negcios da organizao, dentro de nveis de servio acordados, incluindo o
suporte mnimo necessrio para a continuidade das operaes no caso de uma interrupo. Esse processo inclui o ciclo
contnuo de avaliao de risco e adoo de medidas de contorno, reviso dos cenrios e planos de contingenciamento,
bem como garantia de aderncia s orientaes corporativas quanto ao estabelecimento de Planos de Continuidade de
Negcios.

Gerenciamento de Capacidade
Processo de monitorao, anlise e planejamento do efetivo uso dos recursos computacionais, visando definir e estabelecer
uma metodologia apropriada para o acompanhamento e projeo da utilizao dos recursos computacionais, incluindo os
meios de transmisso de dados e a especificao das mtricas e condies timas de operao desses recursos.

Processo de planejamento, coordenao, elaborao, monitorao e reporte dos Acordos de Nveis de Servio SLA e,
adicionalmente, as revises dos indicadores constantes dos acordos celebrados de forma a garantir que os requerimentos
de qualidade e custos esto mantidos e gradualmente melhorados. Um SLA deve prover a base para o gerenciamento do
relacionamento entre o provedor do servio e seu usurio.

Gerenciamento de Finanas
O objetivo do processo de Gerenciamento Financeiro para os Servios de TI em um departamento de TI interno deve ser
o de fornecer um custo efetivo para os gastos aplicados nos ativos de TI e os recursos usados para fornecer os servios
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Gerenciamento do Nveis de Servio

37

Metodologias e Padres

Unidade II

de TI. O foco principal desse processo o entendimento dos custos envolvidos na entrega de servios de TI, atribuindo
os custos para cada servio e cliente especfico. Essa conscincia dos custos melhora a qualidade de todas as decises
tomadas em relao aos gastos de TI. A cobrana dos custos do cliente opcional.

Relacionamento com o
Cliente de TI

Gerenciamento de Liberaes
Gerenciamento de Mudanas

Gerenciamento de Problemas

Gerenciamento da Configurao

Gerenciamento de Incidentes

Ger. do Nvel de Servio

Gerenciamento da Capacidade

Gerenciamento Financeiro para


Servios de TI

Gerenciamento da Continuidade
dos Servios

Entrega de Servios

Suporte a Servios

Central de Servios

Ger. da Disponibilidade

Gerenciamento da Segurana
Figura 8 Modelo da Metodologia ITIL
Neste momento, j sabemos o que o ITIL, como e porque ele implantado e a quem ele se destina, logo para, finalizar
este captulo, vamos a um caso prtico. Os seis grandes passos para uma implantao de sucesso desse modelo esto
listados na tabela a seguir.

PASSO 1

Governana de Tecnologia da Informao

PASSO 2

38

PASSO 3
PASSO 4
PASSO 5

PASSO 6

Viso executiva sobre o ITIL e seus processos. Estudo de caso com


os profissionais da Organizao sobre como esses processos podem
Workshop Executivo
auxiliar no alinhamento da estratgia de TI com a estratgia do
Estratgia
negcio, bem como sobre os elementos tpicos que compem uma
implementao.
Diagnstico das prticas atuais Levantamento das atuais prticas em uso na rea de Tecnologia da
em Tecnologia da Informao Informao, no que diz respeito Gesto de Servios.
Plano estratgico alinhando pessoas, processos e tecnologia,
Planejamento do Projeto
conectando esses elementos aos objetivos de negcios.
Implementao
Execuo do plano estratgico que foi definido.
Reviso dos resultados com a Organizao garante que a rea
Ps-Implementao
de Tecnologia da Informao esteja alinhada com os objetivos de
negcios.
Programas de melhoria contnua, analisando resultados, aprimorando
Melhoria Contnua
as prticas implementadas e atualizando os processos segundo a
realidade dos negcios.
Tabela 4 Etapas para implantao do modelo ITIL

Universidade Gama Filho

Metodologias e Padres

Unidade II

Captulo 6 Control Objectives for Information and related Technology CobiT

O COBIT foi criado pelo Information Systems Audit and Control Association ISACA por meio do IT Governance Institute,
organizao independente que desenvolveu a metodologia considerada a base da governana tecnolgica. um modelo
utilizado, internacionalmente, como um instrumento (de fomento) da Governana de TI, contendo prticas e tcnicas de
controle e gerenciamento, a fim de auxiliar na preparao para auditorias, acompanhamento/monitoramento, a avaliao
dos processos de TI e, finalmente, auxiliar no alcance de metas na organizao.
Para isso, dizemos que o COBIT um framework de controle (melhores prticas) e uma base de conhecimento para
os processos de TI e seu gerenciamento, assegurando dessa maneira que os recursos de TI estaro alinhados com os
objetivos da organizao. No um padro definitivo, tem que ser adaptado para cada empresa. baseado na premissa
de que a TI precisa entregar a informao que a empresa necessita para atingir seus objetivos. O COBIT foi projetado
para utilizao por trs distintos pblicos.
Administradores: para auxili-los na ponderao entre risco e investimento em controles num ambiente muitas
vezes imprevisvel como o de TI.
Usurios: para certificarem-se da segurana e dos controles dos servios de TI fornecidos internamente ou
por terceiros.
Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre
controles internos.
cada vez mais importante, para o sucesso e a sobrevivncia de uma organizao, o gerenciamento efetivo da informao
e da respectiva TI, no podendo desconsiderar a crescente e constante dependncia da informao e dos sistemas que os
fornece. Na mesma proporo que uma empresa e seus usurios e at mesmo um usurio domstico tem a necessidade
em obter informaes com uma maior agilidade, tambm cresce, na mesma proporo, e at em nveis mais elevados,
a fragilidade e vulnerabilidade em assegurar que as informaes obtidas no caiam em mos erradas e sejam usadas de
forma a prejudicar a empresa.
A misso do COBIT pesquisar, desenvolver e promover um conjunto de objetivos de controle geralmente aceitos sobre
tecnologia da informao, para uso cotidiano por administradores e auditores. O COBIT auxilia a associao entre os
riscos do negcio, as necessidades de controle e os aspectos tecnolgicos, propiciando boas prticas por meio de uma
matriz de domnios e processos estruturados, de forma lgica e gerencivel.

A governana de TI, aliada ao COBIT, pode criar um plano para que a TI esteja alinhada a planejamento, organizao,
aquisio, implementao, entrega, suporte e monitoramento, sendo que estes esto relacionados a processos,
recursos, informaes e objetivos da empresa, em que o conselho administrativo dever estar orientado pelos valores
dos interessados.
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes
em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking
com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As
recomendaes de gerenciamento do COBIT, com orientao no modelo de maturidade em governana, auxiliam os gerentes
Direitos reservados ao CETEB

Ps-Graduao a Distncia

O objetivo geral do COBIT servir como um guia abrangente para usurios, auditores, gestores e donos de processos
de negcios que permita a Governana de TI. Para isso, o COBIT segue a seguinte linha de raciocnio: riscos de negcio,
necessidades de controles e necessidades tcnicas. Visando maximizar benefcios de TI, capitalizar em oportunidades
de TI e ganhar vantagens competitivas em TI.

39

Metodologias e Padres

Unidade II

de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. As diretrizes de gerenciamento do


COBIT focam a gerncia por desempenho usando os princpios do balanced scorecard. Seus indicadores-chave identificam
e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da
organizao.
Para estruturar os processos de TI usando o framework do COBIT, necessrio avaliar os processos de TI existentes
na empresa, fazer uma anlise comparativa com os processos do COBIT e modificar o que for necessrio para atender
os objetivos de controles, fazendo uso de conceitos, metodologias e ferramentas disponveis no mercado.
Isso deve ser feito com base em uma metodologia para a modelagem de processos, caso contrrio, as representaes e
as formas de abordagens podem diferir muito entre as vrias reas em TI, dificultando a integrao nelas.
Existem vrias metodologias para modelagem de processos, ferramentas de Total Quality Management TQM, 6 Sigma,
Design for 6 Sigma, Business Process Redesign BPR, Business Process Management BPM, Integrated DEFinition
Methods IDEF, e outras metodologias proprietrias de diversas consultorias de mercado. Independente da metodologia
adotada, os passos giram em torno destas aes.
Levantamento da situao atual: feito o mapeamento da situao atual com base em diagramas, mtricas
e formulrios em que so representadas as caractersticas dos processos vigentes.
Anlise e Diagnstico: realizada a anlise de conformidade em relao ao referencial escolhido com base
em requerimentos do negcio, restries do processo, comparao com outros processos, requerimentos dos
clientes e outras referncias.
Desenho da Situao Desejada: partindo-se da situao existente, feito o desenho do processo que contempla
os GAPs em relao ao referencial escolhido, respeitadas as restries de recursos e os direcionamentos
estratgicos.
Implementao: alteram-se polticas, normas, procedimentos, mecanismos, acordos de nveis de servios,
indicadores e demais estruturas, conforme o novo desenho do processo.
Monitoramento: so coletados e monitorados os indicadores conforme as faixas de conformidade acordadas,
atuando-se nos desvios e acompanhando as tendncias para manter o processo em um ciclo de melhoria
contnua.
Conforme a fase da modelagem dos processos de TI, a estrutura de controles do COBIT auxilia na estruturao do
levantamento, entendimento, acompanhamento da implementao e monitoramento dos processos implementados.

Governana de Tecnologia da Informao

cada vez mais importante, para o sucesso e sobrevivncia de uma organizao, o gerenciamento efetivo da informao
e da respectiva tecnologia de informao (TI), pois cada vez mais crescente as empresas que criam e desenvolvem
hardware e software.

40

Esse desenvolvimento tem como caracterstica a alta produo de bens durveis e no durveis, assim como a agilidade
nos processamentos de dados em uma instituio financeira; a comodidade de fazer uma compra, fechar um contrato,
fazer um emprstimo tudo por meio do uso da Internet. Conseqentemente, tambm cresce a indstria de roubo e
comercializao de informaes confidenciais adquiridas por Hackers. Para isso, necessrio que a organizao tenha
a luz de metodologias e ferramentas que lhe auxiliem no combate contra os Hackers e na segurana das informaes,
lembrando-se do tipo de informao que a organizao pretende proteger, contra quem e o quanto est disposta a gastar,
pois no vivel que uma empresa venha a gastar um milho de reais para proteger cem reais.
Muitas organizaes reconhecem os benefcios potenciais que a tecnologia pode propiciar. Contudo, somente as
organizaes de sucesso compreendem e gerenciam os riscos associados com a implementao de novas tecnologias.
O COBIT auxilia a associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
Propicia boas prticas por uma matriz de domnios e processos estruturados de forma lgica e gerencivel. Tais prticas
Universidade Gama Filho

Metodologias e Padres

Unidade II

representam o consenso de especialistas, tendo sido pesquisadas e consolidadas pela Information Systems Audit and
Control Foundation ISACF (Fundao de Auditoria e Controle de Sistemas de Informao), com o intuito principal de
constituir-se em uma fonte educacional para profissionais de controle.
Foi desenvolvido como um padro geralmente aceito e aplicvel para boas prticas de controle e segurana de Tecnologia
de Informao, objetivando ser seu equivalente dos Princpios Contbeis Geralmente Aceitos.
A matriz de domnios e processos est composta por 34 macro-objetivos de controle, um para cada processo de TI,
agrupados em quatro domnios: planejamento e organizao, aquisio e implementao, fornecimento e suporte, e
monitorao. Tal estrutura cobre todos os aspectos da informao e da tecnologia que a suporta. Outrossim, a cada um
dos 34 macro-objetivos de controle esto associadas linhas mestras para auditoria ou garantia da qualidade, possibilitando
a reviso dos processos de TI contra os 318 objetivos detalhados de controle recomendados pelo COBIT.
O COBIT est organizado em quatro domnios para refletir um modelo para os processos de TI. Os domnios podem
ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantao da Governana
Tecnolgica.
Planejamento e Organizao: define as questes estratgicas ligadas ao uso da TI em uma organizao;
trata de vrios processos, entre eles, definio da estratgia de TI, arquitetura da informao, direcionamento
tecnolgico, investimento, riscos, gerncia de projetos e da qualidade.
Aquisio e Implementao: define as questes de implementao da TI conforme as diretivas estratgicas
e de projeto predefinidos no Plano Estratgico de Informtica da empresa, tambm conhecido como o Plano
Diretor da Tecnologia da Informao PDTI. Possui uma srie de processos como, por exemplo, identificao
de solues automatizadas a serem aplicadas ou reutilizadas na corporao, aquisio e manuteno de
sistemas e de infra-estrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalao e
gerncia de mudanas.
Entrega e Suporte: define as questes operacionais ligadas ao uso da TI para atendimento aos servios para
os clientes, manuteno e garantias ligadas a esses servios.
Monitorao: define as questes de auditoria e acompanhamento dos servios de TI, sob o ponto de vista de
validao da eficincia dos processos e da evoluo dos mesmos em termos de desempenho e automao. Os
processos desse domnio tratam, basicamente, de superviso das atividades dos outros processos; adequaes
realizadas na empresa para garantia de procedimentos operacionais; coleta e anlise de dados operacionais e
estratgicos para auditoria e para controle da organizao.

Alm dos quatro domnios principais que guiam o bom uso da tecnologia da informao na organizao, existe tambm
a questo de auditoria que permite verificar, por meio de relatrios de avaliao, o nvel de maturidade dos processos
da organizao. O mtodo de auditoria segue o modelo do Modelo de Maturidade da Capacidade CMM que estabelece
os seguintes nveis.
Inexistente: o processo de gerenciamento no foi implantado.
Inicial: o processo realizado sem organizao, de modo no planejado.
Repetitivo: o processo repetido de modo intuitivo, isto , depende mais das pessoas do que de um mtodo
estabelecido.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

O momento desses domnios aps a ativao de um servio e sua entrega ao cliente, que pode operar ou utilizar os
servios da empresa para operao terceirizada. Os processos relativos a esse domnio tratam da definio dos nveis de
servio (Service Level Agreement SLA); gerncia de fornecedores integrados s atividades; garantias de desempenho,
continuidade e segurana de sistemas; treinamento de usurios; alocao de custos de servios; gerncia de configurao;
gerncia de dados, problemas e incidentes.

41

Metodologias e Padres

Unidade II

Definido: o processo realizado, documentado e comunicado na organizao.


Gerenciado: existem mtricas de desempenho das atividades, o processo monitorado e constantemente
avaliado.
Otimizado: as melhores prticas de mercado e automao so utilizadas para a melhoria contnua dos
processos.
O resultado do relatrio identifica o grau de evoluo dos processos na organizao que avaliada, de modo concreto, com
base em relatrios confiveis de auditoria e parmetros de mercado. O sumrio executivo do relatrio traz as seguintes
informaes: se existe um mtodo estabelecido para o processo; como definido e estabelecido; quais os controles
mnimos para a verificao do desempenho; como pode ser feita auditoria; quais as ferramentas utilizadas e o que avaliar
para sua melhoria. A partir de ento, a organizao define as metas, isto , os objetivos de controle a serem atingidos.

Governana de Tecnologia da Informao

Figura 9 Domnios do modelo COBIT

42

Os domnios do COBIT, apresentados na figura anterior (Figura 9) so integrados da seguinte forma.


A informao de uma empresa gerada/modificada pelos recursos de TI. A informao requisito para o domnio de
Planejamento e Organizao PO (Planning and Organization) e seus processos. Os requisitos de sada do PO so requisitos
de entrada de informao para o domnio de Aquisio e Implementao AI (Acquisition and Implementation), que por
sua vez, definem os requisitos de entrada para o domnio de Entrega e Suporte DS (Delivery and Support). O domnio de
Monitorao M (Monitoring) utiliza as informaes do DS nos seus processos e atividades relacionadas. Os requisitos
da informao so dados por: efetividade, eficincia, confidencialidade, integridade, disponibilidade, conformidade e
confiabilidade. Os recursos de TI so classificados como: pessoas, sistemas aplicativos, tecnologia, infra-estrutura e
dados.
Vejamos, a seguir, de forma mais detalhada os componentes que formam o domnio do COBIT.

Universidade Gama Filho

Metodologias e Padres

Unidade II

Planejamento e Organizao PO
O componente Planejamento e Organizao PO composto por dez processos que sero detalhados a seguir.
PO1 Definir um Plano Estratgico de TI O planejamento estratgico requerido para gerenciar e direcionar todos os
recursos da TI em linha com as estratgias e prioridades do negcio. O plano estratgico deve aumentar a compreenso
dos stakeholders-chave em relao das oportunidades e dos limites da TI, avaliar o desempenho atual e esclarecer o nvel
de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portfolios e executadas
por meio dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitas
pelo negcio e da TI.
PO2 Definir a Arquitetura de Informao A funo dos sistemas de informao deve criar e atualizar regularmente
um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso da informao. Este processo
melhora a qualidade de decises feitas pelas gerncias e assegura que informaes confiveis e seguras so providas e
isso habilita de racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias de negcio.
Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e a segurana dos dados e
melhorar a efetividade e o controle sobre o compartilhamento de informao por meio de aplicaes e entidades.
PO3 Determinar a Direo Tecnolgica A funo dos servios de informao deve determinar a direo tecnolgica
para suportar o negcio. Isso requer a criao de um plano da infra-estrutura tecnolgica e um comit de arquitetura
que fixa e gerencia expectativas claras e realsticas: o que a tecnologia pode oferecer em termos de produtos, servios
e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistemas,
direo tecnolgica, planos de aquisio, padres, estratgias de migrao e contingncia.
PO4 Definir Processos de TI, Organizao e Relacionamento sabe-se que uma organizao da TI precisa ser definida,
considerando os requerimentos para pessoas, habilidades, funes, responsabilidade, autoridade, papis e superviso.
Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram transparncia e controle,
como tambm envolvem os executivos seniores e gerentes de negcio. Um comit estratgico deve assegurar uma viso
geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determinar a priorizao
dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos administrativos
necessitam de ser implementadas para todas as funes, com ateno especfica para o controle, a garantia de qualidade, o
gerenciamento de riscos, a segurana de informao, a propriedade para dados e sistemas e a segregao de direitos.

PO6 Comunicar Metas e Diretivas Gerenciais A administrao deve desenvolver um framework de controle empresarial
da TI e definir e comunicar polticas. Um programa contnuo de comunicao deve ser implementado para articular misso,
objetivos de servio, polticas e procedimentos, aprovados e suportados pela administrao. A comunicao suporta o
atingimento dos objetivos da TI e assegura conscientizao e compreenso em relao do negcio e os riscos, objetivos
e a direo da TI.
PO7 Gerenciar Recursos Humanos Deve-se adquirir, manter e motivar a fora de trabalho competente para criar
e entregar servios da TI para o negcio. Isso atingido seguindo prticas definidas e acordadas que suportam o
recrutamento, treinamento, avaliao do desempenho, promoo e demisso.
PO8 Gerenciar Qualidade Um sistema de gerenciamento da qualidade deve ser desenvolvido, mantido e incluido em
um processo de desenvolvimento e aquisio comprovado e padronizado. Isso habilitado por meio do planejamento,
implementao e manuteno do sistema de qualidade que provm requerimentos claros de procedimentos e polticas.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

PO5 Gerenciar o Investimento em TI Estabelece e mantm um framework para gerenciar programas que habilitem
investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, processo formal de oramentos e
gerenciamento em relao aos oramentos. O processo deve favorecer os relacionamentos entre a TI e stakeholders do
negcio; habilitar o uso efetivo e eficiente dos recursos da TI; prover transparncia e responsabilidade nos custos totais
de propriedade; relao do benefcio para o negcio e retorno sobre investimentos que habilitam a TI.

43

Metodologias e Padres

Unidade II

Requerimentos de qualidade devem ser determinados e comunicados com indicadores quantificveis e atingveis. Melhorias
contnuas so atingidas por intermdio de um monitoramento operacional. Gerenciamento da qualidade essencial para
assegurar que a TI entregue valor para o negcio, melhorias contnuas e transparncia para stakeholders.
PO9 Avaliar e Gerenciar Riscos O framework documenta um nvel de riscos da TI comum e acordado, estratgias
de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada
por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao de riscos devem ser
adotadas para minimizar riscos residuais a um nvel aceitvel.
PO10 Gerenciar Projetos Deve assegurar a correta priorizao e coordenao de todos os projetos. O framework
deve incluir um plano-mestre (portfolio), em que todos os projetos sero gerenciados. Essa abordagem reduz o risco de
custos no esperados e o cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios
finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam
investimentos em TI.
Daremos nfase agora ao componente de Aquisio e Implementao, adotado pelo modelo COBIT. Tal componente
formado por sete processos. Vejamos suas caractersticas.

Aquisio e Implementao AI
AI1 Identificar Solues Automatizadas A necessidade para novas aplicaes ou funes requer uma anlise antes da
aquisio ou criao, para assegurar que os requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente.
Esse processo deve definir as necessidades, considerando fontes alternativas, a reviso da viabilidade tecnolgica e
econmica, a execuo de anlise de risco e a anlise de custo/benefcio e a concluso de uma deciso final de fazer
ou comprar. Todos esses passos habilitam a organizao de minimizar os custos de adquirir e implementar solues,
enquanto asseguram que estes habilitam o negcio de atingir seus objetivos.
AI2 Adquirir e Manter Software aplicativo As Aplicaes devem estar disponveis e alinhadas com os requerimentos de
negcio. Esse processo envolve o desenho de aplicaes, a incluso apropriada de controles de aplicao, os requerimentos
de segurana, o atual desenvolvimento e a configurao, conforme os padres. Isso permite as organizaes suportar,
apropriadamente, as operaes de negcio com as corretas aplicaes automatizadas.

Governana de Tecnologia da Informao

AI3 Adquirir e Manter Arquitetura Tecnolgica Cria-se o processo para aquisio, implementao e atualizao da
infra-estrutura tecnolgica. Isso requer uma abordagem planejada para aquisio, manuteno e proteo da infra-estrutura
tambm alinhadas com as estratgias tecnolgicas acordadas. Isso assegura que o suporte tecnolgico operacional
suporta as aplicaes de negcio.

44

AI4 Manter Operao e Uso Define que o conhecimento sobre novos sistemas necessita ser disponibilizado. Esse
processo requer a produo de documentao e manuais para usurios da TI e promove treinamento que assegura o uso
e a operao apropriadoa de aplicaes e o perfeito uso da infra-estrutura.
AI5 Obter Recursos de TI Define e sanciona procedimentos de aquisio, seleo de fornecedores, realizao de
arranjos contratuais e a aquisio. Dessa forma, assegura-se que a organizao tem todos os recursos de TI requeridos
em tempo e de maneira efetiva em custo.
AI6 Gerenciar Mudanas Todas as mudanas, inclusive mudanas emergenciais e correes, relacionadas infraestrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciadas formalmente e de uma maneira
controlada. Mudanas precisam ser registradas, avaliadas e autorizadas antes de serem implementadas. Isso assegura
a mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

Universidade Gama Filho

Metodologias e Padres

Unidade II

AI7 Instalar e Certificar Solues e Mudanas Trata de testes apropriados em um ambiente dedicado com dados de
teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes, promoo atual para a
produo e revises ps-implementao. Isso assegura que sistemas operacionais esto alinhados com as expectativas
e resultados acordados.
Continuando o estudo do Modelo COBIT, daremos nfase agora ao componente de Entrega e Suporte DS, implementado
pelo modelo. Tal componente formado por treze processos.

Entrega e Suporte DS
DS1 Definir Nveis de Servios Prioriza-se a comunicao efetiva entre a gerncia da TI e os clientes de negcio,
em relao dos servios requeridos; habilitado por meio da documentao e do acordo de servios de TI e dos nveis
de servios. Esse processo tambm inclui o monitoramento e a comunicao em tempo para os stakeholders sobre o
cumprimento dos nveis de servios. Esse processo habilita o alinhamento entre os servios de TI o os requerimentos
de negcio associados.
DS2 Gerenciar Servios de Terceiros A necessidade de assegurar que servios terceirizados atendam os requerimentos
do negcio requer um processo efetivo de gesto. Esse processo efetuado com papis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento desses acordos
para efetividade e conformidade.
A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever,
periodicamente, o desempenho e a capacidade atual desses recursos.
DS3 Gerenciar Performance e Capacidade Inclui a previso das futuras necessidades baseada na carga de trabalho
e de contingncia.
DS4 Garantir Continuidade dos Servios Trata-se efetivamente da continuidade de servio, minimizando a probabilidade
e o impacto de interrupes maiores de servio sobre funes e processos de negcio.
DS5 Garantir Segurana dos Sistemas Mantm a integridade da informao e protege os ativos da TI. Esse
processo inclui estabelecer e manter papis e responsabilidades, polticas, padres e procedimentos da segurana de
TI. Gerenciamento da segurana tambm inclui realizar monitoramento de segurana, testes peridicos, e implementar
aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana proteje
todos os ativos da TI, para minimizar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.

DS6 Identificar e Alocar Custos Inclui a criao e operao de um sistema de captura, alocao e reporte dos custos
da TI para os usurios de servios. Um sistema justo de alocao habilita o negcio de fazer mais decises informadas
em relao do uso de servios da TI.
A educao efetiva de todos os usurios de sistemas de TI requer a identificao das necessidades de cada grupo de
usurios.
DS7 Educar e Treinar Usurios Inclui a definio e execuo de uma estratgia para um treinamento efetivo e medio
de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo de erros de
usurios, aumenta a produtividade e aumenta a conformidade com controles-chave como as medidas de segurana de
usurios.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

A necessidade para um justo e imparcial sistema de alocar custos para o negcio requer a medio exata de custos da
TI.

45

Metodologias e Padres

Unidade II

DS8 Gerenciar Service Desk e Incidentes Implementa-se uma central de servios e um mtodo de gerenciamento de
incidentes. O benefcio para o negcio inclui um aumento de produtividade por meio da resoluo rpida das perguntas
dos usurios.
Assegurar a integridade da configurao de hardware e software requer o estabelecimento e manuteno de um preciso
e completo repositrio de configurao.
DS9 Gerenciar a Configurao Assegura o gerenciamento efetivo da configurao facilitando a disponibilidade maior
do sistema, minimizando assuntos de produo e resolvendo estes assuntos mais rpidos.
DS10 Gerenciar Problemas Requer identificao e classificao de problemas, anlise da causa-raiz e resoluo de
problemas. O processo do gerenciamento de problemas inclui a identificao de recomendaes para melhorar a manuteno
de registros de problemas e reviso do status de aes corretivas. Um processo do gerenciamento de problemas efetivo
melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.
DS11 Gerenciar Dados Trata-se da identificao de requerimentos para dados. O processo tambm inclui estabelecer
procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao. Gerenciamento efetivo de dados
ajuda assegurar a qualidade, a oportunidade e a disponibilidade de dados do negcio.
A proteo para equipamentos de computao e pessoal requer instalaes bem-desenhadas segundo as suas
finalidades.
DS12 Gerenciar os Ambientes Fsicos Inclui definio dos requerimentos para um lugar fsico, seleo de instalaes
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e o acesso fsico. Gerenciamento efetivo
do ambiente fsico reduz interrupes do negcio devido a danos nos equipamentos de computao e no pessoal.
E, por fim, o processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e
a manuteno de equipamentos.
DS13 Gerenciar Operaes Inclui a definio de polticas e os procedimentos operacionais para um gerenciamento
efetivo da infra-estrutura e a manuteno preventiva dos materiais de TI. Gerenciamento efetivo da operao ajuda
manter a integridade de dados e reduz atrasos no negcio e custos da operao da TI.
Para concluirmos os domnios do COBIT, veremos a seguir o quarto e ltimo componente do modelo: o componente
Monitorao e Avaliao ME.

Governana de Tecnologia da Informao

Monitorao e Avaliao ME

46

A administrao geral deve estabelecer um framework global de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos.
ME1 Monitorar e Avaliar a Performance de TI Cria esse framework que deve estar integrado com o sistema de
gerenciamento de desempenho da companhia.
ME2 Monitorar e Avaliar Controle Interno Inclui monitorao e reporte de excees de controle, resultados da autoavaliao e reviso de fornecedores. Um benefcio principal do controle interno de monitorao fornecer segurana
relacionada efetividade operacional e a conformidade com leis e regulamentos.
ME3 Assegurar Conformidade Regulatria Inclui definio de um auditor independente; tica profissional e padres;
planejamento; desempenho do trabalho de auditoria e relatrios de acompanhamento dessas atividades. O propsito desse
processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos em vigor.
Universidade Gama Filho

Metodologias e Padres

Unidade II

ME4 Fornecer Governana de TI Estabelece um framework efetivo de governana, incluindo a definio de estruturas
organizacionais, processos, liderana, papis e responsabilidades para assegurar que os investimentos em TI empresarial
estejam alinhados e entregues de acordo com as estratgias e objetivos empresariais.
Vimos neste captulo que o COBIT pontua o grau de Governana Tecnolgica numa organizao de 1 at 5, similar ao
Capability Maturity Model CMM-I. O primeiro passo seria levantar os domnios e o grau de utilizao das atividades
dos processos na organizao de forma satisfatria, para poder identificar qual o grau alcanado pela organizao. Esse
trabalho de levantamento feito com a utilizao de questionrios e, portanto, o investimento nestas atividades no
precisa ser grande, restringe-se, basicamente, ao tempo dispendido pelas pessoas envolvidas. Dessa forma, refora-se
o conceito de que o COBIT independe de novas tecnologias, pelo contrrio, realizado em paralelo implementao dos
sistemas corporativos de gerenciamento e administrao da organizao.
A principal vantagem da qualificao do uso da tecnologia a integrao da TI aos outros departamentos da organizao.
Isso no pode ser feito sem a quebra de barreiras internas e as mudanas de paradigma na organizao.

Ps-Graduao a Distncia

O resultado da auditoria da metodologia COBIT para avaliao do nvel de maturidade (grau dos processos) ajuda a rea
de TI a identificar o grau atual e a evoluir para melhorar os processos da organizao.

Direitos reservados ao CETEB

47

Metodologias e Padres

Unidade II

Captulo 7 BSS 7799 ISO 17799

A segurana da informao a proteo dos sistemas de informao


contra a negao de servio a usurios autorizados, assim como
contra a intruso e a modificao no autorizada de dados ou
informaes, armazenados, em processamento ou em trnsito,
abrangendo a segurana dos recursos humanos, da documentao
e do material, das reas e instalaes das comunicaes e
computacional, assim como as destinadas a prevenir, detectar, deter
e documentar eventuais ameaas a seu desenvolvimento.
NBR 17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999

Segurana a base para dar s empresas a possibilidade e a liberdade necessria para a criao de novas oportunidades
de negcio. evidente que os negcios esto cada vez mais dependentes das tecnologias e estas precisam estar de tal
forma a proporcionar confidencialidade, integridade e disponibilidade que, conforme a NBR 17999, so os princpios
bsicos para garantir a segurana da informao. A confidencialidade assegura que a informao somente pode ser
acessada por pessoas explicitamente autorizadas. a proteo de sistemas de informao para impedir que pessoas no
autorizadas tenham acesso ao mesmo. O aspecto mais importante desse item garantir a identificao e autenticao
das partes envolvidas. J a disponibilidade certifica que a informao ou sistema de computador deve estar disponvel no
momento em que ela for necessria. A Integridade assegura que a informao deva ser retornada em sua forma original
no momento em que foi armazenada. a proteo dos dados ou das informaes contra modificaes intencionais ou
acidentais no autorizadas.
Outros estudiosos defendem que, para uma informao ser considera segura, o sistema que o administra ainda deve
respeitar aos seguintes requisitos.

Governana de Tecnologia da Informao

Autenticidade: garante que a informao ou o usurio dela autntico; atesta com exatido, a origem do dado
ou informao.

48

No-repdio: definido que no possvel negar uma operao ou servio que modificou ou criou uma informao,
ou seja, no possvel negar o envio ou recepo de uma informao ou dado (no sentido de dizer que no
foi feito).
Legalidade: garante a legalidade (jurdica) da informao; aderncia de um sistema legislao; caracterstica
das informaes que possuem valor legal dentro de um processo de comunicao, em qual todos os ativos
esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou
internacional vigentes.
Privacidade: foge do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas
no privada. Uma informao privada deve ser vista/lida/alterada somente pelo seu dono. Garante, ainda, que a
informao no ser disponibilizada para outras pessoas (nesse caso atribudo o carter de confidencialidade
a informao); a capacidade de um usurio realizar aes em um sistema sem que seja identificado.
Auditoria: define a rastreabilidade dos diversos passos que um negcio ou processo realizou ou que uma
informao foi submetida, identificando os participantes, os locais e os horrios de cada etapa. Auditoria em
Universidade Gama Filho

Metodologias e Padres

Unidade II

software significa uma parte da aplicao, ou conjunto de funes do sistema, que viabiliza uma auditoria.
Consiste no exame do histrico dos eventos dentro de um sistema para determinar quando e onde ocorreu
uma violao de segurana.
Vale ressaltar que segurana no tecnologia. No possvel comprar um dispositivo que torne a sua empresa segura,
assim como no possvel comprar ou criar um software capaz de tornar seu computador seguro. Como trabalho, a
segurana tambm se constitui de um processo. Pode-se fazer uma analogia com o trabalho de uma analista de sistemas,
mas o trabalho de um profissional de segurana assim resumido.
Anlise do problema levando em considerao tudo que conhece.
Sntese de uma soluo para o problema a partir de sua anlise.
Avaliao da soluo e aprendizado dos aspectos que no corresponderam as expectativas.
Experimente perguntar ao executivo de uma empresa quais so os objetivos das equipes de segurana e, provavelmente,
receber respostas parecidas com so eles que nos mantm seguros l. Se pressionadas, muitas pessoas podero ir
um pouco adiante, descrevendo o lado da segurana fsica: no permitir a entrada de visitas sem autorizao, verificar
se esto trancadas as portas que devem permanecer trancadas e ajudar em qualquer emergncia. pouco provvel que
as mesmas pessoas compreendam para que existe a equipe de segurana dos computadores.
Na melhor das hipteses, provavelmente voc ouvir manter os hackers fora de nossa rede. Cabe equipe de segurana
da rede partir dessa descrio vaga e mostrar que seu trabalho mais amplo, at o ponto em que possa fixar prioridades
e merecer estar includo nos oramentos.
Se voc perguntar aos profissionais de segurana o que poder fazer de mais importante para proteger sua rede, eles
respondero, sem hesitar, que escrever uma boa poltica de segurana.

A Poltica de Segurana apenas a formalizao dos anseios da


empresa quanto proteo das informaes.
Emilio Nakamura no livro, Segurana de Redes, p. 56

A International Organization for Standardization ISSO, uma organizao sediada em Genebra, na Sua, fundada em
1946. A sigla ISO foi originada da palavra isonomia. O propsito da ISO desenvolver e promover normas que possam
ser utilizadas igualmente, por todos os pases do mundo. Cerca de 111 pases integram essa importante Organizao
Internacional, especializada em padronizao, nos quais os membros so entidades normativas de mbito nacional. O
Brasil representado pela Associao Brasileira de Normas Tcnicas ABNT.
A ISO 17799 um conjunto de recomendaes voltadas para a rea de segurana nas empresas. um padro flexvel e
as suas recomendaes independem da tecnologia a ser adotada e no interfere nas medidas de segurana j existentes.
Essas duas caractersticas, a flexibilidade e, particularmente, a impreciso foram elaboradas de forma intencional, pois
quase impossvel criar um padro de segurana que funcione em todos os ambientes de TI. Ela simplesmente fornece
um conjunto de idias que devem ser adaptadas s circunstncias de sua empresa. um padro que possui 11 sees
de controle segundo a ABNT NBR ISO/ IEC 17799:2005 voltadas para a Tecnologia da Informao.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

A poltica de segurana um mecanismo preventivo de proteo de dados e processos importantes de uma organizao,
que define um padro de segurana a ser seguido pelo corpo tcnico e gerencial, e pelos usurios, internos ou externos.
Pode ser usada para definir as interfaces entre usurios, fornecedores e parceiros e para medir a qualidade e a segurana
dos sistemas atuais.

49

Metodologias e Padres

Unidade II

Poltica de Segurana da Informao


Prover uma orientao e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes.

Organizando a Segurana da Informao


Gerenciar a segurana da informao dentro da organizao, instalando, explorando e mantendo acordos de
confidencialidade, contato com autoridades em todos os nveis e identificando riscos e seus respectivos projetos de
mitigao.

Gesto de Ativos
Alcanar e manter a proteo adequada dos ativos da organizao, inventariando e classificando ativos e informaes.

Segurana em Recursos Humanos


Assegura que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os
seus papis; reduz o risco de roubo, fraude ou mau uso de recursos. Uma poltica de recrutamento, seleo e treinamento
de seus recursos humanos deve ser pensado neste item.

Segurana Fsica e do Ambiente


Previne o acesso fsico no autorizado, os danos e as interferncias com as instalaes e as informaes da organizao,
estabelecendo uma poltica transparente de controle fsico e lgico de acessos.

Gesto das Operaes e Comunicaes

Governana de Tecnologia da Informao

Garante a operao segura e correta dos recursos de processamento da informao, a includos a gesto de mudanas,
capacidade, controle de redes, controle contra cdigos maliciosos, mensagens eletrnicas e comrcio eletrnico.

50

Controle de Acesso
Procura controlar o acesso informao, estabelecendo polticas e gerenciamento de acesso aos ativos de TI da empresa,
tais como: gerenciamento de privilgios, senhas de usurios e controle das redes de comunicao de dados.

Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao


Estabelece a garantia de que a segurana parte integrante de sistemas de informao. Conscientizar os agentes
decisrios desta importncia.

Universidade Gama Filho

Metodologias e Padres

Unidade II

Gesto de Incidentes e Segurana da Informao


Assegura que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam
comunicados, permitindo a tomada de ao corretiva em tempo hbil.

Gesto da Continuidade do Negcio


Controla a ininterruptibilidade das atividades do negcio; protege os processos crticos contra efeitos de falhas ou
desastres significativos, bem como assegura a sua retomada em tempo hbil, se for o caso com aes que incluam a
segurana da informao no processo de gesto da continuidade de negcio.

Conformidade
Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao. Estando sempre em conformidade com requisitos legais no que tange registros
organizacionais, controles de criptografia e demais polticas de segurana.
O padro britnico Bristish Standard 7799 BS 7799 um padro de segurana amplamente reconhecido. De fcil
compreenso e implementao, contm um grande nmero de requisitos de controle. A primeira parte o cdigo da
prtica para a segurana das informaes, contendo as dez sees e controles-chave para a criao da estrutura de
segurana das informaes.
A segunda parte a base para a certificao, contendo cem controles que foram detalhados e ajustados conforme
os objetivos e controles da primeira parte. Como vimos neste captulo, a BS 7799 um padro organizado em 11
sees.

Ps-Graduao a Distncia

A BS7799 abrange a segurana, desde a definio e documentao das polticas de segurana at a conformidade com
as normas, regulamentaes e legislaes de proteo dos dados, passando pelos treinamentos em segurana, relatrios
dos incidentes de segurana, controle de vrus entre outros.

Direitos reservados ao CETEB

51

Unidade II

Governana de Tecnologia da Informao

Metodologias e Padres

52

Universidade Gama Filho

Unidade III

Decises sobre Lojas

Unidade III

A Norma ISO 20000

S quando um saber se torna codificado que ele passa a contribuir


em larga escala para a sociedade.
Clemente Nbrega, 2004

Estudaremos nesta unidade mais uma norma ISO, mas desta vez voltada para a rea de servio. Normas de servios
so importantes na composio de uma Governana de TI, pois este ltimo recurso nada mais do que um conjunto de
preciosos servios.

Captulo 8 Conceituaes da Norma ISO 20000


Essa norma tem como escopo definir requisitos para o correto gerenciamento de uma empresa prestadora de servios de
TI, garantindo a entrega aos clientes de servios de qualidade. So requisitos da norma definio de polticas, objetivos,
procedimentos e processos de gerenciamento para assegurar a qualidade efetividade na prestao de servios de TI. Os
processos da ISO/IEC 20000 so estes.
Processos de Planejamento e implementao
Processos de entrega de servios
Processos de relacionamento
Processos de soluo, liberao e controle
A ISO/IEC 20000 adota a metodologia conhecida como Plan-Do-Check-Act PDCA para os processos de planejamento
e implementao de servios, que consiste de quatro tarefas bsicas.
Plan Planejar: estabelece os objetivos e processos necessrios para entrega dos servios com qualidade.

Check Avaliar ou Checar: monitora e estabelece mtricas para os processos visando confirmar se eles esto
sendo executados com qualidade.
Act Agir: toma aes que visam melhoria contnua dos processos e dos resultados gerados por estes.
A primeira atividade de processos de entrega de servios est na elaborao de acordos de nveis de servio que so
realizados entre as reas solicitantes e a rea de gesto de servios de TI. A exemplo do Service Delivery (Servio de
Entrega) do ITIL, citado em captulos anteriores, os processos de entrega de servios na ISO/IEC 20000 tratam ainda
das atividades de emisso e da distribuio de relatrios acerca da disponibilidade e continuidade de servios, oramento
e contabilidade de custos e gerenciamento da capacidade.

Direitos reservados ao CETEB

Ps-Graduao a Distncia

Do Fazer: implementa os processos estabelecidos no plano.

53

Decises sobre Lojas

Unidade III

Os processos de relacionamento na ISO/IEC 20000 tratam do relacionamento entre o prestador de servios de TI e seus
clientes, inclusive, identificao das necessidades dos clientes e gerenciamento de mudanas dessas necessidades. Inclui
ainda atendimento de reclamaes e processo de escalao de problemas urgentes, caso os mesmos no sejam resolvidos
pelo processo comum. Tambm deve se obter feedback do cliente por meio da medio do seu nvel de satisfao.
Os processos de soluo, liberao e controle na ISO/IEC 20000 tratam de: atividades de tratamento; incidentes e
problemas; gerenciamento de configuraes; gerenciamento de mudanas e de gerenciamento de liberaes.
vlido ressaltar que a ISO/IEC 20000 a primeira norma mundial, especificamentea focada para o Gerenciamento
de Servios de TI. Ela no formaliza a incluso das prticas da ITIL, embora esteja descrito na norma um conjunto de
processos de gerenciamento que esto alinhados com os processos definidos dentro dos livros do ITIL.

O ITIL e o ISO 20000 so modelos independentes?

A certificao ISO/IEC 20000 fornece uma base para prover que uma organizao tenha implementado os processos
de gerenciamento de servios, e utiliz-los de forma consistente dentro da organizao. O seu propsito promover
a adoo de um processo integrado para entregar servios que satisfaam os requisitos do negcio e do cliente. Para
isso, ele introduz uma cultura de servios e prov as metodologias para entregar servios que atendam aos requisitos de
negcio definidos e prioridades de um "modo gerencivel. Alm disso, ele enfatiza processos para apoiar a qualidade
real de fornecimento, ajudando as organizaes a gerar receita ou a ter um custo efetivo via um gerenciamento de servio
profissional.
Vejamos, a seguir, outras caractersticas de organizaes que adotam a norma ISO 20000 como modelo de Gesto de
Servios em Tecnologia da Informao.
Ajudar os provedores de servios a determinar uma conformidade com as melhores prticas.
Transformar departamentos focados em tecnologia, em departamentos focados em servios
Melhorar a confiabilidade e disponibilidade dos sistemas.

Governana de Tecnologia da Informao

Prover uma base para acordos em nvel de servios.

54

Fornecer o ganho em marketing e vantagem competitiva.


A ISO 20000 particularmente importante para organizaes de setores industriais em que a qualidade dos servios de
TI essencial para o sucesso empresarial. A ISO 20000 relevante para organizaes que fornecem servios geridos e
sub-contratao de servios de TI ajudando a atender conformidades regulatrias.
Ela foi desenvolvida para estar alinhada com a famlia ISO 9001 & ISO/IEC 27001. Para as organizaes que no
procuram certificao, a norma pode ser utilizada como guia para melhorar os seus processos de TI e reduzir os custos.
Normalmente, o clima da equipe melhora ao trabalhar em um ambiente controlado pela norma ISO/IEC 20000.

Universidade Gama Filho

Decises sobre Lojas

Unidade III

Captulo 9 Abordagem do processo

A ISO/IEC 20000 promove a adoo de uma abordagem integrada de processos. Para uma organizao funcionar de
maneira eficaz, ela tem de identificar e gerenciar vrias atividades interligadas.
Abordagem de processo
Um processo um conjunto de atividades inte-relacionadas ou
interativas que usa recursos para transformar entradas em sadas.

A abordagem de processo identifica, sistematicamente, e gerencia


a inter-ligao, combinao e interao de um sistema de processos
dentro de uma organizao.

A ISO/IEC 20000 est baseada em uma abordagem de processos


para gerenciamento de servios de TI.
Figura 10 Abordagem do processo da ISO 20000

Uma organizao deve demonstrar que ela tem controle do gerenciamento de cada um dos processos da ISO/IEC 20000.
Esse controle de gerenciamento de um processo consiste em:
Conhecimento e controle das sadas.
Conhecimento, uso e interpretao das sadas.
Demonstrao de evidncia da responsabilidade pela funcionalidade do processo.
Existem 217 requisitos dentro da norma ISO/IEC 20000. A organizao precisa cobrir por inteiro a norma, ou seja, todos
os 217 requisitos.
Norma ISO 20000

Entrada

Atividade

Atividade

Atividade

Sair

Figura 11 Controle imposto pela norma ISO 20000

Desse modo a certificao na norma por parte das organizaes somente ser concedida para aquelas que possurem a
Gesto de Servios em Tecnologia da Informao GSTI. Tal certificao apenas tratar das operaes de GSTI dentro
da organizao.
Direitos reservados ao CETEB

Ps-Graduao a Distncia

Medir

55

Decises sobre Lojas

Unidade III

Assim, no se concede a certificao para os produtos e servios de consultoria oferecidos pelas organizaes.
Observe na figura 12 como a norma ISO 20000 se relaciona com os demais frameworks de Governana de Tecnologia
da Informao.

Guias

Governana Corporativa

DESEMPENHO:
Metas do negcio

CONFORMIDADE:
Basilia II, SOX etc

Balanced
Scorecard

COSO

Governana de TI

Sistemas de Gesto

Processos e Procedimentos

COBIT

ISO 9001:2000

ISO 27001

ISO 20000

Procedimentos de
Qualidade

Princpios de
Segurana

Operaes

Figura 12 Relao da Norma ISO 20000 com os demais frameworks de Governana

Governana de Tecnologia da Informao

Esta norma poder ser comprada no site

56

http://20000.standardsdirect.org/

Universidade Gama Filho

Para (no) Finalizar

Nesta disciplina, conhecemos as principais metodologias e normas que influenciam a Governana de TI de uma empresa.
Devemos ressaltar que esses aspectos apresentados no podem ser encarados como a soluo para todos os problemas
da empresa relacionadas com TI.
Tambm vale lembrar que os mtodos, particularmente o ITIL e o COBIT, so guias para a execuo das melhores prticas
de Governana de TI, mas cada organizao deve ter em mente que as circunstncias que a cercam so diferentes e,
em conseqncia, a implementao deve levar isso em considerao. O que deu certo em uma empresa pode no ser
a sua soluo.
O que foi visto no um trilho, e, sim uma trilha. No existe A soluo do problema, e sim UMA soluo para o
problema. Nossos estudos no param por aqui. Devemos procurar implementar essas teorias nos nossos ambientes de
trabalho, pois, s ter a teoria sem aplic-la no dia-a-dia ser um grande desperdcio em nossa vidas.

Ps-Graduao a Distncia

Outra grande idia integrar esses conhecimentos de Governana de TI com as outras disciplinas que viro em seguida.
misso do Gestor de Tecnologia da Informao integrar conhecimentos em prol da TI de sua empresa.

Direitos reservados ao CETEB

57

Referncias

THOMPSON A. Arthur ; STRICKLAND A. J. Planejamento Estratgico Elaborao, Implementao e Execuo.


So Paulo: PIONEIRA, 2000.
OLIVEIRA Djalma de Pinho Rebouas. Planejamento Estratgico Conceitos de Metodologias Prticas. So Paulo:
ATLAS. 14 Ed. Revista.
WEILL, Peter. ROSS, Jeanne. Governana de TI Tecnologia da Informao. M. Books, 2005.
FERNANDES, Aguinaldo Aragon; ABREU, Wladimir Ferraz de. Implantando a Governana de TI. BRASPORT.
2006.
MANSUR, Ricardo. Governana de TI Metodologias, Frameworks e Melhores Prticas. BRASPORT. 2007.

Sites:
http://www.ogc.gov.uk/
http://www.ibgc.org.br/
http://www.itil.org
http://www.itil.co.ok
http://www.pinkelephant.com
http://www.itsmf.com

Governana de Tecnologia da Informao

http://20000.standardsdirect.org/

58

Universidade Gama Filho

Ps-Graduao a Distncia
Direitos reservados ao CETEB

59

60

Universidade Gama Filho

Governana de Tecnologia da Informao