ESTRUTURAS, PROCESSOS E MECANISMOS DE GOVERNANÇA DE TI Ângela Maria Cristina Clara Tibúrcio Luis Fernando Ramos Molinaro Eliomar Araújo de Lima

Transcrição

1 ESTRUTURAS, PROCESSOS E MECANISMOS DE GOVERNANÇA DE TI Ângela Maria Cristina Clara Tibúrcio Luis Fernando Ramos Molinaro Eliomar Araújo de Lima Resumo A Governança de TI possui um papel relevante nas organizações, principalmente em relação ao processo de tomada de decisão. Diferentes pesquisas têm levantado indícios de que as empresas que possuem bons modelos de governança de TI apresentam resultados superiores aos de seus concorrentes, especialmente porque executam, de forma consistente, as melhores decisões sobre a TI. Há também estudos que exploram modelos de Governança de TI que requerem a implementação de estruturas, processos e mecanismos relacionais de Governança de TI, tornando-a complexa e difícil de ser alcançada pelas organizações. Desta forma, surge a indagação sobre o que é, efetivamente, necessário para implementar a Governança de TI, ou seja, que requisitos são necessários para se manter a conformidade à Governança de TI. O presente artigo objetiva demonstrar requisitos de conformidade à Governança de TI, com base em estruturas, processos e mecanismos de Governança de TI, identificados na literatura acadêmica, como também, a aplicabilidade dos referidos requisitos no âmbito da Administração Pública Federal Brasileira, especificamente, numa empresa pública. INTRODUÇÃO A Tecnologia da Informação (TI) desempenha um papel essencial ao negócio. Há situações em que a ineficiência da TI pode provocar impactos altamente negativos ao negócio, como por exemplo, indisponibilidade de serviço, ambiente de negócio com baixa resiliência e operações descontinuadas. O uso e a exploração dos recursos tecnológicos são cada vez mais intuitivos, porém a mesma facilidade não é observada em termos de gestão e controle dos componentes tecnológicos que estão relacionados ao negócio. Portanto, o principal desafio na contemporaneidade é saber utilizar a TI de forma efetiva, extraindo e agregando valor real ao negócio da organização. Diante das questões apresentadas surge uma indagação importante: o que é preciso observar em termos de capacidades organizacionais para se estabelecer controles efetivos para implementar a TI harmônica com o negócio? Nesse contexto, há várias correntes acadêmicas, como também iniciativas de Órgãos de Fiscalização e Controle e melhores práticas que, conjuntamente têm apontado a Governança de TI como uma das principais alternativas para tratamento das necessidades de controles interno e externo. Embora a Governança de TI exerça um papel relevante no direcionamento da TI com vistas à agregação de valor ao negócio, torna-se necessário compreender o que é efetivamente necessários para implementar e manter a Governança de TI. De acordo com a proposta de trabalho, a pesquisa foi desenvolvida com foco na implementação da governança de TI na Administração Pública Federal do Brasil, especificamente nos aspectos de conformidade, ou seja, que requisitos de conformidade à Governança de TI devem ser implementados numa organização para que ela esteja em conformidade com a legislação vigente e com as recomendações de Órgãos de Fiscalização e Controle.

2 Vale contextualizar que a Governança de TI na administração pública federal do Brasil, principalmente em Órgãos da Administração Indireta, é fortemente influenciada por Órgãos Controladores Externos, como por exemplo o Tribunal de Contas da União TCU. As ações e práticas de Governança de TI emanadas pelos Órgãos de Fiscalização e Controle, são encaminhadas por meio de Recomendações aos Órgãos da Administração Pública direta e indireta. Vale destacar que as Recomendações refletem o resultado de análises realizadas em trabalhos de auditoria do TCU em Órgãos da APF, sendo que os registros dos trabalhos realizados são documentados e publicados por meio de Acórdãos e, que as referidas as Recomendações direcionam e, de certa forma, até alavancam ações e práticas de governança de TI em Órgãos da Administração Pública Federal. É importante mencionar, ainda, que as práticas de Governança de TI recomendadas pelos Órgãos de Fiscalização e Controle às Organizações da APF, indireta, contemplam, fortemente, questões relacionadas à segurança da informação. Diante de tal situação, as análises realizadas contemplaram além da literatura acadêmica, Acórdãos do TCU, Normas Complementares da Presidência da República, Instruções Normativas da SLTI/MPOG e das melhores práticas relacionadas à Tecnologia da Informação e Segurança da Informação, como COBIT, ITIL e NBR ISO/IEC As pesquisas demonstraram que a Governança de TI pode ser composta por Estruturas, Processos e Mecanismos, trabalhando de forma harmonizada em conformidade com as recomendações de Órgãos de Fiscalização e Controle. De acordo com o ITGI (2000), a Governança de TI é parte integrante da governança corporativa e consiste em lideranças, processos e estruturas organizacionais para assegurar que a organização sustente e amplie suas estratégias e objetivos. Segundo, LUNARD (2007), foi a partir de 2001, com a definição proposta por KORACKAKABADSE e KAKABADSE que a governança de TI passa a se concentrar também na necessidade de definir processos e mecanismos de relacionamento e não apenas estruturas para desenvolver, dirigir e controlar os recursos de TI, de modo a atingir os objetivos da organização. Nessa mesma linha, aparecem as definições de Peterson (2004), TURBAN, MCLEAN E WETHERBE (2004) e do ITGI (2000). Percebe-se que a maioria dos autores concordam que a governança de TI é uma preocupação da alta administração em controlar o impacto estratégico da TI e a sua entrega de valor para o negócio, conforme proposto por WEILL E ROSS (2005), ITGI (2000) e DE HAES E GREMBERGEN (2004). Após a identificação de Estruturas, Processos e Mecanismos de Governança de TI constantes da literatura acadêmica, sendo verificada a relação destes com as fontes de informações de Órgãos de Fiscalização e Controle, com fontes de informação Governamental e com as melhores práticas que abordam assuntos relacionados à Governança de TI e a Segurança da Informação. O estudo empírico das Estruturas, Processos e Mecanismos de Governança de TI, identificados na literatura acadêmica, ocorreu por meio de um estudo de caso simples em Órgão da Administração Pública Federal do Brasil, especificamente, em uma Empresa Pública. A aplicação do Estudo de Caso possibilitou observar como a governança de TI é tratada no âmbito da Administração Pública Federal, com base nos seguintes resultados: Em relação às estruturas de Governança de TI, foi verificado que 67% das estruturas verificadas são efetivamente aplicadas na organização e 33% são parcialmente realizadas.

3 Em relação à aplicação dos Processos de Governança de TI, foi verificado que 9% dos processos são realizados, 64% são parcialmente realizados e 27% não são realizados. Em relação aos mecanismos de Governança de TI, foi constatado que 67% são parcialmente realizados e 33% não são realizados. Numa visão geral das Estruturas, Processos e Mecanismos de Governança de TI aplicados numa empresa pública, foi constatado que 16% são realizados, 60% são parcialmente realizados e 24% não são realizados. Os resultados apresentados, sugerem que as estruturas, processos e mecanismos de Governança de TI existentes na literatura acadêmica são, em parte, contemplados em Órgãos da Administração Pública Federal Brasileira e podem, ainda, contribuir e apoiar as organizações no estabelecimento e manutenção da Governança de TI. METODOLOGIA No primeiro momento, foi realizado o levantamento de fontes de informações acadêmicas em busca de conceitos e requisitos necessários à implementação da Governança de TI. No segundo momento, foram realizadas pesquisas acerca dos Acórdãos do TCU que tratam da Governança de TI e, a partir de estudos realizados nestes Acórdãos foi possível, identificar citações relacionadas às Normas Complementares da Presidência da República, que tratam de Segurança da Informação, as Instruções Normativas da SLTI/MPOG, como também ao uso de melhores práticas de Governança e de Gestão de TI, como o CobIT, a ITIL e a norma NBR ISO/IEC Desta forma, as fontes de informação acadêmica, como também as fontes de informação de órgãos reguladores e de governo e melhores práticas de mercado, passaram a compor a base de pesquisa deste trabalho. REFERENCIAL TEÓRICO A Governança Corporativa De acordo com o Instituto Brasileiro de Governança Corporativa, (IBGC, 2013), a Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade. Segundo, LUNARD et al (2007), a Governança Corporativa teve origem na década de 1930, especialmente após o surgimento das chamadas corporações modernas, quando passa a ocorrer a separação entre o controle e a gestão, o papel de gestor na empresa não precisa mais, necessariamente, ser exercido pelo dono. Entretanto, é no início dos anos 1980 que o movimento da Governança Corporativa desperta novo interesse entre as empresas, principalmente pelo descontentamento de grandes investidores quanto às decisões tomadas pelos dirigentes das empresas, muitas vezes tomadas em seu benefício próprio em detrimento ao dos acionistas. Boa parte da literatura de Sistemas de Informação tem sugerido que a Governança Corporativa influenciou fortemente na evolução da Governança de TI (ITGI, 2003; PETERSON, 2004a; GREMBERGEN et al, 2004). O próprio IT Governance Institute refere-se à governança de TI como sendo um subconjunto da Governança Corporativa (ITGI, 2003). A Governança de TI

4 Embora a governança de TI seja um tópico de pesquisa relativamente novo, diferentes definições foram desenvolvidas ao longo dos anos, como por exemplo, nos anos de 1990 e 1999 pelos pesquisadores Henderson e Venkatraman, os quais mencionaram em publicações sobre alinhamento estratégico questões relacionadas à Governança de TI. Em artigo publicado em 1990, Henderson e Venkatraman (1990) propuseram um modelo de alinhamento estratégico em que a estratégia de TI corresponde à Governança de TI e as Competências sistêmicas de TI, sendo que as ligações entre a estratégia de negócio e estratégia de TI (ou seja, a articulação necessária do escopo da TI, o desenvolvimento de competências sistêmicas, bem como mecanismos de governança de TI), refletem a capacidade de alavancagem da estratégia de TI para moldar e suportar as estratégias de negócio. Num outro artigo, publicado em 1999, os mesmos autores citaram que a posição da organização no mercado da TI envolve três conjuntos de escolhas: escopo da tecnologia da informação, competências sistêmicas e Governança de TI (Henderson e Venkatraman, 1999). No que tange à governança de TI, os artigos de Henderson e Venkatraman, publicados em 1990 e 1991, propuseram a seleção e uso de mecanismos, por exemplo, empreendimentos conjuntos (joint ventures) com fornecedores; alianças estratégicas; pesquisas conjuntas e o desenvolvimento de novas capabilities de TI, objetivando, desta forma, a obtenção das competências necessárias de TI. De acordo com SAMBAMURTHY et al (1997), a governança de TI é definida como a implementação de estruturas e arquiteturas (e padrões de autoridade associadas) relacionadas à TI para atingir com sucesso atividades em resposta ao ambiente e à estratégia organizacional. A idéia da necessidade em definir diferentes estruturas como forma de atingir o sucesso da TI é reforçada com a definição de WEILL E ROSSI (2004), que definiram a governança de TI como o sistema que especifica a estrutura de responsabilidades e direitos de decisão para encorajar comportamentos desejáveis no uso da TI. A Governança de TI é uma estrutura de relações e processos para dirigir e controlar a função de TI numa Organização, a fim de atingir seus objetivos, agregando valor, equilibrando riscos versus retorno sobre TI e seus processos. Parte da Governança de TI é projetar, aplicar e avaliar um conjunto de regras para governar as regras e funções da TI (VERHOEF, 2007). Segundo LUNARD et al (2007), foi a partir de 2001, com a definição proposta por Korac- Kakabadse, que a governança de TI passa a se concentrar também na necessidade de definir processos e mecanismos de relacionamento e não apenas estruturas para desenvolver, dirigir e controlar os recursos de TI, de modo a atingir os objetivos da organização. Nessa mesma linha, aparecem as definições de PETERSON (2004b), TURBAN et al (2004) e ITGI (2003). O ITGI define a governança de TI como a liderança, as estruturas organizacionais e os processos que garantem que a TI da empresa sustente e estenda as estratégias do negócio e seus objetivos, integrando e institucionalizando boas práticas (ITGI, 2007). Para atender as necessidades de governança de TI, modelos, metodologias, padrões e ferramentas estão sendo consolidados em frameworks de melhores práticas do mercado, geralmente desenvolvidos por associações profissionais e estimulados por grandes empresas de TI e agências governamentais. Essas iniciativas favorecem a integração da TI com as demais funções organizacionais e tornam seus processos de trabalho mais transparentes, inteligíveis, controláveis e confiáveis. Dentre as melhores práticas que tratam de temas contemplados na Governança de TI, destacam-se: PMBOK guia de conhecimento em gerenciamento de projetos (PMBoK, do inglês Project Management Body of Knowledge), baseado na metodologia reconhecida mundialmente pelos profissionais de gerenciamento de projetos um documento formal que descreve

5 normas, métodos, processos e práticas estabelecidas. O Conhecimento contido neste guia evoluiu a partir de boas práticas reconhecidas de profissionais de gerenciamento de projetos que contribuíram para o seu desenvolvimento. CobIT Control Objectives for Information and Related Technology, é um framework dirigido para a governança e gestão de tecnologia da informação. Recomendado pela Information Systems Audit and Control Association (ISACA), o CobIT possui recursos que são aplicados como um modelo de referência para a gestão da TI. Atualmente se encontra na versão 5.0, lançada em CMMI Capability Maturity Model Integration Modelo Integrado de Maturidade e de Capacidade para melhoria de processo de software, destinado ao desenvolvimento de produtos e serviços, e composto pelas melhores práticas associadas a atividades de desenvolvimento e de manutenção que cobrem o ciclo de vida do produto desde a concepção até a entrega e manutenção. ITIL Information Technology Infrastructured Library A ITIL é uma biblioteca que compila melhores práticas usadas para o gerenciamento de serviços de tecnologia da informação. Norma ABNT NBR/ISO 27002:2005 Código de boas práticas para a gestão da segurança da informação. Embora essas definições se diferenciem em alguns aspectos, em virtude do próprio período em que foram escritas, pode-se perceber que quase todas as definições de governança de TI abordam a forma de autoridade da tomada de decisão de TI na organização, por meio de estruturas e a forma com que os recursos de TI são gerenciados e controlados, por meio de processos, buscando sempre alinhar os investimentos realizados em TI às estratégias corporativas. A Governança de TI e as pressões externas Em se tratando de pressões externas, quais são as regras? É uma falha ver a Governança de TI como uma mera resposta às pressões regulatórias externas, pois isso gera uma atitude fundamentalmente doentia: a governança é vista apenas como um custo, um custo de fazer negócios, sobre as quais você não tem controle (Norfolk, 2011). Na verdade, a governança de TI deve ser vista como uma maneira em que o Conselho possa garantir que os recursos de TI são implantados e gerenciados de forma rentável, em busca da estratégia de negócio. O objetivo final da governança de TI é o negócio melhor, mais rápido, mais barato, ou seja, a garantia de resultados ao negócio. No entanto, um aspecto desta questão é a transparência, que assegura que todas as partes interessadas de uma empresa possam certificar-se de que o negócio está sendo realizado de forma honesta e ética, nos interesses da empresa e da comunidade, como um todo, em vez do disfuncional interesse de particulares. Felizmente, a maioria nova legislação não é mais puramente prescritiva, isto é, não apenas especificar uma lista de regras mais ou menos arbitrárias, mas as tentativas de gerar e adotar boas práticas e maturidade organizacional. Uma empresa que satisfaz a Lei Sarbanes-Oxley, por exemplo, será uma empresa melhor gerenciada, capaz de medir a eficácia com que ele se alinha objetivos de TI aos objetivos de negócio, capaz de demonstrar a eficácia e integridade de seus relatórios financeiros e capaz de operar de forma mais econômica, como resultado. Mesmo assim, há uma série de novas legislações em torno de controle interno em geral, que o grupo de TI deve estar ciente. O grupo de TI sempre vai ser mais eficaz no contexto de um negócio em evolução, em que a tecnologia muda rapidamente, se a governança de TI é construída em sistemas automatizados desde o início. Isso significa adotar um ciclo de desenvolvimento e processo de manutenção, que trata exigências regulatórias como iguais em importância para os outros requisitos de negócio e implica que os sistemas automatizados sejam testadas em cenários derivados da legislação aplicável.

6 Em geral, o grupo de TI pode esperar que os acionistas da empresa estabeleça, os requisitos regulamentares, mas os analistas de TI devem questionar o que lhes é dito e garantir que os sistemas automatizados possam satisfazer as necessidades não funcionais como trilhas de auditoria eficazes, controles de acesso e sistemas de resiliência, que se originam em legislações que promovam a governança. Por sua vez, isto significa que eles devem estar cientes de que existe legislação e que tipo de controles são mandatórios. Legislações que impactam a governança de TI É importante, realmente ler, as legislações que afetam a governança de TI, bem como as notas de orientação ou de imprensa. O Comitê de Basileia de Supervisão Bancária divulgou um quadro revisto para adequação de capital (gestão de risco de crédito), geralmente conhecido como o Acordo de Basileia II entrou em pleno vigor em Em julho de 2004, a Comissão Europeia publicou a Diretiva de Requisitos de Capital (CRD) para trazer Basileia II em direito da União Europeia (UE). A Basileia II, por exemplo, teve um impacto significativo sobre os processos bancários e os sistemas de TI que os implementam e os suportam em grande parte na área de monitoramento de perfis de risco de crédito, sendo de grande importância para os bancos. No entanto, para as instituições financeiras, Basileia II tem algumas implicações bastantes sutis, como a gestão de riscos não é particularmente determinística e as novas regras podem simplesmente significar que o risco seja transferido. Um dos objetivos da governança corporativa no âmbito do COSO é a conformidade com as leis e regulamentos aplicáveis. No mundo de TI, isso significa que deve-se abordar, no mínimo: O Freedom of Information Act (Reino Unido) ou o equivalente em em outros países. Isto não se aplica apenas aos serviços públicos, mas impacta em projetos de sistemas de armazenamento e recuperação de informações para tais serviços. Os Regulamentos de proteção de dados, por exemplo, a Lei de Protecção de Dados (Reino Unido) e a legislação em toda a Europa, visam cumprir as diretivas relativas à proteção de dados da União Européia. Não só deve proteger as informações pessoais como também utilizá-las para fins específicos, e deve destruí-la de forma segura, quando não é mais necessária e oferecer facilidades para os assuntos de dados pessoais para acessar e corrigi-lo. Um problemas especial para muitos sistemas automatizados globais que podem começar a contar com a tecnologia cloud computing, onde a localização de dados em um determinado momento não está bem definida, é que provavelmente você está em violação das regras de proteção de dados da UE, se os dados são armazenados ou transmitidos fora das fronteiras da União Européia. A Propriedade Intelectual (PI), em muitos casos, é o bem mais valioso de uma empresa é a sua Propriedade Intelectual. É particularmente difícil gerenciar a tecnologia da Propriedade Intelectual, pois muitas delas ainda estão na cabeça das pessoas. Uma questão importante é o licenciamento de software, principalmente o uso de software não licenciado que pode ocasionar multas, há casos em que as empresas são processados, havendo, ainda, interrupções ao negócio a partir de computadores confiscados e impactos à reputação e imagem da organização. Embora haja riscos também no uso de softwares licenciados, como por exemplo, há kits SOX disponíveis no mercado que prometem entregar a conformidade com a Sarbanes-Oxley, mas na ausência de um processo de gestão de ativos bem compreendido, é improvável que tenham a capacidade de entregar tal conformidade. A Regulamentação das telecomunicações, como o Regulation of Investigatory Powers Act (RIPA). Isso impacta na interceptação de comunicações eletrônicas e do uso da tecnologia de criptografia.

7 A Saúde e Segurança no Trabalho (Health and Safety at Work Act in the UK), aplica-se aos trabalhadores em TI, tanto como em qualquer outro lugar. Talvez, não seja uma questão específica da Governança de TI, mas é importante lembrar que os trabalhadores de TI não estão isentos de problemas de saúde e segurança. As diretivas de reciclagem (WEEE Recycling Directive). Isso provavelmente não vai impactar muito os usuários finais de TI, mas podem afetar operações, como a maioria equipamento eletrônico devem agora ser reciclados quando é descartado. A Lei de Deficiência, 1995 (Disability Act, 1995). Novamente o tema Saúde e Segurança, as organizações de TI não estão isentas. Em particular, sites devem ser projetado para facilitar o acesso de pessoas com capacidades diferentes. A norma fundamental nesta área é provavelmente o Web Content Accessibility Guidelines 1.0 (1999 e também no Working Draft 2.0, produzido em 2003), criado pela Web Accessibility Initiative do W3C. Legislação de Combate à Lavagem de Dinheiro, que no Reino Unido é incorporada em várias partes da legislação: a Lei de Justiça Criminal de 1988 (alterada), o tráfico de drogas na Lei de 1994 e do Terrorismo (Terrorism Act 2000 alterada). Isso, em grande parte, embora não exclusivamente, afeta organizações bancárias e financeiras. As Publicações como Gee s IT Policies and Procedures (ITPP, 2004) são tentativas de orientar os assinantes sobre o estado atual de tal legislação, e são regularmente atualizadas, mas convém que haja o aconselhamento profissional sobre as implicações exatas da legislação, se isso afeta especificamente a TI. Talvez não seja diretamente uma parte da Governança de TI, por si só, mas às vezes é bom lembrar que é uma idéia muito boa para evitar processos judiciais caros, sempre que possível. Na verdade, é possível que a conformidade regulatória possa ser implementada no software que conduz o negócio, mas deve-se ter muito cuidado com isso, pois numa última análise, o efeito da lei reguladora e de leis associadas permite ao tribunal decidir com base na legislação e não ao que parece, tecnicamente, competente e razoável aos leigos. Mecanismos de Governança de TI Embora a discussão sobre o conceito de governança de TI tenha procurado tornar mais clara a compreensão sobre sua importância e papel na organização, a questão sobre como implementá-la na prática tem intrigado muitos executivos e pesquisadores. A decisão de implementar a governança de TI pode ser iniciada, em alguns casos, em virtude de um interesse específico, como, por exemplo, definir responsáveis para a elaboração de projetos de TI e para a sua avaliação ou pela presença de problemas críticos para a organização, como a falta de recursos, exigindo que os executivos analisem e priorizem seus projetos tecnológicos, conforme o seu impacto na organização (LUNARD, 2007). A questão central diz respeito ao modo como as empresas podem, pragmaticamente, implementar a governança de TI. A Governança de TI pode ser implantada usando uma mistura de várias estruturas, processos e mecanismos relacionais. Ao projetar a governança de TI de uma organização, é importante reconhecer que depende de uma variedade de fatores internos e externos, por vezes, conflitantes. Determinar a combinação correta de mecanismos é, portanto, uma tarefa complexa com o agravante de que, o que funciona para uma empresa, pode não funcionar para outra. Isso significa que as organizações diferentes podem necessitar de uma combinação de diferentes estruturas, processos e mecanismos relacionais (DE HAES E GREMBERGEN, 2004). O framework proposto por Peterson (2004) aborda uma forma de comportar estruturas de gestão de TI, processos e mecanismos numa relação compreensível, cujas estruturas envolvem a existência de papeis e responsabilidades, como os executivos de TI e os comitês de TI; os processos referem-se ao monitoramento e a tomada de decisões estratégicas; e os mecanismos de relacionamento incluem a participação da TI e do negócio, o diálogo estratégico, o conhecimento compartilhado e a comunicação adequada.

8 De acordo com De Haes et al, os mecanismos de relacionamento são muito importantes, considerando que é possível que uma organização tenha todas as estruturas de governança de TI e os processos no lugar, mas não funcione porque o negócio e a TI não se entendem ou não estão trabalhando juntos. Ou, pode ser que haja pouca conscientização do negócio por parte da TI ou pouca valorização da TI por parte da empresa (DE HAES E GREMBERGEN, 2004). Assim, para alcançar a governança efetiva de TI, é necessária a comunicação bidirecional e uma relação de participação e colaboração entre as equipes de negócio e de TI, assegurando o compartilhamento contínuo do conhecimento entre os departamentos organizacionais para atingir e manter o alinhamento entre o negócio e a TI. Isso é crítico quando se busca o compartilhamento e a gestão do conhecimento por meio de mecanismos tais como o cruzamento profissional (equipes de TI trabalhando nas unidades de negócio e pessoas do negócio trabalhando na TI), educação contínua e treinamento mesclado (DE HAES E GREMBERGEN, 2004). A aplicação de mecanismos como comitês, a participação da área de tecnologia na formulação da estratégia corporativa, bem como os processos de elaboração e aprovação de orçamentos e projetos de TI são apenas alguns mecanismos que procuram encorajar um comportamento consistente da organização, buscando sempre alinhar os investimentos de TI com a missão, estratégia, valores e cultura organizacional (WEILL E ROSS, 2005). Como implementar efetivamente a Governança de TI De acordo com Norfolk (2011), o primeiro requisito para se estabelecer a Governança de TI é buscar alinhar a Governança de TI com a Governança Corporativa. A obtenção de patrocínio da alta direção, também, é considerado um dos primeiros requisitos para se estabelecer a Governança de TI numa organização (Norfolk,2011). Há três métricas práticas de patrocínio da direção para governança de TI: a) A disponibilidade de um plano de governança corporativa de TI, supervisionado por um Comitê de Governança, com representação dos profissionais de TI em Grupo de TI, reportando-se a nível do Conselho. Os nomes são irrelevantes, o grupo poderia facilmente ser chamado Comitê Estratégico de TI, por exemplo, o importante é que as questões de governança de TI possam ser discutidas a nível de conselho. b) Uma estrutura de governança de TI é implementada, geralmente com uma Departamento de Controle Interno ou algum desses grupos. O que é importante é que a governança possa ser monitorada de forma proativa. c) Provisão formal de orçamento para atender as iniciativa de governança de TI. As etapas na implementação de uma iniciativa de governança de TI a partir do zero seria, em termos e, em nenhuma ordem particular, como segue: Manter o buy-in baixo De acordo com Norfolk (2011) no processo de governança é importante manter o buy-in baixo, sendo os investimentos direcionados a realização de treinamentos em ferramentas e gestão de desempenho de modo a garantir que os eventuais sobrecargas de administração não impactam no desempenho operacional da Governança. Além do treinamento, com mentores externos que tenham larga experiência em TI em geral, e que saibam lidar com as questões de governança mais sutis, pode ser útil. A realização de fórum de governança, em que os trabalhadores possam discutir os problemas relacionados à governança de TI e sugerir soluções em público. No entanto, é importante que os pontos de ação de tal fórum sejam documentados e demonstrem à comunidade os problemas identificados, pelo menos, dada a devida atenção, ou seja a gestão de processos através de feedback. Sendo importante, ainda, que o fórum represente os pontos de vista tanto do negócio quanto da TI.

9 Mapeamento da TI para o Negócio O mapeamento dos ativos de TI que atendem o Negócio é essencial à Governança de TI, de acordo com Norfolk (2010), geralmente, há uma relação muitos para muitos entre as funções de negócio e a infraestrutura de TI. Um determinado servidor, um computador armazenar ambos dados de negócios e sistemas automatizados de processamento de dados, pode suportar muitas funções de negócios, por exemplo, ao contrário, uma única função de negócios pode invocar vários servidores. Norfolk (2010), sugere, ainda, o uso de ferramentas automatizadas que possam gerar para os sistemas automatizados o relacionamento dos processos de negócio com os sistemas de TI. Implementar segurança baseada em política e gestão de identidade Para Norfolk (2011), há muito mais para a governança de TI que a segurança da informação, mas a segurança é parte dela. A boa segurança requer análise de risco e ameaça, para determinar e priorizar os riscos de frente para a organização, e, em seguida, a formulação de uma Política de Segurança, que documente as políticas destinadas a mitigar, transferir (através de seguros, por exemplo) ou aceitar (em conjunto com planos de contingência) os diversos riscos identificados. em seguida é possível começar a planejar os procedimentos que irão implementar as políticas. Idealmente, as políticas são genéricas, de modo que, quando a mudança de tecnologia ou de negócios torne-se um procedimento obsoleto, a intenção da política seja clara e possa direcionar a formulação de um novo procedimento. Uma boa segurança da informação esta baseada em papeis e pela sua manutenção, ou seja as pessoas numa organização têm acesso básico, restrito como empregados, e lhes são atribuídos os papéis na organização, cada função traz consigo as permissões de acesso apropriadas. Se as pessoas são movimentadas, dentro da organização, elas têm seus papéis alterados e perdem as permissões associadas a este papel, como também, ganham aquelas permissões associadas a outro papel. A gestão de identidade está relacionada à segurança. É tudo sobre como identificar pessoas inequivocamente, como também gerenciar a atribuição de identidade às pessoas que buscam acesso a organização. A Gestão de identidade inclui o fornecimento de meios para permitir a atribuição inequívoca de ações de identidade, essenciais para trilhas de auditoria e segurança. Um grande parte da governança de TI vem de pessoas que assumem a responsabilidade por suas ações. Sem o gerenciamento de identidade, a governança é construída sobre a areia. A norma ISO/IEC 27002:2005 está se tornando aceito mundialmente como o código de boas práticas para a gestão de segurança da informação e oferece uma excelente estrutura para implementação da segurança e garante que você ter uma abordagem holística, começando com a gestão de riscos, embora não seja forte sobre os detalhes deste e cobrindo áreas muitas vezes negligenciadas, tais como a continuidade dos negócios. No entanto, alguma forma de orientação de um consultor de segurança externo é recomendado também, pois é difícil para fazer uma avaliação imparcial dos riscos e das ameaças de dentro uma organização. Implementar Business Service Management BSM em todas as plataformas A gestão de serviço de negócio (BSM) significa que há gestão da infraestrutura de TI dos serviços de negócios implementados por esta infraestrutura. A existência de um único banco de dados na organização, para garantir a consistência dos dados e suporte integração entre diferentes processos de gerenciamento de serviços pode ser um importante facilitador para a BSM. A BSM é comumente usada e abrange o seguinte: Gestão de Nível de Serviço, Gestão de Incidentes, Gestão de Problemas e a Gestão de Aplicação e de Infraestrutura, incluindo gestão de licença, Gestão de eventos e Impacto de Serviço, Gestão de Ativos e Discovery, Gestão de Configuração e Mudanças, Gestão de Capacidade e Gerenciamento de Identidades.

10 Implementar o gerenciamento de infraestrutura Ter uma infraestrutura totalmente gerenciada baseada em atualizações e registro de manutenção de ativos é uma parte essencial da governança de TI. Mesmo algo tão simples como a gestão de ativos de TI é uma parte vital da governança de TI. Se você não sabe exatamente o hardware que você tem e, exatamente, o que o software está em execução, como você pode reivindicar qualquer tipo de governança de TI? A pirataria de software é uma área onde as organizações parecem ser culpados a menos que possam provar sua inocência, e as consequências de uma visita por parte da polícia (interrupção, confisco, multa) podem ser imensas. No entanto, o quão eficaz pode um apelo para que temos a certeza que todo o nosso software é licenciado, apesar de não saber qual o software que temos e onde ele está sendo executado.a ITIL é uma boa base para a gestão de infraestrutura, como também a gestão de ativo, gestão de capacidade e gestão de nível de serviço, as funções de service desk e rastreamento de defeitos são tipicamente parte de um framework de governança de TI. A ITIL é uma boa base para a gestão de infraestrutura, embora provavelmente seja suficiente, em vez do que o necessário. Bem como a gestão de ativos, gerenciamento de capacidade e gerenciamento de nível de serviço, a função Service Desk e rastreamento de defeitos normalmente fazem parte de uma estrutura de governança de TI. Implementar a Gestão de configuração A Gestão de configuração envolve a identificação dos componentes de um sistema automatizado que contribuem para a entrega de serviço, como também à gestão de mudanças da configuração (incluindo trilhas de auditoria e facilidades para retornar mudanças mal sucedidas). Controle de mudanças de software (manter o controle de alterações no código de software como mudanças de requisitos ou falhas ) é apenas parte do gerenciamento de configuração. Implementar gestão de continuidade de negócios A disponibilidade de sistemas de TI é agora fundamental para o funcionamento de muitas empresas. Isso faz da Gestão de Continuidade de Negócios (GCN) uma parte vital da governança de TI (Também é exigido pela norma de segurança ISO 17799). Na verdade, ela deve ser construída desde do início, ou seja, através da concepção de sistemas críticos para que seja resiliente. A GCN não é algo trivial de se fazer, portanto, o uso de consultoria externa pode ser interessante. Ela deve ser fortemente baseada em uma avaliação objetiva de riscos, incluindo os riscos que a organização não tenha encontrado ainda, e muito com o espectro de contingência a partir de interrupções de serviço menores para um desastre total que elimina um centro de dados em sua totalidade. É importante assegurar que a governança de TI seja mantida em um nível gerenciável, durante uma contingência, caso contrário, contingências podem ser projetadas como uma oportunidade para roubar dados, transações comerciais ou financeiras de compromisso relatórios, ou sistemas de sabotagem. Uma abordagem de sistemas completos para a continuidade de negócios devem ser adotadas. Implementar o gerenciamento de ciclo de vida da informação A informação eletrônica pode ser tão importante e legalmente significativa como documentos em papel, tais como instrumentos e contratos formais (potencialmente forjado). Nos regulamentos e leis que afetam informações de negócios é mencionado que a informação deve estar disponível para responder a perguntas dos auditores em tempo hábil, e sua proveniência deve ser capaz de prova, mas, enquanto isso, algumas informações pessoais devem ser destruídas de forma segura quando não forem mais necessárias. Isso significa que um ciclo de vida de informação baseado em políticas de gestão de sistema. Este deve ser capaz de classificar as informações, armazená-las de forma rentável e segura e que possivelmente cópias de backup off site sejam mantidas, sendo necessário, ainda, documentar a sua criação, alteração e destruição e de forma segura auditar os eventos críticos do ciclo de vida da informação.

11 Implementar processo de desenvolvimento e aquisição de sistemas Para desenvolvimento de software, deve-se ter um processo que contemple o ciclo de vida de desenvolvimento de software, a partir da análise de requisitos de negócio através de codificação, de testes e de implementação de sistemas que na verdade, o teste deve começar com a validação de requisitos, sendo que melhor caminho para implementação é através de treinamento e orientação, utilizando ferramentas para facilitar as práticas desejadas. Caso não haja o desenvolvimento, é necessário um processo semelhante para a implantação de pacotes, como também analisar os requisitos de negócio, a fim de escolher um pacote que melhor se adéqua ao processo de negócio. E você ainda precisa testar os pacotes de aplicações, caso eles não façam o que se propõe, ou implementá-los de forma incorreta. No caso de pacotes customizados este é realmente um projeto de desenvolvimento de sistemas pequeno e similares, medidas de controle de qualidade são necessárias. Processamento Otimizado (Customização Tecnológica do Negócio) Se você não tem uma boa parte da governança de TI implementada, a introdução do desenvolvimento da Governança de TI e medidas de conformidade podem impactar em despesas de processamento e, portanto, no negócio. Por isso, é vital incluir que a customização tecnológica do negócio seja considerada no planejamento, ou seja, satisfazer os requisitos dohipaa ou Sarbanes- Oxley ou outros equivalentes requisitos, podem aumentar, por exemplo, acessos de banco de dados em várias ordens de magnitude e, sem dúvida, muitas infraestruturas de banco de dados não estão projetadas para lidar com isso. A menos que seja reavaliado e, possivelmente, o desempenho seja otimizado, o resultado imediato de introduzir a governança de TI pode impactar no desempenho dos negócios e, portanto, na reputação da TI. Implementar Gestão de Problemas A continuidade de Negócios é frequentemente considerada como recuperação de desastres, algo standalone que é conduzido após um desastre, como a perda de um centro de dados em um incêndio. Esta é, obviamente, um aspecto da governança de TI, se o negócio depende das aplicações que estão em execução no Centro de Dados, mas isso é uma visão muito limitada. A continuidade dos negócios é também uma função de gerenciamento de problemas de TI. O negócio precisa ser isolado dos problemas de TI: de um lado, uma significativa parte da infraestrutura de TI está perdida e falamos de recuperação de desastres e BCM; no outro extremo, um bug é encontrado que afeta o negócio ou uma pequena parte da infraestrutura de TI, como por exemplo, uma única linha telefônica fora e falamos sobre gestão de incidentes e de problema e rastreamento de falhas. No empenho de uma boa governança de TI, provavelmente você deve ver isso como uma continuidade: o impacto das questões de TI sobre o negócio deve ser limitado, como também controlado e gerenciado. Isso está geralmente associado com a função de service desk, que deve apontar para identificação preventiva e mitigação dos problemas emergentes, de preferência antes que eles tenham qualquer impacto sobre um serviço de negócio. Demonstrar o Retorno sobre o Investimento (ROI) Pelo menos um dos objetivos por trás de qualquer iniciativa de governança de TI é provável que seja para melhor executar a TI em benefício da organização. Então, uma boa prática é o uso de sistemas de governança de TI e relatórios de informações do negócio de modo que a Governança de TI e o ROI de projetos de governança, possam demonstrar para que ele governança, e o ROI (Return on Investment) do projeto de governança, possam ser demonstrados em uma base contínua.

12 Escolha as métricas cuidadosamente as pessoas tendem a entregar o que você medir, por isso, se você escolhe as medidas erradas você pode obter os resultados errados. Olhar além de um ROI puramente financeiro. A boa governança de TI reduz o risco, por isso aumenta a confiança das empresas. A aplicação de uma abordagem por meio do balanced scorecard, para medir o impacto da governança de TI é provavelmente apropriada. É sempre importante lembrar que a governança de TI é apenas um meio para um fim. Revisões de Sistemas de Informação Revisões de sistemas de TI após mudanças, a fim de permitir uma análise de gaps das diferenças entre a aspiração e a realidade, seguido pelo agendamento de esforços de manutenção que visam reduzir gaps, é uma importante característica de uma boa governança de TI. Às vezes, como iniciativas do CMMI, estas avaliações são parte de um processo formal, mas, independentemente de quão se aproxima a governança de TI, deve haver algum tipo processo de revisão e feedback. REQUISITOS DE CONFORMIDADE À GOVERNANÇA DE TI De acordo com as definições e estudos já realizados acerca da Governança de TI, é uma das possíveis composições é baseada na definição de estruturas, processos e mecanismos que, conjuntamente, pode promover um ambiente propício à existência e à evolução da Governança de TI. Dessa forma, as dados coletados pela pesquisa literária sobre governança de TI foram organizados e consolidados no quadro 1, que trata das estruturas, processos e mecanismos de conformidade à governança de TI.

13 Fonte: literatura acadêmica O quadro 1 contempla os requisitos mínimos de Governança de TI, com base na literatura acadêmica. Já em relação à pesquisa documental baseada nos órgãos de planejamento, regulação e controle do governo federal brasileiro, bem como nos frameworks de melhores práticas, estes são os vetores identificados: Instruções Normativas da Secretaria de Logística e Tecnologia da Informação (SLTI/MP) do Ministério do Planejamento, Orçamento e Gestão (MPOG). Instrução Normativa Nº 02, de 30/04/2008 que dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Instrução Normativa Nº 04, de 12/11/2010 que dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal. Normas Complementares do Gabinete de Segurança Institucional da Presidência da República.

14 Acórdãos nº 1603/2008, Acórdão nº 2308/2010, Acórdão nº 1145/2011, Acórdão nº 1233/2012, Acórdão nº 1775/2012; e Melhores práticas no que tange a Tecnologia da Informação (Cobit5, ITIL v3, CMMI e PMBOK). Com base nas Estruturas, Processos e Mecanismos de Governança de TI identificados na fundamentação teórica, foi realizada, ainda, análise dos Acórdãos, Instruções Normativas e Normas Complementares que influenciam na Governança de TI no âmbito da Administração Pública Direta e Indireta, como também análise das melhores práticas que abordam os temas relacionados à Governança de TI, como por exemplo, a segurança da informação. ESTUDO DE CASO A estratégia de estudo de caso é desenvolvida a fim de verificar e conhecer como uma empresa pública da Administração Pública Indireta mantém a Governança de TI e como são tratadas, rotineiramente, as questões relacionadas ao tema, sendo aplicado como instrumento direcionador desta verificação a tabela de estruturas, processos e mecanismos de Governança de TI. Essa tabela é aplicada na empresa, objeto de estudo, considerando os níveis estratégico, tático e operacional. Para a coleta de dados, o estudo baseou-se nas políticas, normas, arquivos de dados, entre outros. Trata-se de projeto de caso único, pois conforme Yin (2001) o caso único pode, então, ser utilizado para se determinar se as proposições de uma teoria estão corretas ou se algum outro conjunto alternativo de explanações possa ser mais relevante. Yin (2001) sugere que a aplicação da forma de questão em termos de quem, o quê, onde, como e por quê, forneça uma chave importante para se estabelecer a estratégia de pesquisa mais relevante a ser utilizada. É provável que a estratégia de estudo de caso seja apropriada as questões do tipo como e por quê ; precisando com clareza, a natureza das questões de estudo. Sendo assim a aplicação do estudo de caso visa responder as indagações sobre como e por que uma empresa pública mantém estruturas, processos e mecanismos de Governança de TI. Dessa forma, a estratégia de pesquisa é complementada pelas informações constantes no quadro a seguir: De acordo com Yin (2001), a definição da unidade de análise está relacionada a maneira como as questões iniciais da pesquisa foram definidas. A estratégia de pesquisa apresentada decorre das seguintes proposições de estudo: as empresas públicas precisam manter estruturas, processos e mecanismos de governança para atender recomendações de órgãos de fiscalização e controle; e as empresas públicas mantém estruturas, processos e mecanismos de Governança de TI para alavancar seus negócios. Segundo Yin (2001), o quarto e o quinto componentes, como e por quê, foram os menos desenvolvidos nos estudos de caso. Representam as etapas da análise de dados na pesquisa do estudo de caso, e deve haver um projeto de pesquisa dando base a essa análise.

15 Diante da proposta de apresentar as estruturas, processos e mecanismos necessários à Governança de TI aplicável aos órgãos da APF direta e indireta, sendo que os seguintes aspectos devem ser considerados: A verificação da aplicação efetiva dos requisitos mínimos de Governança e de Gestão de TI em uma empresa pública; Mensurar, de forma qualitativa, o percentual de atendimento, por parte da empresa avaliada, aos requisitos mínimos de Governança e de Gestão de TI. Propor melhorias aos processos da empresa avaliada, objetivando assegurar a evolução e melhoria contínua dos requisitos mínimos de governança e de gestão de TI. Com intuito de estruturar e documentar o trabalho de verificação dos requisitos mínimos de Governança e de Gestão de TI, toda a investigação é realizada com base na aplicação de um processo de conformidade. A unidade de análise é constituída de uma empresa pública da Administração Pública Indireta, em que o segmento de tecnologia da informação é parte integrante do negócio essencial da organização. O estudo de caso será realizado no departamento de segurança da informação dessa empresa, tendo em vista as competências estratégicas e táticas desenvolvidas, objetivando assegurar a segurança da informação dos serviços mantidos e custodiados pela empresa. O departamento de segurança está subordinado à diretoria de operações e contempla a seguinte estrutura: O Estudo de Caso foi aplicado em Órgão da Administração Pública Federal Indireta, numa empresa pública. De acordo com os requisitos de conformidade à Governança de TI identificados durante o trabalho, observou-se uma forte relação com questões relacionadas à Segurança da Informação, tornando apropriado que o estudo de caso fosse aplicado na Coordenação de Segurança da Informação da organização, especificamente na área de conformidade em segurança da informação. Para realização dos trabalhos foram elaborados checklist e roteiros de entrevista, sendo realizadas entrevistas, oficialmente, com 2 (dois) empregados responsáveis pela área de conformidade em segurança da informação da organização.

16 Os trabalhos foram apoiados, ainda, pela prática de reuniões com outros empregados de áreas relacionadas as atividades de desenvolvimento e de produção de serviços para esclarecimento do funcionamento e da dinâmica das Estruturas, Processos e Mecanismos de Governança de TI aplicados na organização. Contextualização do Cenário A empresa tem como negócio a prestação de serviços em Tecnologia da Informação e Comunicações, o que torna o tema de Governança de TI aplicáveis e necessários às atividades da organização. Durante a fase de coleta de dados na empresa pública pesquisada, algumas questões pertinentes à governança de TI foram observadas: a Governança de TI é tratada de modo informal, não há normativos ou processos formais relacionados a este tema; não foi evidenciada a existência de áreas, na estrutura orgânica da organização, específicas para tratamento da Governança de TI; a gestão de TI está centralizada na Diretoria de Operações da empresa, mas os processos, tecnologias e pessoas envolvidos na gestão de TI são aplicados de forma descentralizada pelas áreas que compõem esta diretoria; a empresa elegeu 65 (sessenta e cinco) serviços de missão crítica, denominados SMC, cujas ações de evolução e melhoria contínua dos processos de TI estão direcionadas a esses serviços. As questões relatadas visam proporcionar um entendimento de como a Governança de TI está presente dentro da organização e, somente após a avaliação das práticas de governança de TI será possível demonstrar com propriedade a real situação da Governança de TI na organização estudada. Para tanto, serão aplicadas técnicas de entrevista de análise de documentos e de verificação direta, apoiadas por lista de verificações a fim de identificar as estruturas, processos e mecanismos de conformidade à governança de TI aplicados na organização. Registros de informações do Estudo de Caso Durante aplicação de técnicas de entrevista e de análise de documentos, como também de lista de verificações foi evidenciado o seguinte: Comitê Estratégico: foi verificada a existência de Comitê Estratégico de Segurança da Informação, assim como documento formalizando as responsabilidades do referido Comitê, sendo, verificado, ainda, que o corpo gerencial de TI compõe aquele Comitê. Entretanto, a maioria é representada por Diretores e Superintendentes, havendo um lacuna em relação as decisões relativas ao níveis tático e operacional, que necessitam de representantes dessas áreas. Estrutura Organizacional: foi verificado que a estrutura de TI está formalmente definida na estrutura orgânica da organização e publicada no sistema de informações normativas da organização. Papéis e Responsabilidades de TI: a formalização dos papeis e responsabilidades da TI é realizada por meio do Documento de Atribuições e Competências (DAC), publicada no sistema de informações normativas da organização. Entretanto, não foi evidenciada a aplicação de mecanismos que assegurem a atualização dessas informações. Dessa forma, não é possível assegurar que as atribuições e competências constantes na documentação correspondem, efetivamente, às práticas realizadas.

17 Modelos de maturidade de governança ou de alinhamento de TI: não foi evidenciada a inexistência de modelos de maturidade de governança ou de alinhamento de TI. Melhores Práticas de Governança e de Gestão de TI: foi verificada a referência ao COBIT e ITIL em normativos internos da Organização, mas não foi possível evidenciar a aplicação efetiva dos controles e padrões preconizados nestas melhores práticas como também os mecanismos de revisão e melhoria continua desses processos. Aplicação de BSC nos processos de TI: em análise os processos de negócios e de Tecnologia da informação, ora apresentados, não foi evidenciada a aplicação de BSC nos processos de TI. Cultura Organizacional: foi observada a fomentação da cultura organizacional no que tange a segurança da informação, que certa forma, contribui para a governança de TI. Processos de desenvolvimento e de manutenção de sistemas de informação: em relação aos processos de desenvolvimento e de manutenção de sistemas de informação, foi verificado que a organização aplica processos corporativos e metodologias baseadas no Capability Maturity Model Integration CMMI, sendo verificada, ainda, a aplicação de mecanismos de avaliação e melhoria contínua do processo de desenvolvimento e de manutenção de sistemas de informação. Gestão de Acordos de Nível de Serviço dos serviços prestados: A Gestão de Acordos de Nível de Serviço dos serviços prestados, está vinculada a área de gestão empresarial, que fiscaliza e verifica o cumprimento dos acordos de nível de serviço prestados pela organização. Gestão de Acordos de Nível de Serviço dos serviços contratados: A gestão de Acordos de Nível de Serviço dos serviços contratados, está vinculada à área de Administração, que é responsável pela formalização dos procedimentos administrativos da gestão contratual, sendo que cada contrato de tecnologia possui um gestor que realiza a fiscalização do contrato, como também, verifica se o Acordo de Nível de Serviço é, efetivamente, cumprido. Gestão de ativos: em relação à gestão de ativos foi evidenciada a realização de ações isoladas e uso de ferramentas de gestão de configuração/ativos de forma não padronizadas, vale mencionar, ainda, questões críticas que impactam a Gestão de Ativos, como, por exemplo, a ausência de uma CMDB, integrada e consistente. Classificação de ativos de informação: foi constatado que o processo de classificação de ativos de informação está mapeado e formalizado por meio de normativo, mas não foi evidenciada a sua aplicação por parte dos empregados. Gestão de capacidade: foi constatado que não há processo de gestão de capacidade mapeado, documentado e formalizado, como também não há normativos relacionados ao processo de capacidade. Gestão da Continuidade do Negócio: o processo de GCN está mapeado, documentado e instituído por meio de normativo interno. Entretanto, foram identificadas situações críticas, como por exemplo, os planos de contingência não são, periodicamente, atualizados. Segurança física: o processo de segurança física não está mapeado e os ambientes de desenvolvimento, de teste, de homologação e de produção não estão fisicamente segregados. Segurança lógica: o processo de segurança lógica está mapeado e, em fase de implantação, sendo verificado, ainda, a existência de sistema de gestão de identidade que também está em fase de implementação. Vale citar que na segurança lógica, foram identificadas questões críticas que impactam na integridade e disponibilidade dos serviços, como, por exemplo, a ausência de mecanismos de controles relativos à segurança lógica, no que tange a monitoração de acesso aos dados em produção.

18 Gestão de incidentes: foi verificado que o processo de gestão de incidentes está em fase de implantação, mas não há uma distinção clara quanto a classificação dos incidentes, ou seja, quando afirmar que se trata, efetivamente, de incidente de segurança da informação. Gestão de Mudanças: o processo de gestão de mudanças é aplicado, geralmente, para atender mudanças programadas. Gestão de problemas: foi constatado que o processo está documentado, mas não foi possível evidenciar, efetivamente, a sua aplicação. Gestão de riscos: o processo de Gestão de riscos está mapeado, documentado e instituído por meio de normativo interno e são mantidos três sistemas de informação que apoiam e realizam a automação das atividades de análise, registro e tratamento de riscos. Planejamento estratégico de Sistemas de Informação: não foi evidenciada a existência de planejamento estratégico de sistemas de informação, mas foi verificado que no Planejamento Estratégico da Organização são tratadas questões relacionadas aos Sistemas de Informação, como por exemplo a aquisição/desenvolvimento de softwares/ferramentas. -Política de Segurança da Informação: Em relação à Política de Segurança da Informação foi evidenciada a existência de Política de Segurança da Informação PSI, documentada e formalizada. Em relação à aplicação de mecanismos de Governança de TI, foi verificado o seguinte: Colaboração entre os principais stakeholders: a existência de mecanismos que promovam a colaboração entre os principais stakeholders, foi verificada a aplicação de reuniões semanais com os clientes, como também o compartilhamento de pontos de monitoração e controle com o cliente, como por exemplo, acesso a softwares/sistemas de monitoração do serviço, mas é um mecanismo facultativo. Entendimento compartilhado dos objetivos do negócio e da TI: a aplicação de mecanismos que promovam o entendimento compartilhado dos objetivos do negócio e da TI, foi verificada a existência de mecanismos, como por exemplo, o Planejamento estratégico da TI com a participação e envolvimento das áreas de negócio e o preenchimento de artefato da área de projetos que envolvem a área de TI e área de Negócio. Posição do negócio e da TI na Organização: foi verificado que a área de negócio comanda o direcionamento da TI, pois ela tem autoridade sobre as decisões da TI, como também define as prioridades de serviços da TI. Sendo, verificado, ainda que há uma supervalorização do negócio por parte da organização, não havendo a preocupação se a TI pode não ter os recursos para atender de forma razoável as expectativas do negócio, como também assegurar a entrega do serviço. Mecanismos que promovam o Negócio Multifuncional: não foi evidenciada a existência de mecanismos que promovam o Negócio Multifuncional, considerando o treinamento cruzado (cross- training), ou seja, equipes de TI sendo treinadas no Negócio e equipes de negócio treinadas na TI, proporcionando a formação em diferentes tarefas e habilidades. Rotação de tarefas: não foi evidenciada a rotação de tarefas (profissionais crossover), ou seja, objetivando o negócio multifuncional, equipes de TI trabalhando no negócio e equipes de negócio trabalhando na TI.

19 Mecanismos que promovam a gestão do conhecimento: foi evidenciada a existência dos seguintes mecanismos: ambiente de colaboração denominado wiki para registro e compartilhamento de conhecimento; Política de Gestão do Conhecimento; treinamentos internos, com foco no negócio, envolvendo a área de negócio e a área de TI. Mecanismos que promovam parcerias, recompensas ou incentivos: foram evidenciados os seguintes mecanismos: Processo de Promoção por Mérito e de Participação nos lucros da empresa. Participação dos principais stakeholders: não foi possível evidenciar a existência de mecanismos que promovam a participação ativa dos stakeholders principais, como também, de mecanismos que promovam o tratamento de conflitos ativos na organização. RESULTADOS Com o intuito de atingir o objetivo proposto neste trabalho de pesquisa, foram identificados por meio de fontes de informação acadêmica requisitos de conformidade à Governança de TI. Nesta primeira parte da pesquisa foi possível constatar que para se estabelecer a conformidade em Governança de TI é necessário estabelecer que requisitos são necessários à implementação da Governança de TI, sendo assim, foi verificado que a Governança de TI pode envolver requisitos que contemplam Estruturas, Processos e Mecanismos, conforme apresentados na Tabela01, considerando que: as Estruturas envolvem a existência de papeis de responsabilidade, como os executivos de TI e Comitês de TI; os Processos referem-se ao monitoramento e a tomada de decisões estratégicas; e os Mecanismos de Relacionamento incluem a participação da TI e do negócio, o diálogo estratégico, o conhecimento compartilhado e a comunicação adequada.

20