Alessandro Almeida

Transcrição

1 Alessandro Almeida

2 Os próximos slides fazem parte de uma atividade realizada pelos alunos da turma SIN-NA8 (8º semestre de Sistemas de Informação 1º semestre de 2013) Tema da atividade: Modelos, certificações e melhores práticas para Governança de TI

3 Bruna Alencar Bruna Vieira Dayane Louise Rafael Albuquerque Ronaldo Azarias SIN-NA8

4 ITIL v3 (Information Technology Infrastructure Library)

5 O que é ITIL? Biblioteca de boas práticas que auxiliam no desenvolvimento e manutenção nas atividades relacionadas a TI. Focada em demonstrar as boas práticas, e não em determinar o modo de fazer. Esse conjunto é formado de práticas estruturadas em processos. Principais objetivos Padronização de termos; Praticas para melhorar o gerenciamento de TI; Aumento da eficácia e controle dos processos; Redução de custos; Sugestões de melhoria.

6 O que é ITIL?

7 A importância do ITIL! Busca alinhar os serviços de TI com as necessidades atuais e futuras do negócio e seus cliente; Segundo o ITIL, a TI precisa entender os requisitos de negocio da empresa para planejar e prover seus serviços. Redução de custos na provisão de serviços.

8 Vantagens: A vantagem da implementação do ITIL em uma organização é fazer com que a área de TI comece a fazer parte do negócio, deixando de ser apenas uma área de suporte. Segue algumas vantagens: Facilidade no gerenciamento de todos os setores da empresa; Linha de trabalho padronizada e eficiente; Melhoria na comunicação dos funcionários, parceiros e clientes; Redução de custos de serviços prestados. Atraso em determinadas atividades. Desvantagens:

9 INCIDENTE E PROBLEMA SEM ITIL Analista Incidente Indisponibilidade Ação Contingencial Incidente Solucionado Incidente ressurge após um tempo

10 INCIDENTE E PROBLEMA COM ITIL Analista Incidente Indisponibilidade Ação Contingencial Incidente Solucionado Gerente de Problemas Analista Problema Problema Solucionado

11 MUDANÇA SEM ITIL ANTES DEPOIS

12 MUDANÇA COM ITIL ANTES DEPOIS Gerente de Mudança

13 Algumas empresas que utilizam ITIL

14 ecsm SP

15 O que é escm-sp? O esourcing Capability Model for Service Providers (escm-sp) é um framework desenvolvido pela ITSqc na Carnegie Mellon University. Os principais objetivos do framework são: Dar orientação a prestadores de serviços para ajudá-los a melhorar a sua capacidade de abastecimento em todo o ciclo de vida; Oferecer aos clientes um meio objetivo de avaliar a capacidade dos prestadores de serviços; Oferecer aos provedores de serviço um padrão para usar, afim de se diferenciar dos concorrentes.

16 Estrutura: O Escm-SP v2 é composto por 84 práticas que direcionam as capacidades críticas. Essas práticas foram distribuídas em 3 dimensões: -Aquisição de Ciclo de Vida: O Ciclo de Vida é divido por iniciação, em curso, entrega e conclusão. -Área de Habilidade: Fornece agrupamentos lógicos de práticas, afim de ajudar os usuários a se lembrar melhor do gerenciamento do conteúdo. -Nível de Capacidade: Descreve um caminho para melhoria que os clientes devem esperar dos prestadores de serviços, tem 5 níveis de capacidades: Capacidade de Nível 1: Prestação de serviços Capacidade de Nível 2: Consistentemente cumprimento dos requisitos Capacidade de Nível 3: Gerenciando o desempenho organizacional Capacidade de Nível 4: aumentar o valor de forma proativa Capacidade de Nível 5: Manter a excelência

17 REALIZAÇÃO DE ATIVIDADE SEM ECSM SP Equipe A Equipe B Equipe C

18 REALIZAÇÃO DE ATIVIDADE COM ECSM SP Equipe A Equipe B Equipe C

19 Bibliografia: Apostila ITIL -

20 COBIT 5 Control OBjectives for Information and related Technology BRUNO GOUVEIA VITOR MIGUEL SANTOS HONÓRIO RAPHAEL DE MOURA GIL

21 Introdução O COBIT é um framework de melhores práticas criado pela ISACA que tem como missão pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia a dia de gerentes de negócio e auditores. Tem como foco principal o gerenciamento da TI, por meio do controle, para que a mesma esteja alinhada com os objetivos de negócio

22 Breve resumo da História do COBIT A primeira versão do COBIT nasceu em 1996 e nada mais era do que um Check List sobre auditoria em TI. Após uma nova versão, sendo lançada dois anos mais tarde, em 1998, incorporou uma série de atualizações de referências no campo da auditoria de TI. Com alguns escândalos que ocorreram como por exemplo no caso ENRON, a mega empresa de energia americana, foi criada nos USA a lei SOX (Sarbanes & Oxley Nome dos proponentes da Lei) e o COBIT viu-se obrigado a incorporar os seus princípios, para manter-se atualizado com as novas exigências legais. Veio então a terceira versão que trazia contigo um guia de Governança Corporativa. A partir da quarta versão, lançada em 2005, o COBIT passou a ser mais parecido com o que tem hoje. Seu foco passou a estar mais na Governança de TI e não na auditoria, apesar de manter em seu DNA a idéia do controle por meio de medições de indicadores de TI. Já em 2007, veio a versão 4.1, com refinamentos em relação à versão anterior. Em 2011 o COBIT fez o lançamento da versão 5, que ainda não está sendo muito utilizada, mas que em breve deverá absorver todo a versão 4.1 e ampliar a sua área de atuação na Governança de TI.

23 Evolução do escopo 23 Evolução do COBIT Governance of Enterprise IT IT Governance Management Val IT 2.0 (2008) Control Audit Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT /7 2012

24 Percurso do COBIT

25 Princípios Do COBIT 5

26 Princípios Do COBIT 5 1. Atender as necessidades dos Stakeholders 2. Cobrir o empreendimento do início até o final. 3. Aplicar um framework único integrado 4. Permitir uma abordagem holistica 5. Separar Governança de Gerenciamento

27 Atendendo as necessidades dos Stakeholders As empresas tem como finalidade gerar valor para seus acionistas. Como uma empresa pode possuir vários acionistas, as idéias de cada um podem ser conflitantes no modo de criação de valor para a empresa. Governança é negociar e decidir entre interesses de diferentes partes interessadas. O sistema de governo deve considerar todas as partes interessadas na tomada de decisões de avaliação de recursos, benefícios e riscos. Para cada decisão, as seguintes questões devem ser feitas para melhor tomada de decisão: Quem recebe os benefícios? Quem assume o risco? Que recursos são necessários?

28 Cobrir o empreendimento do início até o final. O COBIT 5 é capaz de integrar a governança de TI da empresa com a governança corporativa, pois está alinhado com as últimas opiniões sobre governança. Abrange todas as funções e processos dentro da empresa além da TI e trata as informações e tecnologias relacionadas como ativos.

29 Aplicar um framework único integrado O COBIT5 nos permite a interação de outras ferramentas e métodos em conjunto como: ITIL PMBOK CMMI ISO/IEC e 27002

30 Permitir uma abordagem holistica. Abordagem ampla tratando de todas as formas e com ferramentas levando a uma única solução e formato.

31 Separar Governança de Gerenciamento Conforme essa nova definição a Governança é responsável por garantir que, as necessidades das partes interessadas, condições e opções, são avaliadas para determinar o equilíbrio de acordo com os objetivos da empresa. A direção é configurada através da priorização, tomada de decisão, monitoramento do desempenho e aderência as metas e objetivos da empresa. O Gerenciamento é responsável por planejar, construir, executar e monitorar as atividades em alinhamento com a direção. Esse alinhamento é configurado pela governança, para garantir que sejam atingidos os objetivos da organização. O equilíbrio entre essas duas áreas é fundamental para o atingimento dos objetivos acordados no planejamento estratégico da empresa através da TI.

32 Vantagens Framework aceito internacionalmente para Governança de TI portanto é exigido e reconhecido pela maior parte das empresas de TI. Ele é orientado para processos suportado por ferramentas e treinamento. Continuamente em desenvolvimento. Mapeia os maiores padrões e frameworks de mercado como: ITIL, ISO 20000, ISO etc. Define uma linguagem comum TI- negócio. Permite ter mais controle e a visualizar as atividades em TI.

33 Desvantagens Apesar do CobiT ser aplicável a todos os setores da empresa, apresenta falhas quando passamos a observar além dos processos. Analisando de uma maneira geral, é possível afirmar que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente), pois seu foco está ligado às áreas de nível estratégico e tático da mesma.

34 Empresas que utilizam Correios Goddyear TAM

35 Conclusão. A utilização do COBIT 5 deve ser adaptada à empresa, para que seja possível atender às necessidades de cada organização. Com as novas definições e produtos, o COBIT 5 possibilita ajudar as empresas a controlar seus riscos através de uma adequada administração. A última versão do COBIT está mais madura, principalmente na área de segurança da informação, começando a explorar oficialmente outras áreas, não somente com novos mapeamentos como a ISO/IEC 38500, mas com produtos oficiais em auditoria, risco e segurança da informação.

36 Abreviaturas COBIT Control Objectives for Information and related tecnology. ISACA - is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance.

37 Bibliografia 05/cobit-introducao-historico.html omuceno/vantagens-do-cobit Material ISACA( fornecido pelo professor Anderson.

38 FERNANDO AUGUSTO CADASTRO JOÃO FAMA GUIMARÃES JUNIOR LUIZ FELIPE MARCONDES DOS SANTOS MAURICIO OTAVIO DE OLIVEIRA STACHANCZYK ROGÉRIO MARQUES FERREIRA

39 Objetivo Estrutura Característica Aplicando RISK IT Vantagem e Desvantagem

40 Analisar risco sobre o negócio associado com: Uso; Propriedade; Operação; Envolvimento; Influência; Adoção de Tecnologia da Informação

41

42 Governança de Risco Estabelecer e manter uma visão comum sobre o risco; Integrar com Enterprise Risk Management (ERM); Incorporar os riscos nas decisões.

43 Avaliação de Risco Obtenção de dados; Análise do risco; Manutenção do perfil de risco.

44 Resposta de Risco Comunicação do risco; Gestão do risco; Reação a eventos.

45 Orientar os executivos Economizar tempo, custo e esforço Integrar a gestão de riscos relacionados a TI de negócios Proporcionar orientação prática orientada pelas necessidades de liderança da empresa

46 Construção de cenários de risco; Construção de um mapa de risco; Construção de critérios de impacto; Definição de Key Risk Indicators (KRI);

47 Previsão de falhas Integração entre os riscos e as estruturas de conformidade ; Aplicação inadequada do framework Linguagem comum para auxiliar o relacionamento com a gestão; Promove os riscos para a organização; Organização de um perfil que auxilia compreender melhor os riscos.

48

49 Objetivo: O objetivo do RISK IT é possibilitar a análise para verificar os pontos críticos que possam vir apresentar não conformidade durante a execução de uma determinada tarefa. Ou seja, o risco do negócio associado com: Uso... Estrutura: A estrutura é dividida em três partes, sendo: Governança de Risco, Reposta de Risco e Avaliação de Risco. Governança de risco Garantir que as práticas de gestão de risco sejam incorporadas na empresa, o que lhe permite garantir retorno ajustado ao risco ideal Integrar com ERM ERM (Enterprise Risk Management ou Gestão Integrada de Riscos) é o uso pragmático de gerenciamento de riscos como uma ferramenta para elevar a eficiência da gestão corporativa, tornando-se um elemento significativo na criação de valor de uma organização. Avaliação de Risco Garantir que as oportunidades relacionados são identificadas, analisadas e apresentadas em termos de negócios Resposta de risco Assegurar que as questões relacionadas a oportunidades e eventos são abordadas de uma forma rentável e em linha com as prioridades de negócios

50 Característica: O RISK IT representa uma série de eventos relacionados com a TI que podem potencialmente impactar o negócio. Dessa forma, caracteriza-se pela incerteza de sua frequência e magnitude e cria desafios para o atingimento das metas e objetivos de negócio, portanto geram incertezas na busca de oportunidades. Fornece orientação para ajudar os executivos e gerenciamento de fazer as perguntas-chave. Desta forma, o risco é gerenciado de forma eficaz Ajuda a economizar tempo, custo e esforço com as ferramentas para lidar com os riscos do negócio Integra a gestão de riscos relacionados a TI de negócios em gestão global de riscos corporativos Proporciona orientação prática orientada pelas necessidades de liderança da empresa

51 PMBOK e ISO 21500

52 O que é PMBOK? E um conjunto de práticas em gerência de projetos levantado pelo Project Management Institute (PMI) e constituem a base da metodologia de gerência de projetos do PMI. Estas práticas são compiladas na forma de um guia, chamado de Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos, ou Guia PMBOK. Possíveis usos da metodologia: Projetos de Construção Civil Projetos de Engenharia de Software Projetos de Desenvolvimento de Segurança da Informação Projetos de ampliação de Fábrica Projetos pessoais

53 Público alvo do Guia PMBOK Diretores Gerentes Chefes Membros de escritório de projetos Clientes Educadores que ensinam gerencia de projetos Consultores Pesquisadores Qualquer tipo que atue na profissão de gerenciamento de projetos.

54 História PMBOK Project Management Institute(PMI) foi fundado em 1969 para identificar inicialmente praticas de gerencia em comum nos projetos através das industrias. A primeira edição do PMBOK foi publicada em Era o resultado das oficinas iniciadas no anos 80 pelo PMI. A segunda edição foi publicada em A terceira edição foi publicada em 2004 com reconhecimento internacional ANSI (American National Standards Institute) e IEEE (Instituto de coordenadores elétricos e de eletrônica). Já a terceira foi publicada em 2004, quarta em 2008 e a última versão do Guia PMBOK é a quinta edição que foi publicada em 2013.

55 Processos Os processos descritos no guia PMBOK relacionam e interagem durante a condução do trabalho e a descrição de cada um deles é feita em termos de: - Entradas (documentos, planos, desenhos etc.); - Ferramentas e técnicas (que se aplicam as entradas); - Saídas (documentos, produtos etc.). O Guia reconhece 44 processos em cinco grupos de processos básicos e nove áreas de conhecimento, que são típicos da maioria dos projetos. Os cinco grupos de processos são Iniciação, Planejamento, Execução, Controle e Monitoração e Fechamento.

56 Os cinco grupos de processos

57 As nove áreas do conhecimento Escopo,Tempo,Custos e Qualidade são os principais focos para o objetivo de um projeto: entregar um resultado de acordo com o escopo, o prazo e o custo definidos, com qualidade adequada. Recursos Humanos e Aquisições são os insumos que movem um projeto. Comunicações e Riscos são elementos aos quais deve haver sempre atenção e tratamento constantes em um projeto. E Integração abrange a orquestração de todos estes aspectos.

58 As nove áreas do conhecimento

59 Algumas empresas que utilizam Volkswagen Telemar Oi HP Microsoft TIM FUCAPI INDT Fundação Des. Paulo Feitoza

60 ISO Nos últimos anos diferentes normas internacionais e nacionais para gerenciamento de projetos têm surgido. Além disso, a falta de um vocabulário comum e de processos que possam ser referenciados pela comunidade mundial de gerenciamento de projetos resultou em diferentes definições e interpretações de tópicos em gerenciamento de projetos. Para endereçar esses problemas a International Standards Organisation (ISO) criou um novo Padrão chamado ISO 21500: Guidance on Project Management.

61 Objetivo ISO O objetivo da Norma ISO é o de recomendar às organizações (e não aos indivíduos) um modo profissional de gerenciar os projetos com base nas melhores práticas do mercado global. O padrão é aplicável a organizações de todos os tamanhos e de todos os setores. O padrão cria uma plataforma comum que visa: ser uma referência para as organizações; facilitar a transferência de conhecimento; e a harmonização de princípios, vocabulários e processos existentes nos Padrões atuais e futuros.

62 Processos A ISO descreve 40 processos que são agrupados em cinco grupos de processos (iniciação, planejamento, execução, controle e encerramento), correspondentes a 10 áreas de conhecimento: 1. Integração 2. Partes Interessadas 3. Escopo 4. Recursos 5. Tempo 6. Custo 7. Risco 8. Qualidade 9. Aquisições 10. Comunicações

63 ISO e PMBOK A ISO 21500, de modo geral, mantém a abordagem original do Guia PMBOK. A norma é baseada em parte no capítulo 3 e no Glossário de A Guide to the Project Management Body of Knowledge (PMBOK Guide) terceira edição do PMI. Isto é visto como uma validação pela comunidade internacional do valor e qualidade do padrão PMI. O PMI acredita que este será um importante padrão para a profissão de gerenciamento de projetos e que todos os praticantes do projeto devem estar cientes do mesmo. Uma das preocupações da equipe de revisão do Guia PMBOK 5ª edição foi garantir alinhamento com a norma ISO Desse modo, todo o capítulo 3 (O Padrão de Gerenciamento de Projetos, com o qual a norma se relaciona), foi reposicionado como um apêndice do Guia PMBOK 5ª edição. A diferença entre a ISO e o PMBOK é que a ISO apenas orienta o gerenciamento de projetos, enquanto o PMBOK é um dos artefatos para certificação PMP.

64 ABNT e Futuro A ABNT Associação Brasileira de Normas Técnicas, após consulta nacional, publicou a norma ABNT NBR ISO 21500: 2012 Orientações sobre Gerenciamento de Projetos, em 05 de Setembro de A norma pode ser adquirida através deste website Esta Norma fornece diretrizes para gerenciamento de projetos e pode ser usada por qualquer tipo de organização,incluindo pública, privada ou organizações comunitárias, e para qualquer tipo de projeto, independentemente de complexidade, tamanho ou duração. A ISO é a primeira de uma família de padrões ISO para gerenciamento de projetos, programas e portfólio. Estes vão ser baseados em uma estrutura geral que vai definir a interação entre os processos de gerenciamento e a organização, incluindo a dimensão de governança e as relações com operações continuadas.

65 Bibliografia PMBOK e Gerenciamento de Projetos -d'ávila, Márcio, 8 de agosto de Revisão 1, 6 de Maio de Acessado em: 25/08/ Engenharia de Software, Gerência de Projetos, Prof. Laudelino Cordeiro Bastos.

66 Integrantes André Luiz dos Santos Felipe Adans Figueiredo Igor Peclat Tarasiuk da Costa

67 ALEXSANDRA RIBEIRO DE MENEZES AMANDA CARDOZO DOS REIS CÁSSIA GABRIELI LOPES KLEBERSON ALEXANDRO BARBOSA Introdução CMMI

68 Conteúdo Programático A história do CMMI? Capability Maturity Model CMMI Integrated Representações CMMI Áreas de Processo CMMI Variações do CMMI Empresas certificadas CMMI no Brasil Itautec CMMI CMMI Fatores de limitação

69 A história do CMMI Na década de 80 o instituto de engenharia de Software (SEI) foi criado. Objetivos Fornecer software de qualidade para o departamento de defesa. Aumentar a capacidade da industria de Software. Melhoria dos processos, capacidade dos processos, ou seja, agilidade que o processo leva para alcançar o resultado estipulado.

70 Capability Maturity Model - CMM Após uma avaliação da industria de software foi criado, o modelo de maturida de capacitação (CMM).Depois disso, vários modelos semelhantes e compatíveis com o CMM foram definidos. Um deles CMM para Software O principal fundamento do CMM é: A medida que a maturidade do processo aumenta, a qualidade do software melhora.

71 CMMI Integrated Para integrar os modelos de capacitação que foram surgindo, o SEI propôs o CMM Integrado (CMMI) Finalidades: Descrever um estado desejado a ser atingido pela organização; Determinar as melhores práticas para atingir um resultado específico da melhor maneira;

72 Representações CMMI O CMMI possui duas representações: "contínua" ou "por estágios". Estas representações permitem à organização utilizar diferentes caminhos para a melhoria de acordo com seu interesse. Representação Contínua Possibilita à organização utilizar a ordem de melhoria que melhor atende os objetivos de negócio da empresa. É caracterizado por Níveis de Capacidade: Nível 0: Incompleto (Ad-hoc); Nível 1: Executado; Nível 2: Gerenciado; Nível 3: Definido; Nível 4: Quantitativamente gerenciado; Nível 5: Em otimização;

73 Representações CMMI Representação por Estágio Inovação e Melhoria Contínua 5 Optimizing Disponibiliza uma sequência pré-determinada para melhoria baseada em estágios que não deve ser desconsiderada, Gerenciamento pois estatístico cada estágio da qualidade serve de base para o próximo. É caracterizado por Níveis de Maturidade: 4 Quantitatively Managed Processos definidos e gerenciados no âmbito organizacional, incluindo todo o ciclo desenvolvimento 3 Defined Processos são caracterizados por projeto e ações são geralmente reativas 2 Managed Processos são imprevisiveis, pouco controlados e reativos 1 Initial

74 Áreas de Processo CMMI O modelo CMMI atual contém 22 áreas de processo. Essas áreas servem para traçar o caminho que a empresa irá trilhar para atingir o objetivo. Em sua representação por estágios, as áreas são divididas da seguinte forma: Nível 1: Inicial (Ad-hoc) Não possui áreas de processo. Nível 2: Gerenciado Gerenciamento de Requisitos - REQM Planejamento de Projeto PP Acompanhamento e Controle de Projeto PMC Gerenciamento de Acordo com Fornecedor SAM Medição e Análise MA Garantia da Qualidade de Processo e Produto PPQA Gerência de Configuração CM

75 Áreas de Processo CMMI Nível 3: Definido Desenvolvimento de Requisitos RD Solução Técnica TS Integração de Produto PI Verificação VER Validação VAL Foco de Processo Organizacional OPF Definição de Processo Organizacional OPD Treinamento Organizacional OT Gerenciamento Integrado de Projeto IPM Gerenciamento de Riscos RSKM Análise de Decisão e Resolução DAR Nível 4: Quantitativamente gerenciado Desempenho de Processo Organizacional OPP Gerenciamento Quantitativo de Projeto - QPM Nível 5: Em otimização Inovação Organizacional e Implantação OID Análise Causal e Resolução - CAR

76 Variações do CMMI A última versão do CMMI (1.3) foi lançada em 2010 e possui três modelos. CMMI Core comum à todos. CMMI-DEV: Desenvolvimento de software - voltado ao processo de desenvolvimento de produtos e serviços. CMMI-ACQ: Aquisições - voltado aos processos de aquisição e terceirização de bens e serviços. CMMI-SVC: Serviços - voltado aos processos de empresas prestadoras de serviços.

77 Variações do CMMI - SVC CMMI-SVC: Serviços O CMMI-SVC é aplicável tanto para empresas contratantes quanto para empresas fornecedoras de serviços de software. É bem provável que ambas estejam buscando resolver essa demanda com ITIL. Quando falamos de serviços de software podemos entender como serviços de manutenção de sistemas, outsourcing de aplicações, desenvolvimento de sistemas, help desk e similares. O CMMI-SVC pode ser utilizado em grande parte dos serviços que temos na área de informática. Ele é bom para a empresa contratante pois com o CMMI-SVC a empresa aprende a contratar melhor e gerenciar os serviços de seus fornecedores. Os fornecedores se beneficiam pela melhora de seus processos. CAM: Capacity and Availability Management IRP: Incident Resolution and Prevention IWM: Integrated Work Management QWM: Quantitative Work Management SAM: Supplier Agreement Management SCON: Service Continuity SD: Service Delivery SSD: Service System Development SST: Service System Transition STSM: Strategic Service Management WMC: Work Monitoring and Control WP: Work Planning

78 Variações do CMMI - ACQ CMMI-ACQ: Aquisições O CMMI - Capability Maturity Model Integration é um conjunto de modelos integrados de maturidade e capacidade para diversas disciplinas, tais como: engenharia de software e sistemas, fontes de aquisição e desenvolvimento integrado do produto. AM: Agreement Management ARD: Acquisition Requirements Development ATM: Acquisition Technical Management AVAL: Acquisition Validation AVER: Acquisition Verification IPM: Integrated Project Management PMC: Project Monitoring and Control PP: Project Planning QPM: Quantitative Project Management SSAD: Solicitation and Supplier Agreement Development

79 2 Managed Empresas certificadas CMMI no Brasil 5 Optimizing 4 Quantitatively Managed 3 Defined

80 Itautec CMMI "A adoção de metodologias e práticas reconhecidas internacionalmente fortalece ainda mais a qualidade e a aderência de nossos produtos às expectativas dos nossos clientes, garantindo melhores resultados e qualidade nos processos, o que é vital no atendimento a um mercado cada vez mais exigente e globalizado (Wilton Ruas, 2010) "Essa conquista permitiu consolidar, de forma ordenada e clara, todos os processos internos das áreas envolvidas, desde a preocupação com os requisitos dos clientes até o completo detalhamento processual da execução do projeto (Wilton Ruas, 2010)

81 CMMI Fatores de limitação Vários são os fatores que limitam as organizações a adotarem o CMMI, tais como: Falta de recursos financeiros; Falta de mão de obra especializada; Prioridade para o manter, pouco foco no empreender. Gestores despreparados, muitas vezes com bagagem defasada; CMMI não está alinhado às exigências dos clientes; Divergência com os interesses dos acionistas; Resistência a mudanças culturais (problemas com a institucionalização);

82 Leandro Gomes Breve Marcos Carvalho Marcelino Renan Lacerda Coelho Robson Hipólito Cabral

83 AGENDA O que é MPS.BR Vantagens do MPS.BR Desvantagens do MPS.BR Objetivos do MPS.BR O que é CMMI DEV Vantagens do CMMI DEV Desvantagens do CMMI DEV Objetivos do CMMI DEV Conclusão Bibliografia

84 O que é o MPS.BR? Um movimento para a melhoria e um modelo de qualidade de processo voltado a realidade do mercado brasileiro. A melhoria deste processo, compreende dois momentos: Desenvolvimento e aprimoramento do Modelo MPS Disseminação e adoção do Modelo MPS, a um custo razoável Dividimos o MPS em: MR-MPS MA-MPS MN-MPS

85 O que é o MPS.BR? 1. MR-MPS, é um modelo de referência para a melhoria do processo de software, representado por sete níveis de maturidade Fonte: SOFTEX

86 O que é o MPS.BR? 2. MA-MPS, tem o objetivo de orientar na realização de avaliações em conformidade com a norma ISO/IEC em empresas que já implementaram o MR-MPS. Constituído por uma equipe de avaliação, formada por: 3 a 8 pessoas, sendo: 1 avaliador líder; 1 avaliador adjunto; 1 avaliador técnico Duração de 2 a 4 dias; Validade = 3 anos; 3. MN-MPS, é um modelo de negócio utilizado por instituições que se propõe a melhorar utilizando o processo MPS.BR

87 Vantagens do MPS.BR? Criado com o objetivo de ser um modelo de processo, mais rápido de ser adquirido e mais acessível que os modelos de projeto como CMMI, no intuito de se adequar a realidade brasileira. Vantagens: Compatibilidade com CMMi Avaliação bienal das empresas Integração universidade-empresa Possui sete níveis de maturidade

88 Desvantagens do MPS.BR? O foco do MPS.BR é fazer com que as empresas de pequeno e médio porte alcancem a qualidade nos processos e em seus produtos, mas temos como desvantagem o fato da certificação concebida não ser competitiva o suficiente para tornar a empresa competitiva internacionalmente. Desvantagem: Certificação concebida não é competitiva o suficiente no mercado internacional

89 Objetivos do MPS.BR? Como objetivos do MPS.BR, podemos citar: 1. Melhorar o processo de software em empresas brasileiras a um custo acessível. 2. Definir e aprimorar um modelo de melhoria e avaliação de processos de software, de tal forma que sejam reconhecidos nacional e internacionalmente como um modelo aplicável à indústria de software. 3. Estabelecer um processo e um método de avaliação, o qual garante que o MPS.BR esta sendo empregado de forma coerente.

90 O que é CMMI DEV? CMMI é uma evolução do CMM e procura estabelecer um modelo único para o processo de melhoria corporativo, integrando diferentes modelos e disciplinas. A versão atual do CMMI (versão 1.3) apresenta três modelos: CMMI for Acquisition (CMMI-ACQ) CMMI for Services (CMMI-SVC) CMMI for Development (CMMI-DEV) publicada em agosto de Dirige-se ao processo de desenvolvimento de produtos e serviços.

91 O que é CMMI DEV? Modelo de maturidade CMMI DEV

92 Vantagens do CMMI DEV? O modelo de qualidade CMMI é reconhecido internacionalmente e é referencia no mercado de software. Vantagens: Eliminação de inconsistências e redução de duplicidade; Utilização de terminologia comum e estilo consistente; Consistências com a norma ISO/SEC O desenvolvimento de software com qualidade, garantindo o cumprindo dos prazos e atendendo as necessidades do cliente, deixando mais satisfeito com o produto entregue pela empresa;

93 Desvantagens do CMMI DEV? O CMMI por ser um modelo proprietário, envolve um grande custo para a realização das avaliações do modelo para obter a certificação. Geralmente o custo fica entre R$ 200 mil a R$ 1 milhão dependendo da complexidade do processo, sem contar o tempo que para chegar aos níveis de maturidade mais elevados, leva-se em média 4 a 8 anos. Desvantagens: Custo elevado; Demora para chegar a um nível de maturidade elevado;

94 Objetivos do CMMI DEV? Como objetivos do CMMI DEV, podemos citar: 1. Definir um ponto inicial para modelos integrados; 2. Aprimorar as melhores praticas para a criação de modelos baseados em lições aprendidas; 3. Estabelecer um framework que possibilite a integração futura de novos modelos; 4. Criação de uma forma associada de avaliação de desempenho e treinamento de produtos;

95 Conclusão Apesar dos dois modelos de desenvolvimento terem sido criados com o mesmo propósito, o foco de atuação dos modelos são diferentes um do outro. MPS.BR = Pequenas e médias empresas CMMI = Foco global para empresas de maior porte. Contudo, é possível afirmar que na realidade brasileira os modelos são complementares. As pequenas e médias empresas adotam o MPS.BR para alcançar uma padronização e qualidade no processo com maior velocidade e de baixo custo. A partir dessa padronização ela já se encontra qualificada para conseguir a certificação CMMI.

96 Bibliografia Blog CMMI - Site Oficial CMMI - Acessado em 14/03/2013 Softex SOFTEX. MPS.BR Melhoria do Processo de Software Brasileiro: Guia Geral, versão 1.2. São Paulo: SOFTEX, 2007.

97 ISO com foco na 27001

98 ISO com foco na A Norma ISO é um padrão internacional sobre as boas práticas na Gestão da Segurança da Informação, que levam empresas ao nível máximo de excelência internacional em Segurança da Informação. ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO ISO 27002: Código de práticas para Segurança da Informação. Atualmente a ISO é o padrão de referência internacional para a gestão da Segurança da Informação. ISO 27001, tal como a conhecemos, foi publicada em 2005 (ISO/IEC 27001:2005).

99 Objetivo framework A ISO traz a implementação da segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários: O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação. Implementar e operar controles para gerenciamento dos riscos. Monitorar o desempenho e a eficácia da política de segurança da informação. Promover a melhoria contínua.

100 PDCA da Segurança Esta abordagem de processos é feita com base na estrutura PDCA, conforme temos na figura abaixo: Planejar Implementar e Operar Monitorar e revisar Manter e melhorar

101 Estrutura Está estruturado em vários documentos da família ISSO 27000: ISO Vocabulário de Gestão da Segurança da Informação (sem data de publicação); ISO Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS para certificação de sistema de gestão de segurança da informação; ISO Esta norma irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas); ISO Esta norma abordará as diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006; ISO Esta norma incidirá sobre as métricas e relatórios de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007; ISO Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS :2005 Information Security Management Systems - Guidelines for Information Security Risk Management, a publicar em finais de A publicação da norma ISO ocorreu em meados de 2008; ISO Esta norma especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação.

102 Características Cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências, etc.) Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação) documentado dentro do contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.

103 Como pode ser aplicado? Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos e controles especificados nas seções do código de norma não é aceitável quando uma organização reivindica conformidade.

104 Empresas que utilizam Caixa Econômica Federal - ISO/IEC 27001:2005 Telefônica Empresas S/A - ISO/IEC 27001:2005 IBM ITD Brazil- ISO/IEC 27001:2005 Tivit Tecnologia da Informacao S.A. - ISO/IEC 27001:2005 SERASA S.A. - ISO/IEC 27001:2005 fonte:

105 Vantagens Vantagem Competitiva Demonstração de idoneidade, por uma entidade terceira, que os requisitos do standard são cumpridos e na demonstração da importância que atribuem à proteção da informação

106 Desvantagens Processo caro. Processo de implantação demorado. Processo burocrático, não compensando utilizar em pequenas empresas totalmente.

107 Integrantes André Melo Francisco Paulo Marcela Pereira Sidnei Pacheco

108 Bibliografia