Desenvolvimento de um Conjunto de Processos de Governança de Tecnologia de Informação para uma Instituição de Ensino Superior

Transcrição

1 Desenvolvimento de um Conjunto de Processos de Governança de Tecnologia de Informação para uma Instituição de Ensino Superior Ângela F. Brodbeck (Escola de Administração) Jussara I. Musse (Centro de Processamento de Dados) Denise G. Ewald (Centro de Super Computação) Denise L. Bandeira (Escola de Administração) Marcelo Pimenta (Instituto de Informática) Evandro G. Flores (Pró-Reitoria de Graduação)

2 UFRGS Universidade Federal do Rio Grande do Sul A Necessidade Cumprimento de regras e normas de Governança Corporativa, designadas por órgãos de controle com o TCU, CGU, MPOG Ponto Fundamental Alinhamento Estratégico entre o Negócio e a Tecnologia de Informação Adequação dos investimentos Redução de riscos A1-2

3 Alinhamento Estratégico na UFRGS PDI (Plano de Desenvolvimento Institucional) seis (6) objetivos estratégicos (OE) Expansão ensino de graduação e pós-graduação (aumento de vagas e de cursos o que implica em infraestrutura) atividades de pesquisa (aumento da demanda por PAD Processamento de Alto Desempenho) atividades de extensão (cursos, projetos, etc. Excelência dos cursos de graduação (conceito 5) dos cursos de pós-graduação e pesquisa (conceito 7) Eficiência gestão e operação PDTI (Plano de Desenvolvimento de Tecnologia de Informação) onze (11) áreas temáticas para atender os objetivos estratégicos Governança de TI Redes e Comunicação Sistemas de Informação Recursos Humanos Atendimento ao Usuário Computação de Alto Desempenho Segurança Computacional Aquisição TIC na Educação Novas Tecnologias e Estratégias Infraestrutura A1-3

4 O que é Gestão (Governança) da TI? Governança Gestão Financeira e de Custos da TI Gestão de Projetos Gestão de Terceiros Gestão da Segurança da Informação Gestão de Recursos Humanos Gestão de Desenvolvim. de Software Sistemas Infraestrutura Operação Gestão de Sistemas Gestão de Processos Gestão de Demandas Redes, Comunicação Servidores, Datacenter Desktops e Disp. Móveis Suporte a incidentes Suporte a incidentes A1-4

5 Framework de Governança de TI adotado 1. Planejar e Organizar Informações 4. Monitorar e Avaliar e Recursos de TI 2. Adquirir e Implementar 4 1 PDCA do Cobit 3. Entregar e Suportar 3 2 Níveis de Maturidade do Processo/Atividades 0 Inexistente 2 Repetitivo 3 Definido 4 Gerenciado 5 Otimizado A1-5

6 Alinha Objetivos de Negócio com Objetivos de TI Desdobra em A1-6

7 Alinha Objetivos de Negócio com Objetivos de TI Manter a reputação e liderança da empresa OBJETIVOS DE TI (COBIT) PROCESSOS COBIT ADERENTES AO OBJETIVO DE TI 1 Responder aos requisitos de negócio alinhado com a estratégia de negócio PO1 PO2 PO3 PO10 AI1 AI6 AI7 ES1 ES3 AM1 2 Responder aos requisitos de governança alinhado à alta direção PO1 PO4 PO10 MA1 MA4 3 Garantir a satisfação do usuário final com o serviço oferecido e o nível de serviço PO8 AI4 ES1 ES2 ES7 ES8 ES10 ES13 4 Otimizar o uso da informação PO2 ES11 5 Criar agilidade para a TI PO2 PO4 PO7 AI3 Definir como os requisitos funcionais e de controle do negócio são transformados em efetivas e 6 eficientes soluções automatizadas AI1 AI2 AI6 7 Adquirir e manter sistemas aplicativos integrados e padronizados PO3 AI2 AI6 8 Adquirir e manter infraestrutura de TI integrada e padronizada AI3 AI5 9 Adquirir e manter habilidades em TI que respondem a estratégia de TI PO7 AI5 10 Assegurar a satisfação mútua no relacionamento com terceiros ES2 Assegurar a integração sem costura (sem remendos, integradas) das aplicações com os processos 11 de negócio PO2 AI4 AI7 Assegurar a transparência e o entedimento sobre os custos de TI, benefícios, estratégias e níveis 12 de serviços PO5 PO6 ES1 ES2 ES6 MA1 MA4 13 Assegurar o uso apropriado e a performance da aplicações e das soluções tecnológicas PO6 AI4 AI7 ES7 ES8 14 Prestar contas e proteger todos os valores da TI PO9 ED5 ED9 ED12 MA2 15 Otimizar a infra-estrutura de TI, os recursos e a capacidade PO3 AI3 ES3 ES7 ES9 16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções PO8 AI4 AI6 AI7 ES10 17 Proteger a realização dos objetivos da TI PO9 ES10 MA2 Estabelecer claramente o impacto nos negócios dos riscos inerentes aos objetivos e recursos da 18 TI PO9 ES10 MA2 Assegurar que as informações críticas e confidenciais estejam ocultas para aqueles que não 19 devem ter acesso à telas PO5 ES5 ES11 ES12 Assegurar que as transações de negócio automatizadas e as trocas de informações possam ser 20 confiáveis PO6 AI7 ES5 Assegurar que os serviços e infra-estrutura de TI possam resistir aprorpiadamente e recuperar-se 21 de falhas decorrentes de erro, ataque deliberado ou desastre PO6 AI7 ES4 ES5 ES12 ES13 MA2 21 Assegurar que os serviços e infraestrutura de TI possam resistir apropriadamente e recuperar-se de falhas decorrentes de erro, ataque deliberado ou desastre Assegurar o mínimo impacto nos negócios em função da interrupção do serviço de TI ou de 22 mudança PO6 AI6 ES4 ES12 23 Certificar-se de que os serviços de TI estão disponíveis como requeridos ES3 ES4 ES8 ES13 24 Prover a eficiência em custos da TI e a sua contribuição para a lucratividade dos negócios PO5 ES6 25 Entregar projetos no prazo e no orçamento, reunindo padrões de qualidade PO8 PO10 26 Manter a integridade da informação e da infra-estrutura dos processos AI6 ES5 27 Assegurar a conformidade da TI com leis, regulações e contratos ES11 MA2 MA3 MA4 Garantir que a TI demonstre a qualidade do serviço a um custo adequado e uma melhoria contínua 28 para as mudanças no futuro PO5 ES6 MA1 MA4 A1-7

8 O Método Utilizado 28 OTIs - COBIT OTI 1 Criticidade 4 Criticidade 4 Processos de Governança de TI PO1 Ação 1 Ação 2 PO5 Ação 1 Ação 2 IMPLEMENTAR ANO 2 (2013) ES10 Ação 1 ONs PDI OTI 4 Criticidade 5 ON3 OTI 9 Criticidade 4 ON6 OTI 17 Criticidade 5 Criticidade 5 AI5 Ação 1 MA4 Ação 1 Ação 2 IMPLEMENTAR ANO 1 (2012) Nível de Criticidade (impacto no negócio) OTI 23 Criticidade Baixa Regular Média Alta OTI 28 Criticidade 3 Criticidade 3 PO1 Ação 1 AI3 Ação 1 IMPLEMENTAR ANO 3 (2014) 5 Crítica e assim por diante A1-8

9 Instrumento para Gestores de Negócio ON versus OTI Pesquisa pelo site Disponível durante 20 dias Total: 50% respondentes dentre os contatados A1-9

10 Instrumento para Gestores de TI Nível de Maturidade dos Processos de Governança de TI (atual) Níveis de Maturidade do Processo/Atividades Inexistente Inicial Repetitivo Definido Gerenciado Otimizado A1-10

11 Processos a implementar Ano I Objetivo de TI Processos Descrição Maturidade OTI13 Assegurar o uso apropriado e a performance das aplicações e das soluções tecnológicas PO6 Gerenciar a comunicação entre Negócio e TI AI4 Desenvolver e manter procedimentos (normas e regras) AI7 Instalar e Homologar Soluções e Mudanças ES7 Educar e treinar usuários 2 Repetitivo ES8 Suportar e orientar clientes (internos e externos) 2 Repetitivo Comunicação Escritório de Processos Central de Serviços A1-11

12 Processos a implementar Ano II Objetivo de TI Processos Descrição Maturidade OTI01 Atender aos OE da UFRGS de forma a alinhar a TI com as estratégias da UFRGS PO1 PO2 PO3 PO10 AI1 AI6 ES1 ES3 MA1 Definir Plano Estratégico de TI Definir arquitetura de informação Determinar o direcionamento da TI Utilizar gerenciamento de projetos Identificar soluções de aquisição e implementação Gerenciar mudanças (implementação de novas tecnologias) Definir e gerenciar níveis de serviço (SLA) Gerenciar desempenho e capacidades Monitorar os processos (log) 2 Repetitivo 2 Repetitivo 3 Definido OTI20 Assegurar que as transações de ensino, pesquisa e extensão automatizadas e as trocas de informação possam ser confiáveis ES5 Assegurar segurança dos sistemas (acesso monitorado) 3 Definido A1-12

13 Processos a implementar Ano III Objetivo de TI Processos Descrição Maturidade OTI09 Adquirir e manter qualificações das pessoas e da tecnologia que respondem à estratégia de TI PO7-p Gerenciar recursos humanos de TI permanente PO7-t Gerenciar recursos humanos de TI temporários 3 Definido AI5 Instalar e homologar sistemas OTI08 Adquirir e manter infraestrutura de TI integrada e padronizada AI3 Adquirir e manter infraestrutura tecnológica 2 Repetitivo OTI04 Otimizar o uso da informação ES11 Gerenciar as instalações físicas OTI05 Criar agilidade para a TI PO4 Definir a organização e o relacionamento das TI OTI21 Assegurar que os serviços e infraestrutura de TI possam resistir apropriadamente e recuperar-se de falhas decorrentes de erro, ataque deliberado ou desastre ES4 Garantir continuidade dos serviços (7x24) 2 Repetitivo ES12 Gerenciar problemas e incidentes (paradas, quebras) 2 Repetitivo ES13 Gerenciar as operações da TI MA2 Avaliar a adequação dos controles internos (uso) OTI03 Garantir a satisfação do usuário final com o serviço oferecido e com o nível de serviço PO8 Assegurar conformidade de processos (do negócio com SI) 0 Inexistente ES2 Gerenciar terceiros (contratos) 3 Definido A1-13

14 Processos a implementar Ano III Objetivo de TI Processos Descrição Maturidade OTI15 Otimizar a infraestrutura, os recursos e a capacidade de TI ES9 Gerenciar configurações (de web, de grupos, etc.) OTI02 Responder aos requisitos de governança corporativa alinhado à alta direção (em conformidade com exigências externas) MA4 Prover auditorias independentes OTI07 Adquirir e manter sistemas aplicativos integrados e padronizados AI2 Adquirir e manter software básico e aplicações 2 Repetitivo OTI19 Assegurar que as informações críticas e confidenciais estejam ocultas para aqueles que não devem ter acesso a elas PO5 Gerenciar investimentos de TI 0 Inexistente OTIs classificados nesta fase com Processos já implementados anteriormente OTI22 Assegurar o mínimo impacto nas atividades fim e meio da UFRGS em função da interrupção do serviço ou de mudança na infraestrutura de TI OTI26 Manter a integridade da informação e da infraestrutura dos processos OTI11 Assegurar a integração transparente das aplicações com os processos e atividades meio da UFRGS (sem pontos de manipulação ou inseguros) OTI16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções OTI06 Definir como os requisitos funcionais e de controle das atividades da UFRGS são transformados em efetivas e eficientes soluções automatizadas OTI23 Certificar-se de que os serviços de TI estão disponíveis como requeridos OTI25 Entregar projetos no prazo e no orçamento, mantendo padrões de qualidade adequados A1-14

15 A1-15

16 Desenvolvimento de um Conjunto de Processos de Governança de Tecnologia de Informação para uma Instituição de Ensino Superior Ângela F. Brodbeck (Escola de Administração) Jussara I. Musse (Centro de Processamento de Dados) Denise G. Ewald (Centro de Super Computação) Denise L. Bandeira (Escola de Administração) Marcelo Pimenta (Instituto de Informática) Evandro G. Flores (Pró-Reitoria de Graduação)