Governança de Tecnologia da Informação

Transcrição

1 Governança de Tecnologia da Informação Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, CSM, ITIL & CobiT Certified Agosto/2012 Governança de TI 1 Carlos Henrique Santos da Silva, MSc Mestre em Informática em Sistemas de Informação UFRJ/IM Pós-Graduado em Análise, Projeto e Gerência de Sistemas PUC Pós-Graduado em Engenharia de Sistemas de Computação UNESA Pós-Graduado em Gerência de Sistemas Cliente/Servidor UFRJ/NCE Pós-Graduado em Projeto de Software Orientado a Componentes - PUC Certificado em Project Management Professional (PMP) PMI Certificado em Risk Management Professional (PMI-RMP) PMI Certificado em Scrum Master (CSM) pela Star Alliance Certificado em IT Services Management ITIL Foundations Exin Certificado em ISO/IEC Foundations Exin Certificado em COBIT Foundations pelo ISACA Membro do Project Management Institute (PMI) Membro da Sociedade Brasileira de Computação (SBC) Instrutor dos cursos de gerenciamento de projetos da Projectlab Professor de Cursos de MBA / Pós-Graduação da UFRJ Assessor-chefe do Escritório de Projetos da IplanRio (Prefeitura do Rio) Agosto/2012 Governança de TI 2 1

2 Objetivo Apresentar os principais conceitos e aplicações relacionados à Governança de Tecnologia da Informação ; assim como os principais modelos e frameworks de melhores práticas aplicáveis na área, incluindo, mas não se limitando a: objetivos de controle de TI (COBIT), gerenciamento de serviços (ITIL), gerenciamento de projetos (PMI) e processos de desenvolvimento de software. Agosto/2012 Governança de TI 3 Sumário 1. Introdução 2. Conceitos de Governança de TI 3. Visão Geral do Framework COBIT 4. Modelos de Melhores Práticas a. Modelo para Gerenciamento de Portfólios b. Modelo para Gerenciamento de Projetos c. Modelos para Gerenciamento de Serviços de TI d. Modelos para Segurança da Informação e. Modelos para Processos de Software 5. Proposta de Implantação da Governança de TI 6. Conclusão Agosto/2012 Governança de TI 4 2

3 Bibliografia Recomendada Agosto/2012 Governança de TI 5 Reflexão Na natureza, não é a espécie mais forte que sobrevive, nem ao menos a mais inteligente A que sobrevive é a mais adaptável às mudanças. Charles Darwin Agosto/2012 Governança de TI 6 3

4 TECNOLOGIA DA INFORMAÇÃO Agosto/2012 Governança de TI 7 Tecnologia de Informação Hardware Captar Software Disponibilizar Informações Armazenar Peopleware Tratar Metodologias Agosto/2012 Governança de TI 8 4

5 Situação Atual da TI Metas de TI desalinhadas do negócio da organização; Projetos cada vez mais complexos; Comunicação difícil com cliente e outras áreas da empresa; Imagem de área geradora de custos; Exigência de resposta rápida às mudanças; Pressão por resultados. Agosto/2012 Governança de TI 9 Problemas Comuns... Falta gestão financeira e contabilização dos custos de TI; Falta gestão dos projetos (estouro dos custos e prazos); Falta gestão de mudanças, ocasionando impactos; Falta gestão dos contratos com os fornecedores; Falta infraestrutura de TI adequada (HW e W); Faltam recursos humanos; Problemas de comunicação entre os stakeholders; Falta da definição clara dos requisitos de negócio; Falta de recursos financeiros; Falta de definição de prioridades; Falta avaliação do retorno dos investimentos; Recursos financeiros não aplicados adequadamente. Agosto/2012 Governança de TI 10 5

6 Nova realidade mundial da TI Novas tecnologias; Maior complexidade sistêmica; Maior número de sistemas; Provedor de Serviço 1 Infraestrutura heterogênea; Necessidade de mais integração; Empresas globalizadas; Provedor de Serviço n TI Provedor de Serviço 2 Clientes mais exigentes; Time to market agressivo; Maior competitividade; Provedor de Serviço 3 Maior quantidade de prestadores de serviços. Agosto/2012 Governança de TI 11 Questões a serem respondidas Como fazer com que os clientes e a TI tenham a mesma visão? Como estabelecer metas e objetivos que podem ser utilizados tanto para o negócio como para TI? Por que a TI não está entregando o que se espera, mesmo que os objetivos da TI tenham sido atingidos? Quais os recursos da TI precisam ser priorizados e gerenciados? Como dirigir os processos de TI? Quais controles implementar para estes processos? Como definir papéis e responsabilidades para as atividades? Agosto/2012 Governança de TI 12 6

7 GOVERNANÇA DE TI Agosto/2012 Governança de TI 13 Maturidade de TI nas Organizações Parceiro Estratégico Governança de TI Provedor de Serviços Gerenciamento dos Serviços de TI Provedor de Tecnologia Gerenciamento da Infraestrutura de TI Agosto/2012 Governança de TI 14 7

8 O que é Governança Corporativa? Governar no Dicionário Houaiss: ter mando, direção; dirigir, administrar, regular controlar, dirigir ou fortemente influenciar as ações e o comportamento de algo ou alguém É um conjunto de processos, costumes, políticas, leis, regulamentos e instruções que regulam a maneira como uma empresa é dirigida, administrada ou controlada. Agosto/2012 Governança de TI 15 Governança Corporativa Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. Fonte: Instituto Brasileiro de Governança Corporativa ( IBCG - Instituto Brasileiro de Governança Corporativa Criado em 1995 como IBCA (Instituto Brasileiro de Conselheiros de Administração) Em 1999 seu nome mudou para IBGC Principal referência na América Latina na difusão das melhores práticas de Governança Agosto/2012 Governança de TI 16 8

9 Sistema de Governança Corporativa Fonte: Aragon, Adaptado de IBCG, 2009 Agosto/2012 Governança de TI 17 Fatores Motivadores Crises na 2ª metade dos anos 90 Abuso de poder Escândalos corporativos Fatores Motivadores Erros estratégicos Lei SOX Ganância dos altos executivos Agosto/2012 Governança de TI 18 9

10 Governança Corporativa: Objetivos Fornecer um direcionamento estratégico Garantir que os objetivos sejam alcançados Estabelecer que os riscos sejam gerenciados Garantir que os recursos da empresa sejam usados com responsabilidade Agosto/2012 Governança de TI 19 Governança envolve... Transparência Liderança Visão de Futuro Prestação de Contas Equidade Objetivos Estratégicos Responsabilidade Corporativa Estrutura Organizacional Papéis, Responsabilidades e Processos Agosto/2012 Governança de TI 20 10

11 Governança de TI: Fatores Motivadores Integração tecnológica Marcos de regulação Ambiente de negócios Segurança da informação TI como prestadora de Sv Fatores Motivadores Dependência do negócio com a TI Agosto/2012 Governança de TI 21 O Que é Governança de TI? Wim Van Grembergen, "IT Governance and Its Mechanisms, Capacidade organizacional exercida pelo conselho, pela administração executiva e pela administração de TI para controlar a formulação e implementação da estratégia de TI assegurando a fusão entre os negócios e a TI. Weill e Ross, Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI. Agosto/2012 Governança de TI 22 11

12 O Que é Governança de TI? ITGI, É uma parte da governança corporativa e consiste de aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização. É de responsabilidade da alta administração. ISO/IEC *, É o sistema pelo qual a atual e a futura utilização da TI são dirigidas e controladas. Envolve avaliar e orientar a TI para apoiar a organização e o acompanhamento deste uso para atingir metas. (* International Standard for Corporate Governance of IT) Agosto/2012 Governança de TI 23 NBR ISO/IEC :2009 Princípios para uma boa governança corporativa de TI Aquisição Desempenho Estratégia Conformidade Responsabilidade Governança Corporativa de TI Comportamento Humano Agosto/2012 Governança de TI 24 12

13 Benefícios da Governança de TI Alinhar a estratégia de TI com as do negócio Otimizar o uso de recursos Melhorar a performance de TI Gerenciar os riscos do negócio Gerar valor para a organização Priorização correta das iniciativas de TI Maior transparência dos custos de TI Redução do custo toal de propriedade (TCO) Estabelecer e manter a conformidade regulatória Agosto/2012 Governança de TI 25 TCU - Acórdão 1603/ Plenário... O objetivo da governança de TI é assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor. O desempenho da área de TI deve ser medido, os recursos propriamente alocados e os riscos inerentes, mitigados. Assim, é possível gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais. A governança adequada da área de tecnologia da informação na Administração Pública Federal promove a proteção a informações críticas e contribui para que essas organizações atinjam seus objetivos institucionais. Além disso, garantir a correta aplicação dos recursos empregados em tecnologia da informação se torna cada vez mais importante... Agosto/2012 Governança de TI 26 13

14 Reflexão Se a administração não tiver uma boa governança de tecnologia da informação terá seu funcionamento comprometido, gerando poucos ou nenhum benefício para a sociedade. Augusto Sherman Cavalcanti, Ministro-Substituto do TCU, Junho/2007 Agosto/2012 Governança de TI 27 Curva da Credibilidade da TI Agosto/2012 Governança de TI 28 14

15 Governança de TI Eficaz Questões tratadas por uma governança eficaz: 1 Quais decisões devem ser tomadas para garantir a gestão e uso eficaz de TI? 2 3 Quem deve tomar essas decisões? Como essas decisões serão tomadas e monitoradas? Agosto/2012 Governança de TI 29 Algumas Definições Importantes Arquitetura de TI Organização lógica para dados, aplicações e infraestrutura, representada por um conjunto de políticas, relacionamentos e escolhas técnicas para buscar a integração desejada do negócio e da integração e padronização técnica. Infraestrutura de TI A fundação da capacidade planejada de TI (tanto técnica como humana) disponível no âmbito de toda a organização como serviços compartilhados e confiáveis e usados por múltiplas aplicações Well e Ross, Governança de Tecnologia da Informação, 2006 Agosto/2012 Governança de TI 30 15

16 Domínios de Decisão-Chave Princípios de TI Esclarecimento do papel de negócio da TI Arquitetura de TI Definição dos requisitos de integração e padronização técnica Infraestrutura de TI Determinação dos serviços compartilhados e de suporte Necessidade de aplicações de negócio Especificação da necessidade de aplicações de TI adquiridas ou desenvolvidas internamente Investimento e priorização de TI Escolha das iniciativas a financiar e quanto gastar Well e Ross, Governança de Tecnologia da Informação, 2006 Agosto/2012 Governança de TI 31 Principais Decisões Decisões sobre os princípios de TI Missão de TI Qual é o modelo operacional da empresa? Como a TI dará suporte ao modelo? Decisões sobre a arquitetura de TI Quais são os principais processos de negócio? Como eles se relacionam? Como os dados devem ser integrados? Quais atividades devem ser padronizadas para suportar à integração de dados? Quais opções tecnológicas guiarão a abordagem da empresa para as iniciativas de TI? Agosto/2012 Governança de TI 32 16

17 Principais Decisões Decisões sobre a infraestrutura de TI Quais os recursos computacionais e serviços de TI requeridos para apoiar o negócio? Como os recursos estarão dispostos na organização? Necessidades de aplicações de negócio Quais são as aplicações necessárias? Quais deverão ser mantidas, melhoradas, substituídas e implantadas? Adquiridas no mercado ou desenvolvidas internamente? Decisões sobre os investimentos e a priorização de TI Quando e onde investir? Quais projetos devem ser aprovados? Agosto/2012 Governança de TI 33 Matriz de Arranjos de Governança Rildo F. Santos, 2010 GovTI 8.0 Agosto/2012 Governança de TI 34 17

18 Ciclo da Governança de TI Alinhamento Estratégico e Compliance Gestão do Valor e do Desempenho Decisão, Compromisso, Priorização e Alocação de Recursos Estruturas, Processos, Operação e Gestão Agosto/2012 Governança de TI 35 Domínios e Componentes da GETI Implantando a Governança de TI - Aragon e Ferraz Alinhamento Estratégico e Compliance Alinhamento Estratégico Princípios de TI Gestão da Demanda Necessidades de Aplicações Arquitetura de TI Infraestrutura de TI Objetivos de Desempenho Capacidade Sourcing Segurança da Informação Processos e Organização Competências Plano de TI Decisão, Compromisso, Priorização e Alocação de Recursos Mecanismos de Decisão Critérios de Priorização Portfólio de TI Estruturas, Processos, Operação e Gestão Projetos Serviços Inovações Relacionamentos com Usuários Relacionamentos com Fornecedores Gestão do Valor e do Desempenho Gestão do Valor da TI Gestão do Desempenho da TI Agosto/2012 Governança de TI 36 18

19 Modelo Genérico de GETI Implantando a Governança de TI - Aragon e Ferraz Agosto/2012 Governança de TI 37 Plano de Tecnologia da Informação Competências Investimentos Segurança da Informação Estratégia de Fornecedores de Serviços Capacidade de Atendimento Necessidades de Aplicações Organização das Operações e Serviços Arquitetura de TI Princípios de TI Plano de Tecnologia da Informação Infraestrutura de TI Implantando a Governança de TI - Aragon e Ferraz Agosto/2012 Governança de TI 38 19

20 Processo de Elaboração do Plano de TI Implantando a Governança de TI - Aragon e Ferraz Agosto/2012 Governança de TI 39 Modelo de Governança de TI Modelo para Governança Corporativa de TI: ABNT (2009) Agosto/2012 Governança de TI 40 20

21 SW-CMM (91) BS CMMI v1.0 COBIT 2 BS COBIT 4 MPS.br Val IT v1 ITIL v3 Val IT v2 ITIL PMBOK 1ª Ed. BS rv ITIL v2 ISO CMMI 1.3 Dev PMBOK 5 CMMI v1.1 BS 7799 (89) COBIT 1 (94) COBIT 3 ISO BS BCM ISO ITIL v ISACA PMBOK 2 SOX PMBOK 3 ISO CMMI v1.2 Dev COBIT 4.1 PMBOK 4 ISO rv Cobit 5 Modelo de Governança de TI COSO CobiT Agosto/2012 Governança de TI 41 Linha do Tempo Agosto/2012 Governança de TI 42 21

22 Por que utilizar padrões? A roda já existe: tempo é dinheiro! Estruturado: os modelos de estrutura fornecem uma excelente base para que as organizações possam seguir; Melhores práticas: os padrões foram desenvolvidos ao longo do tempo a avaliados por centenas de pessoas e organizações em todo o mundo; Compartilhamento de Conhecimento: seguindo os padrões, as pessoas podem compartilhar as mesmas idéias entre as organizações através de grupos de usuários, sites, revistas, livros e assim por diante; Auditável: sem padrões se torna difícil para os auditores, especialmente para os auditores que são terceirizados, avaliar os controles. Agosto/2012 Governança de TI 43 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY Agosto/2012 Governança de TI 44 22

23 O que é CobiT? Control Objectives for Information and related Technology É um framework de governança de TI e uma base de conhecimento para os processos de TI e seu gerenciamento; Tem como propósito assegurar que os recursos de TI estejam alinhados aos objetivos da organização; Tem como princípio prover um link entre as expectativas e as responsabilidades de gerenciamento de TI; Facilita a Governança de TI agregar valor, enquanto gerencia riscos; É baseado na premissa de que a TI precisa entregar informação que a empresa necessita para atingir seus objetivos. Agosto/2012 Governança de TI 45 CobiT - Características Cria uma ponte entre o operacional e o estratégico. É um modelo focado no negócio, orientado a processos, baseado em controles e orientado por métricas; Focado em governança, controle e auditoria de tecnologia da informação Não é um padrão definitivo deve ser adaptado para cada empresa; Criado e mantido pelo ISACA Information Systems Audit and Control Association; Está na 5ª edição (Abr-2012). Agosto/2012 Governança de TI 46 23

24 Evolution of scope COBIT 5: Now One Complete Business Framework Governance of Enterprise IT IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / An business framework from ISACA, at Agosto/ ISACA All rights reserved. Governança de TI 47 Componentes do COBIT Agosto/2012 Governança de TI 48 24

25 Princípios Básicos do COBIT Agosto/2012 Governança de TI 49 Inter-relacionamento dos componentes do COBIT Objetivos de negócio Requisitos Informações Dividido em Metas TI Processos de TI Controlado por Atividadeschave Medido por Auditado por Controle dos testes de resultados Derivado de Objetivos de controle 210 objetivos Realizada pelo Pelo desempenho Pelo resultado Pela maturidade Auditado com Implantados com Baseado em Gráfico RACI (Responsabilidade) Indicador de desempenho (performance) Indicador de resultado Modelos de maturidade Controle dos testes de desenho Práticas de controle práticas Agosto/2012 Governança de TI 50 25

26 Processos de Controles do CobiT 4 domínios Planejamento e Organização Aquisição e Implementação Entrega e Suporte Monitoramento 34 processos de TI 210 objetivos de controle detalhados 6 objetivos de controle genéricos de 3 a 15 por processo de TI práticas de controle De 3 a10 por objetivo de controle Agosto/2012 Governança de TI 51 4 domínios e 34 processos de TI Agosto/2012 Governança de TI 52 26

27 Áreas de Foco na Governança de TI Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI; Entrega de valor: é a execução da proposta de valor de TI através do ciclo de entrega; Gestão de recursos: melhor utilização dos investimentos e o gerenciamento dos recursos críticos de TI; Gestão de risco: requer a preocupação com os riscos e dos requerimentos de conformidade; inserção do gerenciamento de riscos nas atividades da empresa; Mensuração de desempenho: monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços. Agosto/2012 Governança de TI 53 Estrutura de Navegação do CobiT Agosto/2012 Governança de TI 54 27

28 Diretrizes de Gerenciamento Matriz de Responsabilidades (PO 1) Agosto/2012 Governança de TI 55 Modelo de Maturidade 0 Inexistente Não existem controles. 1 Inicial 2 Repetível 3 Definido 4 Gerenciado 5 Otimizado Já existem processos, mas não há documentos nem padrões. Processos padronizados, mas falta documentação e comunicação. Os processos são formalizados. Existe documentação, treinamento e comunicação definida. Processos em aperfeiçoamento já fornecem boas práticas, mas faltam ferramentas de automação. Os processos já estão refinados a partir das melhores práticas identificadas. Existe institucionalização das melhores práticas. Agosto/2012 Governança de TI 56 28

29 MODELO DE GERENCIAMENTO DE PORTFÓLIOS Agosto/2012 Governança de TI 57 O Padrão para Gerenciamento de Portfólios do PMI Agosto/2012 Governança de TI 58 29

30 Problemas de um Portfólio não Gerenciado Muitas demandas sem alinhamento com o negócio; Aumento no custo da operação; Os bons projetos podem não acontecer, pois podem não ter recursos; Projetos errados serem selecionados; Muitos projetos cancelados e/ou atrasados; Muitos projetos entrando e poucos sendo concluídos. Agosto/2012 Governança de TI 59 Processos de Gerenciamento de Portfólio Agosto/2012 Governança de TI 60 30

31 Processos de Governança do Portfólio Identificar Componentes Categorizar Componentes Avaliar Componentes Selecionar Componentes Revisar e Relatar Desempenho Autorizar Componentes Balancear Portfólio Priorizar Componentes Comunicar Ajustes Monitorar Mudanças na Estratégia Agosto/2012 Governança de TI 61 Mensagem Certamente não há nada tão inútil quanto fazer com grande eficiência algo que nunca deveria ser feito. Peter Drucker Agosto/2012 Governança de TI 62 31

32 PMBOK Guide MODELO DE GERENCIAMENTO DE PROJETOS Agosto/2012 Governança de TI 63 Áreas do Conhecimento do Guia PMBOK Prazo Qualidade Escopo Custo Integração RH Aquisição Risco Comunicação Agosto/2012 Governança de TI 64 32

33 Grupos de Processos de GP Fonte: PMBOK ª Ed. - PMI Agosto/2012 Governança de TI 65 Processos do PMBoK 4ª Edição Agosto/2012 Governança de TI 66 33

34 20000 MODELOS DE GERENCIAMENTO DE SERVIÇOS DE TI Agosto/2012 Governança de TI 67 INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY Agosto/2012 Governança de TI 68 34

35 O que é ITIL? É o conjunto de boas práticas utilizadas para o Gerenciamento dos Serviços de tecnologia da informação de alta qualidade testadas e aprovadas. Usada para estabelecer e melhorar as capacidades no Gerenciamento de Serviços de TI; Um Padrão de fato no Ger. Serviços de TI; Não é prescritivo, serve para qualquer cenário de TI, independe de tecnologia e poder ser adaptada; Oferece insumos para aderência à ISO/IEC Agosto/2012 Governança de TI 69 ITIL - Histórico Criada em 1980 pelo CCTA (Ag. Governo Inglês); Transferida ao OGC (Office of Government Commerce) em 2001; Base para a norma BS (British Standards Institution s Standard for IT Service Management); ITIL v2: Revisada e reorganizada em 2002; ITIL v3 2007: Lançada mundialmente em maio de 2007 como uma atualização completa; ITIL v3 2011: Biblioteca revisada em julho de Agosto/2012 Governança de TI 70 35

36 Valor para o Negócio Evolução da ITIL ITIL v3 Parceiro Estratégico Integração com o Negócio ITIL v2 ITIL v1 Provedor de Serviços Alinhamento entre negócio e TI Provedor de Tecnologia Estabilidade e controle da Infra Agosto/2012 Governança de TI 71 Ciclo de Vida do Serviço Definição do Serviço Melhoria do Serviço Desenvolvimento do Serviço Manutenção Serviço Implementação do Serviço Agosto/2012 Governança de TI 72 36

37 Descrição dos livros da ITIL v3 Estratégia de Serviços: Refere-se as estratégias, políticas e restrições sobre os serviços. Aborda Gerenciamento Financeiro de TI; Gerenciamento do Portfólio de Serviços e Gerenciamento da Demanda. Desenho de Serviço: Aborda o Catálogo de Serviços; Nível de Serviço; Capacidade; Disponibilidade; Continuidade do Serviço; Segurança da Informação e gerenciamento dos Fornecedores. Transição de Serviço: Aborda o Gerenciamento de Mudanças; Gerenciamento dos Ativos de Serviço e da Configuração; Gerenciamento da Liberação e Distribuição; Validação e Teste do Serviço; Avaliação e Gerenciamento do Conhecimento. Operações de Serviço: Refere-se às operações cotidianas de suporte. Aborda o Gerenciamento de Eventos; de Incidentes; de Problemas ; do Acesso e Execução de Requisições. Foco principal na função de gerenciamento da Central de Serviços. Melhoria Contínua de Serviço: O ciclo PDCA de forma a identificar e atuar em melhorias contínuas dos processos detalhados nos outros quatro livros. Aborda o Relato do Serviço e a Medição do Serviço. Agosto/2012 Governança de TI 73 Modelo da ITIL v3 Agosto/2012 Governança de TI 74 37

38 ISO Agosto/2012 Governança de TI 75 ISO/IEC Primeiro padrão mundial de qualidade voltado p/ GSTI; Está alinhado com a ITIL, mas são independentes; Verifica se o conceito do GSTI está sendo fornecido corretamente; Define um nível de qualidade para as atividades de GSTI que podem ser auditadas; Procura se fixar no ciclo de qualidade PDCA; A certificação fornece uma base para garantir que uma organização tenha implementado os processos de GSTI e os usa de forma consistente. Agosto/2012 Governança de TI 76 38

39 Objetivo Seu objetivo é fornecer um padrão de referência comum para qualquer empresa que oferece serviços de TI além de uma terminologia comum. ISO / IEC : Especificação formal que define os requisitos para uma organização oferecer serviços de uma qualidade aceitável para seus clientes. ISO / IEC : Código de práticas e descreve as boas práticas para o Serviço de Gerenciamento de processos no âmbito da ISO/IEC Uso particular para as organizações que estão se preparando para ser auditada pela ISO/IEC ou planejando melhorias nos serviços. Agosto/2012 Governança de TI 77 Estruturação Agosto/2012 Governança de TI 78 39

40 ISO/IEC vs ITIL Fonte: Adaptado do ITSMF Código de Práticas Requisitos ISO Guia ISO Certificação Nível a atingir Guia Gerencial ITIL (Processos) Procedimentos e Processos Internos de TI Definição de Processos Solução Implementada Agosto/2012 Governança de TI 79 MODELOS DE SEGURANÇA DA INFORMAÇÃO Agosto/2012 Governança de TI 80 40

41 AMEAÇAS ATIVOS GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO Segurança da Informação MISSÃO PROCESSOS DE NEGÓCIO INFORMAÇÕES CONTROLES FÍSICOS Agenda Sala Gaveta TECNOLÓGICOS Sistema Servidor Notebook HUMANOS Funcionário Prestador Parceiro VULNERABILIDADES FÍSICAS Incêndio Inundação Apagão TECNOLÓGICAS Vírus Bug de Software Invasão Web HUMANAS Sabotagem Fraude Erro Humano Agosto/2012 Governança de TI 81 ISO/IEC Nome completo: ISO/IEC 27001: Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação É um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Foi preparada para prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) Pode ser usada visando a avaliação da conformidade por partes interessadas internas e externas. Agosto/2012 Governança de TI 82 41

42 Elementos de Um Sistema de Gestão Política (demonstração de compromisso e princípios para ação) Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) Implementação e operação (construção da consciência organizacional e treinamento) Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não conformidades) Melhoria (ação preventiva e corretiva, melhoria contínua) Análise crítica pela direção Agosto/2012 Governança de TI 83 ISO/IEC ISO/IEC Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC foi incorporada ao novo esquema de numeração como ISO/IEC Agosto/2012 Governança de TI 84 42

43 Estrutura da norma ISO A norma está dividida em 11 seções de controles de segurança da informação. Do capítulo um ao quatro a norma apresenta seu objetivo, termos e definições, como a norma está estruturada e fala sobre análise e tratamento de riscos. Outras seções: Capítulo 05 Políticas de Segurança da Informação Capítulo 06 Organizando a Segurança da Informação Capítulo 07 Gestão de Ativos Capítulo 08 Segurança em Recursos Humanos Capítulo 09 Segurança Física e do Ambiente Capítulo 10 Gestão das Operações e Comunicações Capítulo 11 Controle de Acessos Capítulo 12 Aquisição, Desenvolvimento e Manutenção de Sistemas Capítulo 13 Gestão de Incidentes de Segurança da Informação Capítulo 14 Gestão da Continuidade do Negócio Capítulo 15 Conformidade Agosto/2012 Governança de TI 85 Diferenças entre a ISO e a ISO a norma ISO é uma norma que apresenta requisitos de auditoria para certificar um Sistema de Gestão de Segurança da Informação; a norma ISO é um guia de execução, com base em boas práticas. Esta traz uma lista de controles que pode ser aplicados em uma organização. Agosto/2012 Governança de TI 86 43

44 MODELOS DE PROCESSOS DE SOFTWARE Agosto/2012 Governança de TI 87 Qualidade em Des. de SW Agosto/2012 Governança de TI 88 44

45 Normas de Software ISO/IEC Framework para Avaliação de Processos de Software para Melhoria contínua e Determinação da capacidade). ISO/IEC Processos do Ciclo de Vida do Software ISO/IEC 9126 Características da Qualidade de Software Normas relacionadas à ISO/IEC 9126 ISO/IEC Guias de Avaliação de Produto de Software ISO/IEC Requisitos de Qualidade e Testes de Pacotes de Software Agosto/2012 Governança de TI 89 CMMI Agosto/2012 Governança de TI 90 45

46 CMMI O modelo SW-CMM (Software Capability Maturity Model) foi definido no SEI (Software Engineering Institute) a pedido do Departamento de Defesa dos Estados Unidos. A partir de 1991, foram desenvolvidos CMMs para várias disciplinas. O CMMI (Capability Maturity Model Integration) surgiu então para resolver o problema de utilização de vários modelos. Abrange todo ciclo de vida para o desenvolvimento (CMMI- DEV) e operação de software (CMMI-SVC). Também aborda projetos de aquisição (CMMIACQ). Agosto/2012 Governança de TI 91 Histórico O framework CMMI-SM foi desenvolvido para ser consistente e compatível com a ISO/IEC Em 1999, é publicado o esboço (draft), versão 0.2: CMMI- SE/SW (Capability Maturity Model -Integrated System / Software Engineering). Versões do CMMI: Versão 1.0: Agosto de 2000 Versão 1.1: Março de 2002 Versão 1.2: Agosto de >CMMI-DEV (CMMI for Development) Versão 1.3: Novembro de 2010 Atualização CMMI-DEV Agosto/2012 Governança de TI 92 46

47 CMMI: Componentes da Estrutura Área de Processo Metas Específicas Metas Genéricas Práticas Específicas Práticas Genéricas Produtos de Trabalho Típicos Subpráticas Subpráticas Elaboração de Práticas genéricas Agosto/2012 Governança de TI 93 Categorias x Áreas de Processos Gerenciamento de Processo Gerenciamento de Projeto Engenharia Suporte Foco no Processo Organizacional Planejamento de Projeto Desenvolvimento de Requisitos Gerenciamento de Configuração Definição do Processo Organizacional Treinamento Organizacional Desempenho do Processo Organizacional Gestão do Desempenho Organizacional Acompanhamento e Controle de Projeto Gerenciamento de Acordos com Fornecedores Gerenciamento Integrado de Projeto Gerenciamento de Requisitos Gerenciamento de Risco Soluções Técnicas Integração de Produto Verificação Validação Garantia da Qualidade de Processo e de Produto Medições e Análise Análise de Decisões e Resoluções Análise e Resolução de Causas Gerenciamento Quantitativo de Projeto Agosto/2012 Governança de TI 94 47

48 Representação Contínua: Níveis de Capacidade 0 Incompleto 1 Executado 2 Gerenciado 3 Definido Agosto/2012 Governança de TI 95 Exemplo de Representação Contínua Agosto/2012 Governança de TI 96 48

49 Representação Por Estágios: Níveis de Maturidade Agosto/2012 Governança de TI 97 5 Otimizado 2 Gerenciado Gerenciamento de Requisitos Planejamento de Projeto Acompanhamento e Controle de Projeto Gerenciamento de Acordo com Fornecedor Medições e Análise Garantia da Qualidade de Processo e de Produto Gerenciamento de Configuração 3 Definido Desenvolvimento de Requisitos Soluções Técnicas Integração de Produto Verificação Validação Foco no Processo Organizacional Definição do Processo Organizacional Treinamento Organizacional Gerenciamento Integrado de Projeto Gerenciamento de Riscos Análise de Decisão e Resolução 4 Gerenciado Quantitativamente Desempenho do Processo Organizacional Gerenciamento Quantitativo de Projeto Gestão do Desempenho Organizacional Análise de Causa e Resolução Agosto/2012 Governança de TI 98 49

50 MPS.BR Agosto/2012 Governança de TI 99 MPS.br: Melhoria de processo do software Brasileiro Comparação da Maturidade do Processo de Software No Brasil, as empresas locais favoreceram a ISO 9000 Até 2003, na Índia, 32 empresas atingiram o nível 5 do CMM, no qual a China tinha 1 empresa e o Brasil nenhuma. Em relação ao CMM, como um todo, a maioria das empresas chinesas e brasileiras não estava em um nível suficientemente alto de maturidade do processo para competir com as empresas indianas Ref: Slicing the Knowledge-based Economy in Brazil, China and India: a tale of 3 software industries [MIT, 2003] Agosto/2012 Governança de TI

51 MPS.br: Estrutura Modelo MPS ISO/IEC CMMI ISO/IEC Modelo de Referência (MR-MPS) Modelo de Avaliação (MA-MPS) Modelo de Negócio (MN-MPS) Guia Geral Guia de Aquisição Documento do MPS.BR Guia de Implementação Guia de Avaliação Agosto/2012 Governança de TI 101 MPS.br: Melhoria de Processo do Software Brasileiro Agosto/2012 Governança de TI

52 CMMI x MPS.br CMMI 5 Otimizando 4 Gerenciado Quantitativamente 3 Definido 2 Gerenciado MPS.BR (EMPRES. CERT.) A Em Otimização B Gerenciado Quantitativamente C Definido D Largamente Definido E Parcialmente Definido F Gerenciado G Parcialmente Gerenciado Inovação e Implantação na Organização Análise e Resolução de Causas Gerência Quantitativa do Projeto Desempenho do Processo Organizacional Análise de Decisão e Resolução Gerência de Riscos Desenvolvimento de Requisitos / Solução Técnica / Integração do Produto/ Instalação do Produto / Liberação do Produto / Verificação / Validação Treinamento / Avaliação e Melhoria do Processo Org. / Definição do Processo Org. / Adaptação do Processo para Gerência de Projeto Medição e Análise / Gerência de Configuração Aquisição / Garantia da Qualidade do Proc. e do Prod. Gerência de Requisitos Gerência do Projeto Agosto/2012 Governança de TI 103 PROPOSTA DE IMPLANTAÇÃO DE GOVERNANÇA DE TI Agosto/2012 Governança de TI

53 Como Implantar a GETI? 1.Sensibilizar a Alta Direção 2. Estabelecer o foco do Programa 3. Definir, papéis, estrutura relacionamentos 4. Definir preliminarmente o Programa 5. Implantar a estrutura e as responsabilidades 6. Estabelecer os direitos decisórios 7. Realizar avaliação dos processos-foco 8. Estabelecer metas e indicadores 9. Estabelecer um roadmap de implantação 10. Elaborar o plano do programa 11. Definir parcerias com as áreas de auditoria 12. Aprovar o programa de governança de TI Agosto/2012 Governança de TI 105 Como Implantar a GETI? (continuação) 13. Elaborar o plano de gerenciamento de mudança da cultura organizacional (//) 14. Elaborar os planos dos projetos de implantação de GETI (//) 16. Executar os projetos de implantação de governança de TI 15. Implantar as ações do plano de gerenciamento de mudança de cultura 17. Monitorar a execução dos projetos 18. Avaliar os resultados dos projetos 19. Comunicar o valor gerado pela TI ao negócio 20. Revisar e evoluir o programa Agosto/2012 Governança de TI

54 Abordagem de Implantação Agosto/2012 Governança de TI 107 Utilização do CobiT Agosto/2012 Governança de TI

55 Diagnóstico da Situação Atual Utilize o modelo de maturidade do CobiT para definir o perfil da empresa em relação aos controles adotados para os processos de TI. Agosto/2012 Governança de TI 109 Diagnóstico de Cada Processo Escolhido PO3 DETERMINAR DIREÇÃO TECNOLÓGICA PO3.5 PO PO3.2 PO6 COMUNICAR DIRETIVAS E METAS GERENCIAIS PO6.5 PO PO6.2 PO7 GERENCIAR RECURSOS HUMANOS DE TI PO7.7 PO7.8 PO PO7.2 PO7.3 PO7.6 PO7.4 PO3.4 PO3.3 Nível de Maturidade 2 PO9 AVALIAR E GERENCIAR RISCOS DE TI PO9.6 PO PO9.2 PO6.4 PO6.3 Nível de Maturidade 2 PO10 GERENCIAR PROJETOS PO PO10.14 PO PO PO PO PO PO10.11 PO10.5 PO7.5 Nível de Maturidade 2 ME4 PROVER GOVERNANÇA DE TI ME ME4.7 3 ME ME4.6 ME4.3 PO9.5 PO9.3 PO10.10 PO10.6 PO9.4 Nível de Maturidade 1 PO10.9 PO10.7 PO10.8 Nível de Maturidade 2 ME4.5 ME4.4 Nível de Maturidade 2 Agosto/2012 Governança de TI

56 Diagnóstico Consolidado Agosto/2012 Governança de TI 111 Análise de Maturidade dos Processos de TI Empresa Agosto/2012 Governança de TI

57 Gap Analysis PO3 PO6 PO7 PO9 PO10 AI4 AI6 DS1 DS2 DS6 DS7 DS11 ME4 Determinar Direção Tecnológica Comunicar Diretivas e Metas Gerenciais Gerenciar Recursos Humanos Avaliar e Gerenciar Riscos de TI Gerenciar Projetos Possibilitar Operação e Uso Gerenciamento de Mudanças Definir e Gerenciar Níveis de Serviço Gerenciar Serviços Terceirizados Identificar e Destinar Custos Ensinar e Treinar Usuários Gerenciar Dados Prover Governança de TI Agosto/2012 Governança de TI 113 Escritório de Governança de TI Sugestão de implantação: Criação de uma área ou departamento específico para lidar com a governança de TI Funções dirigir a implantação de regras, políticas e práticas de gestão e operação de serviços; dar visibilidade ao CEO/CIO sobre a aderência das demais áreas da TI às estratégias. Agosto/2012 Governança de TI

58 CONCLUSÃO Agosto/2012 Governança de TI 115 Modelo de Governança de TI Cada empresa deve criar o seu, considerando suas necessidades. Algumas dicas: Deve estar alinhado com a estratégia da empresa; O diagnóstico deve ser bem feito - foto da situação atual; Saiba onde você deseja chegar - defina as metas; Busque um Patrocinador forte na organização; Lembre-se que envolve mudança cultural; Monte a equipe certa; Todos devem participar estar envolvidos; Trate iniciativa como um programa/projetos; Misture práticas, metodologias e ferramentas; Comunique BEM comunicação é fundamental. Agosto/2012 Governança de TI

59 Organizações em Transformação: Por que as empresas falham? 1. Falta do senso de urgência 2. Subestimar o poder da visão 3. Falhar na criação de uma coalizão administrativa forte 4. Comunicar a visão de forma ineficiente 5. Permitir que obstáculos bloqueiem a nova visão 6. Falhar na criação de vitórias a curto prazo 7. Declarar vitória prematuramente 8. Negligenciar a incorporação de mudanças à cultura corporativa Agosto/2012 Governança de TI 117 PMP, PMBOK - São marcas registradas do Project Management Institute (PMI) ITIL - É marca registrada do Office of Government Commerce (OGC) CobiT - É marca registrada do ISACA / IT Governance Institute (ITGI) REFERÊNCIAS BIBLIOGRÁFICAS Agosto/2012 Governança de TI

60 Referências Bibliográficas Fernandes, Aguinaldo Aragon; De Abreu, Vladimir Ferraz: Implantando a Governança de TI da Estratégia à Gestão dos Processos e Serviços. 3ª ed. Rio de Janeiro: Brasport, Well, Peter; Ross, Jeanne W.: Governança de Tecnologia da Informação. 1ª ed. São Paulo: M. Books do Brasil, Mansur, Ricardo: Governança Avançada de TI na Prática. Rio de Janeiro: Brasport, itsmf (IT Service Management Forum), ITIL V3 Roadshow, CobiT 4.1, Rolling Meadows, 2007 (2007a). Agosto/2012 Governança de TI 119 Referências Bibliográficas Almeida, Alessandro. Encontros de Governança e Gestão. TI Exames. Material de cursos preparatórios para certificações. Agosto/2012 Governança de TI

61 Endereços Eletrônicos ITIL - itsmf Internacional itsmf Brasil - PMI - PMI Brasil - PMI Chapter Rio - ISACA - ISACA Brasil SP Agosto/2012 Governança de TI 121 CONTATOS Carlos Henrique Santos da Silva, MSC, PMP Site: contato@carloshenrique.info Agosto/2012 Governança de TI