Escolar Documentos
Profissional Documentos
Cultura Documentos
AULA
Outros modelos e normas
de Governana
Meta da aula
Apresentar os conceitos bsicos sobre a
ISO 20000, a ISO 27000, a ISO 385000,
o eSCM-SP e o eSCM-CL e exemplificar
como tudo pode se encaixar dentro de
um projeto de Governana emTI.
objetivos
Pr-requisito
pr-requisito para esta aula ter completado os
objetivos de todas as aulas anteriores.
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
INTRODUO
Voc deve lembrar que, logo no incio deste curso, dissemos que Governana
era um conceito bem amplo e que no se resumia somente ao COBIT e
ITIL. Algumas vezes ns comentamos esse fato e dissemos que vrios outros
modelos, conjuntos de boas prticas e mesmo normas de TI podem auxiliar
a empresa a melhorar suas reas de processo a fim de amadurecer rumo
plenitude da Governana em TI.
Nesta aula iremos estudar alguns dos exemplos que mais tm sido utilizados no
mercado. Porm, tenha em mente que ns no nos aprofundaremos da mesma
forma que fizemos com relao ITIL v2, ITIL v3 ou ao COBIT v4.1.
Isso porque a maioria destes modelos tambm possui dezenas de processos
ou controles e seria invivel abord-los todos em um mesmo curso (ainda mais
em uma nica aula). Porm acreditamos que, com tudo que foi visto at agora,
mais o que veremos nesta aula (mesmo que resumidamente), voc ter uma
viso completa sobre como participar ou at mesmo gerenciar um projeto de
Governana em TI.
12
o gerenciamento de servios de TI com base em processos bem definidos na
AULA
organizao. No toa que seu nome em ingls information technology
service management.
Processos de entrega
Gerenciamento Gerenciamento do nvel Gerenciamento da segu-
da capacidade do servio rana da informao
CEC I E R J E X T E N S O E M G O V E R N A N A 301
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Por falar nisso, o que podemos dizer da famlia de normas ISO 27000?
Assim como o embrio da ISO 20000 foi concebido na Inglaterra na forma
de boas prticas, a ISO 27000 tambm nasceu na Inglaterra. Porm, j nasceu
na forma de uma norma britnica denominada BS 7799.
Cdigo de prticas
AULA
uma mesma famlia para tratar de um tema. Assim, a BS 7799-1 lidava com
o cdigo de prticas, a BS 7799-2 continha a especificao de requisitos e
assim por diante. A Figura 12.2 esquematiza como se deu a evoluo das
vrias normas, tanto de especificao de requisitos quanto do cdigo de
prticas, at chegar famlia ISO 27000, que utilizada atualmente.
Observe que, em alguns anos, os profissionais da rea tinham que
conviver com requisitos de uma norma e cdigo de prticas de outra.
Isso porque o avano na normatizao no aconteceu concomitante-
mente. Por exemplo: em 2000 a ISO lanou a ISO 17799 contendo o
cdigo de prticas do SGSI (Sistema de Gerenciamento de Segurana da
Informao), mas sugeria que o mundo continuasse usando a BS 7799
como especificao de requisitos do SGSI. Em 2005, por sua vez, ela
lanou uma norma contendo as especificaes do SGSI, a ISO 27001,
mas apenas revisou os cdigos de prticas da ISO 17799. Porm, ainda
no mesmo ano, a 27002 substituiu a ISO 17799 e finalmente tivemos
uma famlia de normas mundiais para a segurana da informao:
a famlia ISO 27000!
A confuso em torno do assunto to grande que, at hoje,
possvel encontrar editais de licitao, editais de concurso pblico ou
requisies de proposta que ainda mencionam a ISO 17799 ou que
mencionam tanto a ISO 17799 quanto a ISO 27002. Neste ltimo caso,
o erro maior, pois a 27000 substitui a 17799 (embora, na prtica, o
seu contedo seja o mesmo...).
Mas voc deve estar se perguntando para que serve a ISO 27000
e qual o seu contedo. Bem, vamos falar da norma 27001, que contm
os requisitos de auditoria. essa norma que concentra as informaes
mais importantes desta famlia e ela que o auditor lder tem em mos
(no mnimo...) durante a auditoria de certificao da empresa.
somente no anexo A da norma ISO 27001 que encontramos
o contedo mais diretamente voltado para os profissionais da rea de
segurana que devem efetivar aes para a melhoria dos processos.
Todo esse contedo apresentado na forma de objetivos de controle
CEC I E R J E X T E N S O E M G O V E R N A N A 303
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
AULA
A.7.2 Classificao da informao
Se, por um lado, o nmero de empresas certificadas ISO 20000 no passa de 400, o
nmero de empresas certificadas ISO 27000 de quase 6.000. S o Japo, que tambm
lder em empresas certificadas nessa norma, possui 3.321 organizaes certificadas.
A ndia, segunda colocada, possui 482 empresas. O Brasil o 21 pas em nmero de
certificaes, com 23 empresas certificadas, perdendo na Amrica Latina apenas para
o Mxico (com 27) e ficando frente de pases como Frana, Canad e Portugal, com
12, 5 e 3 certificaes, respectivamente. Voc pode obter estes e outros nmeros sobre
a ISO 27001 no endereo http://www.iso27001certificates.com/. Pgina acessada em 30
de dezembro de 2009.
CEC I E R J E X T E N S O E M G O V E R N A N A 305
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
As normas ISO possuem direitos de cpia, uso e distribuio. Elas devem ser compradas a
partir do endereo http://www.iso.org/iso/iso_catalogue.htm ou outro local autorizado. Por
exemplo, somente a ISO 20000-1, que possui a especificao de requisitos para o gerenciamento
de servios de TI em 24 pginas, custa aproximadamente US$ 86. J a ISO 27000-2, que contm
o cdigo de prticas para implementao do SGSI em 44 pginas, custa aproximadamente US$
130. Pgina acessada em 30 de dezembro de 2009.
Atividade 1
Como a ISO 20000 e a ISO 27000 se encaixam no contexto da Governana em TI? 1
Resposta
Primeiro deve-se observar que ambas so normas. A empresa precisa decidir
se ela quer partir para a obteno da certificao que um processo muito
desgastante (e cujo retorno nem sempre acontece) ou se ela quer apenas
conhecer o contedo da norma e aplic-lo sem compromisso. No caso da ISO
20000, a aplicao sem compromisso pode ser feita utilizando a ITIL v3, pois,
como vimos, exatamente para isso que as boas prticas servem. Na verdade,
o nico compromisso com a melhoria dos processos de TI. Com relao ISO
27000, no existe um conjunto de prticas para a segurana da informao e, por
isso, muito comum as empresas buscarem amadurecimento nos processos de
segurana da informao por meio de consultorias especializadas na ISO 27000.
Porm, isso pode ser feito sem que a empresa opte pela certificao formal, o que
implicaria um compromisso (e investimento) maior de atender a todos os requisitos,
o que nem sempre um atrativo para as empresas. Por fim, ambas podem auxiliar
no contexto da Governana melhorando processos em reas especficas da TI.
Um profissional pode ser certificado ISO 20000, ISO 27000 etc.? Bem, a rigor, no. A empresa
pode ser certificada, mas o profissional no. Porm, existem diversas certificaes de audito-
res ISO. Assim, existe, por exemplo, a figura do auditor lder em uma norma (auditor lder ISO
20000, auditor lder ISO 27000 etc.). Os auditores lderes, entre outras coisas, so responsveis
por conduzir auditorias de certificao (ou re-certificao) que conferem a uma empresa o
ttulo de empresa certificada. Para se tornar um auditor lder o profissional precisa realizar
treinamentos em uma das entidades credenciadas pela ISO e passar em uma ou mais provas.
Normalmente o processo leva de 30 dias a 90 dias e tem um custo relativamente alto, alm
de exigir alguns pr-requisitos do candidato a auditor. Algumas empresas que possuem tais
treinamentos e esto autorizadas a formar auditores lderes das normas ISO so a BSI Brasil
(http://www.bsibrasil.com.br/), o Bureau Veritas Brasil (http://www.bureauveritas.com.br/) e a
Fundao Vanzolini (http://www.vanzolini.org.br/).
O eSCM
CEC I E R J E X T E N S O E M G O V E R N A N A 307
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
AULA
servio est em produo, ou seja, durante a vida do servio. nesta
etapa que o valor esperado agregado (ou no) operao da empresa.
As fases de iniciao (initiation), entrega (delivery) e concluso (com-
pletion) acontecem tanto para um novo servio que est sendo entregue
quanto para servios em operao cujas caractersticas esto sendo
modificadas.
CEC I E R J E X T E N S O E M G O V E R N A N A 309
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Voc deve ter observado que cada rea est relacionada a uma
ou mais etapas do ciclo de vida do fornecimento (iniciao, entrega,
concluso e produo). Alm disso, cada objetivo estar relacionado
a um nvel de maturidade (1, 2, 3, 4 ou 5). Veja os exemplos das reas
Gerenciar tecnologia e Gerenciar contratos. Estas reas possuem seis e
onze objetivos, respectivamente. Observe que as prticas de gerencia-
mento da tecnologia so mais ligadas produo no ciclo de vida do
fornecimento. Por outro lado, as prticas de gerenciamento de contratos
so mais ligadas iniciao.
AULA
cisam ser implementados no mnimo com nvel de capacidade 2. Caso
a empresa decida atingir o nvel de maturidade 3, todos os 48 processos
necessrios ao nvel de maturidade 2 precisam amadurecer e atingir o
nvel de capacidade 3. Alm disso, os processos necessrios ao nvel 3
(neste caso seriam mais 26) precisariam ser implementados com nvel
de capacidade 3. Assim, no final, a empresa teria ao todo 74 processos
implementados (48 mais 26) com nvel de capacidade 3, o que valeria a
ela o nvel de maturidade 3 em terceirizao de servios.
Voc percebeu que o nvel de maturidade atingido pela empresa
e o nvel de capacidade atingido pelo processo? Segundo o eSCM-SP, o
fornecedor de servios amadurece na medida em que os seus processos
adquirem mais capacidade.
CEC I E R J E X T E N S O E M G O V E R N A N A 311
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
AULA
com boas prticas e o COBIT possui reas de processo com objetivos
de controle. Obviamente, desnecessrio dizer a esta altura que, com
relao ao contedo em si, o COBIT (objetivos de controle para a TI)
e o eSCM (boas prticas para terceirizao) so muito diferentes.
Precisamos ainda garantir que tenha ficado clara para voc a dife-
rena sutil que h entre os nveis de maturidade da empresa e os nveis
de capacidade do processo. Lembre-se de que a empresa amadurece na
medida em que seus processos adquirem maior capacidade.
Atividade 2
Como o COBIT e o eSCM se encaixam dentro do contexto da Governana em TI? 1
Resposta
Ainda vale a mesma regra. Primeiro usamos o COBIT para definir o nvel de matu-
ridade das 34 reas de processo da TI. De acordo com as diretrizes estratgicas da
empresa, algumas reas merecero maior destaque. As reas de processo AI2 (Adquirir
e manter softwares aplicativos), AI3 (Adquirir e manter infraestrutura tecnolgica) e DS2
(Gerenciar servios de terceiros), por exemplo, tm muito a se beneficiar do contedo do
eSCM, pois so reas diretamente ligadas terceirizao. A avaliao inicial por meio
do COBIT pode determinar que os objetivos destas reas no esto sendo atingidos
e a empresa pode, em seguida, utilizar o eSCM para construir novos processos (ou
alterar os existentes), a fim de melhorar os ndices obtidos pelos indicadores de meta e
de desempenho do COBIT.
CEC I E R J E X T E N S O E M G O V E R N A N A 313
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Responsabilidade.
Conformidade.
Estratgia.
Aquisio.
Desempenho.
Comportamento humano.
AULA
para atingi-la?
PROJETO DE GOVERNANA
CEC I E R J E X T E N S O E M G O V E R N A N A 315
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Por isso
imprescindvel que voc
entenda a filosofia fundamental por
trs da Governana em TI e que aplique seus
conceitos e princpios. Em outras palavras, entenda
primeiro o que Governana e depois pense em aplicar
COBIT, ITIL, ISO 27000, eSCM etc. O padro ou conjunto de
boas prticas servir apenas como fonte de conhecimento para
acelerar seu trabalho. Para ser bem-sucedido, independentemente
do caminho escolhido (isto , da norma ou boa prtica), voc pre-
cisa saber para onde a empresa est indo e por que ela est indo.
A partir disso, o resto ficar mais fcil. Governana em TI a
preocupao com a melhoria contnua sob todas as formas de
relacionamento entre a TI e o negcio, envolvendo os nveis
estratgico, ttico e operacional, no curto, mdio e
longo prazos de todos os seus projetos, operaes
e processos, obedecendo a princpios tc-
nicos, ticos, morais e legais.
AULA
Fase de pr-projeto (ou projeto bsico)
Nesta fase so definidos os objetivos do projeto de acordo com
as metas de negcio; o nvel de maturidade da organizao em
prestar servios de TI determinado; a empresa decide quais
reas devem ser melhoradas, em que ordem isso deve acon-
tecer e at que ponto melhorar; a empresa tambm escolhe,
nesse momento, quais padres, normas e boas
prticas relevantes sero utilizados.
Fase de projeto
Na fase de projeto, as mudanas reais iro acontecer.
Ou seja, na fase anterior foi decidido aonde se quer chegar
e que caminho percorrer para chegar aonde se deseja. Nesta
fase, percorrido o caminho em si. Assim, o sucesso desta fase
depende muito das escolhas feitas na fase anterior.
CEC I E R J E X T E N S O E M G O V E R N A N A 317
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
A fase de pr-projeto
Iniciar
Planejar
AULA
a tomar tais decises e, na etapa seguinte, podero ajudar a
executar as entrevistas, a capacitao etc.
Executar
Encerrar
CEC I E R J E X T E N S O E M G O V E R N A N A 319
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
A fase de projeto
Iniciar
Planejar
AULA
explicitados; os principais riscos devem ser identificados e
analisados; as necessidades de aquisio externa (se for o caso)
devem ser documentadas etc.
Executar
Encerrar
CEC I E R J E X T E N S O E M G O V E R N A N A 321
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
AULA
o seu encerramento.
Atividade 3
Nesta seo descrevemos, de forma resumida, os passos a serem seguidos na conduo de
2
um projeto de Governana em TI. Em que os conceitos apresentados foram baseados?
Resposta
Os conceitos foram baseados nas boas prticas de gerenciamento de projetos do
PMBOK e do PRINCE2. Embora estejamos lidando com a Governana em TI, existe
muito em comum com relao arte de gerenciar projetos, independentemente da
rea, que pode ser aplicado em qualquer contexto. Foi isso que fizemos aqui dentro
do contexto de um projeto de Governana em TI. Observe que, em alguns casos, o
PMBOK (ou o PRINCE2) poder ser usado de maneira recursiva e ajudar duas vezes
a empresa. Por um lado, as boas prticas de gerenciamento de projetos serviro para
conduzir todo o esforo em implementar processos adequados para as reas da TI,
conforme discutido nesta seo. Por outro lado, se uma das reas de processo a ser
melhorada a prpria rea de gerenciamento de projetos de TI (PO10 do COBIT),
as boas prticas de projeto acabam sendo utilizadas novamente para construir a
metodologia dentro da organizao.
CONCLUSO
CEC I E R J E X T E N S O E M G O V E R N A N A 323
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Atividade online
V
Vamos elaborar um esboo de plano de projeto que poderia ser o resultado 1 2
da fase de pr-projeto de um projeto de Governana em TI na sua organi-
zao. Nesta atividade vamos poder compartilhar modelos de plano e outros artefatos
voltados para projetos de Governana em TI.
12
AULA
A ISO 20000 uma famlia de normas publicadas em 2005 derivadas das
normas britnicas BS 15000 (que so de 2003). Ambas so diretamente
baseadas na ITIL v2 (publicada em 2000). Ou seja, so as boas prticas da
ITIL que evoluram e foram transformadas em requisitos de um padro.
A ISO 27000 uma famlia de normas publicadas em 2005 com objetivos
de controle reunidos em 11 reas relacionadas segurana da informao.
So 33 objetivos gerais de controle que renem 139 objetivos especficos.
O eSCM-SP e o eSCM-CL so conjuntos de boas prticas para a terceirizao
escritos pelo SEI, mesmo instituto que desenvolveu o CMM-SW e, mais tarde
o CMM-I, que deu origem aos modelos de maturidade to utilizados pela
Governana.
O eSCM-SP um conjunto de boas prticas de terceirizao para a
organizao fornecedora (service provider). Sua primeira verso foi escrita
em 2001. A verso atual, a 2.1, de 2006.
O eSCM-CL um conjunto de boas prticas de terceirizao para a
organizao contratante (client organization). Sua primeira verso foi escrita
em 2003. A verso atual, a 1.1, de 2006.
A ISO 38500 uma norma recentemente publicada (em 2008) sobre a
Governana em TI com definies, princpios e diretrizes sobre o tema
que pretendem se tornar padro mundial sobre o tema os setores da
indstria.
Um projeto de Governana em TI um projeto como outro qualquer.
O mais importante entender o que Governana e conduzir o trabalho
utilizando boas prticas de gerenciamento de projetos.
As normas, padres e boas prticas relacionadas Tecnologia da
Informao s iro ajudar a organizao se ela souber onde, como, quando
e por que aplic-los.
CEC I E R J E X T E N S O E M G O V E R N A N A 325
Governana em Tecnologia da Informao | Outros modelos e normas de Governana
Atividades Finais
1) As normas ISO 27000, ISO 27001 e ISO 27002 possuem, respectivamente:
3) A norma ISO 38500 inaugura uma nova srie de princpios que devem reger a Governan-
a em TI. Qual das alternativas abaixo contm somente princpios indicados na norma:
AULA
legais da ISO/IEC 17799 est relacionada, no COBIT, com os processos
Respostas
1) Alternativa b. importante lembrar que ISO 20000 pode se referir a uma norma
(vocabulrio) ou a um conjunto de normas. preciso especificar.
CEC I E R J E X T E N S O E M G O V E R N A N A 327
Governana em Tecnologia da Informao | Outros modelos e normas de Governana