Escolar Documentos
Profissional Documentos
Cultura Documentos
Marcio Hollweg
Conhecimentos Específicos - DATAPREV - Analista de Desenvolvimento - Intensivão
Aulas: 01 - 12
GERENCIA DE PROJETOS
A palavra “projeto” é muito comum e está presente nos diálogos de todos os dias. Porém, os conceitos que
se formaram em sua volta diferem de uma pessoa para a outra, e isso acontece porque o uso convencional
dessa palavra varia de situação a situação.
O próprio Governo Federal possui uma definição para projeto, tratando como um instrumento de
programação para alcançar o objetivo de um programa, envolvendo um conjunto de operações, limitadas no
tempo, das quais resulta um produto que concorre para a expansão ou aperfeiçoamento da ação do
Governo.
Pessoas envolvidas em projetos percebem que estes possuem algumas características típicas, diferentes,
por exemplo, de uma tarefa rotineira como a manutenção. Projetos possuem objetivos definidos e prazo de
conclusão, e para que isso aconteça com sucesso é preciso conduzir, coordenar e controlar um projeto e as
pessoas que o integram, surge então a Gerência de projetos.
Com o passar do tempo algumas normas começaram a ser escritas para a gerência de
projetos, e nos EUA foi criado o “Instituto de Gerência de Projetos” – PMI (Project
Management Institute), o qual tem sido responsável pelas mais recentes e importantes
contribuições nesse campo, especialmente o livro “Guide to the Project Management Body of
Knowledge”, conhecido como PMBOK, atualmente em sua 5ª Edição.
GERENCIAMENTO DE PORTFÓLIOS
Um portfólio refere-se a um conjunto de projetos ou programas e outros trabalhos, agrupados para facilitar o
gerenciamento eficaz desse trabalho a fim de atingir os objetivos de negócios estratégicos. Os projetos ou
programas do portfólio podem não ser necessariamente interdependentes ou diretamente relacionados. Por
exemplo, uma empresa de infra-estrutura que tenha o objetivo estratégico de “maximizar o retorno sobre os
seus investimentos” pode compor um portfólio que inclua uma mescla de projetos em petróleo e gás,
energia, água, estradas, ferrovias e aeroportos. A partir dessa mescla, a empresa pode escolher gerenciar
projetos relacionados como um programa. Todos os projetos de energia podem ser agrupados como um
programa de energia. Da mesma forma, todos os projetos de água podem ser agrupados como um
programa de água.
O gerenciamento de portfólios se refere ao gerenciamento centralizado de um ou mais portfólios, que inclui
identificação, priorização, autorização, gerenciamento e controle de projetos, programas e outros trabalhos
relacionados, para atingir objetivos de negócios estratégicos específicos. O gerenciamento de portfólios se
concentra em garantir que os projetos e programas sejam analisados a fim de priorizar a alocação de
recursos, e que o gerenciamento do portfólio seja consistente e esteja alinhado às estratégias
organizacionais.
GERENCIAMENTO DE PROGRAMAS
Um programa é definido como um grupo de projetos relacionados gerenciados de modo coordenado para a
obtenção de benefícios e controle que não estariam disponíveis se eles fossem gerenciados
individualmente. Os programas podem incluir elementos de trabalho relacionado fora do escopo de projetos
distintos no programa. Um projeto pode ou não fazer parte de um programa, mas um programa sempre terá
projetos.
O gerenciamento de programas é definido como o gerenciamento centralizado e coordenado de um
programa para atingir os objetivos e benefícios estratégicos do mesmo. Os projetos dentro de um programa
são relacionados através do resultado comum ou da capacidade coletiva. Se a relação entre projetos for
somente a de um cliente, vendedor, tecnologia ou recurso compartilhado, o esforço deve ser gerenciado
como um portfólio de projetos e não como um programa.
O gerenciamento de programas se concentra nas interdependências do projeto e ajuda a determinar a
melhor abordagem para gerenciá-los. As ações relacionadas a essas interdependências podem incluir:
• Solução de restrições e/ou conflitos de recursos que possam afetar múltiplos projetos no sistema;
• Alinhamento da orientação estratégica/organizacional que afeta as metas e objetivos do projeto e
do programa e
• Solução de problemas e gerenciamento de mudanças em uma estrutura de governança
compartilhada.
Um exemplo de programa seria um novo sistema de satélite de comunicação com projetos para o design do
satélite e das estações terrestres, construção de cada uma delas, integração do sistema e lançamento do
satélite.
Dentro do contexto da estrutura genérica do ciclo de vida, um gerente de projetos pode determinar a
necessidade de um controle mais eficaz sobre certas entregas. Projetos grandes e complexos em particular
podem requerer este nível adicional de controle. Nestes casos, o trabalho realizado para atingir os objetivos
do projeto pode se beneficiar com a divisão formal em fases.
FASES DO PROJETO
As fases do projeto são divisões de um projeto onde controle adicional é necessário para gerenciar de
forma efetiva o término de uma entrega importante. Geralmente as fases são terminadas sequencialmente,
mas podem se sobrepor em algumas situações . A natureza de alto nível das fases de um projeto as torna
um elemento do ciclo de vida do projeto. Uma fase não é um grupo de processos de gerenciamento de
projetos.
A estrutura de fases permite que o projeto seja segmentado em subconjuntos lógicos para facilitar o
gerenciamento, o planejamento e controle. O número de fases, a necessidade de fases e o grau de controle
aplicado depende do tamanho, grau de complexidade e impacto potencial do projeto. Independentemente
do número de fases que compõem um projeto, todas têm características semelhantes:
• Quando as fases são sequenciais, o encerramento de uma fase termina com alguma forma de
transferência ou entrega do produto do trabalho produzido como entrega da fase. O final desta
fase representa um ponto natural de reavaliação dos esforços em andamento e de modificação ou
término do projeto, caso necessário. Esses pontos também são chamados de saídas de fase,
marcos, passagens de fase, passagens de estágio, portões de decisão ou pontos de término.
• O trabalho tem um foco diferente de quaisquer outras fases. Isso geralmente envolve diferentes
organizações e conjuntos de habilidades.
• A principal entrega ou objetivo da fase requer um grau superior de controle para ser atingido com
sucesso. A repetição de processos entre todos os cinco grupos dos mesmos, proporciona o grau
de controle adicional e define os limites da fase.
Embora muitos projetos possam ter nomes de fases similares com entregas similares, poucos são
idênticos. Alguns terão somente uma fase, conforme exibido na figura abaixo. Outros projetos podem ter
muitas fases. Fases distintas normalmente têm durações ou extensões diferentes.
Não há uma forma única de definir a estrutura ideal para um projeto. Embora práticas comuns no setor
normalmente levem à utilização de uma estrutura preferida, projetos no mesmo setor, ou mesmo dentro da
mesma organização, podem apresentar variações significativas. Algumas organizações estabeleceram
políticas que padronizam todos os projetos, enquanto outras permitem que a equipe de gerenciamento
escolha as políticas mais apropriadas para seu projeto específico. Por exemplo, uma organização pode
tratar um estudo de viabilidade como uma tarefa rotineira da fase pré-projeto, outra pode tratar o mesmo
estudo como a primeira fase de um projeto e uma terceira pode tratar o estudo de viabilidade como um
projeto distinto e independente. Da mesma maneira, uma equipe de projeto pode dividir um projeto em duas
fases onde uma equipe diferente pode escolher gerenciar todo o trabalho como uma única fase. Muito
depende da natureza do projeto específico e do estilo da equipe de projeto ou da organização.
• Uma relação sobreposta, em que a fase tem início antes do término da anterior. Às vezes, ela
pode ser aplicada como um exemplo da técnica de compressão de cronograma denominada
paralelismo. As fases sobrepostas podem aumentar o risco e resultar em retrabalho caso uma fase
subsequente progrida antes que informações precisas sejam disponibilizadas pela fase anterior.
• Uma relação iterativa, em que apenas uma fase está planejada a qualquer momento e o
planejamento da próxima é feito à medida que o trabalho avança na fase atual e nas entregas.
Esta abordagem é útil em ambientes muito indefinidos, incertos ou em rápida transformação, como
pesquisas, mas pode reduzir a capacidade de fornecer um planejamento de longo prazo. Nesses
casos, o escopo é gerenciado por entregas contínuas de incrementos do produto e priorização dos
requisitos para minimizar riscos do projeto e maximizar o valor comercial do produto. Essa relação
também pode fazer com que todos os membros da equipe (por exemplo, projetistas,
desenvolvedores, etc.) tenham que ficar disponíveis durante todo o projeto ou, pelo menos, por
duas fases consecutivas.
Em projetos de várias fases, pode ocorrer mais de uma relação entre as mesmas durante o ciclo de vida do
projeto. Considerações como, por exemplo, o nível de controle necessário, a eficácia e o grau de incerteza
determinam a relação a ser aplicada entre as fases. Com base nessas considerações, todas as três
relações podem ocorrer entre fases diferentes de um único projeto.
Isso não significa que os conhecimentos, as habilidades e os processos descritos sempre devem ser aplicados
de forma uniforme em todos os projetos. Para qualquer projeto específico, o gerente de projetos, em
colaboração com a equipe de projetos, sempre é responsável por determinar quais processos são apropriados e
o grau de rigor apropriado para cada um.
Os gerentes de projetos e suas equipes devem abordar com cuidado cada processo e as entradas e saídas
que o constituem. Este esforço é conhecido como adequação.
O gerenciamento de projetos é um empreendimento integrado, e requer que cada processo de projeto ou
produto seja alinhado e conectado de forma apropriada com os outros processos para facilitar a
coordenação. As ações adotadas durante um processo em geral afetam esse e outros processos
relacionados. Por exemplo, uma mudança no escopo costuma afetar o custo do projeto, mas talvez não
afete o plano de comunicações ou a qualidade do produto. Com frequência, essas interações entre
processos requerem compensações entre os requisitos e os objetivos do projeto, e as compensações de
desempenho especificas vão variar de um projeto para outro e de uma organização para outra. O
gerenciamento de projetos bem-sucedido inclui gerenciar ativamente essas interações para cumprir os
requisitos do patrocinador, do cliente e de outras partes interessadas. Em algumas circunstâncias, um
processo ou conjunto deles deverá ser iterado várias vezes para alcançar o resultado desejado.
Os projetos existem em uma organização e não podem operar como um sistema fechado. Requerem a
entrada de dados da organização e externos e entregam capacidades à organização. Os processos de
projeto podem gerar informações para aprimorar o gerenciamento de projetos futuros.
Este padrão descreve a natureza dos processos de gerenciamento de projetos em termos da integração
entre os processos, suas interações e seus objetivos. Os processos de gerenciamento de projetos são
agrupados em cinco categorias, conhecidas como grupos de processos de gerenciamento de projetos (ou
grupos de processos):
• Grupo de processos de iniciação. São os processos realizados para definir um novo projeto ou
uma nova fase de um projeto existente através da obtenção de autorização para iniciar o projeto
ou a fase;
• Grupo de processos de planejamento. Os processos realizados para definir o escopo do projeto,
refinar os objetivos e desenvolver o curso de ação necessário para alcançar os objetivos para os
quais o projeto foi criado;
ÁREAS DE CONHECIMENTO
As dez áreas de conhecimento caracterizam os principais aspectos envolvidos em um projeto e no seu
gerenciamento:
• Integração
• Escopo
• Tempo
• Custos
• Qualidade
• Recursos humanos
• Comunicações
• Riscos
• Aquisições
• Partes Interessadas
Escopo, Tempo, Custos e Qualidade são os principais determinantes para o objetivo de um projeto:
entregar um resultado de acordo com o escopo, no prazo e no custo definidos, com qualidade adequada;
em outras palavras, o que, quando, quanto e como. Recursos Humanos e Aquisições são os insumos para
produzir o trabalho do projeto. Comunicações e Riscos devem ser continuamente abordados para manter
as expectativas e as incertezas sob controle, assim como o projeto no rumo certo. E Integração abrange a
orquestração de todos estes aspectos.
Um projeto consiste nisso: pessoas (e máquinas) que utilizam tempo, materiais e dinheiro realizando
trabalho coordenado para atingir determinado objetivo.
www.itnerante.com.br
Nesse contexto, a ITIL (Information Technology Infrastructure Library) é a abordagem mundialmente mais
E oeque
difundida é o gerenciamento
adotada de serviços
para o Gerenciamento de TI?de TI. Trata-se de uma biblioteca que compila
de Serviços
melhores práticas usadas para o gerenciamento de serviços de tecnologia da informação.
- Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos
e FUNDAMENTOS DA ITIL®
métodos de trabalho, (VERSÃO
funções, papéis 3)
e atividades) realizadas para prover valor sob a forma de
A ITIL em sua 3a versão, chamada ITIL V3, foi lançada em maio de 2007, e representa uma grande
evolução
serviços. em relação à versão anterior (2.0), uma vez que organiza os processos de gerenciamento de
serviços em uma estrutura de ciclo de vida de serviço.
O ITIL,“O Gerenciamento
então, de Serviços
é uma biblioteca é um conjunto
que compila melhoresde habilidades
práticas dapara
usadas organização para fornecer
o gerenciamento valor para
de serviços de
tecnologia da informação. Tais práticas já foram amplamente testadas e comprovadas na prática, pois
o cliente
resultam de anos emdeforma de serviços”
observação (ITIL V3)
e estudos.
Falando em termos simples, a biblioteca ITIL, que hoje está sob a responsabilidade do Office of
Government Commerce, do governo britânico, sugere que área de TI seja vista como uma provedora de
serviços,
Comoe que esses serviços,auma
é estruturada vez estratégicos,
biblioteca do ITIL devam
V3? ser tratados por todo seu ciclo de vida, desde
a concepção, produção, até sua aposentadoria. Ainda, dentro da abordagem sobre o ciclo de vida dos
O ITIL
serviços, V3 tem
é realizada um eixo e(núcleo)
a mensuração gerência de condução
do valor dasserviços
que estes atividades,
de TI osãolivro de Estratégia
capazes de
de agregar ao
negócio.
Serviço,
Em relaçãoqueà versão
norteiaanterior,
os demais
o ITIL livros (e os as
V3 apresenta respectivos processos dentro dos livros), que são
seguintes inovações:
• Abordagem baseada no ciclo de vida dos serviços;
Desenho• de Serviço,
Visão integrada Transição de eServiço
de TI, negócios e Operação
fornecedores de Serviço. Circundando todos os
(gestão de outsourcing);
O ITIL V3 tem um eixo (núcleo) de condução das atividades, o livro de Estratégia de Serviço, que norteia os
processos está o livro de Melhoria Contínua de Serviço. Todos são tidos como fases do ciclo de
demais livros (e os respectivos processos dentro dos livros), que são Desenho de Serviço, Transição de
Serviço e Operação
vida dos serviços, de Serviço.
sendo Circundando
a Estratégia todos os
a fase inicial doprocessos está o livroe de
mesmo. Processos Melhoria
funções sãoContínua de
distribuídos
Serviço. Todos são tidos como fases do ciclo de vida dos serviços, sendo a Estratégia a fase inicial do
aomesmo.
longo doProcessos
ciclo dee vida,
funções são distribuídos
conforme a figura.ao longo do ciclo de vida, conforme a figura.
Para melhor entendimento, pode-se dividir o ciclo de vida em três grupos de conceitos: Um
Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 13 de 36
de análise de requisitos e definição inicial, onde estão os livros de Estratégia e Desenho; outro de
TECNOLOGIA DA INFORMAÇÃO PARA ICMS/PR
para fornecer tecnologia
valor para daoE informação.
autorização
cliente em para
forma seudeuso. serviços” (ITIL V3)
290068
(TEORIA EXERCÍCIOS)
68e7
Em PROF a
Foi
. PATRÍCIA
outras desenvolvida,
palavras, LIMA QUINTÃO inicialmente,
constitui-se de uma descrição pela coerente
CCTA (Central
e integradaComputing
de and
00orr
Nesse contexto, a ITIL Telecommunications
(Information Agency),
Technology que de é aTIatual
Infrastructure OGCutilização.
Library) (Office ofTaisGovernment
29 c
boas práticas de Gerenciamento de Serviços de livre
Commerce) - trata-se de um órgão do governo nabritânico que
poistem como
31 eg
é a abordagem práticas já ITIL
foramV3amplamente
mundialmente mais difundida
testadas ee comprovadas
adotada para o
prática,
Prof. Marcio Hollweg
71 llw
Gerenciamento dedeServiços objetivo desenvolver
de TI. Trata-se metodologias de NÃO e criar
uma padrões dentro
biblioteca dos departamentos
que requerer
nciamento deresultam Serviços do éanos
um de observação
conjunto e estudos,
de habilidades da sendo
organização necessário
8 e7 ho
compilaDA melhores práticas governo
usadas britânico, buscando otimizar
para o gerenciamento de serviços de e melhorar os processos internos
Conhecimentos Específicos - DATAPREV - Analista de Desenvolvimento - Intensivão
CNOLOGIA
ecer valor para autorização
INFORMAÇÃO
o cliente em para
PARA
forma seu deuso.
ICMS/PR serviços” (ITIL V3)
06 rr is
tecnologia
(TEORIA da E informação.
EXERCÍCIOS)
Foi desenvolvida,A ITIL em inicialmente,
sua 3ª versão,pela chamada CCTA ITIL(Central
V3, foi lançada
Computingem maioandde 2007, e Aulas: 01 - 12
90 co lu
PROFa. PATRÍCIA LIMA QUINTÃO
representaAgency),
Telecommunications uma grande que evolução
é a coerenteem relação
atual OGC à versão
(Office of de
anterior (2.0), uma vez
Government
12 egcio
Em outras
ntexto, a ITIL palavras,
(Informationconstitui-se de uma
Technology descrição
Infrastructure e integrada
Library)
Commerce) que- organiza
trata-se os
de processos
um órgão de
do gerenciamento
governo de
britânico serviços
que em
tem uma
como estrutura
13 llw ar
boas práticas
bordagem de V3
mundialmente
ITIL Gerenciamento de Serviços
mais difundida e de TI de livre
adotada parautilização.
o Tais
77 o m
objetivo
práticasdejáServiços de ciclo de
foram desenvolver
amplamente vida de serviço.
metodologias
testadas e criar padrõesnadentro dos pois
departamentos
mento de TI. Trata-se de euma comprovadas
biblioteca que prática,
68re s h68
de Serviços
resultam
melhores dedo
práticasgoverno
éanos
um de Abritânico,
conjunto V3de
observação
usadas para buscando
Para
habilidades
oe
apresenta estudos,
uma daotimizar
melhor
gerenciamento organização
NÃO
nova e
demelhorar
entendimento,
sendo
abordagem, osde
necessário
serviçoscom processos
pode-se
requerer
base internos
no ciclo de dividir
vida dos o ciclo de vida em três grupos de conceitos: Um de análise de
serviços
00 or lui00
para daoinformação.
clienteAem
iaautorização forma
para
ITIL emseude
euso.
sua serviços”
uma nova (ITIL
3ª versão, V3) para
estrutura,
chamada ITILdiferenciar as práticas
V3, foi lançada essenciais
em maio do modelo
de 2007, e com
29g c io 29
Foi desenvolvida,
representainicialmente,
novos requisitos
processos, pelade forma
CCTA e definição
a (Central
preencher inicial,
Computing
lacunas onde estão
and anterior.
da versão os livros de Estratégia e Desenho; outro de implantação no
31we arc31
s Telecommunications
palavras, constitui-se uma
de uma grande evolução
descrição em relação
coerente à versão
e integrada deanterior (2.0), uma vez
TIL (Information Agency),
Technology ambiente
que é
Infrastructurea atualprodutivo/operacional,
OGC
Library) (Office of Government onde está
para ao gestão
livro de Transição; por fim operação e melhoria em produção,
1
que organiza osServiços
Trata-se processos
de um de gerenciamento
conjunto de CINCO deLIVROS
serviços em orientações
com uma estrutura
8 e7 ho 8 m77
ticas de
Commerce)de
mundialmente
Gerenciamento
- ciclo
trata-se dede um
mais dedifundida órgãode
e adotada
TI de
do governo livre utilização.
para britânico
o
Tais
que tem como
vida de serviço.
de onde
deestão Operações os eestágios
Melhoria Contínua
de vidade dosServiços.
06 rr is 06rre
já Serviços
foram desenvolver
amplamente dos
testadasserviçoseumacomprovadasTI, considerando
naque prática, do ciclo
e objetivo de TI. Trata-se metodologias e criar padrões
biblioteca dentro dos pois
departamentos
serviços de TI.sendo
90 coo lu 90 co
71 ll
de anos de observação
A V3 e
apresenta estudos,
uma NÃO
nova abordagem, necessário
com requerer
base no ciclo de vida dos serviços
do governo
práticas usadasbritânico,
para o buscando
gerenciamento Os
otimizarcinco e livros
demelhorar
serviços osde possuem
processos orientações
internos para a gestão dos serviços de TI, considerando os estágios do ciclo
12egrci 12eg
ção para seueuso.
rmação. uma novaAgora estrutura, para da
os livros diferenciar
nova versão as práticas
fazem essenciais do modelo
parte do ciclo de vidacomdo serviço.
A ITIL em inicialmente,
sua 3ª processos,
versão,pela chamada de ITILvida dosfoiserviços
V3, lançada
lacunasem dademaio TIdeanterior.
2007, e
13llw a 13 lw
envolvida, novos CCTA
de forma a (Central
preencher Computing and
versão
77ho8 m 77hol
representaAgency),
, constitui-se
munications uma
de uma grande evolução
descrição
que é a atual em OGC
coerente relação à versão
e integrada
(Office ofde anterior
Government (2.0), uma vez
Trata-se de um deconjunto de CINCO deLIVROS com orientações para a gestão
e)que organiza
erenciamento de osServiços
processos de
TI gerenciamento
de livre utilização. Estratégia
serviços
Tais tem emcomo
umadeestrutura
serviços: identificação de requisitos e necessidades de negócio que sejam
rreis 06 rreis
de ciclo
amplamente de vida
testadas de serviço.
e comprovadas na
desenvolver metodologias e criar padrões dentro dos departamentos prática, pois
“atendíveis” por serviços de TI. Os requisitos e necessidades são acordados e documentados
egrci 12 egrcio
observação eserviços
estudos, de
NÃO TI.sendo necessário requerer
no britânico, buscando otimizar e melhorar os processos
A V3 apresenta uma nova abordagem, com base no ciclo de vida dos serviços internos
llw a 13 llw a
uma
m inicialmente,
sua 3ª versão, estrutura,
chamada para
ITIL diferenciar
V3, as práticas
lançada em maio modelo com
pela CCTA (Central Computing and de 2007, e
novos
a Agency), processos,
uma grande de forma a preencher lacunas da versão
(2.0),anterior.
queevolução
é a atual em relação
OGC (Office à versão of anterior Desenho
Government uma vez
de serviços: a partir dos requisitos é concebida a solução de TI em forma de
niza os processos
Trata-se umdeórgão de
dogerenciamento
um conjunto de CINCO deLIVROS
serviços em
com uma estrutura
orientações para a gestão
is 6 re s
rdemetodologias
vidaserviços
dos de serviço.
e de
criarTI, considerando
dentro dosos serviços,
estágios do ciclo emdetodos vida dos os seus aspectos, que são documentados em um SDP (service design
o 9 c l
padrões departamentos
ci 2 g io
Agora
ersão, os livros
chamada ITILda nova
V3, foi versão
lançada fazem
em maio partede do2007,ciclo de vida do serviço.
cessos,
nde de forma
evolução
de TI,lacunas
a preencher
em relação
importante
à versão anterior da versão especificações
no contexto
(2.0),anterior.
uma vez
da ITIL. e características dos serviços.
cessos
de de gerenciamento
um conjunto
Serviço
de CINCOdeLIVROS
de TI
serviços eméorientações
com
o meio
uma Transição
para entregarde
estrutura para a gestão serviços: trata da implementação em produção. Tal implementação é testada e
valor aos clientes, propiciando os
06rreis
serviço. resultados desejados, sem que tais clientes/áreas de negócio precisem assumir
acompanhada, bem como validada. O SKMS (service knowledge management system –
90 co lu
de
novaTI.abordagem, com base no Figura.
ciclo deCincovida(5) doslivros principais da ITIL V3
serviços
sistema de gestão do conhecimento em serviços de TI) é atualizado com as informações do
13llw ar
ra, parada
livros diferenciar
Antes
nova as
de práticas
versão Prof a
continuar,
fazem essenciais
. Patrícia
partevamos
Limado do
aomodelo
Quintão
ciclo de vida com
entendimento do significado de serviço
www.pontodosconcursos.com.br
do serviço. 3 de 66
77ho m
forma a preencher
de TI,lacunas
O conteúdoda
importante desteversão deanterior.
noé contexto
curso uso exclusivo da ambiente
ITIL.
de marcio de produção.
luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
unto de CINCO Serviço
LIVROS de comTI éorientações
o meio para paraentregar
a gestão valor aos clientes, propiciando os
Operação dede serviços: o serviço é mantido em operação e funcionamento de acordo com os
rreis
nova versão
Antes fazem
de continuar,
Prof a parte
. Patrícia Limado
vamos ciclo
Quintão de vida
ao entendimento para
do serviço. gerar osderesultados
do significado
www.pontodosconcursos.com.br serviço 3 deesperados
66
de TI, Oimportante noé contexto
conteúdo deste curso de uso exclusivo da ITIL.
de marcio luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
Serviço de TI é o meio para entregar valor aos clientes, propiciando os
resultados desejados, sem que tais clientes/áreasMelhoria de negócio precisem de Serviço assumirContinuada: identifica oportunidades de melhoria no serviço.
custosFigura.
e riscosCinco específicos/inerentes
(5) livros principais a TI.da ITIL V3
continuar,
Profa. Patrícia vamos
Lima Quintão ao entendimento do significado de serviço
www.pontodosconcursos.com.br 3 de 66
mportante noé contexto
onteúdo deste curso de uso exclusivo da ITIL.
de marcio luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
de TI é o meio para entregar valor aos clientes, propiciando os
odução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
• Como desenvolver planos de negócio de modo a obter capacidades e recursos necessários aos
serviços;
• Como otimizar a alocação de recursos;
• Como medir o desempenho dos serviços.
O Service Level Package (SLP – pacote de nível de serviço) deve descrever os requisitos de Utilidade + Garantia
para criação de valor para o negócio.
DESENHO DE SERVIÇO
Objetivo: No estágio Desenho de Serviço (Service Design) são tratadas arquiteturas, processos, políticas e
documentação necessárias para atender aos requisitos de negócio atuais e futuros.
Traduz o SLP em um conjunto de especificações.
• Produz e mantém planos, processos, políticas, padrões e arquiteturas para criação dos serviços;
• Desenha serviços que forneçam resultados adequados ao negócio;
• Desenha processos para suportar o ciclo de vida dos serviços;
• Desenvolve habilidades e capacidades de TI.
• Desenha recursos seguros e resilientes de infra, ambiente, aplicações e dados.
• Desenvolve métodos de mensuração e métricas.
A partir dos requisitos é concebida a solução de TI em forma de serviços, em todos os seus aspectos, que são
documentados em um SDP (service design package ou pacote de desenho de serviço). O SDP nada mais é que
um documento de especificações e características dos serviços.
Aqui é importante lembrar da visão holística definida pelo ITIL V3, que envolve no desenho de serviços não
só a TI e suas soluções, mas arquiteturas e sistemas de gerenciamento, processos, papéis, capacidades
além de mensuração e métricas. Esta etapa deve envolver outras gerências caso necessário, tais como de
Capacidade, Financeira, Fornecedores, além de funções como Service Desk. Dessa forma o planejamento
é completo sob diversas ópticas, lembrando que avaliações iniciais de análise de impacto do negócio e
análise de riscos também são importantes.
Trata da implementação em produção. Tal implementação é testada e acompanhada, bem como validada. O
SKMS (service knowledge management system – sistema de gestão do conhecimento em serviços de TI) é
atualizado com as informações do ambiente de produção.
OPERAÇÃO DE SERVIÇO
Objetivo: Entregar aos clientes e usuários os níveis de serviço acordados e gerenciar as aplicações,
tecnologia e infraestrutura que suportam a entrega do serviço.
Este é o único estágio em que os serviços efetivamente entregam valor ao cliente, uma vez que para o
Cliente o valor está no serviço de TI em produção.
O serviço é mantido em operação e funcionamento de acordo com os níveis de serviço (SLA – Service Level
Agreement, ou acordo de nível de serviço) estabelecidos para gerar os resultados esperados.
Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação
voltados para as necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são
pretendidos para serem aplicáveis a todas as organizações independentemente do tipo, tamanho ou
natureza.
Anexo A
Tabela A.1 — Objetivos de controle e controles
A.5 Política de segurança
A.5.1 Política de segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações relevantes
Controle
Um documento da política de segurança da
Documento da política de segurança
A.5.1.1 informação deve ser aprovado pela direção, publicado
da informação
e comunicado para todos os funcionários e partes
externas relevantes.
Controle
A política de segurança da informação deve ser
Análise crítica da política de segurança analisada criticamente a intervalos planejados ou
A.5.1.2
da informação quando mudanças significativas ocorrerem, para
assegurar a sua contínua pertinência, adequação e
eficácia.
A.6 Organizando a segurança da informação
A.6.1 Infra-estrutura da segurança da informação
Objetivo: Gerenciar a segurança da informação dentro da organização.
Controle
A Direção deve apoiar ativamente a segurança da
informação dentro da organização, por meio de um
Comprometimento da direção com a
A.6.1.1 claro direcionamento, demonstrando o seu
segurança da informação
comprometimento, definindo atribuições de forma
explícita e conhecendo as responsabilidades pela
segurança da informação.
Controle
Coordenação da segurança da As atividades de segurança da informação devem ser
A.6.1.2
informação coordenadas por representantes de diferentes partes
da organização, com funções e papéis relevantes.
Controle
Atribuição de responsabilidades para a
A.6.1.3 Todas as responsabilidades pela segurança da
segurança da informação
informaçãodevem estar claramente definidas.
Controle
Processo de autorização para os
Deve ser definido e implementado um processo de
A.6.1.4 recursos de processamento da
gestão de autorização para novos recursos de
informação
processamento da informação.
Controle
Os requisitos para confidencialidade ou acordos de
não divulgação que reflitam as necessidades da
A.6.1.5 Acordos de confidencialidade
organização para a proteção da informação devem
ser identificados e analisados criticamente, de forma
regular.
Controle
A.6.1.6 Contato com autoridades Contatos apropriados com autoridades relevantes
devem ser mantidos.
Controle
Contatos apropriados com grupos de interesses
A.6.1.7 Contato com grupos especiais especiais ou outros fóruns especializados de
segurança da informação e associações profissionais
devem ser mantidos.
Controle
A utilização dos recursos deve ser monitorada e
sincronizada e as projeções devem ser feitas para
A.10.3.1 Gestão de capacidade
necessidades de capacidade futura, para garantir o
desempenho requerido do
sistema.
Controle
Devem ser estabelecidos critérios de aceitação para
novos sistemas, atualizações e novas versões e que
A.10.3.2 Aceitação de sistemas
sejam efetuados testes apropriados do(s) sistema(s)
durante seu desenvolvimento e antes da sua
aceitação.
A.10.4 Proteção contra códigos maliciosos e códigos móveis
Objetivo: Proteger a integridade do software e da informação.
Controle
Devem ser implantados controles de detecção,
A.10.4.1 Controle contra códigos maliciosos prevenção e recuperação para proteger contra
códigos maliciosos, assim como procedimentos para
a devida conscientização dos usuários.
Controle
Onde o uso de códigos móveis é autorizado, a
configuração deve garantir que o código móvel
A.10.4.2 Controles contra códigos móveis autorizado opere de acordo com uma política de
segurança da informação claramente definida e que
códigos móveis não autorizados tenham sua
execução impedida.
DIRETRIZES
Convém que o documento da política de segurança da informação declare comprometimento da direção e
estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o
documento da política contenha declarações relativas a:
a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da
informação como um mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da
informação, alinhada com os objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
análise/avaliação e gerenciamento de risco;
d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da
informação específicos para a organização, incluindo:
1) conformidade com a legislação e com requisitos regulamentares e contratuais;
2) requisitos de conscientização, treinamento e educação em segurança da informação;
3) gestão da continuidade do negócio;
4) consequências das violações na política de segurança da informação;
e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o
registro dos incidentes de segurança da informação;
f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários
devem seguir.
Convém que esta política de segurança da informação seja comunicada através de toda a organização para
os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco.
DIRETRIZES
Convém que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão
aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação.
Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança
da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta
às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao
ambiente técnico.
Convém que a análise crítica da política de segurança da informação leve em consideração os resultados
da análise crítica pela direção. Convém que sejam definidos procedimentos para análise crítica pela
direção, incluindo uma programação ou um período para a análise crítica.
Convém que as entradas para análise crítica pela direção incluam informações sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes;
c) situação de ações preventivas e corretivas;
d) resultados de análises críticas anteriores feitas pela direção;
e) desempenho do processo e conformidade com a política de segurança da informação;
f) mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação,
incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, na disponibilidade dos
recursos, nas questões contratuais, regulamentares e de aspectos legais ou no ambiente técnico;
g) tendências relacionadas com as ameaças e vulnerabilidades;
h) relato sobre incidentes de segurança da informação;
i) recomendações fornecidas por autoridades relevantes.
ANÁLISE DE RISCO.
A análise de riscos é parte integrante do planejamento da auditoria, seu objetivo é identificar riscos e
vulnerabilidades. É papel do auditor deve identificar e determinar ações necessárias a fim de atenuar tais
riscos.
Segundo o PMBOK , entende-se por risco o "evento ou condição incerta que, se acontecer, tem um efeito
positivo ou negativo para a organização", ou "a chance de algo acontecer e que terá impacto nos objetivos".
Ainda, a norma 27.001 que trata de segurança da informação, risco é a probabilidade de uma fonte de
ameaça explorar algum tipo de vulnerabilidade, resultando em um impacto para a organização.
A análise de risco tem como base o cuidado que o auditor deve ter ao selecionar e classificar os projetos de
acordo com os critérios de importância para garantir que todos os novos sistemas críticos e importantes
sejam revisados. Compreende também a detecção e aferição das áreas possíveis de incidência de erro,
com base nos controles internos propostos nos projetos.
A fim de analisar os riscos para o negócio, o auditor deve ter entendimento claro dos seguintes aspectos:
• Propósito e natureza do negócio, o ambiente em que o negócio está inserido e os principais riscos
relacionados ao negócio;
• Dependência tecnológica para processar e entregar informações para as organizações;
• Riscos do negócio relacionados ao uso de TI e como eles podem impactar o alcance das metas e
objetivos estratégicos da organização;
• Visão geral dos processos de negócio e o impacto da TI bem como os riscos desta que sejam
relacionados aos objetivos dos processos de negócio.
O ISACA define que o risco de TI é o risco do negócio associado com o uso, a propriedade, a operação, o
envolvimento, a influência e a utilização de recursos de TI nas organizações e que se caracteriza por
eventos de TI que podem impactar o negócio, que se relaciona pela incerteza (frequência e magnitude) e,
por fim, cria desafios para o atingimento de metas e objetivos do negócio.
O framework RISK IT menciona três categorias de risco de TI:
1. Está relacionada à entrega de serviços de TI e diz respeito à área de operações, no que tange ao
desempenho, disponibilidade, compliance e segurança das atividades diárias: “Manter TI”;
2. Trata da entrega das soluções de TI e em conexão aos programas e projetos da organização,
tendo como componentes as oportunidades de negócio, investimento, custo, prazo e escopo:
“Desenvolver TI”;
3. Benefícios e valor para a TI, na qual se analisam os riscos envolvidos na área de negócio,
eficiência e eficácia e busca a melhoria de processos: “Pensar TI”.
A gestão dos riscos de TI leva em conta uma gama de fatores críticos de sucesso para sua implantação,
tais como o engajamento das pessoas-chave (Negócio e TI), delegação da gestão do risco
(responsabilidades), medidas de desempenho e gestão integrada.
É importante entender que o gerenciamento do risco de TI é um processo iterativo, perpétuo e em
constante mudança e devem contemplar a definição clara de políticas e procedimentos associados ao
processo, englobando decisões sobre investimento, projetos e mudanças no ambiente de TI.
CONTROLES INTERNOS
Controle Interno são medidas constantes realizadas pela empresa para promover resultados eficientes nas
atividades operacionais, protegendo o patrimônio e salvaguardando os bens e os direitos quanto a
possíveis erros e fraudes, tornando os dados confiáveis, garantindo a continuidade do fluxo das operações
para alcançar os objetivos, minimizando perdas e riscos que possam comprometer a continuidade da
empresa no mercado em que se está inserida.
São, portanto, mecanismos de gestão que devem permear as operações e atividades críticas de forma
ampla, gerenciada e eficaz e devem ser adaptáveis às necessidades próprias de cada organização.
Com base nestas definições cabe ressaltar alguns conceitos importantes:
• Conduzido pela estrutura de governança, administração e outros profissionais da entidade – O
controle interno é conduzido e é de responsabilidade da estrutura de governança. O Controle
interno faz parte da governança corporativa.
• É um processo – Se é um processo é executado de maneira contínua e é um meio para um fim,
não um fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,
sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e
alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
As atividades de controle interno e dos processos de apoio são manuais, intelectuais e impulsionadas por
recursos automatizados de informação. Controles internos operam em todos os níveis da organização para
mitigar riscos que prejudicariam o alcance dos objetivos corporativos. De acordo com o ISACA a
responsabilidade por estabelecer o controle interno é da alta administração, embora cada indivíduo dentro
de uma organização deve fazer parte deste processo.
O controle interno funciona como uma ferramenta que auxilia as atividades das auditorias, determinando
abrangência dos testes que serão aplicados pelo o auditor. A partir do momento em que o controle interno
esteja sendo executado de maneira satisfatória possibilitará redução de erros e fraudes dando mais
confiança ao auditor nos seus testes e avaliação, conforme indicação das normas de auditoria.
Prevenção, detecção e correção são as classificações que são dadas pelo ISACA aos controles internos,
onde:
• No controle Preventivo o principal objetivo é detectar o problema antes que ele ocorra,
monitorando processos, operações e suas entradas (inputs). Deve-se tentar identificar potenciais
problemas e efetuar os ajustes necessários para impedir sua ocorrência. Tais problemas podem
estar relacionados com erros, omissões e também com atos maliciosos (fraudulentos). Como
exemplos de controle preventivo temos a segregação de funções, cuja implantação é fator
determinante em um controle preventivo, o controle de acesso físico e o controle acesso a