Governança em TI

Carlos Renato Carneo

SUMÁRIO

1. AS ORGANIZAÇÕES E A TECNOLOGIA DA INFORMAÇÃO .................................................................3

2. GOVERNANÇA EM TI .......................................................................................................................20
3. COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGIES) .....................33
4. ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) ....................................................41
5. PMBOK (PROJECT MANAGEMENT BODY OF KNOWLEDGE) ...........................................................48
6. GERAIS SOBRE GOVERNANÇA DE TI, COBIT, SEGURANÇA DA INFORMAÇÃO E PRINCIPAIS
CERTIFICAÇÕES...................................................................................................................................62
REFERÊNCIAS .......................................................................................................................................70

2
1 AS ORGANIZAÇÕES E A TECNOLOGIA DA INFORMAÇÃO

Para compreender o que é a Governança de TI e qual as suas finalidades, vamos

entender inicialmente o conceito de Governança Corporativa, que por certa
obrigatoriedade todas as grandes empresas se utilizam deste formato atualmente.

Segundo o Instituto Brasileiro de Governança Corporativa (IBGC):

Governança Corporativa é o sistema pelo qual sociedades e empresas são

geridas, administradas e monitoradas, no que tange às relações profissionais
entre acionistas, conselho administrativo, diretoria, conselho fiscal e
auditorias independentes, visando aumentar o valor da sociedade, facilitar o
acesso ao capital e garantir a longevidade da empresa.
As boas práticas de governança corporativa convertem princípios básicos
em recomendações objetivas, alinhando interesses com a finalidade de
preservar e otimizar o valor econômico de longo prazo da organização,
facilitando seu acesso a recursos e contribuindo para a qualidade da gestão
da organização, sua longevidade e o bem comum.

Para chegarmos claramente ao nosso objetivo que trata a Governança de TI,

será necessário entendermos alguns princípios básicos da Organização e
Administração.

3
 1.1 Fundamentação de conceitos referentes ao funcionamento de uma
organização: objetivos, estruturas, processos, eficiência, eficácia, efetividade

Organização

Conjunto social de pessoas e recursos para atingir determinados objetivos.

Simples assim, mas por trás dessa simplicidade existem muitos controles, objetivos,
estruturas, processos, eficiência, eficácia, efetividade para que possamos alcançar tais
objetivos.

Aí estamos falando de administração!

Administração

A palavra administração tem origem do latim, ad (junto de) e ministratio

(prestação de serviço), significa prestar algum tipo de serviço ou trabalhos voltados
para essa área especificamente, trazendo para uma empresa ou organização três
importantes ações que são qualificadas em: eficiência, eficácia e efetividade,
denominados os 3Es.

4
 3 Es

Administração – Eficiência

Entende-se como eficiência os meios: Os métodos, procedimentos, regras e

regulamentos sobre como as coisas devem ser conduzidas na organização, com o
objetivo de organizar e adequar os recursos utilizados. Essa será sempre a primeira
organização que precisamos utilizar na administração de uma forma geral, que nos
ajudará a executar os critérios das operações definidas.

Administração – Eficácia

A eficácia devemos entender como objetivo e os resultados a serem alcançados

na organização, através de um planejamento antecipado, analisado e organizado.

Administração – Efetividade

A efetividade por final é os resultados finais de tudo que foi planejado em outro
momento, e neste momento devemos nos perguntar se: Atingimos as nossas metas
definidas anteriormente? O que planejamos aconteceu da forma que queríamos?
Quais foram os aprendizados positivos e negativos nesta execução?

Administração e suas subdivisões

Ainda dentro da administração vamos ver:

5
 Objetivos

São basicamente os resultados quantitativos e qualitativos que a organização

precisa alcançar dentro de um prazo definido.

Resultados Quantitativos

Entende-se de forma quantitativa, os resultados com base na medida

quantidade de resultados previstos e realizados, seus problemas e suas dimensões, por
exemplo: a quantidade frequência de vendas de um produto, uma divulgação de
marca, comportamentos de mercado etc.

Resultados Qualitativos

Um pouco mais difícil de captar e pode ser definido com dentro dos seus
projetos, entendendo o comportamento de uma classe de usuários, etc., por exemplo,
qual o comportamento de determinada classe sob a ótica de uma nova aplicação, APPs
etc.

Estruturas

Trata da forma que a organização está dimensionada e dividida para cumprir

seus objetivos, no que refere a recursos humanos, tecnológicos etc.

6
 Processos

Quando olhamos para os processos, nos deparamos com quatro fases de um

projeto planejamento, organização, direção e controle, pois os processos são
atividades definidas para serem executadas como um projeto, por exemplo, por isso é
impossível realizar qualquer processo ou projeto sem essas fases serem comtempladas
na sua totalidade.

1.2 A evolução das funções de TI ou TIC nos negócios

TI ou TIC? – Definições

TI - Tecnologia da informação é a área da computação que é destinada para a

geração, produção, transmissão e armazenamento de dados e informações para
atender as necessidades informatizadas dos departamentos e usuários de uma
organização.

Como a tecnologia da informação pode ser usada em vários segmentos do

mercado corporativo e organizacional, sua definição pode ter uma grande abrangência
nesta área e está segmentada nas suas áreas de aplicação.

Podemos afirmar que a TI é usada para fazer o tratamento da informação,

auxiliando o usuário final a alcançar seus objetivos informatizados, como por exemplo
uma simples consulta de seu saldo bancário. Desta forma, as TIs ou TICs têm seu
crescimento rápido, marcado pelo desenvolvimento das inovações tecnológicas, que
surgem cada vez mais em quantidade e mais rápidas, sob o olhar atento dos
fornecedores de Softwares e Hardwares e um mercado tão exigente.

7
 A tendência é que a tecnologia da informação seja cada vez mais importante na
nossa sociedade e em nossas vidas, onde a informatização de tudo que fazemos ou
precisamos estar à disposição em nosso cotidiano.

A Tecnologia da Informação será sempre dividida de acordo com os seguintes

componentes:

• Hardware e seus componentes;

• Software, tipos e suas aplicações;

• Peopleware;

• Sistemas de telecomunicações;

• Administração de Dados e Informações.

Peopleware – Definição

Peopleware são o que consideramos como os atores da área de Tecnologia da

Informação, como podemos observar nos exemplos abaixo:

• Usuários de departamentos ou chamados de usuários finais;

• Digitadores de dados;

• Operadores de computador ou Help Desks;

• Programadores nas diversas linguagens de programação;

• Analista de sistemas;

• Programadores-Analistas de sistemas;

• Analistas-Programador de linguagens de programação;

• Tester ou analistas de testes;

• Webdesigners ou WebDevelopers.

8
 Tecnologia da Informação e Comunicação (TIC) na atualidade é considerada a
área que utiliza os meios tecnológicos disponíveis para facilitar a comunicação entre as
pessoas e equipamentos, deixando para trás as tecnologias antigas como telefone por
exemplo. Podemos considerar essas novas tendências tecnológicas como VPN, Voip
etc.

Além de beneficiar o cotidiano de uma organização, as TICs servem para agilizar

e tornar eficientes os seus processos de comunicação, tornando a organização muito
mais competitiva e eficiente para as operações transacionais e de apoio a decisão.

A tecnologia da informação e comunicação juntas também pode revolucionar

processos de negócios e pesquisas científicas, no sentido de trazer novos parceiros e
negócios.

1.2.1 A evolução das funções de TI ou TIC nos negócios – Cronologia dessa

evolução

Pensando que no início da era tecnológica havia dúvidas e descréditos sobre o

uso da tecnologia da informação, devemos, então, entender melhor a evolução das
funções das TICs, demonstrando algumas datas relevantes e sua influência nos dias
atuais.

A evolução da TI pode ser dividida em quatro fases:

Fase 1 - Processamento de dados iniciada em meados de 1960.

Fase 2 - Sistemas de informação têm a seu fortalecimento em meados de 1970.

Fase 3 – Nesta época a inovação e vantagem competitiva se destacam no

mercado e nas organizações, onde isso ocorre aproximadamente em 1980.

Fase 4 – O simples processamento das informações dá lugar a uma forma mais

abrangente com as integrações de sistemas, recursos e negócios, onde tem um início
na década de 1990, com a expansão dos microcomputadores, das redes e da Internet.

9
 Fase 1 - Processamento de dados iniciada em meados de 1960

Em meados de 1960 os computadores passam a ter uma maior importância nas

operações transacionais das grandes e médias empresas, mas devido seu alto custo,
ainda eram consideradas muito dispendiosa e com poucas aplicações e além disso
eram chamados de “Sistemas Proprietários”, onde a comunicação entre eles era muito
difícil devido a sua incompatibilidade.

Os avanços da Tecnologia da Informação, foram acontecendo quando o

aperfeiçoamento dos Hardwares, redução de custos tanto de equipamentos quanto de
softwares, melhorias significativas na velocidade dos processadores, aumento na
capacidade de armazenamento de informações e memória e principalmente na
evolução e aperfeiçoamento dos aplicativos de softwares.

Já na década de 70, as linhas telefônicas que eram apenas para transmissão de

voz, passaram a permitir primitivamente o acesso a terminais remotos de
computadores e as telecomunicações se tornam um recurso importante e como essa
ação acontecia dentro na sala de processamento de dados ou centro de
processamento de dados denominado até então como CPD, estes eram os
responsáveis exclusivos pelo tratamento dos dados. Nesta época, o processamento e
acesso das informações eram totalmente dependentes destes centros e a Internet
estava neste momento gatinhando para o que conhecemos nos dias atuais.

Fase 2 - Sistemas de informações têm a sua origem fortalecida em meados de

1970

Já em meados de 1970 a evolução continua das transformações tecnológicas,

começaram a abrir novas opções para a transformação de dados em informações e os
sistemas de informação e equipamentos no geral começam a se adequar a
necessidade do negócio de cada empresa.

O antigo terminal de processamento se transforma em um recurso muito mais

flexível, permitindo os usuários processar diversas tarefas simultaneamente com uma
maior eficiência e agilidade. Nesta época, surgem também os “pacotes de software” e
a integração entre os fabricantes de computadores, iniciando a derrubada dos

10
chamados sistemas proprietários e podemos entender melhor essa afirmação
verificando o que diz Kenn (1996):

a maior evolução técnica dessa época foi a passagem do processamento de

transações para o gerenciamento de banco de dados. Surge então os
sistemas gerenciadores de banco de dados (SGBDs), que organizam as
informações de uma maneira eficaz.

Fase 3 – Nesta época a inovação e vantagem competitiva se destacam no

mercado e nas organizações, onde isso ocorre aproximadamente em 1980

Durante o ano de 1980 em diante, temos o início de mudanças tecnológicas

muito mais significativas melhorando as operações dos departamentos de uma
empresa, utilizando-se dos novos microcomputadores, o início das redes de
computadores e Internet e nesta época aproximadamente, surge o termo da área de
“Tecnologia da Informação”. Os SGBDs, ou gerenciadores de banco de dados, se
tornaram totalmente acessíveis nos novos equipamentos, trazendo uma maior
independência das operações dos usuários e assim devemos entender que nessa
época foi uma grande revolução na área computacional.

Surgem neste tempo, além dos aplicativos transacionais, aplicações para gestão
e apoio a decisão para atender as necessidades dos altos executivos, gerentes,
supervisores e também para certa independência e apoio aos usuários, os centros de
apoio, chamados de Help Desk, onde os usuários tinham a quem consultar esclarecer
dúvidas e problemas técnicos. Mesmo com todos os avanços desta época, como as
redes locais, a maioria dos computadores ainda eram incompatíveis entre si,
dificultando assim a integração dos sistemas e uma maior flexibilidade.

11
 Fase 4 – O simples processamento das informações dá lugar a uma forma
mais abrangente com as integrações de sistemas, recursos e negócios, onde tem um
início na década de 1990, com a expansão dos micros computadores, redes e a
Internet

Na década de 1990, sistemas abertos, integração e modelos se tornam itens

essenciais nos departamentos de sistemas acabando com a
incompatibilidade. A integração tecnológica flexibilizou e facilitou a troca e o
acesso às informações otimizando o funcionamento da empresa. Surge, por
exemplo, o sistema EDI (electronic data interchange ou troca eletrônica de
dados).
De modo súbito, a mudança se acelerou em quase todas as áreas do negócio
e da tecnologia. A transformação e utilização das ferramentas da TI se
tornam globais e as distinções entre computador e comunicação
desaparecem mudando radicalmente o mundo dos negócios. O computador
se torna elemento de TI indispensável em uma organização (REISSWITZ,
2008).

A TI é reconhecida como fator crítico de capacitação, principalmente através

das telecomunicações, que permite eliminar barreiras impostas por local e
tempo às atividades de coordenação, serviço e colaboração (KENN, 1996, p.
XLIX).

Os sistemas de informação nos dias atuais

Tratando da evolução dos Sistemas de Informação (SI) para os dias atuais,

devemos entender que está atendendo todas as áreas e segmentos de uma
organização empresarial seja ela geradora de produtos ou serviços, processando todas
as operações e transações cotidianas que chamamos de sistemas transacionais.

Além dos processos transacionais os sistemas gerenciais contemplam o

processamento de agrupamento de dados das operações e transações operacionais,
transformando-as em informações de análise e tomada de decisões, de uma forma
macro com a possibilidade de acessar os dados em sua menor informação.

Nos dias atuais, nos vemos dependentes desta evolução, onde tudo e todos
estão interligados em uma grande rede de informações que nos chega a cada dia mais
rápido e nos obriga a estarmos sempre antenados a novos conceitos e métodos.

Não devemos entender isso como algo negativo, mas sim como uma evolução
de nosso conhecimento como ser humano, portanto, vamos nos adaptar e buscar esse
tão precioso conhecimento, que estará sempre facilitando as nossas vidas, tirando as

12
atividades braçais e deixando o nosso tempo mais produtivo para a busca de novos
conhecimentos.

1.3 Definição de Governança

Governança vem do termo de governo ou governar, onde de certa forma é a

maneira pela qual o poder é exercido e isso inclui as organizações públicas e privadas.
Durante muito tempo essa palavra era destinada para as instituições públicas e
governos propriamente ditos, mas, segundo Castro (2014), em meados da década de
90 nos Estados Unidos, alguns investidores e acionistas, necessitavam “de utilizar
novas regras que os assegurassem contra os abusos das diretorias executivas das
empresas, da inoperância dos conselhos de administração e, principalmente, das
omissões das auditorias externas”.

Castro (2014) explica que essa motivação se deve a desconfianças sobre alguns
resultados, pois em 2001 o mundo todo tem acesso a informações que expõem dados
contábeis manipulados para favorecer alguns grupos empresariais dos Estados Unidos.
Dá-se “uma crise de confiança, em níveis inéditos desde a quebra da bolsa norte-
americana em 1929, através da constatação de práticas de manipulação de
informações em várias outras instituições, não somente norte-americanas, mas em
todos os mercados mundiais”.

Ainda de acordo com Castro (2014), “Nesse momento, percebeu-se uma

relação de dependência e conivência entre grandes prestadoras de serviços da área de
Auditoria, principalmente Fiscal e Contábil, e os atos [fora da ética] praticados pelas
diretorias executivas das empresas por elas auditadas”. Isso também aconteceu no
Brasil e foi chamado de “Pedaladas Fiscais”.

Castro (2014) continua dizendo que após diversas reflexões sobre essa
situação, a GC ou Governança Corporativa surge nessa época como um movimento
para proteger os acionistas contra a manipulação de resultados nas organizações.

13
 A origem desse movimento

Coincide com a necessidade de profissionalização da gestão dos negócios,

decorrente dos processos de dispersão do capital e de separação entre
propriedade e gestão, ou seja, quando os proprietários de uma empresa
passaram a delegar poderes a um administrador que, em nome da
companhia, tomava decisões as quais, por vezes, contrárias ao bom senso e
interesses dos próprios proprietários e demais stakeholders (CASTRO, 2014).

Stakeholders

Stakeholder é a figura que patrocina ou autoriza as ações dentro de uma

organização empresarial. Desta forma, podemos afirmar que um stakeholder pode ser
afetar ou ser afetado positivamente ou negativamente, sempre com efeito em suas
políticas e formas de atuação (STAKEHOLDER, 2017).

Alguns exemplos de stakeholder de uma empresa podem ser os seus

funcionários, gestores, gerentes, proprietários, fornecedores, concorrentes, ONGs,
clientes, o Estado, credores, sindicatos e diversas outras pessoas ou empresas que
estejam relacionadas com uma determinada ação ou projeto (STAKEHOLDER, 2017).

Princípios e Valores da Boa Governança

Entender governança significa atuar dentro de uma organização com alguns

princípios básicos contemplados pelo IBGC – Instituto Brasileiro de Governança
Corporativa, que veremos a seguir, como:

• Transparência

Transparência em uma organização tem o sentido de uma comunicação clara e

sincera para que seja gerado um clima de confiança entre todos a fim de criar valores e
tendo como suas principais características a franqueza, espontaneidade e
tempestividade, a transparência deve ser o ato do desejo sincero de informar tudo o
que possa ser relevante para as partes interessadas.

• Equidade

A equidade trata a ação justa entre as partes, seja aos grupos minoritários
como por exemplo seus colaboradores: clientes, fornecedores e investidores. Assim,

14
atitudes ou políticas discriminatórias, sob qualquer pretexto, são inaceitáveis, como
define o IBGC.

• Prestação de Contas

Os administradores e os gestores da governança devem sempre prestar contas

de sua atuação, sempre com total transparência e devem responder integralmente por
todos os atos e fatos de sua responsabilidade.

• Conformidade

A organização deve ter conformidade e respeitar integralmente as leis, normas

e regulamentações aplicáveis aos seus negócios, isto é, seguir o que foi pré-
estabelecidos na integra mantendo assim uma ordenação das práticas empresariais.

• Responsabilidade Corporativa

Na responsabilidade corporativa, os negócios devem ser conduzidos sempre

com a visão da melhoria da organização, evitando assim decisões que possam trazer
resultados negativos ou conflitos desnecessários ao ambiente organizacional.

Fases

Planejamento

O planejamento é a fase da governança que defini as etapas do projeto, seus

recursos, tempo e ações previstas. Isto é todo o contexto que envolve as etapas de um
projeto, prevendo recursos, tempo e custos das ações a serem executadas em projetos
em andamento em uma organização.

Formular e programar políticas

Formular e programar políticas é a fase que define os formatos, normatizações

e métodos que serão aplicados na execução do projeto no que se refere às políticas
internas de uma organização.

15
 Cumprir suas funções

E a parte de cumprir as funções é uma das fases mais complexas, pois atua e
monitora intensamente a execução das etapas definidas do projeto, isto é, verifica o
andamento do projeto, corrige seus desvios, gerencia conflitos pessoais e operacionais
para alcançarmos as metas definidas no planejamento.

Governabilidade x Governança

E você sabia que existe uma grande diferença entre Governabilidade e

Governança?

A Governabilidade refere-se à alçada dos governos federais, estatais e

municipais. E a Governança é muito mais abrangente, se estendendo as todas as
organizações privadas, independentemente de seu porte, segmento e tipos
societários.

1.4 Estabelecimento de relações entre organização e governança, entre

organização e Tecnologia da Informação (TI) e entre governança e TI

Estabelecimento de relações entre:

• Organização e Governança;

• Organização e Tecnologia da Informação;

• Governança e Tecnologia da Informação.

Nos momentos anteriores de nossas aulas, entendemos claramente as

premissas de uma organização para o seu pleno funcionamento e agora vamos ao
conhecimento de Governança e alguns relacionamentos importantes dentro de uma
corporação e claro, a nossa área de Tecnologia da Informação.

Relações são o contexto de correspondência ou conexão entre algumas coisas,

pessoas e processos. Como podemos observar na figura abaixo, dentro de uma
organização não é diferente, pois essa relação traz a harmonia e funcionamento entre
as áreas da organização em conjunto com a Governança em TI.

16
 Relações entre organização e Tecnologia da Informação (TI)

Neste momento, precisamos entender a relação importante que TI deverá ter

com as áreas responsáveis da organização, da sua fundamental participação em
entender suas necessidades, sequenciar seu planejamento e execução com priorização
dos projetos, participar nas decisões e inovações, trazer sugestões e caminhos
tecnológicos a serem seguidos, sua efetividade na gestão destes projetos e avaliar as
métricas estabelecidas.

Na figura abaixo, vemos claramente como se posiciona a Governança de TIC e

seus papéis fundamentais na organização.

17
 A importância das escolhas certas

A escolha certa sempre tratará os melhores caminhos, a parceria e

envolvimento total com a organização e TI, as melhores práticas de mercado, os
melhores fornecedores ou aqueles que atenderão as expectativas do negócio e por
falar em negócio, objetivar sempre a evolução do objetivo da empresa, deixando de
lado os preciosismos.

1.5 A necessidade de controles para a Governança de TI

Veja o vídeo a seguir para um melhor entendimento sobre este tema:

Diálogo Público sobre governança de TI

Reportagem do programa TCU em Ação, edição 62, que trata do evento do

Diálogo Público sobre governança de tecnologia da informação (TI) na administração
pública federal, que ocorreu em Brasília, em maio de 2014.

Disponível em: <https://www.youtube.com/watch?v=6nq2hyrAQ4A>. Acesso

em: 12 jul. 2018.

18
 1.6 Planejamento estratégico e implementação da Governança de TI

Neste tema, devemos compreender que o planejamento estratégico de uma

empresa está diretamente ligado a área da tecnologia da informação, que por sua vez
utiliza-se dos recursos da Governança em TI para monitorar as ações e resultados
assim pré-estabelecidos. Desta forma, a implementação da governança em TI é de
fundamental importância para atingir os resultados planejados para o negócio da
organização empresarial.

Para maiores informações e detalhamento dos seus estudos, leia o livro Gestão
da Tecnologia da Informação – Governança de TI: Arquitetura e Alinhamento entre
Sistemas da Informação e o Negócio, de Luís Fernando Ramos Molinaro e Karoll
Haussler Carneiro Ramos, que está na Minha Biblioteca:

https://integrada.minhabiblioteca.com.br/#/books/978-85-216-1972-7/cfi/0!/4/2@100:0.00

19
2 GOVERNANÇA EM TI

2.1 Fundamentação de conceitos referentes à utilização de processos para o

funcionamento de uma organização

2.1.1 Tipos tradicionais de organização

Organização linear e princípio da autoridade linear

Trata-se de uma forma estrutural mais antiga e simples de uma organização

com origem nos antigos exércitos, com formato de uma pirâmide e possui linhas
diretas entre os superiores e subordinados. Cada subordinado deverá receber ordens
apenas de seu superior imediato.

Características:

• Autoridade linear ou única;

• Linhas formais de comunicação;

• Centralização das decisões;

• Aspecto piramidal.

20
 Organização funcional

Trata-se de uma forma onde a especialização das funções é identificada, isto é,

o superior identifica a necessidade acoplada a especialização, para torná-la mais
eficiente.

Características:

• Autoridade funcional ou dividida;

• Linhas diretas de comunicação;

• Descentralização das decisões;

• Ênfase na especialização.

Organização Linha Staff

21
 Tem como predomínio a estrutura linear, mas o que diferencia são cargos
intermediários e de apoio junto à hierarquia, como assessoria, de planejamento e
controle, de consultoria e recomendação.

Exemplos de organizações:

• Cultural

• Política

• Recreação

• Educação

• Serviços

Processos organizacionais

Processos organizacionais são ações relacionadas que envolvem recursos

humanos, equipamentos, processos, procedimentos, informações, estratégias e acima
de tudo tecnologia (MARCONDES, 2015).

22
 Divisões do processo organizacional

Organização e métodos

Uma visão holística é possuir o entendimento ou visão geral do funcionamento

da organização, para poder organizar e criar métodos para a operação atingir os
objetivos planejados.

Gestão de Qualidade

Basicamente a Gestão da Qualidade são as ações que visualizam o resultado

com qualidade da execução e produção de serviços de uma organização empresarial.

Reengenharia

Muitas vezes levamos aos riscos extremos da reengenharia, onde tratamos de

mudanças abruptas, isto é, parar tudo e recomeçar do zero, porém segundo muitos
autores, dependendo da situação trata-se apenas de pequenos ajustes que irão de
encontro aos objetivos desejados.

Consultoria interna

A consultoria é a prestação de serviços, a visão estratégica de um negócio, a

solução inovadora e acima de tudo busca resultados, e pode ser interna, pois trazem
diversas vantagens como:

• Ter especialização na área em que atua;

• Conhecimento e domínio do que faz;
• Ter um bom relacionamento interpessoal/comunicação;
• Ética profissional;
• Entrega de resultados;
• Ter comprometimento.

23
 BPM – Business Process Management

Gestão de processos de negócio, uma forma de gerenciamento com

adaptabilidade, tendo como finalidade de sistematizar e facilitar os processos
organizacionais, isto é, metodologia para a melhoria continuada dos processos de uma
organização empresarial.

Processos internos

Processo interno podemos entender como todas as ações que ocorrem dentro
de uma empresa, buscando atender a algum objetivo, podendo variar de acordo com o
segmento de atuação, modelo de negócio e objetivos sobre os resultados esperados.

2.2 Relacionamento entre processos de uma organização e TI

Há muito tempo, no passado existia um paradigma onde a área de tecnologia

somente era chamada quando precisávamos de algum tipo de processamento de
dados, algum sistema ou recursos que só apoiavam os processos organizacionais.

Na era atual, ocorre justamente o contrário nas maiorias das organizações, pois
em um mundo digital, claro que os processos operacionais ou gerenciais precisam ser
executados, mas TI atua fortemente na busca e orientação das melhores práticas,
buscando também soluções inovadoras para um mercado tão competitivo.

Mas estejam atentos, pois devemos entender que a missão de TI é servir muito
bem nossos principais clientes, que são nossos usuários. Pois parece incomum, mas
ainda recebemos duras críticas de falta de atendimento, ouvimos ainda que “TI não
resolve nada” ou “Vou adotar uma nova ferramenta, pois já pedi inúmeras vezes para
TI e até agora nada foi resolvido”.

Essas situações levam ao descrédito de nossa área e isso torna impossível um

relacionamento saudável entre TI e as áreas organizacionais.

Sempre devemos estar atentos às necessidades das áreas de uma empresa,

criarmos um checklist para todas as necessidades, planejarmos ações de acordo com

24
suas prioridades, controlarmos essas ações para avaliarmos suas reincidências e por
final mudarmos de vez este estereótipo negativo.

Existem várias formas, ferramentas, uso parcial ou total de normas para que se
consiga alcançar esses objetivos. Por exemplo, utilizar padrões do COBIT, ITIL, PMBOK
e até mesmo buscarmos frameworks no mercado que nos possam apoiar nesses
controles.

Se mesmo assim, ainda persistirem os problemas, devemos procurar empresas

especializadas para nos orientarem os melhores caminhos e práticas para efetuarmos
a excelência de um bom atendimento.

2.3 Investimentos em TI de uma organização

Veja estes vídeos para entender melhor este tema:

Entrevista com Omar Rodrigues, Gerente-Geral da CSC para a América Latina

As empresas brasileiras estão focadas em melhorar a eficiência operacional por

meio de investimentos em tecnologia da informação (TI). A afirmação é de Omar
Rodrigues, gerente-geral da CSC para a América Latina. Energia, petróleo e gás,
mineração, manufatura, bancos, seguros e saúde estão entre os segmentos
considerados prioritários pela CSC. Segundo o executivo, o cenário brasileiro de
recessão econômica acaba por inspirar investimentos em TI. “Os clientes brasileiros
procuram cada vez mais eficiência operacional. Eles estão uma atuação focada em
operação de TI e soluções para seus modelos de negócio”, destaca Rodrigues.

Disponível em: <https://www.youtube.com/watch?v=zpwPygDhazM>. Acesso

em: 12 jul. 2018.

Por que eu devo investir em tecnologia para minha empresa?

Neste vídeo falamos da importância no investimento em TI e os benefícios que

isso traz para sua empresa.

Disponível em: <https://www.youtube.com/watch?v=ZMTDpHoObrc>. Acesso

em: 12 jul. 2018.

25
 Os investimentos na indústria de TI

Neste vídeo, o Presidente da Sankhya, Felipe Calixto falou sobre Tecnologia e

Gestão Corporativa em entrevista ao programa Giro Business, da Band News.

Disponível em: <https://www.youtube.com/watch?v=o8acJV5CCiA>. Acesso

em: 12 jul. 2018.

2.4 Estabelecimento de relações entre os tipos de investimento de uma

organização em TI e os riscos associados

Neste tópico vamos compreender sobre investimentos, investimentos em TI em

uma organização e seus riscos associados.

Investimentos

De uma forma bem objetiva e simples, investimentos são as ações realizadas

com a finalidade de obter lucro ou algum benefício.

Investimentos em TI

Primeiramente é necessário nos perguntar, ou melhor, ter a visão da

organização se Investir em TI é Custo ou Investimento? Estamos em um momento
tecnológico que podemos afirmar que sempre um investimento em TI será como a
palavra já diz “Investimento”, caso contrário estamos tendo uma visão ultrapassada e
possivelmente distorcida com os objetivos da empresa.

Desta forma, precisamos buscar o entendimento desses objetivos e se estão

alinhados claramente com a empresa, TI e aonde queremos chegar tanto na inovação
tecnológica, quanto aos objetivos do negócio da empresa e desta forma vamos
entender alguns desses riscos:

26
 Principais riscos associados aos investimentos em TI

Financeiros

Riscos sobre a questão dos valores disponíveis a serem investidos em TI, isto é,
o patrocinador do projeto está disposto a investir?

Técnicos e de projeto

Capacidade de execução, adaptabilidade sobre o negócio, tecnologia envolvida

e objetivos e dimensionamento do projeto.

Sistêmicos

As inovações e sistemas adquiridos estão dentro das expectativas para atender

o negócio da organização.

Políticos e de resistência

É necessário quebrar as barreiras políticas e de resistência das pessoas que irão

utilizar a nova tecnologia, pois em muitos casos essa postura pode levar o projeto ao
total insucesso.

Perspectiva profissional

TI deve-se preocupar em atender as necessidades do negócio da organização e

não priorizar a evolução profissional pessoal.

Fornecedores de TI

Escolher bem fornecedores de TI é de vital importância para o sucesso de

qualquer projeto que envolva a área de tecnologia da informação, pois nem sempre o
mais barato trará os resultados esperados e também devemos nos preocupar em não
adquirir tecnologias avançadas demais ou a frente do nosso tempo, desta forma,
busque o que irá atender a plenitude de seu investimento a empresa.

27
 2.5 Necessidade de leis e normas para apoiar a governança de TI numa
organização

Neste tópico, vamos entender que a governança em TI além de um conjunto de

ações para monitoramento dos processos dessa área, possui normas e leis

Para um maior conhecimento para seus estudos, acesse os links de texto da

Internet:

Governança de Tecnologia da Informação

Este artigo apresenta os principais conceitos e padrões relacionados à

Governança de TI e oferece uma visão para integrar a Engenharia de Software a esse
contexto. Disponível em: <https://goo.gl/pG5bQL>. Acesso em: 13 jul. 2018.

Guia de Governança de Tecnologia da Informação e Comunicação (GovTIC)

A Secretaria de Tecnologia da Informação e Comunicação do Ministério do Planejamento,
Desenvolvimento e Gestão (SETIC/MP), na condição de órgão central do Sistema de
Administração dos Recursos de Tecnologia da Informação (SISP), apresenta, por meio deste
Guia de Governança de Tecnologia da Informação e Comunicação (GovTIC), orientações aos
órgãos e entidades pertencentes ao Sistema acerca da evolução da Governança de TIC em suas
organizações. Disponível em: <https://goo.gl/UrCDoW>. Acesso em: 13 jul. 2018.

Para maiores informações e detalhamento dos seus estudos, leia o livro Gestão
da Tecnologia da Informação – Governança de TI: Arquitetura e Alinhamento entre
Sistemas da Informação e o Negócio, de Luís Fernando Ramos Molinaro e Karoll
Haussler Carneiro Ramos, que está na Minha Biblioteca:

https://integrada.minhabiblioteca.com.br/#/books/978-85-216-1972-7/cfi/0!/4/2@100:0.00

2.6 Necessidade de metodologias baseadas em processos padronizados para

apoiar a governança de TI numa organização

Diferenças entre Gestão e Governança de TI

Analisando o quadro abaixo, fica muito simples de identificar as diferenças

entre gestão e governança de TI.

28
 Governança de TI nas organizações – Quadro Ilustrativo para entendimento
estrutural

Dentro da Governança em TI, podemos dividir em cinco ciclos de

governabilidade nessa área de tecnologia da informação:

Alinhamento Estratégico

Em resumo será alinhar o negócio da organização e a tecnologia necessária com

o escopo inicial e suas competências.

29
 Geração e entrega de valores

Toda mudança tecnologia em uma organização, não se limita apenas a sua

evolução, mas sim o que essa melhoria vai nos trazer de benefícios e o que agregará
de valores para uma organização.

Mensurando desempenho

Mensurar desempenho significa avaliar sobre a ótica da governança de TI, se os

objetivos foram atendidos na sua amplitude e alcançaram suas metas. Cabe à
governança saber medir, apontar e controlar seus objetivos sempre com o foco nos
objetivos da organização.

30
 Gestão de recursos

Um ponto muito importante da Governança de TI, é fazer a gestão de recursos

(Pessoas e Equipamentos), buscando otimizar os custos, o nível de utilização e os
resultados operacionais planejados.

Gestão de risco

Uma das fases mais importantes, senão a mais importante, é a gestão de riscos,
que está dividida em três partes:

Fase da identificação

Momento que é identificado o risco e pode ser medido quantitativamente onde

podemos mensurar quais são as probabilidades do risco ocorrer e quantitativamente
quando podemos avaliar o quanto irá custar esse risco, caso venha a acontecer.

31
 Fase da Avaliação

Diante desta fase, que tratará da análise e avaliação do risco, podemos dividir
em quatro tipos de ação:

Evitar: Ação ou ações tomadas para evitar totalmente o risco.

Transferir: Transferir o risco para um terceiro, por exemplo, alojar um

determinado banco de dados para a nuvem.

Mitigar: Tomar ações periódicas para minimizar os riscos, por exemplo, efetuar
controles de acessos tornando-os restrito.

Aceitar: Devido ao auto custo de controlar o risco, aceita-se e cria-se planos B,

por exemplo controle de backups fora do local do servidor.

Governança de TI nas organizações - Aplicabilidade

A governança simplesmente deve ser aplicada em toda a área de tecnologia da

informação para uma gestão efetiva nesta área, sempre se lembrando da relação entre
ela e a governança corporativa com seus objetivos de negócio.

Governança de TI nas organizações – Principais Ferramentas

Frameworks: Aplicativos que auxiliem aos controles da governança em TI,

disponíveis no mercado.

Cobit: Guia de melhores práticas para a administração da governança em TI,

atualmente na versão 5.

ITIL: Conjunto de publicações sobre melhores práticas para gerenciamento de

serviços de TI.

Pmbok: A publicação Guide to the Project Management Body of Knowledge (ou

guia para o conjunto de conhecimentos de gerenciamento de projetos) sendo de
autoria do Project Management Institute (PMI) ou, mais precisamente, do PMI
Standards Committee, o comitê de padronização do PMI.

32
3 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGIES)

3.1 A evolução histórica da metodologia COBIT

COBIT (Control Objectives for Information and Related Technologies)

Trata-se de um framework ou guia de boas práticas criado pela ISACA

(Information Systems Audit and Control Association), para a governança de tecnologia
de informação.

Um framework ou estrutura conceitual trata de um conjunto de métodos ou

conceitos que resolverá alguns problemas identificados em um domínio específico e
não devemos chamar de um software, a não ser que adotemos algum software que
fará as vias do framework.

A ISACA lançou o COBIT em 1996, originalmente um conjunto de objetivos

de controle para ajudar a comunidade de auditoria financeira a lidar melhor
com ambientes relacionados a TI. Versão 1.0. (ISACA, 2012)

33
A ISACA percebendo valor na expansão do framework, além do domínio de
auditoria, lançou uma versão mais ampla, a 2.0 em 1998. (ISACA, 2012)

Adicionando diretrizes de gerenciamento na versão 3.0 na década de 2000.

O desenvolvimento de ambos os padrões [AS 8015]: Australian Standard for

Corporate Governance of Information and Communication Technology em
janeiro de 2005 e o padrão mais internacional ISO/IEC DIS 29382 (que logo
se tornou ISO/IEC 38500 em janeiro de 2007 aumentaram a conscientização
sobre a necessidade de mais componentes de governança em tecnologias
de informação e comunicação (ICT). Inevitavelmente a ISACA adicionou
componentes/frameworks relacionados com as versões 4 e 4.1 em 2005 e
2007, respectivamente, "abordando os processos e responsabilidades de
negócios relacionados à TI na criação de valor (Val IT) e gerenciamento de
risco (Risk IT)”(ISACA, 2012)

34
 O COBIT 5, liberado em 2012, é a atual versão do framework. Uma das
principais alterações em relação ao COBIT 4.1 é a integração com outros
conjuntos de boas práticas e metodologias, como padrões ISO, ITIL, dentre
outros. (ISACA, 2012)

A grande diferença entre COBIT 5 e os demais é que o COBIT 5 permite uma

integração completa com outras metodologias, como o ISO e a ITIL. (ISACA,
2012)

3.2 Objetivos da metodologia COBIT

As quatro funcionalidades e os cinco princípios do COBIT

O COBIT tem no seu contexto a base para quatro objetivos ou funcionalidades,

como podemos observar abaixo:

• Planejar e organizar;

• Adquirir e implementar;

• Entregar e suportar;

• Monitorar e avaliar.

35
Os cinco princípios do COBIT

Satisfazer necessidades das partes interessadas: O primeiro passo é

identificar as necessidades e expectativas da empresa;
Cobrir a organização de ponta a ponta: A solução deve ser completa, ela
deve assegurar o bom andamento da empresa de ponta a ponta;
Aplicar um framework integrado e único: A estrutura precisa ser simples e
integrada, de forma a facilitar o trabalho dos gestores de TI;
Possibilitar uma visão holística: Isso significa enxergar a empresa como um
todo, entendendo a comunicação entre as partes e integrando todas as
áreas;
Separar Governança do Gerenciamento: Entender a diferença entre
governança de TI e gerenciamento de TI. (ISACA, 2012).

Principais domínios Cobit na versão 5

Boas Práticas do Cobit5

O Cobit basicamente trata de um conjunto de boas práticas, recomendações

e norteadores para a eficiência da Governança de TI.
Trata de quatro domínios: alinhar, planejar e organizar, adquirir e
implementar, entregar e suportar, monitorar e avaliar.

Alinhar, planejar e organizar (Align, Plan and Organize – APO): O domínio

APO identifica como a TI pode contribuir de uma forma eficiente com os
objetivos de negócio de uma organização. Processos específicos do domínio
APO estão relacionados com a estratégia e táticas de TI, arquitetura
empresarial, inovação e gerenciamento.

Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI)

(Build, Acquire and Implement – BAI): Torna a estratégia de TI efetiva e real,

identificando os requisitos para a TI, gerenciando o programa de
investimentos nessa área e projetos associados. Este domínio também
endereça o gerenciamento da capacidade; mudança organizacional,
gerenciamento de mudanças (TI); aceite e transições e gerenciamento de
ativos, configuração e conhecimento. (ISACA, 2012).

36
 Entregar, Servir e Suportar (Deliver, Service and Support – DSS)

(Deliver, Service and Support – DSS): Refere-se à entrega dos serviços de TI

para atender aos planos táticos e estratégicos de uma organização. Este
domínio inclui processos para gerenciar operações, requisições de serviços e
incidentes, gerenciamento de problemas, continuidade, segurança e
controle de processos de negócio. (ISACA, 2012).

Monitorar, Analisar e Avaliar (Monitor, Evaluate and Assess – MEA)

(Monitor, Evaluate and Assess – MEA): Refere-se ao momento que TI avalia

dentro das operações planejadas, seus resultados esperados, atuando com
as correções necessárias dentro de cada projeto. (ISACA, 2012).

3.3 Relacionamento entre a Governança de TI e a metodologia COBIT

Veja o vídeo “Entrevista com Vladimir Abreu autor do livro 'Implantando a

Governança de TI'” para um maior entendimento desse subtema.

Para quem não o conhece, trata-se de um dos grandes nomes da Governança

de TI no Brasil, e um dos autores do livro Implantando a Governança de TI: da
Estratégia à Gestão dos Processos e Serviços, que está na recém-lançada 4a edição.
Além de falar a respeito do livro, o Vladimir também traz sua opinião sobre a
relevância da ITIL e das certificações no cenário atual. Disponível em:
<https://www.youtube.com/watch?v=-XYuciBK4Bc>. Acesso em: 13 jul. 2018.

37
 3.4 A aplicabilidade do modelo CMMI

Leia o artigo sobre CMMI no link abaixo:

“CMMI (Capability Maturity Model Integration)

Este estudo abordou sobre o CMMI (Capability Maturity Model Integration),

representando uma verdadeira evolução do modelo SW-CMM. É o mais recente
modelo de maturidade para desenvolvimento de software do SEI (Software
Engineering Institute - Carnegie Mellon University - EUA), um dos maiores
influenciadores em gestão de processos de software em todo o mundo.”

Disponível em: <https://goo.gl/KJwDfB>. Acesso em: 12 jul. 2018.

3.5 Evolução do modelo CMM para CMMI

CMM – Capability Maturity Model

Segundo o Guia Geral MPS de Software (2012), a “criação do modelo SW-

CMM® (Software Capability Maturity Model) (...) foi definido pelo SEI (Software
Engineering Institute) a pedido do Departamento de Defesa dos Estados Unidos”. Esse
pedido foi feito para a capacitação do Departamento de Defesa em avaliar processos
de desenvolvimento, como indicação da previsibilidade da qualidade, custos e prazos
nos projetos contratados, usados pelas organizações que disputavam licitações.

CMMI (Capability Maturity Model Integration)

O CMMI® surgiu para resolver o problema de utilização de vários modelos e

é o resultado da evolução do SW-CMM®, SECM® (System Engineering
Capability Model) e IPD-CMM® (Integrated Product Development Capability
Maturity Model). É, portanto, o sucessor destes modelos. Além disso, o
framework CMMISM foi desenvolvido para ser consistente e compatível
com a ISO/IEC 15504. Em 2010 foi publicada a versão 1.3 do CMMI®, o
CMMI-DEV® (CMMI for Development) [SEI, 2010a] (SOFTEX, 2012).

38
 3.6 Os níveis de maturidade do modelo CMMI

CMMI possui 5 fases que denominamos de “Fases de Maturidade” em sua

organização:

1. Inicial/Realização

Estágio inicial, onde estaremos identificando nossos objetivos no que se refere

aos projetos e partindo para a realização.

2. Gerenciado

Neste momento estaremos gerenciando com os princípios básicos os

requisitos, planejando o projeto, monitorando e controlando o projeto, também
consideramos a fase de gerenciamento de fornecedores, medição e análise, garantia
da qualidade do processo e do produto, gerenciamento de configuração.

3. Definido

Fase de desenvolvimento de requisitos, soluções técnicas, documentações,

integração do produto, verificação e validação, foco no processo organizacional,
definição do processo organizacional, treinamento organizacional, gerenciamento de
riscos, gerenciamento integrado do projeto, análise da decisão e resolução.

4. Quantitativamente gerenciado

Gerenciamento quantitativo do projeto e performance do processo

organizacional, análise das métricas estabelecidas e compreendidas.

5. Em otimização

Fase para análise de causa e resolução, inovações organizacionais, implantação

e melhorias continuadas, baseadas nessas analises e avaliações.

Finalidades

- Aplicar as melhores práticas para a criação de modelos eficientes para

modelos em desenvolvimento.

39
 - Estabelecer um framework que possibilite a integração futura de novos
modelos.

- Criação de uma forma associada de avaliação de desempenho e treinamento

de produtos para indústria, governo e organizações de serviços e desenvolvimento de
software.

Principais benefícios

- Significativa redução na integração de sistemas e tempo de teste com maior

probabilidade de sucesso.

- Estende os benefícios do CMM-SW para todo o projeto e/ou organização.

- Emprega o princípio da engenharia de sistemas no desenvolvimento de

softwares.

- Aumento no processo de melhoria do investimento.

- Integração entre pessoas e sistemas.

- Administração de riscos, métricas e análise de resultados.

40
4 ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

4.1 Evolução da metodologia ITIL

Trata-se de um framework para gerenciamento de serviços de TI (ITSM) mais

adotado mundialmente. A utilização das melhores práticas ajuda as organizações a
atingirem seus objetivos de negócio utilizando apropriadamente os serviços TI.

Cronologia do ITIL

1986: CCTA (UK Government Central Computer and Telecommunications

Agency) autorizou o desenvolvimento de conjunto comum de orientações,
com o objetivo de aumentar a eficiência dos serviços de TI do governo
Britânico;

1989: Primeiros livros abordando ITIL são publicados, abordando as

temáticas: Nível de serviço, Gerenciamento, Help desk (incorporando
conceitos básicos de gestão de incidentes), Plano de contingência e Gestão
de mudanças;

2000 e 2001: Publicação do ITIL V2 (Service Support / Service Delivery) e

formalização do padrão BS 15000:2000, Especificações para gestão de
serviços de TI, juntamente com o código de boas práticas DISC PD 0005.

2007: Publicação ITIL V3, fornecendo visão sobre o ciclo de vida completo de
serviços, abrangendo de maneira mais ampla a TI e componentes de apoio
necessários para oferta dos serviços.

2011 Update: A versão conta com 5 livros abordando os itens: Estratégia de

serviço, Desenho de serviço, Transição de serviço, Operação de serviço e
Melhoria contínua de serviço. A ITIL 2011 é uma atualização do modelo
(framework) ITIL que aborda orientação adicional significativa com a
definição de processos formais que foram previamente implicados, mas não
identificados, bem como a correção de erros e inconsistências (PANDINI,
2016).

Para falarmos da versão atual do ITIL, devemos sempre lembrar que se trata de
uma biblioteca ITIL com cinco volumes, lançados em 2011.

Volume 1
Estratégia de Serviços (Service Strategy): esse livro aborda principalmente as
estratégias, políticas e restrições sobre os serviços. Inclui também temas
como reação de estratégias, implementação, redes de valor, portfólio de
serviços, gerenciamento, gestão financeira e ROI.

41
 Volume 2
Design dos Serviços (Service Design): a abordagem nesse livro engloba
políticas, planejamento e implementação. É baseado nos cinco aspectos
principais de design de serviços: disponibilidade, capacidade, continuidade,
gerenciamento de nível de serviços e outsourcing. Também estão presentes
informações sobre gerenciamento de fornecedores e de segurança da
informação.

Volume 3
Transição dos Serviços (Service Transition): o volume apresenta um novo
conceito sobre o sistema de gerenciamento do conhecimento dos serviços.
Também inclui abordagem sobre mudanças, riscos e garantia de qualidade.
Os processos endereçados são planejamento e suporte, gerenciamento de
mudanças, gerenciamento de ativos e configurações, entre outros.

Volume 4
Operações dos Serviços (Service Operations): operações cotidianas de
suporte são o objeto principal desse livro. Existe foco principal em
gerenciamento de service desk e requisições de serviços, separadamente de
gerenciamento de incidentes e de problemas, que também têm espaço.

Volume 5
Melhoria Contínua dos Serviços (Continual Service Improvement): a ênfase
do volume está nas ações “planejar, fazer, checar e agir”, de forma a
identificar e atuar em melhorias contínuas dos processos detalhados nos
quatro livros anteriores. Melhorias nesses aspectos também levam aos
clientes e usuários serviços aprimorados e que atendam às necessidades dos
mesmos (FUSCO, 2007).

4.2 Objetivos da metodologia ITIL e as necessidades da Governança de TI de

uma organização atendida pelo ITIL

Primeiro vamos rever então quais são os principais objetivos da metodologia

ITIL:

• Influenciar nos resultados e auxiliar no processo de mudança do

negócio;

• Gestão de risco de acordo com as necessidades do negócio;

• Otimizar a experiência dos consumidores;

• Mostrar valor;

• Possibilitar melhoria contínua;

42
 Benefícios para o negócio

Influenciar nos resultados e auxiliar no processo de mudança do negócio:

ITIL define boas práticas de gestão dos serviços de tecnologia. Práticas que
repercutem em processos do negócio eficientes, com maior garantia de
qualidade, produtividade e crescimento. Mais do que isso, o gerenciamento
efetivo dos serviços de tecnologia é uma questão de sobrevivência da
empresa. TI sustenta e dirige o negócio.
Quase todos os processos de negócio dentro de uma organização
atualmente são amparados por serviços de tecnologia da informação. Desta
forma, a organização não apenas se beneficia, mas depende de níveis
crescentes de capacidade, disponibilidade, segurança e performance para se
manter atualizada neste mercado competitivo (PALMA, 2009).

Benefícios para a Inovação

Gestão de serviços de TI traz maior transparência e compreensão das

necessidades de uma organização. Além desta vantagem, práticas bem estruturadas e
implantadas resultam em diferencial para empresa.

São três os exemplos que serão utilizados para o benefício de inovação:

• Flexibilidade que as boas práticas de transição de serviços

fornecem;

43
 • Características do Processo de Gerenciamento de Capacidade;

• A melhoria contínua de serviços, que é ferramenta de inovação

constante no ambiente inovador.

Benefícios Financeiros

Acima de tudo, a organização está preocupada em resultados rentáveis para

qualquer novo investimento. A gestão dos serviços de tecnologia da
organização deve compartilhar este objetivo como um padrão cotidiano.
Precisa contribuir para maior retorno financeiro possível sob a utilização dos
serviços de tecnologia comprovadamente e sempre dentro de um
convencimento justificando seus gastos (PALMA, 2009).

Para ilustrar a contribuição financeira dos processos #ITIL serão utilizados:

Gerenciamento de Problemas 2 (Livro Operação de Serviços - Service

Operation)

Gerenciamento de Continuidade (Livro Desenho de Serviços - Service Design).

Benefícios para funcionários

44
 Trata e traz a motivação, produtividade e satisfação, pois quando um projeto é
tratado adequadamente dentro de uma organização, todos os envolvidos alcançam
seus resultados com a eficiência esperada pelo comando.

Quadro Resumo – Negócios

Fonte: PALMA, 2009.

45
Quadro Resumo – Financeiros

Fonte: PALMA, 2009.

Quadro Resumo - Inovação

Fonte: PALMA, 2009.

46
 Quadro Resumo – Funcionários

Fonte: PALMA, 2009.

4.3 Relacionamento entre a Governança de TI e a metodologia ITIL

Para um melhor entendimento desta parte da disciplina, acesse o link abaixo e

assita ao vídeo do youtube:

https://www.youtube.com/watch?v=B0vF7xaloFU

4.4 Detalhamento e entendimento da metodologia ITIL

Assista ao vídeo “O que é ITIL v3 Foundation | Animado” com o detalhamento e

entendimento da metodologia ITIL. Disponível em:
<https://www.youtube.com/watch?v=B0vF7xaloFU>. Acesso em: 12 jul. 2018.

4.5 Adaptabilidade da metodologia ITIL e a relação com gerenciamento de

projetos

Gestão de projeto e a metodologia ITIL

Veja neste artigo a relevância da prática do planejamento e gerenciamento de

projetos. Existem várias metodologias utilizadas para esse fim, porém destaca-se o
Information Technology Infrastructure Library (ITIL). Disponível em:
<https://goo.gl/CVRXqh>. Acesso em: 10 jul. 2018.
47
5 PMBOK (PROJECT MANAGEMENT BODY OF KNOWLEDGE)

5.1 Evolução do PMBOK

PMBOK são processos que nos auxiliam o gerenciamento e administração de

projetos com visão de tempo, recursos e custos que serão utilizados para a realização
dos objetivos previstos.

Não devemos pensar ou chamar PMBOK como uma metodologia, pois são
conhecimentos que devemos aplicar de acordo com cada projeto, seus momentos de
realização e planejamento.

Cronologia desta evolução

Para termos uma ideia da importância de um projeto e suas etapas, temos

que pensar que há milênios atrás o homem já se preocupava com grandes
projetos, planejavam e executavam as ações necessárias para obter o
sucesso de suas realizações. Mas vamos falar sobre a evolução moderna de
projetos com conceitos e ferramentas para esse controle.
Henry Laurence Gantt, um engenheiro mecânico, fez uma grande
contribuição para a disciplina de gerenciamento de projetos em 1917 com a
criação do famoso Gráfico de Gantt, um tipo de gráfico em barras que
determina o cronograma do projeto. Essa ferramenta ainda é muito usada
atualmente (MS Project).
O primeiro grande projeto que se tem conhecimento foi o projeto
Manhattan, que criou a primeira bomba atômica.
Esse modelo inicia uma grande preocupação com o controle de projetos,
onde na década de 1960, foi amplamente utilizado com projetos como:
A corrida espacial, com a criação da NASA em 1958.
Aumento drástico do fomento à pesquisa científica, aumentando em 1959 o
orçamento da Fundação Nacional de Ciências americana de 34 para 134
milhões de dólares.
Criação do Programa de Mísseis Polaris, com a construção de um submarino
nuclear para diminuir a diferença em relação ao arsenal russo. O Almirante
Raborn da marinha americana tinha urgência para realizar o programa e as
ferramentas de gerenciamento de projetos tradicionais não eram suficientes
para garantir a entrega do projeto. O DoD então desenvolveu com a ajuda
de Willard Frazar o PERT (Program Evaluation and Review Technique), um
sistema de sequenciamento de atividades que consegue determinar o
menor tempo para a conclusão de um projeto. A utilização do PERT se
tornou obrigatório para todos os projetos da marinha Americana.
A Agência de Pesquisa Avançada de Projetos de Defesa do Pentágono iniciou
nos anos 60 o projeto de uma rede de computadores chamada ARPANET,
que foi a percussora da Internet de hoje (PETERS; WATERMAN, 1982).

48
Aníbal Marcondes (2007) traz que

No início da década de 1960, o gerenciamento de projetos foi formalizado

como ciência. As organizações de diferentes ramos começaram a enxergar o
benefício do trabalho organizado com os conhecimentos de projetos e a
necessidade da interação de diferentes departamentos e profissões
(TORREÃO, 2007). O programa espacial da NASA surgido durante a guerra
fria e o programa Apollo são grandes exemplos de uma série de projetos
coordenados com uma finalidade específica, que era o de levar o homem a
lua ainda naquela década.

Em 1969 na Pensilvânia - EUA surge o PMI (Project Management Institute),

onde um grupo de profissionais se reuniu para discutir e compilar as
melhores práticas do gerenciamento de projetos. Com a alta especialização
e cada vez mais necessidade de métodos e boas práticas, o PMI cresceu de
modo que passou a ser a maior organização sem fins lucrativos no campo da
ciência do gerenciamento de projetos. Com todas essas demandas não só
em compilar boas práticas, mas também atestar pessoas com conhecimento
baseados nestas práticas, surgiram o PMBOK e as certificações.

Em 1986, a versão revisada incluía o gerenciamento das aquisições e de riscos.

49
 O PMI publica o primeiro conjunto de padrões em Gerenciamento de Projetos,
chamado The Project Management Body of Knowledge (PMBOK® Guide).

Revisão do PMBOK - Primeira Edição com lançamento oficial com 37 processos

Neste período o PMI focou-se nas atualizações e melhorias de seus processos,

aprimorando a sua utilização de acordo com a inovação tecnológica e de projetos.

Lançamento PMBOK Quarta Edição agora com 42 processos

50
 Lançamento PMBOK Quinta Edição com 47 processos, dentre eles em
destaque, um alinhamento com a norma ISO 21500: Orientações para Gerenciamento
de Projetos, lançada pela ISO em 05 de setembro de 2012.

PMBOK® Guide sexta Edição foi lançado em 2017, já tendo sido traduzido
em 11 línguas, inclusive o Português Brasileiro (“Um Guia do Conjunto de
Conhecimentos em Gerenciamento de Projetos – Guia PMBOK®”). Hoje, o
Guia PMBOK® é reconhecido como um padrão que contém uma linguagem
comum (e de abrangência mundial) no que diz respeito a Gerenciamento de
Projetos.
O Guia PMBOK® 6ª edição foi lançado no dia 06 de setembro de 2017 e vai
passar a ser referência para o exame de certificação em meados de 2018.
Informações sobre as práticas ágeis e outras práticas iterativas muitas vezes
utilizadas em um ambiente adaptativo foram adicionadas a cada área de
Conhecimento (PMI, 2017).

As principais mudanças são:

51
 A versão atual e seus processos

PMBOK - Project Management Body of Knowledge ou guia para o conjunto de

conhecimentos de gerenciamento de projetos.

São processos que nos auxiliam o gerenciamento e administração de projetos

com visão de tempo, recursos e custos que serão utilizados para a realização dos
objetivos previstos.

Não devemos pensar ou chamar PMBOK como uma metodologia, pois são
conhecimentos que devemos aplicar de acordo com cada projeto, seus momentos de
realização e planejamento.

5.2 Objetivos do PMBOK

Conceito de Projeto

Projeto possui várias definições, mas basicamente é a transformação de uma

ideia em realidade, isto é, algo que você quer que aconteça e coloca metas, recursos,
fases etc., para que seja realizado.

Antes de iniciarmos o nosso entendimento com relação as etapas do PMBOK,

precisamos saber que o PMI tem como principais iniciativas, na difusão do
conhecimento em gerenciamento de projetos, a certificação profissional (PMP) e a
publicação do guia PMBOK (Guia do Conjunto de Conhecimentos em Gerenciamento
de Projetos).

Dentre os diversos assuntos que o PMBOK aborda, temos: conceitos de

gerenciamento, definição de projeto, bem como seu ciclo de vida, grupos de processos
de gerenciamento de projetos, que estão divididos em cinco grupos e as áreas de
conhecimento, que está dividida em nove áreas e que compreende 44 processos.

52
 Os cinco grupos de processos de gerenciamento de projetos são:

São iniciação, planejamento, execução, monitoramento e controle e

encerramento. São as fases de um projeto que claramente nos demonstra que projeto
tem que ter começo, meio e fim.

Os projetos não podem ser definidos pelo seu tempo de vida, pois cada projeto
possui características próprias e diferentes evoluções e nunca devemos afirmar que
“projeto é tudo igual”, pois mesmo projetos diferentes em um mesmo segmento e
objetivos, podem nos levar a tomar decisões diferentes para atingirmos o objetivo
final. Desta forma, lembre-se que cada projeto é e será um projeto diferente e deverá
ter a atenção de como se fosse a primeira vez que iremos gerencia-lo.

Detalhando um pouco mais sobre os cinco grupos de processos de

gerenciamento de projetos são:

Iniciação

Onde temos o objetivo do projeto, a ideia ou a causa que nos levou a inicia-lo.

Planejamento

Fase mais importante de um projeto e alguns casos a maior, pois nela estarmos
prevendo todas as situações, etapas, recursos, períodos, possíveis desvios, “pulmões

53
do projeto” (Folgas no calendário para etapas que podem gerar imprevistos), etapas
críticas, etc.

Execução

Fase que estaremos realizando todas as etapas previstas na fase de

planejamento.

Monitoramento e controle

Fase que devemos acompanhar o que planejamos e o que estamos executando

dentro de um projeto. Nesta etapa também, estaremos tratando os desvios e
imprevistos de um projeto fazendo suas correções quando possível e em casos mais
graves, devemos retornar a fase de planejamento, caso isso aconteça devemos
reavaliar todo o processo, pois provavelmente o levantamento da fase de
planejamento não foi realizado corretamente.

Encerramento

É uma fase que trata do encerramento e entrega final do projeto, esta fase é de
formalização de entrega atendendo a expectativa dos envolvidos e homologação do
realizado, neste momento devemos colher a validação dos stakeholders. Também é
uma fase que aprendemos com os erros e desvios para que não cometamos as
mesmas falhas em projetos futuros.

As dez áreas de conhecimento do gerenciamento de projetos

54
 Abordam a integração, escopo, tempo, custos, qualidade, recursos humanos,
comunicações, riscos, aquisições e partes interessadas e vamos ver então o que cada
uma delas representa.

Segue então, um resumo das dez áreas de conhecimento do gerenciamento de

projetos do PMBOK:

Integração:

Inclui métodos e atividades necessárias para identificar, definir, consolidar e

coordenar um tipo de processo, requer também que sejam feitas escolhas sobre quais
tipos de recursos, objetivos, alternativas que nos coloquem em algum tipo de conflito
e finalmente, fazer a gestão nas áreas de conhecimento e processos.

Escopo:

São os processos que asseguram que o projeto prevê todo o trabalho

necessário para concluir com sucesso, definindo e controlando as partes intrínsecas no
projeto.

Tempo:

São os fatores necessários relacionadas as atividades, seus recursos e durações,

gerenciando o projeto do início ao término planejado.

Custos:

Processos envolvidos nos orçamentos e controle dos custos, concluindo o

projeto dentro do orçamento aprovado inicialmente.

Qualidade:

Trata dos processos e atividades da organização executora que determinam as

políticas de qualidade, objetivos, requisitos e responsabilidades para que o projeto
satisfaça às necessidades para as quais foi previsto. A implementação do
gerenciamento da qualidade e atividades visa a melhoria contínua dos processos.

55
 Recursos humanos:

Processos que organizam e gerenciam a equipe do projeto. Faz parte desta área
de conhecimento, descrever as necessidades de pessoal, suas capacidades,
conhecimentos e habilidades.

O importante é envolver a equipe a partir das fases iniciais do projeto

adicionando os conhecimentos e fortalecendo o comprometimento de toda a equipe.

Comunicações:

Estamos falando aqui em todos os processos necessários para assegurar que as

informações do projeto sejam geradas, coletadas, distribuídas, armazenadas,
recuperadas e organizadas de maneira apropriada.

Riscos:

Tratamos neste ponto, os processos de planejamento, identificação, análise,

respostas, bem como o monitoramento e controle de riscos de um projeto. Os
objetivos do gerenciamento de riscos são aumentar os eventos positivos e minimizar
os eventos negativos de um projeto, mas sempre usando as falhas do projeto como
um aprendizado imensurável.

Aquisições:

Administrar e gerenciar os processos necessários para compra ou aquisição de

produtos e/ou serviços de terceiros controlando seus contratos.

Partes interessadas:

Trata os processos de identificação, planejamento e gerenciamento de todas as

partes envolvidas em um projeto e seu objetivo é aumentar o suporte e
comprometimento dos stakeholders ao projeto.

56
 Para compreender melhor os 47 processos do PMBOK

Devemos ler a última versão deste manual e compreender melhor essa divisão
de apoio ao conhecimento para aplicarmos em um projeto, seus grupos de processos e
a divisão deste gerenciamento.

Grupo de Processos:

• Processos de iniciação

• Processos de planejamento

• Processos de execução

• Processos de monitoramento e controle

• Processos de encerramento

Além dos grupos de processos, vamos detalhar os grupos de gerenciamento e

suas etapas dentro de um projeto com a aplicação do manual do PMBOK:

Gerenciamento de:

• Integração do projeto – 7 Processos

• Escopo do projeto – 5 Processos

• Tempo do projeto – 6 Processos

• Custos do projeto – 3 Processos

• Qualidade do projeto – 3 Processos

• Recursos Humanos do projeto – 4 Processos

• Comunicações do projeto – 4 Processos

• Riscos do projeto – 6 Processos

• Aquisições do projeto – 6 Processos

57
 • Partes Interessadas – 3 Processos

5.3 Relacionamentos e necessidades da Governança de TI de uma organização

atendidas pelo PMBOK

Relembrando então que PMBOK não se trata de uma metodologia e sim um

manual ou guia com um conjunto de boas práticas a serem aplicadas em determinadas
necessidades de uma organização no que se refere ao avanço tecnológico e aí
devemos primeiramente entender os relacionamentos sobre a organização e a
governança de TI, atendidas pelo manual do PMBOK e desta forma falamos
basicamente sobre:

As necessidades de uma organização com relação aos projetos de inovação e

melhorias tecnológicas em informação e a imprescindível participação de TI aplicando
sempre a governança de TI para dirigir e controlar essas ações e utilizando as
ferramentas necessárias como o PMBOK, dentre outros como Cobit, ITIL etc.

Manter esse relacionamento entre as organizações e TI através da governança

traz a harmonia necessária entres essas áreas, ou melhor, todas as áreas da
organização, uma participação mútua onde fortalece que TI está cada vez mais está
alinhado com o lado estratégico das organizações, isto é, ter uma “Visão Holística” e
58
com a Governança de TI faz com que os processos e metas de TI estejam mais
alinhados com os processos de metas do negócio da organização.

O significado de visão holística

No âmbito empresarial, visão holística é a visão global de uma empresa, de

todos os seus elementos, processos, estratégias e atividades, que resulta em uma
representação de uma organização. Trata-se de um posicionamento importante para o
profissional de TI, pois não basta conhecer tecnologia e estar preparado para o perfil
profissional da indústria 4.0, que mostra que nosso conhecimento tem que ser
expandido para a questão de negócios nas mais diversas áreas e segmentos de
mercado.

Desta forma, temos que pensar e aplicar o conjunto de processos que o Guia
PMBOK nos disponibiliza, e em conjunto com o Framework Cobit, trazer para essa
administração uma maior assertividade nas decisões da organização, aumente a
relação de confiança entre as áreas de negócio e TI e principalmente acabe com a
impressão negativa sobre as atividades organizadas pela TI.

Exemplo:

Uma organização de qualquer tipo de segmento, que hoje em dia não busca as
inovações necessárias para o seu negócio, não planeja seu crescimento tecnológico e
que não tem uma área de TI atuante e atualizada com as novas tendências e melhores
práticas, está fadada ao insucesso em todos os aspectos competitivos de mercado.
Devemos nos munir de todos os recursos para uma boa gestão de TI, utilizar
ferramentas para essa administração e principalmente interagir plenamente com os
negócios de uma organização, aprofundando seus conhecimentos que não devem
estar restritos apenas a área tecnológica.

Juliana Américo (2018) afirma que

O mercado de TI (hardwares, softwares e serviços) no Brasil cresceu 4,5%,

de acordo com o estudo anual da ABES (Associação Brasileira das Empresas
de Software) realizado em conjunto com a consultoria IDC e divulgado na
última segunda-feira, 26.
O país, que está no topo da lista de investimentos em TI na América Latina,
registrou cerca de US$ 38 bilhões em investimentos em hardwares,

59
 softwares e serviços ao longo do ano passado, seguido pelo México (US$
20,6 bilhões), Argentina (US$ 8,4 bilhões) e Colômbia (US$ 7 bilhões).

Segundo o site It Management (2018),

De acordo com o mais recente estudo do Gartner, os investimentos globais
em TI deverão aumentar 4,5% neste ano. A soma representa um total de
3,7 bilhões de dólares direcionados ao setor. A projeção indica que, mesmo
que a economia ainda cause incertezas, as empresas seguirão apostando
cada vez mais no setor. O vice-presidente de pesquisa do Gartner explica
que esse cenário começou a ser desenhado em 2017. E a tendência, reforça
John-David Lovelock, é que siga registrando crescimento ao longo dos
próximos anos. Mesmo considerando possíveis impactos causados por
assuntos internacionais como o Brexit, flutuações cambiais ou recessão
global.

O aumento dos investimentos deve ser impulsionado principalmente por

áreas de negócios digitais, blockchain e Internet das Coisas (IoT). E também
pela evolução do Big Data e dos algoritmos para machine learning e
inteligência artificial, é claro. No entanto, o setor que apresentará o maior
crescimento neste ano deve ser o de software, com 9,5%. Para 2019, o
aumento esperado é de 8,4%, atingindo 421 bilhões de dólares. Os
números, de acordo com o Gartner, serão alavancados pelo conceito de
software como um serviço (SaaS). Esta crescente disponibilidade de
soluções baseadas em SaaS deverá impulsionar novas adoções e gastos em
muitas subcategorias, por exemplo, nos nichos de sistemas de gestão
financeira, gestão de capital humano e aplicações analíticas.

Dispositivos e inteligência artificial atraem investimentos

Segundo o site It Management (2018),

Outro segmento da TI que promete crescer em 2018 é o de dispositivos.

Segundo Gartner, pela primeira vez em dois anos houve um crescimento de
5,7%. Considerando apenas os aparelhos celulares, o aumento nas vendas
deve registrar 5,6%. Por sua vez, os serviços de comunicação continuarão na
linha de frente dos investimentos, com 1,43 trilhão de dólares. O
crescimento é de 2,4%.

Por sua vez, a Inteligência Artificial, sozinha, deve gerar 2,9 trilhões de
dólares em novas oportunidades para empresas até 2021. Além disso, deve
recuperar 6,2 bilhões de horas de produtividade perdidas. Seja em
atividades repetitivas ou na geração de insights para novos modelos de
negócio e novas fontes de receita.

60
 Percebam o que dizem as pesquisas e desta forma, devemos concluir que não
podemos ficar parados no tempo e direcionar nossos esforços com atividades e
controles mais eficientes satisfazendo as necessidades esperadas pelas organizações
que investiram e acreditam em nossas competências.

Veja e pesquise para conhecer as novas tendências.

5.4 Aplicabilidade do PMBOK

Veja o vídeo do Youtube “Os 47 Processos do Guia PMBOK® 5a Edição -

Melhores Práticas do PMI®”.

Neste vídeo, são apresentados os 47 processos do Guia PMBOK® 5a Edição, as

10 áreas do conhecimento e os 5 grupos de processos.

Disponível em: <https://www.youtube.com/watch?v=-F8LqoLLzVo>. Acesso

em: 13 jul. 2018.

5.5 Detalhamento do PMBOK

Para entendermos melhor esse subtema, assista ao vídeo abaixo:

https://www.youtube.com/watch?v=-F8LqoLLzVo

5.6 Utilização dos níveis do PMBOK

Explore o link a seguir e descubra tudo sobre a utilização do PMBOK. Disponível

em: <https://goo.gl/xYVXyZ>. Acesso em: 10 jul. 2018.

61
6 GERAIS SOBRE GOVERNANÇA DE TI, COBIT, SEGURANÇA DA
INFORMAÇÃO E PRINCIPAIS CERTIFICAÇÕES

6.1 A importância da segurança da informação na governança de TI

Para entendermos melhor a importância da segurança da informação na

Governança de TI, é necessário inicialmente entender o que significa a “Segurança da
Informação” e depois a sua orientação para a governança.

A segurança da informação trata especificamente da proteção e defesa dos

dados de uma organização, por exemplo, os dados de um processo produtivo, dados
de recursos humanos, financeiro, engenharia de produtos e processos, etc.

Há quem discorde, mas na atualidade, a informação digital (Tudo que é passivo

de ser armazenado ou transferido eletronicamente) é um dos principais produtos de
uma organização e precisamos ter uma atenção especial sobre isso, aplicando os mais
diversos métodos e procedimentos disponíveis para protegê-la.

A segurança da informação está dividida em três características básicas:

- Confidencialidade

- Disponibilidade

- Integridade

Que veremos a seguir:

Confidencialidade

Refere-se as determinações de acesso a informação, que não pode ser

divulgada para um usuário, entidade ou processo que não esteja autorizado mantendo
assim as restrições necessárias para a proteção dos dados.

62
 Disponibilidade

Transparência ao acesso aos serviços do sistema/máquina para usuários ou

grupos autorizados por TI, pois o usuário não precisa saber onde estão armazenadas as
informações e sim precisa que elas estejam disponíveis no momento do acesso.

A segurança da informação trata também de dois momentos de

vulnerabilidade, a Invasão e a Evasão de informações:

Invasão

O site Segurança da Informação traz uma seção sobre ameaças à segurança do

computador:

Negação de Serviço
Também conhecido como 'DoS - Denial of Service', esse ataque de negação
de serviço ocorre quando o 'atacante' usa apenas um computador para tirar
de operação outro computador conectado à internet ou um serviço.
O 'DdoS – Distributed Denial of Service' é um ataque de negação de serviço
distribuído, VÁRIOS computadores são utilizados para tirar de operação um
ou mais serviços e computadores.
Phishing
É um termo utilizado para definir a fraude que acontece através do envio de
mensagens não solicitadas. A comunicação que o usuário recebe parece ter
sido enviada por uma empresa/organização conhecida, como bancos,
órgãos públicos, etc., os quais levam o usuário ao acesso de páginas falsas,
que são utilizadas para furtar os dados pessoais e financeiros de quem o
acessa.
Malware
Também conhecido como 'código malicioso', o malware é o termo usado
para denominar os tipos de programas usados para praticar ações
maliciosas.
Vírus
Os vírus são um dos maiores problemas dos usuários. Eles são frutos da
criação de pequenos programas com objetivo de causar danos à máquina
infectada. Eles podem apagar dados, capturar informações e alterar o
funcionamento normal do computador. A melhor forma de descobrir se seu
computador está infectado é fazendo uma varredura pelo antivírus, que
deve estar previamente atualizado.

63
 • Evasão

Neste caso, a política de segurança diz respeito às regras que devem ser
elaboradas e seguidas pelos utilizadores dos recursos de informação de uma empresa.

A formação de um conjunto de boas práticas de mercado, com o objetivo de

desenvolvimento de uma política/cultura de segurança é essencial para qualquer tipo
de empresa que necessite desse trabalho, já que a informação é um dos ativos mais
valiosos de uma organização. Neste caso especifico, tem um grande índice de ataques
a informação, onde os próprios usuários acabam distribuindo as informações de uma
organização para outras (Pirataria) com os mais diversos interesses.

É aí que entra a governança de TI para a proteção dos dados armazenados e

vamos entender como isso acontece.

Primeiramente é muito importante compreender, que a atividade de TI não

tem mais somente uma função técnica, e sim um papel estratégico na obtenção e
manutenção da competitividade nos negócios. Desta forma, na governança de TI
devemos conhecer totalmente os negócios de uma organização, entender e proteger
as informações de acordo com sua complexidade, prioridades e acessos.

Assim, podemos exercer sua governança de acordo com as regras básicas desta
área e conceder as empresas a segurança necessária e resultados expressivos para a
estratégia corporativa.

As mulheres comprometidas na área de segurança da informação

Assista ao vídeo “Mulheres em Segurança da Informação no SecureBrasil”

para ver o total envolvimento das mulheres neste contexto. Disponível em:
<https://goo.gl/LMyF2a>. Acesso em: 10 jul. 2018.

64
 6.2 A metodologia COBIT e a segurança da informação

Para entender melhor esse subtema, assista ao vídeo “ITIL e COBIT: O que você
precisa saber”. A ITIL é uma biblioteca que reúne as melhores práticas Gestão de
Serviços de Tecnologia da Informação (TI). Dito de forma literal, é um conjunto de
livros onde estão documentados o que as empresas ao redor do mundo conhecem de
melhor sobre a gestão de TI, após décadas de acumulo de aprendizado. Já COBIT é a
sigla que significa Controle de Objetivos para Informação e Tecnologia Relacionada, do
inglês: Control Objectives for Information and related Technology (COBIT). É base de
conhecimento mais reconhecida e utilizada no mercado para apoiar organizações na
Governança de Tecnologia da Informação (TI). Disponível em:
<https://www.youtube.com/watch?v=5f4aO4nhaNs>. Acesso em: 13 jul. 2018.

6.2.1 COBIT na segurança da informação

Este é um tema bastante importante nos dias de hoje, pois vemos que a
informação seja da organização ou pessoal é considerada uma riqueza sem
precedentes, por exemplo, quando vemos os aplicativos de redes sociais
promoverem a busca por mais adeptos, não cobram por isso e aí pensamos
por que? Tem uma frase que sempre gosto de mencionar: “Se não te
cobram nada para vc egressar ou usar aplicativos como os APPs, é que o
produto que interessa é você mesmo”. Por isso, quando pensamos na
segurança desses dados, temos que nos debruçar sobre ela e tratarmos com
toda a atenção necessária, usando os métodos e ferramentas apropriadas
para essa administração.
As boas ou melhores práticas são tão importantes que viraram quase um
padrão no mundo da TI. Seus fundamentos são usados nos níveis táticos e
operacionais, possibilitando que o setor da Tecnologia da Informação
estruture o ciclo vital de seus serviços de modo geral, a fim de buscar sua
excelência operacional.
No caso do framework do COBIT que tem foco na área estratégica e por se
tratar de um framework voltado para o controle permite que a TI consiga
seu desempenho mensurado e seus riscos devidamente apontados e
consertados.
Mas, o que veremos a seguir é que essas boas práticas não são uma
“receita” e sim um amadurecimento com o uso de seu guia e aplicações com
suas orientações, que nos auxilia o direcionamento ou a priorização dos
recursos e esforços da TI para atender aos requisitos do negócio.
Pensando em COBIT, precisamos partir para a leitura completa e
entendimento desse guia fantástico, como seria praticamente impossível no
tempo deste curso, vamos inicialmente falar e entender sobre cinco dos
principais pilares construídos das boas práticas do COBIT, que são:
- satisfazer necessidades das partes interessadas;
- cobrir a organização de ponta a ponta;
- aplicar um framework integrado e único;
- possibilitar uma visão holística;
- separar Governança do Gerenciamento (GAEA I).

65
Satisfazer necessidades das partes interessadas

O primeiro princípio implica que o COBIT 5 fornece todos os processos e

habilitadores necessários para suportar a criação de valores através do uso
da TI.

Esse princípio está intimamente alinhado com o conceito chamado

“alinhamento estratégico”, e a convicção de que um componente central da
governança de TI é atingir o alinhamento estratégico entre TI e o resto da
organização.

Em outras palavras, não seria possível aplicar nenhum tipo de metodologia

ou guia, se não houver um alinhamento das expectativas do negócio da
organização e a aplicabilidade apoiada em TI.

Exemplo: Uma empresa que necessita de uma solução de sistemas para

agilizar seus processos de negócio, que seria resolvido com a simples
aquisição de um ERP (Sistema de Gestão Empresarial) e a TI está
preocupada com o ganho profissional ou de conhecimento em qual
linguagem moderna esse sistema está desenvolvido. Neste caso,
possivelmente não existe esse alinhamento de expectativas e poderá levar
um tempo muito maior do que seja necessário na visão estratégica (GAEA
II).

Cobrir a organização de ponta a ponta:

Este princípio considera que o COBIT 5 cobrirá todas as funções e processos

de uma organização, mas não focará somente na função de TI, mas tratará a
informação e tecnologias relacionadas como ativos que precisam ser
tratados como qualquer outro ativo da organização.

O foco em cobrir a organização de ponta a ponta implica em uma mudança

crucial na filosofia dos gestores de TI e de negócios, compreendendo uma
mudança do gerenciamento de TI como um custo ou um ativo da
organização.

Essa mudança de visão é um elemento essencial na criação de valores ao

negócio e se os gestores não assumirem a responsabilidade pela TI, a
empresa inevitavelmente irá jogar o orçamento de TI em múltiplas
iniciativas sem uma visão clara do impacto na capacidade desta organização
e assim TI deixará de se tornar um ativo estratégico, que é um grande erro e
comum acontecer essa confusão (GAEA IV).

Aplicar um framework integrado e único

Este princípio descreve o alinhamento em alto nível do COBIT 5 com outros

padrões e frameworks relevantes, servindo como um framework
abrangente para a Governança Empresarial de TI.

A ISACA por sua vez realizou um grande esforço durante anos para alinhar o
COBIT com outros frameworks, como COSO, ITIL, PMBOK, TOGAF, PRINCE2,
etc. Muitos processos do COBIT 5 são inspirados pelas orientações destes

66
 frameworks e por outro lado, seus processos e práticas também são
relacionados e alinhados com um ou mais frameworks desta área.

Nesta abordagem, o COBIT 5 identifica um conjunto de habilitadores da

governança e do gerenciamento que inclui 37 processos. Na camada de
governança, há cinco destes processos agrupados no domínio: “avaliar,
direcionar e monitorar (Evaluate, Direct and Monitor – EDM)”. Esses
processos ditam as responsabilidades da alta direção para a avaliação,
direcionamento e monitoração do uso dos ativos de TI para a criação de
valores para a organização.

Esse domínio cobre a definição de um framework de governança, o

estabelecimento das responsabilidades em termos de valor para a
organização (ex. critérios de investimento), fatores de risco (ex.
disponibilidade ao risco) e recursos (ex. otimização de recursos), além da
transparência da TI para as partes interessadas (stakeholders) (GAEA V).

Possibilitar uma visão holística

O quarto princípio explica que a implementação eficaz e eficiente da

Governança Empresarial de TI requer uma visão holística, levando em
consideração vários componentes interativos, como processos, estruturas e
pessoas.

Este desafio de implementação está relacionado ao que é descrito em

literaturas de gerenciamento estratégico como uma necessidade para um
sistema organizacional, como a forma que uma empresa coloca as pessoas
para trabalharem juntas a favor do negócio.

As estruturas da Governança Empresarial de TI incluem unidades

organizacionais, e papeis e responsabilidades para tomada de decisões
relacionadas a TI e para possibilitar contatos entre funções de negócio e TI
responsáveis por tomada de decisão. Isso pode ser visto como um blueprint
(Fase onde se discute processos no nível de detalhe baixo de forma a
identificar quem faz o que?, utiliza qual sistema?, que tipo de transação?, se
é um sistema legado ou não?, etc.) para como o framework de governança
deve ser organizado estruturalmente. Os processos de Governança
Empresarial de TI referem-se à formalização e institucionalização de
procedimentos para tomada de decisão em TI e monitoração da TI para
assegurar que o comportamento diário seja consistente com as políticas e
forneça entradas para os tomadores de decisão (ex.: BSC Balanced
Scorecard que significa Indicadores Balanceados de Desempenho) (GAEA VI).

Separar Governança do Gerenciamento

Este quinto princípio consiste na distinção entre a governança e o

gerenciamento, alinhando-se a norma ISO/IEC38500, por exemplo. No
COBIT 5 é declarado pela primeira vez que os processos de governança de TI
e de gerenciamento de TI referem-se a diferentes tipos de atividades.

Os processos de governança são organizados conforme o modelo EDM

(avaliar, direcionar e monitorar (Evaluate, Direct and Monitor)), proposto na
ISO/IEC38500. Os processos de gerenciamento de TI asseguram que os
objetivos da empresa sejam atingidos por meio da avaliação das
necessidades das partes interessadas, definindo a direção através da

67
 priorização e tomada de decisão, e monitorando o desempenho, a
conformidade e o progresso com relação aos planos.

Mas para pensarmos em tudo isso é preciso sempre uma análise minuciosa
do que precisamos em TI, do que a organização realmente necessita, qual a
estratégia que devemos adotar para atingirmos nossos objetivos, tanto
tecnológico, quanto estratégicos, e para isso temos que escolher as
ferramentas necessárias para alcançar este objetivo (GAEA VII).

Ferramentas para aplicação das melhores práticas

CobiT – Control Objectives for Information: Modelo abrangente aplicável

para a auditoria e and related Technology, controle de processos de TI,
desde o planejamento da tecnologia até a monitoração e auditoria de todos
os processos;

CMMI – Capability Maturity Model: Desenvolvimento de produtos e

projetos de sistemas Integration e software;

ITIL – Information Technology Infrastructure: Infra-estrutura da tecnologia

da informação (seviços,Library de TI, segurança, gerenciamento da
infraestrutura, gestão de ativos e aplicativos, outros);

ISO 27001 – Código de melhores práticas: promove normas para implantar e

monitorar a gestão da segurança da informação;

SCM – Service Provider Capability Outsourcing: Outsourcing de serviços que

usam TI de forma Maturity Model intensiva (modelo composto de práticas
organizadas ao longo de um ciclo de vida do sourcing, agrupadas por áreas
de capacidade e níveis de capacidade);

PMBOK – Project Management Body of Base: base de conhecimento em

gestão de projetos e Knowledge;

BSC – Balanced Scorecard: Metodologia de planejamento e gestão da

estratégia;

Six Sigma – Metodologia para melhoramento da qualidade de processos:

seu objetivo é a melhoria do desempenho do negócio através da melhoria
do desempenho de processos, tendo como meta um processo que
apresente 3,4 defeitos sobre um milhão de oportunidades equivale a um
rendimento de 99,9997% isentos de defeitos;

SAS 70 – Statement on Auditing: regras de auditoria para empresas de

serviços (OPSERVICES, 2013).

68
 6.3 Melhores práticas para aplicarmos a metodologia COBIT na segurança da
informação.

Neste momento, estaremos estudando os caminhos para nos orientarmos

sobre as melhores práticas para aplicarmos a metodologia e desta forma assista a
vídeo aula referente a este subtema.

6.4 O que significado de certificação para a Governança de TI

Leia o texto “Governança de TI: 3 certificações para conseguir um emprego ou

aumentar seu salário”. Disponível em: <https://goo.gl/WQUFTd>. Acesso em: 10 jul.
2018.

6.5 COBIT 5 Foundation

Assista ao vídeo “COBIT 5 Foundation Training - The Gary Hardy Approach –

For IT Training Companies” (em inglês com legenda em português).

Disponível em: <https://www.youtube.com/watch?v=U24cmu-JiWY>. Acesso

em: 13 jul. 2018.

6.6 ISO/IEC20000 Foundation

Assista ao video “Introduction IT Service Manegement: ISO20000” (em inglês).

Disponível em: <https://goo.gl/6ZvgFk>. Acesso em: 10 jul. 2018.

69
REFERÊNCIAS

AMEAÇAS à segurança do computador. Segurança da Informação. Disponível em:

<https://goo.gl/Rp4bqW>. Acesso em: 12 jul. 2018.

AMÉRICO, Juliana. Investimentos em TI no Brasil aumentam 4,5% em 2017. Olhar

Digital Pro, 27 mar. 2018. Disponível em: <https://goo.gl/RUdibV>. Acesso em: 12 jul.
2018.

CAMPOS, Isadora Boges. A evolução do TI até os dias atuais. Portal Educação.

Disponível em: <https://goo.gl/MYxXBa>. Acesso em: 12 jul. 2018.

CASTRO, Hélder Uzêda. Como surgiu a Governança Corporativa? Uma breve discussão
contextual. Comunidade Adm, 14 ago. 2014. Disponível em: <https://goo.gl/AR4e9c>.
Acesso em: 12 jul. 2018.

COBIT. Wikipedia, 9 jul. 2018. Disponível em: <https://pt.wikipedia.org/wiki/COBIT>.

Acesso em: 12 jul. 2018.

FOINA, Paulo Rogério. Tecnologia de informação: planejamento e gestão. São Paulo:

Atlas, 2001.

FUSCO, Camila. Conheça o conteúdo resumido dos livros do ITIL 3.0. Computerworld,
30 maio 2007. Disponível em: <https://goo.gl/zrWBZU>. Acesso em: 13 jul. 2018.

GAEA. Compreendendo os principais conceitos do COBIT 5 – Parte I. GAEA Consulting,

São Paulo. Disponível em: <https://goo.gl/dmp8cm>. Acesso em: 12 jul. 2018.

__________. Compreendendo os principais conceitos do COBIT 5 – Parte II. GAEA

Consulting, São Paulo. Disponível em: <https://goo.gl/Jn25Lv>. Acesso em: 12 jul.
2018.

__________. Compreendendo os principais conceitos do COBIT 5 – Parte IV. GAEA

Consulting, São Paulo. Disponível em: <https://goo.gl/1RoR77>. Acesso em: 12 jul.
2018.

70
__________. Compreendendo os principais conceitos do COBIT 5 – Parte V. GAEA
Consulting, São Paulo. Disponível em: <https://goo.gl/bAxCnm>. Acesso em: 12 jul.
2018.

__________. Compreendendo os principais conceitos do COBIT 5 – Parte VI. GAEA

Consulting, São Paulo. Disponível em: <https://goo.gl/Pc3RMC>. Acesso em: 12 jul.
2018.

__________. Compreendendo os principais conceitos do COBIT 5 – Parte VII. GAEA

Consulting, São Paulo. Disponível em: <https://goo.gl/JmcyMW>. Acesso em: 12 jul.
2018.

GOVERNANÇA corporativa. IBGC – Instituto Brasileiro de Governança Corporativa.

Disponível em: <https://goo.gl/N1bgYy>. Acesso em: 12 jul. 2018.

ICASA. COBIT 5. Illinois (EUA): ICASA, 2012. Disponível em: < https://goo.gl/WtkdRt>.
Acesso em: 13 jul. 2018.

IT MANAGEMENT. Investimentos globais em TI devem crescer 4,5% em 2018. IT

Management, 20 fev. 2018. Disponível em: <https://goo.gl/aiviyE>. Acesso em: 12 jul.
2018.

KENN, Peter G. W. Guia gerencial para a Tecnologia da Informação: conceitos

essenciais e terminologia para empresas e gerentes. Rio de Janeiro: Campus, 1996.

MARCONDES, Aníbal. Uma breve história do gerenciamento de projetos. PMI, abr.

2007. Disponível em: <https://goo.gl/rr91he>. Acesso em: 12 jul. 2018.

MARCONDES, José Sérgio. Processo organizacional: o que é? Conceito, definição,

estrutura. PMI, 23 nov. 2015. Disponível em: <https://goo.gl/Xa4ymE>. Acesso em: 12
jul. 2018.

OPSERVICES. Melhores práticas de TI e Governança de TI aplicadas ao seu negócio.

OpServices, 3 set. 2013. Disponível em: <https://goo.gl/Y7Pp8M>. Acesso em: 12 jul.
2018.

71
PALMA, Fernando. Os benefícios da ITIL. Portal GSTI, 30 ago. 2008. Disponível em:
<https://goo.gl/AtAhQB>. Acesso em: 12 jul. 2018.

PANDINI, Willian. ITIL: Saiba o que é e conheça a sua história. Ostec blog, 8 mar.
[2016?]. Disponível em: <https://goo.gl/66m64t>. Acesso em: 12 jul. 2018.

PETERS, Tom; WATERMAN, Robert H. In Search of Excellence. New York: Warner

Books Edition, 1982.

PMI, Project Management Institute Standards committee. Um Guia do Conjunto de

Conhecimentos em Gerenciamento de Projetos. Newton Square, Penn: Project
Management Institute, Quinta edição, 2013. Sexta edição, 2017.

REISSWITZ, Flavia. Análise de sistemas vol. 1. Joinvile: Clube dos Autores, 2008.

STAKEHOLDER. In: Significados, 11 jan. 2017. Disponível em: <https://goo.gl/8xSMkV>.

Acesso em: 12 jul. 2018.

SOFTEX, Sociedade (2012). Guia Geral MPS de Software. 1 ed. [S.l.]: SOFTEX. p. 16-17.
Disponível em: <https://goo.gl/4NEx9r>. Acesso em: 13 jul. 2018.

TELES, Fabio. COBIT: entenda de vez o que é e sua relação com a governança de TI.
Desk Manager, 15 mar. 2018. Disponível em:
<https://blog.deskmanager.com.br/cobit/>. Acesso em: 12 jul. 2018.

VERNAY, Diogo. A nova versão da biblioteca ITIL. Devmedia, 2008. Disponível em:
<https://goo.gl/S9Bofp>. Acesso em: 12 jul. 2018.

VOLLGER, Willy. A evolução na arte de gerenciar projetos. TI Especialistas, 26 abr.

2012. Disponível em: <https://goo.gl/btJTNu>. Acesso em: 12 jul. 2018.

72