Governança em Ti: Unicesumar

GOVERNANÇA EM TI
Professor Me. Luiz Felipe Benevino

Professora Me. Joszislaine da Costa
Professor Esp. João Messias Pereira
Professor Esp. Ronie Cesar Tokumoto
GRADUAÇÃO
Unicesumar
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor de Administração
Wilson de Matos Silva Filho
Pró-Reitor de EAD
Willian Victor Kendrick de Matos Silva
Presidente da Mantenedora
Cláudio Ferdinandi
NEAD - Núcleo de Educação a Distância

Direção de Operações
Chrystiano Mincoff
Direção de Mercado
Hilton Pereira
Direção de Polos Próprios
James Prestes
Direção de Desenvolvimento
Dayane Almeida
Direção de Relacionamento
Alessandra Baron
Direção de Planejamento de Ensino
Fabrício Lazilha
Direção Operacional de Ensino
Katia Coelho
Supervisão do Núcleo de Produção de
Materiais
Nalva Aparecida da Rosa Moura
Design Educacional
Nádila de Almeida Toledo
Projeto Gráfico
Jaime de Marchi Junior
José Jhonny Coelho
C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a
Distância:
Editoração
Governança em TI. Luiz Felipe; Joszislaine da Costa; João Robson Yuiti Saito
Messias Pereira; Ronie Cesar Tokumoto.
Maringá - PR, 2015.
Revisão Textual
186 p. Keren Pardini
“Graduação - EaD”. Nayara Valenciano

1. Governança. 2. TI. 3. EaD. I. Título. Ilustração
André Luís Onishi
CDD - 22 ed. 005 Bruno Pardinho
CIP - NBR 12899 - AACR/2
Ficha catalográfica elaborada pelo bibliotecário

João Vivaldo de Souza - CRB-8 - 6828
Viver e trabalhar em uma sociedade global é um
grande desafio para todos os cidadãos. A busca
por tecnologia, informação, conhecimento de
qualidade, novas habilidades para liderança e so-
lução de problemas com eficiência tornou-se uma
questão de sobrevivência no mundo do trabalho.
Cada um de nós tem uma grande responsabilida-
de: as escolhas que fizermos por nós e pelos nos-
sos farão grande diferença no futuro.
Com essa visão, o Centro Universitário Cesumar
assume o compromisso de democratizar o conhe-
cimento por meio de alta tecnologia e contribuir
para o futuro dos brasileiros.
No cumprimento de sua missão – “promover a
educação de qualidade nas diferentes áreas do
conhecimento, formando profissionais cidadãos
que contribuam para o desenvolvimento de uma
sociedade justa e solidária” –, o Centro Universi-
tário Cesumar busca a integração do ensino-pes-
quisa-extensão com as demandas institucionais
e sociais; a realização de uma prática acadêmica
que contribua para o desenvolvimento da consci-
ência social e política e, por fim, a democratização
do conhecimento acadêmico com a articulação e
a integração com a sociedade.
Diante disso, o Centro Universitário Cesumar al-
meja ser reconhecido como uma instituição uni-
versitária de referência regional e nacional pela
qualidade e compromisso do corpo docente;
aquisição de competências institucionais para
o desenvolvimento de linhas de pesquisa; con-
solidação da extensão universitária; qualidade
da oferta dos ensinos presencial e a distância;
bem-estar e satisfação da comunidade interna;
qualidade da gestão acadêmica e administrati-
va; compromisso social de inclusão; processos de
cooperação e parceria com o mundo do trabalho,
como também pelo compromisso e relaciona-
mento permanente com os egressos, incentivan-
do a educação continuada.
Seja bem-vindo(a), caro(a) acadêmico(a)! Você está
iniciando um processo de transformação, pois quan-
do investimos em nossa formação, seja ela pessoal
ou profissional, nos transformamos e, consequente-
Diretoria Operacional mente, transformamos também a sociedade na qual
de Ensino
estamos inseridos. De que forma o fazemos? Criando
oportunidades e/ou estabelecendo mudanças capa-
zes de alcançar um nível de desenvolvimento compa-
tível com os desafios que surgem no mundo contem-
porâneo.
O Centro Universitário Cesumar mediante o Núcleo de
Educação a Distância, o(a) acompanhará durante todo
este processo, pois conforme Freire (1996): “Os homens
se educam juntos, na transformação do mundo”.
Os materiais produzidos oferecem linguagem dialó-
gica e encontram-se integrados à proposta pedagó-
gica, contribuindo no processo educacional, comple-
mentando sua formação profissional, desenvolvendo
competências e habilidades, e aplicando conceitos
teóricos em situação de realidade, de maneira a inse-
ri-lo no mercado de trabalho. Ou seja, estes materiais
têm como principal objetivo “provocar uma aproxi-
mação entre você e o conteúdo”, desta forma possi-
bilita o desenvolvimento da autonomia em busca dos
conhecimentos necessários para a sua formação pes-
soal e profissional.
Portanto, nossa distância nesse processo de cres-
cimento e construção do conhecimento deve ser
apenas geográfica. Utilize os diversos recursos peda-
gógicos que o Centro Universitário Cesumar lhe possi-
bilita. Ou seja, acesse regularmente o AVA – Ambiente
Virtual de Aprendizagem, interaja nos fóruns e en-
quetes, assista às aulas ao vivo e participe das discus-
sões. Além disso, lembre-se que existe uma equipe de
professores e tutores que se encontra disponível para
sanar suas dúvidas e auxiliá-lo(a) em seu processo de
aprendizagem, possibilitando-lhe trilhar com tranqui-
lidade e segurança sua trajetória acadêmica.
AUTORES
Professora Me. Luiz Felipe Benevino

Possui graduação em Teologia pela Faculdade de Teologia e Ciências (2010),
graduação em Computação pela Universidade Iguaçu (2001), especialização
em Sistemas de alto desempenho pela Universidade Federal do Paraná (2003)
e mestrado em Informática pela Universidade Federal do Rio de Janeiro
(2013). Atualmente, é Professor da Unicesumar.
Professora Joszislaine da Costa

Mestranda em Desenvolvimento de Tecnologia pela Faculdade Cidade
Verde. Especialista em Desenvolvimento de Sistemas para Web pela UEM
- Universidade Estadual de Maringá (2010) e em Redes de Computadores
pela UNICAMP - Universidade Estadual de Campinas (2011). Graduada em
Processamento de Dados - UNIVALE (1999). Atua como professora pela
UNICESUMAR - CENTRO UNIVERSITÁRIO CESUMAR.
Professor João Messias Pereira

Graduado em Sistemas para Internet pelo Centro Universitário Cesumar -
Unicesumar. Especialista em Gestão Estratégica para Empresas pela Faculdade
América do Sul de Maringá.
Professora Ronie Cesar Tokumoto

Professor especialista com pós-graduação em Docência no Ensino Superior
pelo Centro Universitário Cesumar – Unicesumar. Tutor em Educação
a Distância e em Gestão Escolar Integrada e Práticas Pedagógicas pela
Faculdade Eficaz. Formado pela Universidade Federal do Paraná com
Bacharelado em Informática, possui experiência na área de Educação
Técnica desde 1994.
APRESENTAÇÃO
TITULO DO LIVRO
SEJA BEM-VINDO(A)!
Caro(a) aluno(a), com imenso prazer nós trazemos até você o livro de Governança em
Tecnologia da Informação. Apresentamos este livro a partir das experiências de quatro
profissionais da área de Gestão em TI. As duas primeiras unidades foram escritas pelo
professor mestre Luiz Felipe Benevino, a terceira unidade foi escrita pela professora mes-
tranda Joszislaine Costa, a quarta unidade foi desenvolvida pelo professor João Messias
Pereira e a quinta e última unidade pelo professor Ronie Tokumoto.
A primeira unidade trata do surgimento da governança coorporativa e como, a partir
dela, a Governança em TI se desenvolveu. Nela apresentaremos qual foi o real motivo
para ocorrerem grandes mudanças nas formas de gestão e na criação de modelos de
governança para as empresas. Esses modelos deram tão certo que seu uso foi dissemi-
nado fomentando em outras empresas a utilização deles. Grandes empresas utilizam
serviços de TI, independente do seu tipo de negócio, e, na maioria das vezes, a gestão
deixa a desejar em questão de resultados e prazos.
A segunda unidade traz as melhores práticas a serem desenvolvidas em relação a esse
gerenciamento de serviços mediante o ITIL®. Nele você saberá a real diferença entre
os serviços, a central de serviços e o gerenciamento de serviços. Importante assunto
também discutido nesta unidade é a diferença entre problemas e incidentes. Falaremos
sobre o gerenciamento desses dois elementos e como eles podem auxiliar ou atrapalhar
a Governança em TI de acordo com a forma com que forem abordados.
Na terceira unidade, trazida pela professora Joszislaine, você poderá aprender sobre a
Segurança da Informação da TI. Verá o que faz com que ataques ocorram e diferencia-
rá o que é um ataque e uma invasão, no sentido dos danos que são causados para a
empresa. Vamos discutir o que fazer para detectar ataques, para realizar uma defensiva
segura à comunicação da empresa e diminuir os danos que poderão ser causados por
essa situação.
O professor João Messias traz, na quarta unidade, os antigos e o novo modelo de gestão
da TI nas empresas. Mostra como é o panorama atual desse modelo e trabalha a ideia de
qual é a importância do setor de TI nas organizações. Ele ainda discute como a TI tradi-
cional se transformou em uma TI orientada a serviços e traz as definições de processos e
serviços na área de TI, bem como exemplos dos mesmos.
Na unidade V, o professor Ronie fecha com a utilização do COBIT® e ITIL®, mostrando
como deve ser a implantação da Governança de TI por parte dos setores da empresa e
quais as modificações que isso implica em qualquer ambiente. Aproveite este estudo,
extraia o melhor que você puder e procure colocar em prática.
Bons estudos!
09
SUMÁRIO
UNIDADE I
A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA
15 Introdução
16 O Que é Governança Coorporativa
19 O Que é Governança de Ti
23 Motivador da Governança de Ti
26 Objetivos da Governança de Ti
29 Componentes da Governança de Ti
33 Considerações Finais
UNIDADE II
GERENCIAMENTO DE SERVIÇOS E PROCESSOS
41 Introdução
42 Ferramenta Itil®
45 Gerenciamento de Serviços
47 Conceito de Serviços
48 Central de Serviços
52 Gerenciamento de Incidentes
60 Gerenciamento de Problemas
SUMÁRIO
UNIDADE III
SISTEMAS DA INFORMAÇÃO
79 Introdução
80 Governança de Segurança da Informação
93 Mecanismos para Controle de Segurança
95 Combate a Ataques e Invasões
98 Detector de Intrusos
99 Privacidade das Comunicações
107 O Sistema de Gestão da Segurança da Informação ou SGSI
UNIDADE IV
TI NAS EMPRESAS
115 Introdução
116 TI nas Empresas
123 Panorama Atual
126 Papel da Área de TI
127 A Importância da Área de TI
130 TI Tradicional Versus TI Orientada a Serviços
136 Processo
140 Serviço

11
SUMÁRIO
UNIDADE V
IMPLANTANDO A GOVERNANÇA DE TI
149 Introdução
150 Implantando a Governança de TI
152 Planejando, Implementando e Gerenciando a Governança de TI
154 Planejando o Programa de Governança de TI
156 Implementando o Programa de Governança de TI
158 Gerenciando a Governança de TI
159 Para quem Devemos Atribuir a Gestão desses Componentes de TI?
159 COBIT® – Control Objectives for Information and Related Technology
161 Orientações para Processos
165 ITIL® – Information Technology Infrastructure Library
173 CONCLUSÃO
175 REFERÊNCIAS
186 GABARITO
I
A GOVERNANÇA DE
UNIDADE
TI X GOVERNANÇA
CORPORATIVA
Objetivos de Aprendizagem
■■ Entender o que é Governança Corporativa e Governança de TI.
■■ Elencar os motivos para implantar a Governança de TI nas empresas.
■■ Analisar os Componentes da Governança de TI.
■■ Analisar a Governança de TI.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ O que é a Governança Corporativa
■■ O que é Governança de TI
■■ Motivador da Governança de TI
■■ Objetivos da Governança de TI
■■ Componentes da Governança de TI
15
INTRODUÇÃO
A TI, ao longo de sua história, teve grande desenvolvimento dentro das empre-
sas, escolas e outras instituições. Em muitos casos, a TI não era usada de forma
adequada, chegando algumas vezes a apresentar decisões equivocadas por falta
de comunicação entre profissionais da área e de outros setores.
Como a TI assumiu um papel muito importante dentro das organizações, ficou
claro que deveria haver um processo, uma metodologia ou um modelo de gestão
no qual as informações existentes nos servidores das empresas pudessem ser uti-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
lizadas de forma que apresentasse um resultado positivo com maior eficiência.

Com a busca dos gestores pela melhora nos processos internos e também
pelo aprimoramento na comunicação desses processos, com os fornecedores e
parceiros, começaram a aparecer novas tecnologias e metodologias de gestão
para os departamentos de TI.
A tendência era a de identificar os tipos de processos, funções dos setores da
empresa, dos seus funcionários e o desempenho que se esperava para ser medido
por indicadores e metas. Com esses pontos identificados, a empresa consegue
alcançar seu objetivo final, que é a melhoria dos serviços devido aos ganhos de
agilidade e produtividade.
Nesta primeira unidade, vamos estudar sobre a Governança de TI, mas,
para entendermos o que é e como ela funciona, vamos apresentar a Governança
Corporativa, que foi o que deu origem a todo o processo.
Para isso, vamos discutir qual é o real motivo que levou ao surgimento da
Governança Corporativa, quando foi seu surgimento e em qual país se iniciaram
os seus processos. O que pode motivar uma empresa a implantar a Governança
de TI, quais os objetivos e as metas que devem ser alcançados?
Quando falamos em metas, podemos dizer sobre a satisfação do cliente no
atendimento quanto à qualidade do produto ou serviço, tempo de cumprimento
do contrato dentro do cronograma acertado e custos conforme foi estabelecido
no planejamento inicial.
Aproveite esta primeira unidade e entenda como funciona a Governança de
TI. Adquira o conhecimento, mas não guarde somente para você, use-o dentro
do seu local de trabalho e, com certeza, você irá perceber grandes mudanças.
Bons estudos!
Introdução
I
O QUE É GOVERNANÇA COORPORATIVA
Com o crescimento da TI, houve grande alteração na forma das organizações tra-
balharem. Essas mudanças nos processos de negócios são observadas em todos
os setores da empresa, fazendo com que os funcionários consigam entender a
importância dessas alterações.
Atualmente, todos os processos de tomada de decisão são baseados em sof-
tware e tecnologia, por isso a solução para essas mudanças está na Governança
de TI. Na essência, a Governança de TI determina quem toma as decisões. E,
para que ocorra essa tomada de decisão, são necessárias informações, controles,
processos e procedimentos. Todo um conjunto (framework) de responsabilida-
des é utilizado para estimular comportamentos esperados na utilização de TI
(IT GOVERNANCE INSTITUTE, online).
Hoje, quanto mais rápido for o uso da informação, mais eficaz é a gestão e o
direcionamento da área de TI e do negócio para o sucesso. Controlar os objeti-
vos da área de tecnologia, alinhar as estratégias, definir expectativas e medidas
de desempenho, viabilizar e gerenciar recursos, definir prioridades, direcionar

17
as atividades de TI e gerenciar os riscos são algumas das possibilidades que a

Governança de TI traz para a empresa. Antes de nos aprofundarmos em qual-
quer assunto relacionado à Governança de TI, precisamos entender a Governança
Corporativa.
A Governança Corporativa teve o início de suas atividades devido ao número
muito grande de escândalos ocorridos no mercado financeiro em meados de
2002. Com a gravidade desses escândalos, os investidores perderam a confiança
tanto nas instituições como nas pessoas físicas, colocando em dúvida a compe-
tência de proteger os investimentos de seus stakeholders.
Essa crise gerou uma queda de grande proporção nos valores das ações do
mundo todo, especialmente nos Estados Unidos. Sendo assim, a Governança
Corporativa começou originalmente nos Estados Unidos e na Grã Bretanha e
se espalhou pelo mundo por meio de sua eficiência em tomadas de decisões nas
empresas, visando proteger todas as partes envolvidas, com isso, ganha-se um
aumento de transparência junto ao mercado.
Stakeholder é qualquer pessoa ou entidade que tenha um papel dentro de

um determinado projeto. A palavra Stakeholder pode ser dividida em duas
partes:
Stake – Interesse, risco;
Holder – Aquele que possui
Quando pensamos em Stakeholders, imaginamos os gerentes de projetos,
os analistas ou mesmo a equipe envolvida no projeto. Porém, podemos in-
serir muitos outros como: fornecedores, governo, organizações, acionistas,
entre outros.
Fonte: adaptado de Significados (online).
O Que é Governança Coorporativa

I
As empresas, vendo a
necessidade de se organi-
zarem de forma cada vez
mais competitiva, adotam
as práticas da Governança
Corporativa. Poderíamos
definir de muitos modos
o termo Governança
Corporativa. Trago para
você a definição segundo o
IBGC – Instituto Brasileiro
de Governança, que é um
órgão especializado no assunto:
Governança Corporativa é o sistema pelo qual as organizações são di-
rigidas, monitoradas e incentivadas, envolvendo as práticas e os rela-
cionamentos entre proprietários, conselho de administração, diretoria
e órgãos de controle. As boas práticas de Governança Corporativa con-
vertem princípios em recomendações objetivas, alinhando interesses
com a finalidade de preservar e otimizar o valor da organização, fa-
cilitando seu acesso ao capital e contribuindo para a sua longevidade
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA,
online).
Podemos assim dizer que a Governança Corporativa é uma prática de gestão

que aproxima o conselho, a direção, os acionistas e quem mais tiver envolvido
nesse processo, em que todos estão monitorando e participando de uma forma
ativa na organização.

19
O QUE É GOVERNANÇA DE TI
Observamos no primeiro tópico que a Governança de TI em muito ajuda os

empreendimentos da Governança Corporativa e que, na atualidade, esses dois
conceitos se entrelaçam. Mas, o que é mesmo a Governança de TI?
De acordo com Pellegrini (2015, online):
Governança é o conjunto de responsabilidades e práticas exercidas pela
diretoria e pela gerência executiva com o objetivo de prover uma dire-
ção estratégica à empresa, assegurando que seus objetivos sejam alcan-
çados e seus riscos gerenciados apropriadamente, verificando que seus

recursos sejam usados de forma responsável, com ética e transparência.
Para que uma Governança de TI possa ser executada de forma eficiente
deve-se focar na gestão planejada de recursos humanos e materiais, que
propiciam o desenvolvimento de infraestruturas, sistemas e processos
alinhados às melhores práticas internacionais e às necessidades especí-
ficas dos negócios.
Podemos definir a Governança de TI da seguinte forma: é um conjunto de

práticas e habilidades estratégicas executadas por profissionais de TI que são
responsáveis pelo planejamento, pela implantação, pelo controle e pela manu-
tenção dos projetos.
Para que se faça uma excelente governança de TI, o aprendizado exigido
sobre governança corporativa e financeira é muito grande. Atualmente, não
existe uma gestão, seja ela privada ou governamental, que funcione sem a utili-
zação da Tecnologia da Informação.
A TI controla grande parte de uma empresa definindo os processos de tra-
balho, apresentando dados importantes para a tomada de decisões, aumentando
ou diminuindo a produção com melhores custos. Ela possibilita assim a melho-
ria do rendimento das empresas em relação ao atendimento de seus clientes,
ganhando maior qualidade em seus produtos e gerando maior rentabilidade
para a empresa e para a sociedade como um todo.
O Que é Governança de Ti
I
Outro ponto muito importante, no setor de tecnologia, são as redes de compu-

tadores que, por meio das redes sociais e de outros softwares, estão aproximando
com uma dinâmica muito grande a comunicação entre as partes envolvidas.
Dentre essas partes, podemos citar a organização, seus clientes e os seus forne-
cedores. Se tomarmos como exemplo uma indústria, ela pode ser interligada em
tempo real com seus clientes para gerar pedidos online, ganhando tempo para
uma produção mais rápida e para a minimização de custos.
Porém, ao mesmo tempo em que a TI fornece meios de certo modo, relati-
vamente com um custo bem menor, para que as empresas possam atingir seus
objetivos, ao se lançarem no mundo virtual, nas redes sociais e em toda a tecno-
logia necessária para esses processos, os riscos operacionais são de proporções
gigantescas. Quanto maior for a dependência em relação à TI, maior será o seu
risco.
Para Weill (2004), a Governança de TI é um conjunto combinado de prá-
ticas que comportam processos, mecanismos de relacionamento e estrutura. A
Figura 1 apresenta os três elementos básicos para a Governança de TI, caracte-
rizando os pilares para a construção de qualquer modelo específico, ou seja, ele
estabelece os pontos cruciais a serem estudados e modelados, de forma particu-
lar, para atingir os objetivos da organização.
Governança de TI
Relacionamento de TI Estrutura de TI Processos
Figura 1: Modelo em Governança de Tecnologia da Informação

Fonte: os autores.
Os componentes envolvidos nesse modelo de Governança de TI são descri-

tos da seguinte forma:

21
Estrutura de TI: é a definição de papéis e responsabilidades, ou seja, o que

cada um representa dentro da empresa com seu papel detalhado incluindo equi-
pamentos. Como, por exemplo, um analista de infraestrutura tem seu papel
definido como a pessoa responsável pelos servidores, estrutura de comunica-
ção e outras funções definidas pela empresa.
Processos: é o método para avaliar o desempenho de TI e a elaboração do
Planejamento Estratégico. O processo vai ao encontro da metodologia que será
usada para a definição das métricas e diretrizes, que resultarão na medição do
funcionamento do Planejamento Estratégico.
Relacionamento de TI: resolução ativa dos serviços, catalogação dos servi-

ços prestados, fornecendo mecanismo para a recompensa e incentivos funcionais.
Demonstração dos resultados obtidos dentro do processo de Governança gerando
maior aproximação entre a organização e o cliente.
A Governança de TI incorpora esses componentes para absorção e aplicação
com êxito de qualquer framework, ou seja, a Governança de TI vê a informação
como um ativo primordial presente em todas as atividades, seja nos processos
ou na estrutura, em tudo há informação, até mesmo nas pessoas. Por isso, com o
intuito da transparência e integridade para com a informação, a área de TI tem
persistido e conquistado seu espaço.
Em linhas gerais, o processo de governança nas empresas visa responder
quatro questões básicas:
■■ A empresa está fazendo as coisas certas?
■■ A empresa está atuando de forma correta?
■■ O uso de recursos é eficaz e eficiente?
■■ Os objetivos estabelecidos são alcançados?
Observe que o conceito de governança é relativamente novo, mas já se reconhece

que boas práticas de governança aplicam-se a qualquer tipo de empreendimento.
Vamos pensar: quais são as três principais áreas do conhecimento que podem con-
tribuir diretamente para uma boa governança? Na Figura 2, elas são apresentadas:
O Que é Governança de Ti
I
GOVERNANÇA
AUDITORIA
GESTÃO
TIC
Figura 2: Os três pilares da Governança
Fonte: o autor
Cada uma dessas áreas tem um objetivo definido dentro da Governança:

• Gestão – estabelece um sistema de controle gerencial, bem como um
ambiente que promova o alcance dos objetivos do negócio. É a equipe que estará
gerenciando o projeto, promovendo incentivos e acompanhamento para o cum-
primento dos prazos.
• Auditoria – avalia de forma independente a adequação e a eficácia dos
controles estabelecidos pela gerência/diretoria. É uma equipe extra, acompa-
nhando de perto os integrantes da equipe de gestão, para validar sua forma de
gerir, quanto à equipe de trabalho, aos custos e aos prazos.
• Tecnologia da Informação – apoia e capacita a execução dos controles
do nível estratégico ao operacional. A informação é um bem muito valioso para
as organizações, por isso a TI tem um papel fundamental junto aos resultados
obtidos por uma empresa.

23
MOTIVADOR DA GOVERNANÇA DE TI
Dando continuidade a nossa

discussão, vamos iniciar este
tópico refletindo acerca da
seguinte questão: o que
pode motivar uma empresa
a implantar a Governança
de TI? Podemos dizer que o
principal foco motivador é a

transparência da administra-
ção, como podemos observar
na Figura 3.
TI como
Prestadora
de Serviços
Ambiente de Integração
Negócios Tecnológica
Governança
de TI
Marcos de Segurança da
Regulação Informação
Dependência
do Negócio
em relação a TI
Figura 3: Fatores que motivam a Governança de TI
Fonte: os autores.
São muitos os fatores que motivam as empresas a reverem seus atuais modelos
de gestão de TI, já que, nos modelos atuais, a grande maioria dos projetos não
cumpre os prazos e os custos são normalmente excedidos. Sendo assim, sur-
giu a necessidade de agregar novos valores e novos modelos de gerenciamento
de riscos de TI. Alguns exemplos como: o ambiente de negócios, segurança da
Motivador da Governança de Ti
I
informação, gerenciamento de mudanças, gerenciamento de crises, entre outros.

Dentro de todo esse contexto surge a Governança de TI que, por meio de
ferramentas e modelos, sugere melhorias nas práticas de gestão de TI. Com esses
caminhos bem definidos, os serviços de TI de uma organização apresentam um
apoio mais eficaz ao negócio, tanto para os usuários internos quanto para os
clientes, ou seja, aqueles que utilizam os serviços dessa empresa.
Atualmente, em um mundo globalizado, tudo é muito dinâmico, principal-
mente quando falamos em negócios, fatores como flexibilidade e agilidade são
diferenciais importantes para manter a empresa em um índice de competitivi-
dade no ramo em que atua.
Aragon (2008 apud AGUIAR, 2014) apontou alguns fatores que motivam
a Governança de TI:
Ambiente de Negócios: clientes cada vez mais exigentes, maior transparên-
cia, ciclos de vida cada vez mais curtos.
TI como Prestadora de Serviços: entrega dos projetos nos prazos determi-
nados, atendimento aos requisitos do negócio, disponibilidade dos aplicativos,
uma prestação de serviço com qualidade.
Integração do Negócio: integração de todas as redes de distribuição
envolvidas nos processos. Integração no sentido de infraestrutura, aplicativos,
comunicação de voz e dados.
Segurança da Informação: hoje, com a disseminação da internet, a gestão
de TI na área de segurança ficou mais complexa e com riscos diários.
Dependência do Negócio: as estratégias corporativas do negócio e as ope-
rações diárias criaram uma dependência maior em relação à TI.
Marcos de Regulação: representam restrições ao negócio, em função das
diversas regulamentações do governo federal, como exemplo, podemos citar
algumas normativas que podem ser consultadas para verificação da sua funcio-
nalidade: IN 04, IN01, IN02, 8666, DEC-LEI 200.
Um fator que motiva a implantação da Governança são os riscos, que podem
ser apresentados de maneiras diferentes como: custos, prazos, mão de obra espe-
cializada. Outro motivador importante para a implantação da Governança de
TI são os benefícios que ela traz para a empresa.

25
Com a TI, a empresa ganha uma administração mais eficaz, ferramentas que
facilitam o planejamento financeiro e que contribuem para uma gestão integrada
e responsável dos recursos, ganhando melhorias nos processos e maior transpa-
rência. Essa transparência foi o grande incentivador da Governança de TI para
que os investimentos possam ter um elemento a mais para os gestores adquiri-
rem a confiança dos clientes.
Seguem alguns desses principais benefícios (IT GOVERNANCE INSTITUTE,
2008):
Modernização: estruturar uma área de TI com qualidade e custos menores
para os desafios do presente e futuro.

Organização: ter melhor gerenciamento dos processos.
Gestão: apresentar uma nova cultura na administração, com o uso das
melhores práticas.
Capacitação: melhorar a gestão dos recursos técnicos e humanos.
Conhecimento: aumentar o compartilhamento de informações e criar uma
base de conhecimento na Empresa.
Segurança: aumentar a segurança de toda a infraestrutura como dados e
ativos.
Eficiência: verificar se as metas definidas atingem resultados positivos.
Transparência: aumentar a transparência nos processos da empresa.
Conformidade: atender às normas oficiais, seguindo as orientações técnicas
que subsidiam o planejamento estratégico e a gestão dos processos.
Quando são feitos investimentos de recursos financeiros em TI, busca-se a
melhoria nos processos operacionais, na redução de custos, no aumento da efi-
ciência dos funcionários, no aperfeiçoamento da relação com os fornecedores,
parceiros e clientes.
Os departamentos de TI, como as empresas de TI, têm certa dificuldade em
manter os custos operacionais dentro do orçamento previsto, devido à elevada
complexidade de gerenciamento. A grande maioria das empresas não tem a exata
noção do retorno que os investimentos em TI podem trazer. A implantação da
governança de TI busca criar formas de controlar e quantificar os resultados das
otimizações (OPSERVICES, 2015).
Motivador da Governança de Ti
I
Segundo o ITGI – IT Governance Institute (online), a TI tem potencial para

ser a principal motivadora da riqueza econômica no século XXI. Se hoje a TI já
é um fator crítico para o sucesso da empresa, fornecendo oportunidades para
obter vantagem competitiva e aumentar a produtividade, no futuro ela será ainda
mais importante.
Segundo Weill e Ross (2005), estudos apresentam que empresas que seguem
uma estratégia específica e atingem um desempenho acima da média em
Governança de TI têm lucros superiores em relação às demais.
OBJETIVOS DA GOVERNANÇA DE TI
Devido à maior busca pela transparência nos negócios, a comunicação interna

ou externa se tornou mais direta, ou seja, todos os acionistas têm direito às infor-
mações, inclusive os minoritários. Prestação de contas (Accountability) pressupõe
informação clara sobre todos os atos praticados pelos executivos e, finalmente,
responsabilidade corporativa evidencia o zelo pela sustentabilidade da compa-
nhia e sua perpetuação.
Mais do que simples regras, protocolos e normas, a implantação de boas
práticas é uma forma de alcançar um grau maior de qualidade no mercado e,
consequentemente, agregar valores maiores aos seus produtos.
E qual a ligação disso tudo com a Governança de TI? Basicamente, o principal
objetivo da área de Tecnologia da Informação é armazenar, processar e disponi-
bilizar as informações da companhia com qualidade. Essas informações devem
estar disponíveis quando necessário e, ainda, atender aos seguintes requisitos e
critérios que garantam a sua qualidade: disponibilidade, conformidade, confia-
bilidade, integridade, confidencialidade, eficiência e efetividade.

27
Para esse nível de qualidade, é necessário que a empresa disponha de um pro-

cesso que implante, fiscalize e garanta a sua adoção, ou seja, assuma uma gestão
utilizando as práticas de Governança de TI. Nesse momento entra a Governança
de TI, em que o seu principal objetivo é garantir a entrega das informações com
qualidade permeando os pilares definidos pela empresa.
Um ponto que não podemos deixar de citar é a diferença entre Gestão e
Governança de TI. Existe uma confusão entre esses termos. Gestão de TI está
relacionada às atividades do nível operacional e a Governança de TI, ao nível
estratégico, ou seja, a gestão faz parte da Governança de TI.
Conforme a Figura 4 mostra, a Governança de TI faz parte de um conjunto

bem mais amplo, ou seja, o papel da diretoria de TI é bem definido dentro desse
processo, mas sempre junto com as decisões estratégicas da empresa.
Governança Corporativa
Governança de TI
Gestão de TI
Figura 4: Gestão de TI como parte integrante da Governança de TI

Fonte: os autores.
Conforme o mercado tem demonstrado, os objetivos de implantar a

Governança de TI vão muito além da simples conformidade com normas e
regulamentações. As empresas têm observado que um processo de governança
maduro e bem estruturado traz resultados positivos no lado financeiro, como
também no clima organizacional e nos prazos de entrega dos produtos.
O ITGI, preocupado com essa análise, disponibilizou uma pesquisa na qual
foi perguntado às empresas quais eram os principais objetivos que levaram a
implantar a Governança de TI. Abaixo segue o Quadro 1, com o resultado dessa
pesquisa.
Objetivos da Governança de Ti
I
Atividades que levaram a Implantar a GTI

Negócio TI
(Base: 384) (Base: 450)
Evitando incidentes negativos 10.3 8.9% 11.6%
Gerir custos 20.1 19.8% 20.4%

Garantir que a funcionalidade de TI atual esteja 37.9 35.4% 40.0%
alinhada com as necessidades de negócios atuais
9.70
9.68
9.73
9.70
Aumentando a agilidade para apoiar futuras 11.6 12.5% 10.9%
mudanças no negócio
Alcançar o melhor entre inovação e
prevenção de riscos para melhorar o retorno
9.5 9.4% 9.6%
Cumprindo com a indústria e/ou
regulamentações governamentais 8.5 11.2% 6.2%
0% 20% 40% 60%
Quadro 1: Motivos que levam as empresas a implantar a Governança de TI

Fonte: adaptado de Bridge (2012, online).
A garantia de que as funcionalidades que são entregues pela TI aos seus clientes
estejam ajustadas com as reais necessidades de negócio supera 400% o aten-
dimento a requisitos legais. Isso demonstra que a Governança de TI alavanca
melhorias para o negócio.
Empresas têm apresentado uma melhoria no relacionamento com seus clientes
com a implantação da Governança de TI, esse relacionamento envolve o cliente
e as áreas de TI garantindo um bom alinhamento, transparência, definição das
expectativas, prazos cumpridos e contratos de compromisso.
Um dos itens mais classificados foi a redução de custos. Uma estrutura efi-
caz de Governança acaba com os retrabalhos, diminui o tempo ocioso da equipe,
padroniza os processos e a entrega dos serviços, fazendo com que a TI gaste
melhor (e menos) o seu orçamento.

29
COMPONENTES DA GOVERNANÇA DE TI
A Governança de TI compreende vários mecanismos e componentes que, logica-

mente integrados, permitem o desdobramento da estratégia de TI até a operação
dos produtos e serviços correlatados.
Dentre esses componentes, temos: 1) etapa de alinhamento estratégico e com-
pliance; 2) etapa de decisão, compromisso, priorização e alocação de recursos;
3) etapa de processo, operação e gestão; 4) etapa de medição de desempenho.
Componentes da Governança de Ti
I
A Figura 5 mostra os componentes da Governança de TI dentro de cada etapa.
DECISÃO, ESTRUTURA,
ALINHAMENTO COMPROMISSO, PROCESSOS, MEDIÇÃO DO
ESTRATÉGICO E PRIORIZAÇÃO E OPERAÇÃO E DESEMPENHO
COMPLIANCE ALOCAÇÃO DE GESTÃO
RECURSOS
Alinhamento Mecanismos Operações Gestão do
estratégico de decisão de serviços desempenho
da TI
Princípios de TI Portfólio de TI Relacionamento
com usuários
Necessidades Relacionamento
de aplicações com fornecedores
Arquitetura de TI
Infra-estrutura
de TI
Objetivos de
desempenho
Capacidade de
atendimento
Estratégia de DOMÍNIOS E COMPONENTES
outsourcing DA GOVERNAÇA DE TI
Segurança da
informação
Competências
Processos e
organização
Plano de TI
Figura 5: Os domínios e componentes da Governança de TI

Fonte: Silva (2015, online).
COMPONENTES DA ETAPA DE ALINHAMENTO ESTRATÉGICO E

COMPLIANCE
Esses componentes devem definir a forma de entrelaçamento entre as estratégias

da empresa e o acompanhamento dos rumos dos projetos a serem desenvolvi-
dos nela. Os objetivos estratégicos dos projetos devem estar alinhados com as
estratégias definidas pela alta gestão da empresa.

31
COMPONENTES DA ETAPA DE DECISÃO, COMPROMISSO,

PRIORIZAÇÃO E ALOCAÇÃO DE RECURSOS
Essa etapa define quem é o responsável na tomada de decisões referentes à arqui-

tetura de TI, aos serviços de infraestrutura, aos investimentos, à necessidade
de aplicações, assim como à definição dos mecanismos de decisão. Conforme
(ASSIS, 2012, p. 11), “[...] também trata da obtenção do envolvimento dos toma-
dores de decisão chaves da organização, assim como da definição de prioridades
de projetos e serviços e da locação efetiva de recursos financeiros no contexto
de um portfólio de TI”.
OS COMPONENTES DA ETAPA DE PROCESSO, OPERAÇÃO E GESTÃO
Referem-se à estrutura organizacional e funcional de TI, aos processos de ges-

tão e operação dos produtos e serviços de TI, alinhados com as necessidades
estratégicas e operacionais da empresa. Nessa fase, são definidas ou redefinidas
as operações de sistema, infraestrutura, suporte técnico, segurança da informa-
ção, o escritório do CIO, entre outras.
OS COMPONENTES DA ETAPA DE MEDIÇÃO DE DESEMPENHO
Essa etapa, determinada coleta, gera os indicadores de resultados dos processos,

produtos e serviços de TI e a sua contribuição para as estratégias e objetivos do
negócio. A gestão de desempenho de TI tem como função o monitoramento dos
objetivos de desempenho das operações de serviços em termos de desenvolvi-
mento de aplicações, suporte de serviços e entrega de serviços, entre outros que
fazem parte dos serviços de TI.
Componentes da Governança de Ti
Fonte: Rosa (2015, online).
Figura 6: Visão geral do modelo de Governança de TI

I
33
Como os financiadores se asseguram de que os gestores vão dar retorno de

seus investimentos? Como os financiadores se asseguram de que os ges-
tores não vão expropriar o capital que investiram ou investir em projetos
ruins?
Fonte: Gama e Martinello (online).
CONSIDERAÇÕES FINAIS
Nesta primeira unidade, apresentamos informações sobre a Governança de

TI, tais como: conceito, motivações para sua implantação, componentes da
Governança, e, como pudemos observar, Governança de TI é um braço da
Governança Corporativa.
A Governança de TI tem um papel de grande importância dentro das empre-
sas, principalmente quando falamos dos processos que determinam as tomadas
de decisão. Podemos notar que o principal objetivo da Governança de TI é a
garantia da entrega das informações com qualidade baseando-se nos pilares que
são definidos pela organização.
A Governança de TI não existe por si só, faz parte integrante de um plano
consolidado bem mais amplo. Quando a empresa toma uma decisão de implan-
tar a Governança de TI, deve ocorrer o envolvimento de todos da organização,
desde a direção até a linha de produção.
O que apresentamos nesta unidade do livro foi um estudo introdutório à
Governança de TI. Você, aluno(a), deve buscar mais informações, principal-
mente, sobre as ferramentas usadas para a implantação das melhores práticas
em uma organização.
Toda empresa que visa à qualidade de serviço, atendimento ao cliente e prazos
tem uma grande oportunidade para implantar a Governança de TI. O mercado
está preparando profissionais para assumirem o desafio dessa implantação.
Considerações Finais
I
Neste momento, sugerimos uma busca constante pelo conhecimento e prática

para que você possa se tornar cada vez um profissional mais capacitado. Apesar
da Governança de TI ser um processo novo para a grande maioria das empre-
sas, os profissionais de TI devem estar preparados para esse mercado.
No Brasil, muitas vezes, o setor de TI tem demasiada demora em caminhar
na direção de outros países mais avançados em tecnologia, porém, quando che-
gar a hora, você já estará pronto(a) para assumir sua posição nesse processo!
Busque cada vez mais se aprofundar em Governança de TI.

35
1. A Governança Corporativa deu início a suas atividades devido ao número muito

grande de escândalos ocorridos no mercado financeiro em meados de 2002, e,
com a gravidade desses escândalos, os investidores perderam a confiança, tanto
nas instituições como nas pessoas físicas, colocando em dúvida a competência
de proteger os investimentos. Com o surgimento da Governança Corporativa,
surgiu também a Governança de TI. Defina o que é Governança de TI.
2. Para Weill (2004), a Governança de TI é um conjunto combinado de práticas que
comportam processos, mecanismos de relacionamento e estrutura. Apresente e
descreva os três elementos básicos para a Governança de TI.
3. Com a TI, a empresa ganha, para uma administração mais eficaz, ferramentas
que facilitam o planejamento financeiro e que contribuem para uma gestão in-
tegrada e responsável dos recursos, ganhando melhorias nos processos e maior
transparência. Essa transparência foi o grande incentivador da Governança de
TI para que os investimentos possam ter um elemento a mais para os gestores
adquirirem confiança dos clientes. Cite e defina pelo menos cinco desses bene-
fícios.
PERSPECTIVAS SOBRE COMO A GOVERNANÇA DE TI PODE AJUDAR SEU NEGÓCIO
Existem diversas ferramentas que auxiliam seu negócio elevando a competitividade e

processos. Qualidade, gestão e controle são aprimorados pela Governança de TI, permi-
tindo um salto nos serviços e/ou produtos oferecidos.
Para que tais avanços ocorram, é preciso que as diretrizes do negócio estejam de acordo
com as mudanças propostas pela Governança e tudo nela seja benéfico ao processo de
implantação da nova realidade.
O planejamento funcional e estratégico é a base das vantagens proporcionadas pela
Governança de TI, e suas práticas oferecem ferramentas para a melhoria nos serviços
prestados.
Pode-se dizer que a Governança de TI é uma variação da Governança Corporativa res-
ponsável por ações e políticas do negócio. Deve, sempre que implantada, ser aceita e
seguida por todos os colaboradores, sem exceção, para que o processo seja executado
de acordo com o estabelecido.
No plano de implantação de uma Governança de TI, deve-se contemplar tudo que possa
manter um bom nível de segurança da informação em processos no negócio, continui-
dade do mesmo com atualizações sempre que necessário.
Modelos para Governança

A Governança de TI pode se basear em modelos chamados Frameworks, que permitem
uma facilidade maior na elaboração do plano de implantação da Governança de TI.
Os principais modelos são o COBIT®, que a cada nova versão sofre melhorias significati-
vas (4.1 usada neste material) e trabalha com controle de objetivos, auditorias, metas e
performance; o ITIL®, que tem foco no público e não em seus usuários; e o Guia PMBOK®,
que gerencia projetos e oferece meios para a constante melhora profissional dos cola-
boradores.
37
A GTI pode ajudar?

É possível, com a implantação de práticas que proporcionem o melhor gerenciamento
possível às informações do sistema gerenciador. Com isso, podemos evitar vazamento
ou perda de dados; automatização de tarefas afetando a relação custo/benefício; garan-
tir fácil acesso a ferramentas e recursos do negócio; redução de defeitos de software ou
travamentos; inovação de processos na gestão, marketing e vendas; prever riscos.
É preciso compreender esse processo todo de reinvenção do negócio proporcionado
pela Governança de TI, em que uma implantação consciente e bem executada só tem
pontos positivos a oferecer.
Fonte: adaptado de OPServices. Disponível em: <http://www.opservices.com.br/o-que-
-voce-deve-saber-sobre-governanca-de-ti-e-como-ela-pode-ajudar-sua-empresa/>.
Acesso em: 15 maio 2015.
MATERIAL COMPLEMENTAR
Governança de ti: tecnologia da informação

Peter Weill e Jeanne W. Ross
Editora: M. Books
Sinopse: a obra discute como as empresas com melhor
desempenho administram os direitos decisórios de TI na busca
por resultados superiores. Um grande número de iniciativas de TI
tem fracassado em proporcionar os resultados essenciais que as
empresas esperavam. Nesse importante livro, os especialistas Peter
Weill e Jeanne W. Ross explicam por que e mostram exatamente
o que as empresas devem fazer para colher os reais frutos de seus
investimentos em TI.
GERENCIAMENTO DE
II
UNIDADE
SERVIÇOS E PROCESSOS
■■ Apresentar o conceito de Serviço, Central de Serviços e Central Virtual
de Serviços.
■■ Analisar e conceituar a diferenciação de Gerenciamento de
Incidentes e Gerenciamento de Problemas.
■■ Compreender as relações que devem ocorrer entre as pessoas do call
center, os funcionários e os parceiros.
■■ Entender o funcionamento de uma central de serviços.
Plano de Estudo
■■ Ferramenta ITIL®
■■ Gerenciamento de Serviços
■■ Conceito de Serviços
■■ Central de Serviços
■■ Gerenciamento de Incidentes
■■ Gerenciamento de Problemas
41
INTRODUÇÃO
Caro(a) aluno(a), nesta unidade, vamos apresentar como era o funcionamento

das empresas sem o entrosamento entre os demais setores da organização e o
departamento de TI. Conforme foi sendo evidenciada, a dimensão da importân-
cia do setor de TI na tomada de decisão, as empresas perceberam que poderiam
melhorar os atendimentos e produtos/serviços se utilizassem de forma correta
o setor de TI. Para que empresas possam desfrutar das melhores formas para
alcançar os objetivos de negócio, estão utilizando as ferramentas de gestão de
TI disponíveis, como a ITIL®, Cobit®, dentre outras.

Nesta unidade, vamos apresentar uma introdução à ferramenta ITIL®. Essa
ferramenta é composta por livros. Em um breve comentário, conheceremos as
áreas das quais ITIL® faz cobertura. O foco principal será o Gerenciamento de
Serviços apresentando seu conceito, analisando a forma de funcionamento e tam-
bém por que devemos adotar essa gestão. Quando falamos em Serviços, muitas
pessoas os confundem com processos, por isso faremos a diferenciação entre o
primeiro e o segundo.
Entraremos no estudo de centrais de serviços, como elas funcionavam anti-
gamente e como elas estão atuando nos dias de hoje. O Help Desk recebe as
solicitações dos clientes com diferentes objetivos, para reclamar de algum ser-
viço, para solucionar dúvidas, para abrir um chamado ou registrar problemas.
Veremos que as centrais podem estar localizadas dentro das organizações ou
fora delas, sendo assim contratadas empresas terceirizadas.
Neste estudo, descrevo o Gerenciamento de Incidentes, que tem como princi-
pal objetivo o reestabelecimento do serviço o mais breve possível, minimizando,
assim, o impacto negativo que pode causar nos negócios da organização. Ou seja,
deve ser encontrada uma solução paliativa o mais breve possível para que todo o
sistema volte a funcionar sem se preocupar com o que causou o problema. O pri-
meiro setor que recebe a informação de que a organização está com algum tipo
de problema é o da Central de Serviços, que serve como contato para o usuário.
Introdução
II
O ITIL® apresenta seu conceito para um incidente dizendo que ele é uma
interrupção não planejada de algum serviço de TI ou a queda na qualidade do
serviço oferecido. O Gerenciamento de Problemas tem como objetivo a busca, a
localização e a solução do problema que gerou um incidente na organização. Em
organizações de grande porte, o Gerenciamento de Incidentes e o Gerenciamento
de Problemas são dois departamentos individuais, já nas organizações menores
são as mesmas pessoas que exercem essas duas funções.
FERRAMENTA ITIL®
De acordo com os conceitos propostos pela metodologia ITIL®, por muito tempo
as organizações trabalhavam sem a ajuda de departamentos de TI e, mesmo
assim, sempre deram continuidade aos seus negócios. Atualmente, essa realidade
é bem diferente, a TI (Tecnologia da Informação) tem um papel fundamental
para o sucesso da organização e ocorrem situações nas quais ela é o diferencial
competitivo no mercado.
É difícil imaginarmos, hoje, uma empresa que não tenha um departamento
de TI. Podemos citar empresas de pequeno porte ou, até mesmo, microempresas
como padarias, farmácias e outras que têm, no mínimo, um ou dois computado-
res, ajudando na sua administração, no controle de estoque e têm até processo
na tomada de decisão auxiliado pela TI.
Já as empresas de grande porte têm departamentos completos de TI e, em
certos casos, não conseguimos imaginar seu funcionamento sem o apoio desse
departamento, como exemplo, no caso do sistema bancário, seria impossível o
controle das contas correntes sem que houvesse um eficiente departamento de
TI envolvido no controle dos processos, desenvolvimento e manutenção do sis-
tema informatizado.

43
Com o aumento da utilização dos departamentos de TI, vieram também as

fortes pressões para as reduções de custos e, principalmente, o aumento de seus
níveis de serviços, fornecendo mais valor para as organizações. Com o aumento
das preocupações, as empresas necessitaram buscar meios para a melhoria do
gerenciamento destes serviços. Quando se tem um gerenciamento que funcione
e apresente resultados positivos por meio de processos, buscando uma postura
proativa em relação aos usuários, as organizações obtêm maior produtividade.
Para Mansur (2007), os serviços de infraestrutura de TI são tratados pelo geren-
ciamento de serviços de TI.
Investimentos em TI são tratados de forma diferente devido à evolução contí-

nua que ocorre com ela e à crescente necessidade dos demais setores de qualquer
negócio de auxílio da TI para a otimização de seus processos. A TI não é mais
tratada somente por técnicos, e sim por executivos, já que ela foi incorporada
na empresa para alcançar objetivos de negócios.
Com o cenário da TI hoje em dia, que aparece com grande importância para
a organização em relação aos seus negócios, buscando sempre uma otimização
dos processos de redução de custos e riscos, muitos frameworks de processos e
melhores práticas foram sendo criados.
A Figura 7 apresenta esta evolução dos frameworks e seus níveis de maturi-
dade em relação ao Gerenciamento de Serviços:
Maturidade do Gerenciamento de TI
ISO 20.000
BSI 15000
BSI CODE &
OGCITIL 2
HP ITSM
ITIL
IBM ISMA
Idade
Escura da TI
Tempo
1970 1980 1990 2000 2005
Figura 7: Evolução dos frameworks de gerenciamento de TI
Fonte: Ferreira (2015).
Ferramenta Itil®
II
Para ajudar e facilitar o gerenciamento de serviços, foi desenvolvido um

conjunto de melhores práticas, denominado ITIL® (Information Technology
Infrastructure Library). Para que as organizações possam encontrar confiabilidade,
uma disponibilidade maior dos serviços e, ainda, uma redução considerável dos
custos, foi desenvolvido esse conjunto de melhores práticas. Ele foi criado pelo
Governo Britânico em 1980 e se tornou padrão no mercado financeiro por pro-
blemas de grande proporção.
Esse conjunto é uma biblioteca composta de sete livros principais, não se
tratando de uma metodologia, e sim de um conjunto de melhores práticas que
várias empresas adotaram. Atualmente, é o método mais usado e considerado
o melhor para o Gerenciamento de Serviços de um departamento de TI, sendo
usado por milhares de empresas no mundo todo.
Como podemos observar na Figura 8, o processo da ITIL® tem duas áreas
principais de cobertura: a primeira, sendo a área de Suporte ao Serviço em que
se concentram as tarefas diárias e o Suporte aos Serviços de TI; a segunda, a
Entrega do Serviço, em que se concentra o planejamento a longo prazo e o seu
melhoramento.
PLANEJAMENTO PARA IMPLEMENTAR O

A TECNOLOGIA
GERENCIAMENTO DE SERVIÇOS
O NEGÓCIO
A SUPORTE AO SERVIÇO GERENCIAMENTO

PERSPECTIVA DA
DO NEGÓCIO INFRAESTRUTURA
DA TIC
ENTREGA DO SERVIÇO
GERENCIAMENTO
DA SEGURANÇA
GERENCIAMENTO DE APLICAÇÕES
Figura 8: Os 7 livros que compõem a ferramenta ITIL®
Fonte: Magalhães e Pinheiro (2007 apud RÓS, 2009, p. 9).

45
GERENCIAMENTO DE SERVIÇOS
A junção formada por pessoas, ferramentas e processos é denominada

Gerenciamento de Serviços e eles trabalham para garantir a qualidade dos ser-
viços com acordos pré-definidos.
Para acompanhar a performance, a maneira mais fácil é agrupar os processos
criando métricas de acompanhamento. Quando os processos são bem definidos,
atinge-se com maior objetividade a eficiência e a eficácia. Todos os processos
que não são possíveis de se monitorar tornam-se inviáveis. Se não temos o con-
trole sobre o processo, de nada ele nos serve.

A tecnologia nos dias de hoje se faz muito necessária para prover, com maior
automação, as atividades das organizações.
Como cita Fabiciack (2009), a base do gerenciamento de serviços em TI
separa o processo em pessoas, produtos e processos (conforme Figura 9), que,
juntos, se propõem a garantir a entrega de serviços de qualidade igual ou supe-
rior aos definidos entre prestador e cliente.
GSTI
Pessoas
Processos Produtos
Figura 9: Imagem dos 3 P’s

Fonte: Fabiciack (2009, online).
Gerenciamento de Serviços
II
POR QUE UTILIZAR GERENCIAMENTO DE SERVIÇOS
Para obtermos um resultado positivo em um programa de Gerenciamento de

Serviços, pode-se levar algum tempo. Porém, em curto prazo, podemos obser-
var diferenças ou benefícios. Abaixo, seguem alguns dos principais benefícios
que podemos obter com a implantação do Gerenciamento de Serviços, segundo
Fabiciack (2009, online):
1 – Apresentar uma maior qualidade no serviço, oferecendo um suporte
mais confiável.
2 – Continuidade nos serviços de TI, apresentando segurança e confiabili-
dade e aumentando a habilidade de colocar os serviços em funcionamento de
uma forma mais rápida, causando menor impacto na organização.
3 – A capacidade atual é vista de uma forma mais clara.
4 – Geração de relatórios em níveis gerenciais para o acompanhamento do
desempenho podendo traçar as melhorias que forem necessárias.
5 – O trabalho da equipe de TI fica mais fácil de gerir já que ela está mais
motivada, pois é possível conhecer a carga de trabalho dela.
6 – As entregas dos serviços apresentam maior qualidade e agilidade, gerando
uma maior satisfação para os clientes e usuários.
7 – Dependendo da situação, ocorre uma diminuição dos custos com o
melhor planejamento e controle dos processos internos.
8 – Quando se faz necessária uma mudança, ganha-se em agilidade e con-
fiabilidade. Quando os processos são definidos e controlados, fica mais fácil
planejar e realizar mudanças simultâneas.

47
CONCEITO DE SERVIÇOS
Serviço é qualquer ato ou desempenho que uma parte possa oferecer a outra e
que seja essencialmente intangível e não resulte na propriedade de nada. Sua pro-
dução pode ou não estar vinculada a um produto físico (KOTLER, 1998, p. 412).
Em outras palavras, são componentes que se relacionam fornecidos para um ou
mais suportes de processos de negócio. Serviço será sempre com o que o usu-
ário interage diretamente. Exemplo: um sistema de Cadastramento de clientes
(serviço) é armazenado em um banco de dados MySql (recurso de TI) e cone-
xões de rede (recurso de TI).

Processo: é um conjunto de atividades relacionadas que têm o mesmo obje-
tivo. A regra básica de um processo é possuir entrada de dados, organização de
tarefas e regras e uma saída.
Segundo a ITIL® (online), a Figura 10 demonstra a estrutura de um processo:
Funções Funções Funções
Entradas Saídas
Tarefa Tarefa Tarefa
Regras Regras Regras

Figura 10: Estrutura de processos
Fonte: Arruda (online).
■■ Cada processo pode ser dividido em vários outros processos.

■■ Toda tarefa terá sempre uma entrada e saída.
■■ Cada tarefa será executada por uma função. Pode ser humana ou sistêmica.
■■ Toda função, quando é executada, é controlada por regras.

■■ Todo processo tem um proprietário, ele define o processo em si.
Conceito de Serviços
II
CENTRAL DE SERVIÇOS
A sigla em inglês Service Desk ou Central de

Serviços representa uma função dentro da TI e
seu principal objetivo é ser o ponto de media-
ção entre o cliente e o departamento de TI. De
acordo com a Ferreira (2015, online), “a pro-
posta sugerida é separar dentro das tarefas
de TI quem faz parte do suporte ao usuário e
quem vai realizar atividade de resolução dos
problemas e desenvolvimento”.
Ter uma área com suporte aos usuários
traz grandes benefícios, pois o suporte é mais eficiente e muito mais rápido no
atendimento, ganhando em tempo e qualidade. Por outro lado, a equipe de TI
torna-se mais eficiente, sendo que o especialista não precisa desviar sua função
e seus afazeres para atender os usuários.
Uma coisa que é bastante irritante e desagradável é você ligar para um número
de suporte e começar as transferências de uma pessoa para outra até que se con-
siga chegar ao departamento no qual uma pessoa resolva o seu problema.
Quando temos a Central de Serviços, é mais fácil passar a ligação para o
departamento do qual você necessita, o qual sempre terá pessoas focadas na
resolução das solicitações dos usuários, evitando, assim, que o usuário entre em
contato direto com as equipes de suporte e desenvolvimento.
Certamente, você já ligou para um Help Desk e conhece o seu funciona-
mento, a Central de Serviços é uma evolução desse conceito. O antigo setor de
Help Desk resolve os problemas básicos de hardware e software, enquanto que a
Central de Serviços atende a todas as solicitações dos usuários que são voltadas
para os serviços prestados pela área de TI.
Os principais objetivos das centrais de serviços são:
- Funcionar como o ponto central de contato entre os usuários e o departa-
mento de TI. A Central de Serviços funciona como 1º nível de suporte ao usuário.

49
- Retomar os serviços o mais breve possível utilizando as ferramentas e infor-

mações como: Erros conhecidos – Base de conhecimento – para que o impacto
seja o menor possível.
- Oferecer qualidade no suporte para atender aos objetivos de negócio da
organização. Treinamento e atualização da equipe é a base para um bom aten-
dimento, assim como ter conhecimento de todos os serviços que são fornecidos
e entender o impacto de uma parada para a organização.
- Gerenciar todos os incidentes até o seu término. O processo de Gerenciamento
de Incidentes é de responsabilidade da Central de Serviços. É a Central de Serviços
que monitora as ANS - Acordos de Níveis de Serviços (SLA, em inglês).

- Quando ocorre uma mudança, a Central de Serviços oferece o suporte
informando quando ela ocorrerá.
- Prover um suporte de alta qualidade, aumentado, com isso, a satisfação
dos usuários e estando sempre prontas para atender às solicitações dos eventos
de incidentes o mais breve possível.
- Maximizar a disponibilidade dos serviços.
De acordo com Bon (2008), podemos citar as principais atividades de uma
Central de Serviços como: receber e gravar chamadas de usuários, gravar e acom-
panhar ocorrências, comunicar mudanças previstas em níveis de serviço, encerrar
ocorrências, mantendo usuários informados sobre o andamento do processo,
gerar relatórios para análise, identificar necessidade de treinamentos, auxiliar
na identificação de problemas e prover informações gerenciais.
Quando temos um problema e opiniões diferentes sobre ele, podemos dizer

que temos um conflito. Esse artigo apresenta cinco dicas para evitar o confli-
to em que o convívio é mais intenso.
Para ler a reportagem, acesse o link disponível em: <http://exame.abril.
com.br/pme/noticias/5-maneiras-de-lidar-com-conflitos-na-sua-empresa>.
Acesso em: 10 jun. 2015.
Fonte: os autores.
Central de Serviços
II
TIPOS DE CENTRAIS DE SERVIÇO
Conforme Bon (2008), os tipos básicos de serviços prestados podem ser:

■■ Call Center ou Central de Atendimento: é o departamento responsável
por maiores volumes de atendimento, servindo como primeiro contato
para um correto direcionamento dos atendimentos para os devidos setores.
■■ Help Desk ou Central de Suporte: age no atendimento às requisições de
clientes prestando auxílio para a solução de ocorrências dos mesmos, ten-
tando não deixar de atender a nenhuma dessas ocorrências.
■■ Service Desk ou Central de Serviços: abrange serviços que possam
influenciar no processo de negócio, tratando de ocorrências, alterações
em processos ou serviços e solucionando questionamentos.
■■ Central de Serviço Centralizada: centraliza atendimentos, otimiza os
custos e facilita o controle do serviço prestado, melhorando também o
uso de recursos disponíveis.
■■ Central de Serviços Virtual: permite que sem um centro local físico de

51
operações, seja possível um atendimento em tempo integral, a partir de

locais variados, não necessariamente sob o comando do negócio.
RELACIONAMENTOS
A Central de Serviços é o ponto central que atende a todas as solicitações dos

usuários que necessitam de serviços de TI, com isso, ela deve ter vínculo com
todos os processos da ITIL®. Dependendo do processo, esse vínculo é mais per-
ceptível do que os outros.

Segundo a ITIL®, a Central de Serviços tem um papel importantíssimo dentro
do processo de Gerenciamento de Incidentes, já que todos os incidentes devem
ser registrados, formando, assim, uma base de dados com as informações.
Um incidente pode ser gerado por erros na configuração de um software,
com o registro, e pode ser feito um rastreamento para localizar e resolver esse
problema na infraestrutura.
Essas informações também ajudam a resolver incidentes que possam ocor-
rer outras vezes, buscando as informações relacionadas aos ocorridos em outro
momento.
Tem momentos em que são necessárias mudanças pequenas na infraestrutura
realizada pela Central de Serviços, já que ela (Central de Serviço) tem vínculo
com o Gerenciamento de Mudanças e com o Gerenciamento de Liberações.
A Central de Serviços monitora os níveis de suporte informando se a solução
do incidente foi dentro dos níveis definidos e previstos pela SLA, gerando, assim,
um vínculo com o Gerenciamento de Nível de Serviço. A Central de Serviços
reportará ao Gerenciamento do Nível de Serviços caso os serviços não sejam
restaurados dentro dos prazos previstos e também se os procedimentos de esca-
lonamento não estiverem bem definidos para alcançar os prazos pré-definidos.
Quando é implantada uma Central de Serviços na organização, alguns
benefícios são conquistados, tais como: melhoria do suporte técnico, ganho na
velocidade de atendimento aos usuários, melhoria do gerenciamento da infor-
mação, que serve para os executivos da organização tomarem decisões relativas
ao suporte de TI (MAGALHÃES; PINHEIRO, 2007).
Central de Serviços
II
GERENCIAMENTO DE INCIDENTES
O principal objetivo do Gerenciamento de Incidentes é a restauração dos servi-

ços o mais rápido possível e, com isso, minimizar o impacto negativo que pode
ser causado no negócio. É uma solução emergencial rápida, trazendo o cliente
de volta para o negócio, com a restauração dos serviços necessários, da forma
mais breve possível.
DEFINIÇÃO DE INCIDENTE
Para a ITIL®, um incidente é uma interrupção não planejada de um serviço de

TI ou uma redução na qualidade de um serviço de TI. Falhas de itens de confi-
gurações, mesmo que ainda não tenham gerado impacto em algum serviço de
TI, também são consideradas Incidentes. Como exemplo, temos a falha de um
disco rígido, que compõe um conjunto de discos espelhados.
A ITIL® trata de vários processos, dentre eles, existem dois que são muito
parecidos, porém, têm objetivos diferentes: o Gerenciamento de Incidentes e o
Gerenciamento de Problemas.
O Gerenciamento de Incidentes tem como foco primário a restauração dos
serviços, o mais breve possível, causando um menor impacto no negócio e garan-
tindo os níveis de qualidade e disponibilidade dos serviços.
Já o Gerenciamento de Problemas tem como foco principal identificar e
resolver problemas e a remoção de erros do ambiente de TI por meio das buscas
registradas pela Central de Serviços, quando um incidente ocorre, garantindo,
com isso, máxima estabilidade e disponibilidade dos serviços.
Para a ITIL®, o processo de gerenciamento de ocorrências deve resolver
incidentes no menor tempo, de acordo com normas acordadas; manter usuá-
rios informados; manter prazos ajustando ocorrências para grupos competentes;
avaliar ocorrências e possíveis causas, acionando uma equipe própria para o
gerenciamento de problemas. O gerenciamento de ocorrências não verifica nem
identifica causas de ocorrências e pode apenas auxiliar o setor de gerenciamento
de problemas.

53
O Gerenciamento de Incidentes tem um escopo bem amplo e alguns des-

ses serviços afetam diretamente o usuário, tais como: Problemas no hardware,
Erros de Software, Solicitações de informações, Solicitação de alteração de equi-
pamentos, Alteração de Senha, Entrada de novos colaboradores na organização,
Solicitação de suprimentos e Problemas de desempenho.
DESCRIÇÃO DO PROCESSO
Esse processo de Gerenciamento de Incidentes possui alguns conceitos que deter-

minam o seu funcionamento, tais como:
Problema: causa desconhecida de um ou mais incidentes.
Solução de Contorno: uma solução rápida que permite reestabelecer os
serviços.
Erro Conhecido: um erro, do qual se conhece a origem e para o qual existe
uma solução emergencial.
Base de Dados de Erros Conhecidos: local de armazenamento dos erros
conhecidos e já corrigidos. É a base de conhecimento.
Todo processo tem uma entrada e saída. Nesse caso, a entrada primária são
os incidentes. A Figura 11 mostra que os incidentes podem aparecer de várias
fontes, como equipamentos de rede, equipes de operação, usuários ou sistemas
de monitoramento que identificam alguma irregularidade no sistema. Quando
um erro já foi registrado pela equipe de Gerenciamento de Incidentes, ele fica
armazenado em uma Base de Erros Conhecidos e, assim, ajuda a resolver inci-
dentes de uma forma mais rápida.
A Base de Dados de Gerenciamento de Configuração (BDGC) ajuda a iden-
tificar o item de configuração que está relacionado com o incidente, os incidentes
anteriores ou até as mudanças que foram registradas, os problemas que estão em
aberto sem resolução e seu possível impacto e outros itens relacionados ao inci-
dente. Algumas solicitações que são feitas pelos usuários podem necessitar de
um Registro de Mudança, como, por exemplo, uma regra nova de negócio ou
até uma instalação de um novo componente (BON, 2008).
Gerenciamento de Incidentes
II
ENTRADAS E SAÍDAS DOS PROCESSOS
Incidentes entram no processo Procedimentos de

Requisição de Serviço
Central de Roteamento
Serviços
RDM
Processo de Gestão de Incidentes
. Detecção e Registro de Incidentes Gestão de
Operações . Classificação e Suporte Inicial Mudanças
. Diagnóstico e Resolução
. Recuperação
. Encerramento BD de Problemas
Redes . Propriedade, Monitoração. e Erros conhecidos
Outras fontes Detalhes Soluções

de Incidentes Configuração de contorno
BDGC
Figura 11: Principais entradas e saídas desse processo

ATIVIDADES
Pelo padrão ITIL®, o gerenciamento de ocorrências cita algumas ações comuns,

como: detecção de ocorrências e seu devido registro, ordenação e auxílio no iní-
cio das operações, solução de problemas, restaurações necessárias e diagnósticos,
dentre outras ações pertinentes.

55
A Figura 12 mostra as atividades durante o processo de Gerenciamento de

Incidentes.
Gerência de Incidentes
. Registrar os Detalhes Básicos do Incidente.
. Categorização: hardware/software/requisição/segurança.
Registro . Priorização (Baseado no SLA): Impacto (efeito sobre o negócio).
. Urgência (rapidez com que o Incidente deve ser resolvido).
Ciclo de Vida do Incidente
Classificação e . Avaliar detalhes do Incidente e buscar soluções rápidas.

Suporte Inicial
Requisição S Requisição de
. Análise do Incidente na busca rápida de uma solução
de Serviço? Serviço permanente ou de contorno.
N . Execução das ações para restauração - solução de

contorno ou permanente (executadas geralmente
Investigação e pelo 2º ou 3º níveis).
Diagnóstico . Registrar eventos (acontecimentos) e ações
executadas.
Resolução e . Após o serviço restaurado, o solucionador avisa a
Recuperação
Central de Serviços.
. A Central de Serviços contacta o Usuário/Cliente
para verificar se a solução oferecida restaurou o
serviço dentro do esperado.
Fechamento . Se for o caso, o incidente pode ser fechado.
. Os registros serão sempre utilizados como históricos.
Figura 12: Processo de Gerenciamento de Incidente

Fonte: CCE USP (apud RÓS, 2009, p. 16).
Todos os processos executados na área de TI precisam ser acompanhados. Isso

ocorre com um incidente também, em que a equipe de Gerenciamento de TI
define e gera relatórios das atividades de ocorrências.
O Gerenciamento de Incidentes é o processo mais reativo, pois entra em ação
a partir dos relatos de incidentes apresentados por usuários ou sistemas de moni-
toramento. Esse Gerenciamento é vital para a agilidade e disponibilidade dos
serviços de TI em uma organização. Lembrando que todas as informações regis-
tradas pela equipe de Gerenciamento de Incidentes serão de suma importância
para ajudar no processo de resolução deles quando a equipe de Gerenciamento
de Problemas entrar em ação.
II
DETECÇÃO DE INCIDENTE DE REGISTRO
O suporte a usuários é uma ação essencial, como sugere o padrão ITIL®. Após
um contato feito, via internet ou telefone, um chamado é aberto, acionando o
setor responsável.
Quando o chamado é aberto internamente via intranet, isso reduz conges-
tionamentos em linhas telefônicas e permite muitas vezes que a resposta seja
mais rápida, pois, assim que possível, o chamado já será verificado, sendo que,
via telefone, pode acontecer de não ser possível abrir o chamado.
O controle e o monitoramento interno têm como foco as atividades e itens de
uma equipe ou departamento. Um gerente de recepção de serviços pode moni-
torar um número de chamadas para determinar quantos membros da equipe
são necessários para atendimento via telefone (BON, 2008).
O registro de todos os chamados, resolvidos em tempo real, não resolvidos
em momento algum, ou aqueles que ainda serão atendidos na medida do pos-
sível, de acordo com a ordem de precedência dos chamados, é extremamente
importante, seja por causa de simples histórico, seja para o acompanhamento
do atendimento.
CLASSIFICAÇÃO E SUPORTE INICIAL
Incidentes seguem regras em que são ordenados e em que ocorrências recor-

rentes ou já solucionadas são indicadas em relatórios para feedback e controle
de planos de ação.
É possível classificar ocorrências via software, como planilhas do Excel, ou
via hardware, como equipamentos de rede, tais como: switches e impressoras.
Cada ocorrência é priorizada e, com essa ordem, os atendimentos podem ser
agendados e executados, podendo-se usar critérios, como indicação de urgência
ou nível de impacto nos processos afetados. A Figura 13 mostra um exemplo de
tabela de impacto e urgência para ocorrências.

57
IMPACTO
Alto Médio Baixo
Urgência Alta 1 2 3
Média 2 3 4
Baixa 3 4 5
Impacto = Criticidade para o negócio

Urgência = Velocidade
Figura 13: Impacto e Urgência

A Figura 14 mostra uma tabela que é uma sugestão de classificação para as empre-
sas trabalharem, podendo ser alterada conforme as necessidades da organização. A
prioridade será utilizada para a definição do prazo para a resolução do Incidente.
Prioridade Descrição Tempo para atendimento

1 Crítica 1 hora
2 Alta 4 horas
3 Média 24 horas
4 Baixa 48 horas
5 Planejada -
Figura 14: Tabela de Prioridades
Assim que o registro do incidente é gerado, começam as investigações e os

diagnósticos para a resolução desse incidente. Se a Central de Serviços não puder
resolvê-lo, ele será encaminhado para outros níveis de suporte que também farão
uma investigação do incidente e que trabalharão com ferramentas conhecidas,
como, por exemplo, a base de dados de Erros Conhecidos. Qualquer ocorrência
de incidente tem que ser registrada e também têm que ser atualizadas as ações
executadas por todas as equipes que atuarem no incidente.
Em caso de a solução não ser direta para uma ocorrência, pode ser necessária
a intervenção de uma equipe de gerenciamento de mudanças, mas independente
de ocorrerem ou não mudanças, ao fim do processo e solucionada a ocorrência,
esta é encerrada e a devida comunicação é feita com o solicitante da ocorrência.
II
Durante todo o ciclo de vida do incidente é importante que a Central de

Serviços permaneça como a responsável pelo incidente ficando também para
ela a responsabilidade de encerramento. Com essa determinação, a organização
ganha um comprometimento maior da Central para o cumprimento dos pra-
zos, escalando o incidente para as equipes disponíveis, quando for necessário.
Sempre que o usuário entrar em contato com a Central de Serviços terá uma
pronta informação sobre as suas ocorrências, já que a Central é a proprietária
do incidente até o seu fechamento.
REGRAS DE SUPORTE
Para a ITIL®, a Central de Serviços sempre fará o primeiro nível de suporte

abrindo o chamado (registro), classificação, encaminhamento, resolução e fecha-
mento dos incidentes.
O segundo e terceiro nível de suporte são responsáveis pela investigação,
diagnóstico e recuperação dos incidentes. As equipes que trabalham no segundo
nível têm conhecimentos técnicos com maior profundidade sobre o assunto, tais
como: programadores, consultores, analistas de negócio, administradores de
rede. Já a equipe do terceiro nível é formada pelos fornecedores de Hardware e
Software. Certamente, esses níveis variam de acordo com o tamanho do depar-
tamento de TI. Veja essa definição na Figura 15.

59
Service Deski - 1º Nível 2º Nível 3º Nível n Nível

Detectar e
registrar
Procedimento S
de requisição Requisição
de Serviço
N
Suporte
inicial
N Investigar
Resolvido
Diagnosticar
Solução N Investigar
Resolvido
Restauração Diagnosticar
Solução N
Restauração
Resolvido etc
Solução
Restauração
Fechar
Figura 15: Diferentes níveis de suporte para a resolução de um incidente

Podemos escalonar ocorrências como funcionais ou hierárquicas. As ocor-

rências funcionais são escalonadas para equipes com maior experiência, focadas
no tipo em questão de ocorrências funcionais, ou para a equipe da Central de
Serviços, em ocorrências hierárquicas com necessidade de maior influência na
tomada de decisões. Observe, na Figura 16, os diversos tipos de relacionamentos.
II
Diretor
Gerente 1 Gerente 2
Hierárquico
Desktop Aplicações Operações Rede
Funcional
Figura 16: Diferentes tipos de relacionamentos
GERENCIAMENTO DE PROBLEMAS
Quando ocorre um problema em uma organização, como a parada de um ser-

vidor ou um congestionamento na rede, que atrapalhe as operações de uma
organização, entra em cena a equipe de Gerenciamento de Incidentes, que tem
por objetivo minimizar o impacto e possibilitar o retorno mais rápido possível
das operações com menor prejuízo possível.
Dado o incidente, após o retorno das atividades, entra a equipe de
Gerenciamento de Problemas, que tem como principal objetivo descobrir a
verdadeira causa que gerou a parada do serviço. Podemos citar como exemplo
os servidores de banco de dados de uma determinada empresa que, em certo
momento, tem seu disco rígido (HD) sem espaço para gravações dos usuários.
Entra o primeiro time, que é a equipe de gerenciamento de incidentes, para
colocar de volta em funcionamento o BD. Essa equipe poderia simplesmente
trocar o HD, colocando um novo, com todos os aplicativos que são usados pela
organização. Na sequência, entra a equipe de gerenciamento de problemas para
resolver por que não ocorreu nenhum aviso, por que nenhum alarme foi dis-
parado. Certamente, deve ter ocorrido um erro de configuração ou defeito do
equipamento. Descobrindo o problema, a equipe acerta os erros.

61
DEFINIÇÕES
■■ Incidente: é a interrupção do serviço ou redução na qualidade deste

(falhas, questionamentos dos usuários, entre outros).
■■ Problemas: são a causa para um ou mais incidentes (devem ser
determinados).
Quando olhamos para o gerenciamento de incidentes e para o gerenciamento de

problemas, observamos que são processos separados, porém, quando estão em
operação na resolução de uma ocorrência, são processos que estão interligados.

Mas há uma diferença substancial entre os dois gerenciamentos. O Gerenciamento
de Incidentes busca a recuperação mais rápida possível da operação ou serviço,
não busca ou investiga a causa que gerou a ocorrência. O Gerenciamento de
Problema faz a investigação do real problema que parou o serviço da organiza-
ção e apresenta uma proposta para resolvê-lo.
Um dos grandes problemas da qualidade da solução para uma ocorrên-
cia é o acúmulo de chamados dentro de uma Central de Serviços fazendo com
que o incidente apareça novamente e, com isso, ocupando o tempo da equipe
de suporte para resolver o incidente. Ou seja, a equipe de suporte dificilmente
resolve o problema de forma definitiva por falta de tempo.
Dentre as formas existentes de reduzir a quantidade de incidentes temos
a de eliminar a sua recorrência, por meio das equipes, buscando os inciden-
tes gerados a partir de causas não conhecidas, analisando e corrigindo para
que não voltem a ocorrer. Um processo com causa não identificada terá tam-
bém que se preocupar com o registro de todos os Erros Conhecidos e Soluções
de Contorno, gerando um maior nível de conhecimento e, assim, a maioria dos
incidentes pode ser resolvida no 1º nível de suporte. Grande parte das organiza-
ções consegue resolver 80% dos seus incidentes no 1º nível de suporte mediante
a Base de Conhecimento.
Gerenciamento de Problemas
II
OBJETIVO
Segundo ITIL® (online), o Gerenciamento de Problemas tem como meta minimi-

zar a interrupção nos serviços de TI por meio da organização dos recursos para
solucionar problemas de acordo com as necessidades de negócio, prevenindo
a recorrência dos mesmos e registrando informações que melhorem a maneira
pela qual a organização de TI trata dos problemas, resultando em níveis mais
altos de disponibilidade e produtividade.
O processo de Gerenciamento de Problema é o responsável pela resolu-
ção definitiva e prevenção das falhas por trás dos incidentes que afetam
o funcionamento normal dos serviços de TI. Isto inclui assegurar que
as falhas serão corrigidas, prevenir a reincidência das mesmas e realizar
uma manutenção preventiva que reduza a possibilidade de que venham
a ocorrer (MAGALHÃES; PINHEIRO, online).
PRINCIPAIS CONCEITOS ENVOLVIDOS NESSE PROCESSO
Os principais conceitos envolvidos no processo de gerenciamento de ocorrên-

cias são:
Problema: causa desconhecida de um ou mais incidentes.
Solução de Contorno: uma solução rápida que permite reestabelecer os ser-
viços, mas não é definitiva (Workaround).
Erro Conhecido: (Known Error) Um erro de que se conhece sua origem e
existe uma solução.
Solução: solução definitiva.
Base de Dados de Erros Conhecidos: local de armazenamento dos erros
conhecidos e já corrigidos. É a base de conhecimento.
O Gerenciamento de Problemas é composto por processos que possuem
algumas atividades relevantes. São elas:
Identificação de Problemas: a Central de serviços informa à equipe de
Gerenciamento de Problemas sobre um ou mais incidentes de que desconhece
a causa raiz. Uma equipe de suporte, após ter analisado um incidente, também
pode acionar a equipe de Gerenciamento de Problemas. Por meio das ferramentas

63
de monitoramento, também podem ser identificados erros que automaticamente

registram o problema.
Classificação: todas as chamadas devem ser registradas, pois, assim, podem
ser identificados os problemas mediante os incidentes mais recorrentes.
Priorização: por meio do processo de Impacto e Urgência, deve-se criar um
código para a priorização do problema. As equipes técnicas devem priorizar os
problemas com maior impacto e urgência.
Investigação e Diagnóstico: quando um incidente é tratado, cada equipe de
suporte analisa/investiga qual foi o erro e faz um diagnóstico.
Base de Erros e Conhecimentos: é o local de armazenamento e registro dos

erros conhecidos. Esses registros serão utilizados pelas equipes de Gerenciamento
de Incidentes e de Gerenciamento de Problemas para resolver as ocorrências.
Controle de Erros: faz parte do processo do Gerenciamento de Problema,
que tem como foco principal enviar uma requisição de mudança para que a causa
raiz do problema seja eliminada.
Revisão: o ciclo de vida do processo só se encerra após uma verificação de
se, realmente, o problema foi eliminado do ambiente de produção.
Na Figura 17, você pode conferir como se dá o ciclo de vida de uma ocor-
rência e quais são os possíveis caminhos e ações executadas no decorrer dele.
II
Gerenciamento
Gerenciador Central de Pró-ativo de
de Incidente Serviços Problema
Gerenciador Detecção
de Evento Fornecedor
Registro
Categorização
BDGC
Priorização
Investigação e diagnóstico
Solução de
Contorno
Cria registro de erro conhecido
Gerenciador sim Banco de dados com

Precisa erros conhecidos
de Mudança Mudança?
Resolução e Fechamento
sim não Gerenciamento

Problema Pró-ativo de
Fim grave? Problema
Figura 17: Ciclo de vida do processo

O processo de Gerenciamento de Problema tem como foco encontrar o relacio-

namento entre incidentes, erros conhecidos e problemas. Esses três pontos são
o foco principal para encontrar a causa raiz. No início, abrem-se muitas possi-
bilidades e vai se estreitando essa gama de opções até se encontrar a causa raiz
principal.

65
Banco de Dados do Banco de Dados de

Gerenciamento da Erros Conhecidos
Configuração (BDGC) e Problemas
. Controle de Problemas
. Suporte inicial, classificação e controle
Incidentes de erros
Graves . Apoio no tratamento de incidentes graves Requisição de
. Prevenção Proativa de Problemas Mudança (RDM)
Incidentes . Obtenção de informações gerenciais a
correlacionados partir dos dados de problemas
. Revisão dos principais problemas
Gerenciamento Gerenciamento Gerenciamento

de Mudanças da Configuração de Liberações
Figura 18: Entradas e saídas dos processos envolvidos no Gerenciamento de Problemas

São feitas as seguintes entradas para o processo de Gerenciamento de Problemas:

Registro dos Incidentes Detalhados, Erros Conhecidos, Dados sobre os ICs a
partir do BDGC.
Dados dos outros processos, como o Gerenciamento de Nível de Serviço, têm
as informações sobre os prazos a serem finalizadas as atividades. O Gerenciamento
de Mudanças tem informações sobre alterações recentes realizadas que talvez
façam parte do erro conhecido.
Esses processos terão as seguintes saídas: pode gerar uma RdM – Requisição
de Mudança - para a resolução de um erro conhecido, Dados Gerenciais, Solução
de Contorno, Erros Conhecidos, Manutenção atualizada dos registros de pro-
blemas resolvidos quando um problema foi solucionado.
II
ATIVIDADES
Conforme citado no ITIL®, dentro do padrão estabelecido, quatro atividades

principais representam o gerenciamento de ocorrências: o controle de proble-
mas e erros, o gerenciamento proativo de problemas, a finalização e revisão de
problemas mais graves.
As duas primeiras atividades, que são consideradas as principais, têm como
foco as seguintes metas: a primeira, identificar a causa raiz e apresentar a solução
definitiva; a segunda, acompanhar a resolução do erro e a gestão de mudanças.
CONTROLE DOS PROBLEMAS
É um subprocesso que tem como responsabilidade a identificação de uma causa

raiz dos problemas e a proposição de uma solução definitiva. As atividades do
Controle de Problemas são:
Identificar e Registrar Problemas: vários problemas podem ser identifica-
dos por outros processos que não sejam o Gerenciamento de Problemas.
Classificar Problemas: esse subprocesso tem como finalidade analisar o
impacto do problema junto às SLAs e faz a classificação similar ao incidente –
prioridade = impacto x urgência.
Investigar e Diagnosticar Problemas: é por meio da investigação que acha-
mos a causa do problema.
Elaborar requisição de mudança e fechar o problema: quando o problema
é detectado para resolvê-lo, é necessária uma mudança. Assim, uma requisição
de mudança deve ser enviada para o Gerenciamento de Problemas.
A Figura 19 apresenta o fluxo das atividades dentro do Controle de Problemas.

67
Identificação e Registro do Problema

Acompanhamento e Monitoração de Problemas
Classificação
Investigação e Diagnóstico
RDM, solução e fechamento do Problema
(Controle de Erros)
Figura 19: Fluxo das atividades dentro do Controle de Problemas

Fonte: Ferreira (online).
CONTROLE DE ERROS
É o processo de total eliminação dos Erros Conhecidos (Figura 20). Para as cor-
reções, são necessárias mudanças, com isso, é feita uma Requisição de Mudança
e roteada para o Gerenciamento de Mudança para sua aprovação.
II
(Controle de Problemas)
Acompanhamento e Monitoramento de Erros
Identificação e Registro de Erro
Avaliação
Registra a Solução do Erro
RDM - OK
Monitora as Soluções
Fechar Erro e Problemas Associados

Figura 20: Fluxo de atividades dentro do Controle de Problemas
Quando um erro é detectado, uma solicitação para ele deve ser aberta, na qual
impactos ou riscos devem ser minimizados durante todo o processo de solução,
evitando que esse problema possa afetar outros setores ou pessoas que tenham
ligação direta ou indireta com o evento que originou a ocorrência.
GERENCIAMENTO PROATIVO DE PROBLEMAS
Esse tipo de gerenciamento deve fazer uma verificação de dados obtidos em pro-
cessos distintos no negócio para tentar prever situações propícias para novas
ocorrências, ou seja, a prevenção de problemas mediante a correta verificação de
situações favoráveis às ocorrências. Caso sejam detectadas ocorrências já regis-
tradas, esses dados são destinados ao controle de problemas e erros.

69
Como citado em ITIL®, esforços são essenciais para converterem esforços

em soluções de problemas que ocorram, para que sejam criadas ações proativas
que visem melhorar a confiabilidade e estabilidade dos processos do negócio.
O ideal é a proporção ser muito maior em ações proativas que nas de solução
de ocorrências.
Visando ao uso da proatividade, conforme denota a Figura 21, é preciso ajus-
tar e direcionar esforços e recursos para que, na medida do possível, mesmo em
grandes equipes e demandas de trabalho, essa filosofia possa agregar melhorias
nos processos.
REATIVO PROATIVO
Prevenção de problemas em
outros sistemas e aplicações
Monitoramento do Gerenciamento
de Mudanças
Iniciação de mudanças para combater:

. Ocorrência de incidentes
. Repetição de Incidentes
Identificação de tendência
Identificação do Problema e Diagnóstico do Problema
Fornecer suporte para 2º/3º nível
Figura 21: Atividades da fase reativa para a fase proativa

FERRAMENTAS
Conforme colocado por Santos (2009), o ITIL® considera algumas ferramentas

como o Diagrama de Ishikawa e a Análise de Kepner e Trogoe para a identifica-
ção de problemas e suas causas.
II
O Diagrama de Ishikawa indica quais os efeitos de cada ocorrência em for-

mato de espinha de peixe, como indicado na Figura 22, na qual temos um exemplo
claro de como a ideia se expande a partir de um problema central até subproble-
mas com as possíveis causas indicadas no diagrama.
A partir de ideias para soluções e causas prováveis para ocorrências, o dia-
grama vai sendo construído de forma a sintetizar todo o processo que ocorre
em função de um problema. Ao redor do problema central, nas pontas, ficam
indicados os possíveis geradores dele e, entre o eixo central e as pontas, vão
sendo listados até que todo o problema tenha sido identificado, com suas cau-
sas e abrangência dentro do negócio.
Rede Externos
Roteador DoS
Falha de Ataque hacker
hardware
Placa de rede Arquivos deletados
Site inacessível
DNS
Acesso bloqueado
Configuração Internet
Inacessível
Apache Firewall do cliente Conta
não paga
Servidor Outros
Figura 22: Diagrama de Ishikawa

Fonte: Santos (2009).
A Análise de Kepner e Tregoe é uma técnica que utiliza 4 perguntas para estru-
turar a resolução do problema: “o quê”, “onde”, “quando” e “extensão”. Com base
nesses questionamentos, as possíveis causas são identificadas, a provável causa
deve ser testada e a causa real é verificada.
São sugeridos os seguintes passos para a identificação do problema: definir
o problema; descrever o problema relacionando identidade, localização, tempo
e tamanho; estabilizar possíveis causas; testar a causa mais provável; e verificar
a verdadeira causa.

71
Quando os processos de Gerenciamento de Incidentes e Gerenciamento

de Problemas trabalham em conjunto, de uma forma alinhada, com o mesmo
objetivo, os benefícios e ganhos são significativos para o amadurecimento do
Gerenciamento de Serviços de TI. Para isso, o Gerenciamento de Problemas
precisa agir na causa raiz do problema, com sua identificação e solução dentro
dos prazos determinados.
A seguir, estão algumas vantagens dessa técnica: aumento da produtividade
dos usuários devido à redução das quedas de serviços; a produtividade da equipe
de suporte é bem maior, pois existe em base de erros conhecidos; visão proa-
tiva ao invés de reativa; resolução das ocorrências no primeiro nível de suporte.
Podemos dizer que é bastante complicado inserir as boas práticas dentro

de uma organização. São diversos os fatores que atrapalham a implantação
e execução da Governança de TI, um deles é o porte da empresa. Você sabe
como implantar as boas práticas da ITIL® dentro de uma pequena empresa?
Fonte: os autores.
II
Estudamos, nesta unidade, três assuntos importantes para uma gestão bem suce-
dida dentro de uma organização, no que tange ao setor de informática. Falamos
sobre Gerenciamento de Serviços, Gerenciamento de Incidentes e Gerenciamento
de Problemas.
Gerenciamento de Serviços tem como objetivo prover um serviço de TI com
qualidade e sempre alinhado com as necessidades de negócio de uma organiza-
ção, visando à redução de custos e ao cumprimento dos prazos. Um dos pontos
que deve ter um foco grande é a Central de Serviços. Foram apresentados alguns
tipos de centrais e seus funcionamentos, porém, se os recursos humanos não
seguirem os processos definidos, os problemas continuarão.
Gerenciamento de Incidentes e Gerenciamento de Problemas, em muitas
organizações, são atividades executadas pela mesma equipe, mas devemos divi-
di-las em dois grupos (incidentes e problemas). Gerenciamento de Incidentes,
podemos chamar de corpo de bombeiros, ou seja, é a primeira equipe que deve
apagar o fogo, quando surgir um problema, que a produção de uma organiza-
ção seja afetada, como parada no sistema, lentidão das informações ou outro
problema que possa aparecer. A equipe de incidentes entra para reestabelecer o
mais rápido possível, minimizando os problemas causados pelo incidente. Depois
de restabelecida a normalidade do sistema, entra a equipe de Gerenciamento de
Problemas, que analisa, executa e, se necessário, altera o sistema para que não
ocorra o problema que gerou esse incidente.
Com base nos ensinamentos vistos nesta unidade, no momento que estiver
em uma empresa e surgir algum incidente, saiba separar incidente de problema e,
principalmente, saiba como agir perante cada uma das duas situações. Se dentro
da sua empresa não tem a divisão de equipes para gerenciar incidentes e geren-
ciar problemas, utilize o aprendizado desta unidade para identificar o incidente
com as técnicas apresentadas e para a resolução do problema.

73
1. Quando os processos são bem definidos, atinge-se com maior objetividade a efi-
ciência e eficácia. Todos os processos que não são possíveis monitorar se tornam
inviáveis. Se não temos o controle sobre o processo, de nada nos serve. A base do
Gerenciamento de Serviços de TI pode ser facilmente resumida pelos 3 P’s. Cite
quais são e descreva com suas palavras cada um deles.
2. Help Desk é um setor responsável pela busca por soluções de problemas ocorri-
dos em serviços prestados. Descreva pelo menos 3 objetivos principais das cen-
trais de serviço.
3. A Central de Serviços é a responsável por controlar todos os incidentes informa-
dos e registrá-los. Esse é o primeiro setor para o qual o usuário liga para informar
seu problema. Em nossos estudos, vimos que existem 3 tipos de centrais de ser-
viços. Cite cada uma e, com uma base analítica, descreva as 3 centrais estudadas.
INVESTIMENTO EM TECNOLOGIAS DA INFORMAÇÃO (TI).
Processo Integrador: INVESTIMENTO E MELHORIA EM RECURSOS DE INFORMÁTICA.
Tecnologia da Informação (TI), expressão que vem substituindo o termo “informática”, é
o conjunto de meios tecnológicos e computacionais que permite a produção e a utiliza-
ção da informação.
O custo de investimento em TI não é baixo, principalmente para a pequena empresa, e
sua implantação pressupõe a necessidade de se alterar estruturas, cultura, processos e
hábitos empresariais.
Entretanto, para a maioria das empresas, o investimento e melhorias na área permitem
maior competitividade e produtividade.
A tomada de decisão pelo emprego das Tecnologias da Informação não pode ser isola-
da, pois sua implantação e sua utilização deverão abranger todos os setores da empresa.
Sempre quando se fala em investimentos na área de Tecnologia da Informação, toda
empresa tende a segurar os recursos por achar que devem ser investidos no próprio ne-
gócio. Porém, como podemos ver, nos dias atuais, a Tecnologia da Informação caminha
em conjunto com os objetivos do negócio, ajudando na tomada de decisões, sem contar
que ganha maior competitividade e produtividade.
Quando falamos em investimento no setor de Tecnologia da Informação, devemos, no
primeiro momento, realizar um planejamento de como será realizado esse investimen-
to, quais serão os setores prioritários ou se será investido em toda a empresa. Este artigo
apresenta alguns aspectos importantes para a realização desse planejamento.
Se observarmos com muita atenção, poderemos ver que as empresas informatizadas
não utilizam, de forma totalmente correta, a infraestrutura que detêm ou os recursos
disponíveis que podem auxiliar nos objetivos do negócio.
Neste artigo, é apresentado um exemplo de um Supermercado que adquiriu equipa-
mentos que não estavam homologados pelo órgão responsável e não foi possível utili-
zá-los.
Por isso, todo investimento dentro da área de Tecnologia da Informação deve ser muito
bem planejado, incluindo os órgãos reguladores do negócio da empresa, para que não
ocorram problemas como o citado acima.
Este artigo traz boas informações às quais devemos estar atentos em nosso dia a dia, por
isso, não deixe de ler, tire um tempo a mais e desfrute deste material que está disponível
para você.
Leia mais sobre este artigo em: <http://bis.sebrae.com.br/bis/conteudoPublicacao.zht-
ml?id=2834>. Acesso em: 14 jul. 2015.
Fonte: adaptado de Sebrae (online).
Gerenciamento de Projetos - uma Abordagem Sistêmica para

Planejamento, Programação e Controle
Harold Kerzner
Editora: Blucher
Sinopse: com a leitura dessa obra, o profissional de gerenciamento
de projetos e o estudante que se dedica a aprendê-lo saberão como
adotar uma metodologia de gerenciamento de projetos e como utilizá-
la constantemente, como comprometer-se com o desenvolvimento
de planos eficazes no início de cada projeto. Fornece aos executivos
as informações referentes ao patrocinador do projeto, com foco
nas entregas em vez dos recursos, cultiva a comunicação eficaz,
a cooperação e a confiança para alcançar rápida maturidade em
gerenciamento de projetos, eliminar reuniões improdutivas.
Material Complementar
Professora Esp. Joszislaine da Costa
III
UNIDADE
■■ Entender as motivações que levam pessoas a atacar empresas
usando os computadores.
■■ Analisar algumas formas de ataques usadas pelos hackers.
Plano de Estudo
■■ Governança de Segurança da Informação
■■ Mecanismos para controle de segurança
■■ Combate a ataques e invasões
■■ Detector de Intrusos
■■ Privacidade das Comunicações
■■ O sistema de Gestão da Segurança da Informação ou SGSI
79
INTRODUÇÃO
Nesta terceira unidade, você estudará a Segurança da Informação, incluindo a

tecnologia da informação e as empresas; a governança de segurança da informa-
ção; os fatores motivadores da governança de TI; os mecanismos para controle
de segurança; o combate a ataques e invasões; o detector de intrusos e a priva-
cidade das comunicações.
Embora tenhamos aprendido muito sobre Governança de TI X Governança
Corporativa e Gerenciamento de Serviços e Processos, ainda não analisamos a
Segurança de TI. Com nosso conhecimento recém-adquirido, estudaremos a tec-

nologia da informação, suas funcionalidades e a sua importância, e como fazer
a segurança das empresas.
Recentemente, é possível notar o uso da Tecnologia da Informação em
empresas de todos os portes, desde micro até macroempresas, por menor que
seja a utilização. A Tecnologia da Informação se apresenta de múltiplas formas
dentro de uma organização, como exemplo, podemos citar os computadores, os
sistemas, os antivírus, os firewalls, entre outros. Na Tecnologia da Informação,
há um fator determinante para definir a confiabilidade da organização, que é a
Segurança da Informação.
Para Nakamura e Geus (2007, p. 25),
a necessidade de segurança é um fato que vem transcendendo o limite
da produtividade e da funcionalidade. A velocidade e a eficiência nos
processos de negócios significam uma vantagem competitiva, em con-
trapartida, a falta de segurança nos mesmos pode resultar em grandes
prejuízos e falta de novas oportunidades de negócios.
Devido ao avanço da tecnologia, a Segurança da Informação tem grande impor-

tância nas empresas. As pessoas e as informações são consideradas os seus
principais ativos. Por isso, as organizações necessitam investir em sistema de
informação seguro e na segurança da informação independente do seu porte.
Conforme Laudon e Laudon (2007, p. 32), “das ferramentas de que os adminis-
tradores dispõem, as tecnologias e os sistemas de informação estão entre as mais
importantes para atingir altos níveis de eficiência e produtividade nas operações”.
Introdução
III
Aproveite esta oportunidade de conhecimento aplicando os conhecimentos

adquiridos na prática para entender e atender à demanda do mercado.
Boa leitura!
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO
Segurança da informação é a maneira de proteger a informação na sua integri-
dade. A norma da ABNT - NBR ISO/IEC 27002 (online) define que
Segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunida-
des de negócio.
Segundo Beal (2005), segurança da informação pode ser definida como o pro-
cesso de proteger informações contra ameaças a sua integridade, disponibilidade
e confiabilidade.
A informação é um conjunto de dados organizados que emite uma mensa-
gem sobre um determinado evento. A informação também pode transmitir o
sentido de alguma coisa ou auxiliar na tomada de decisão. E, conforme foi obser-
vado anteriormente pelos autores, a informação é considerada o maior bem de
uma empresa nos dias de hoje e, para protegê-la, é necessário uma administra-
ção estratégica.
Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder”. Ficando
clara a importância de se ter transparência da governança para todos os envolvi-
dos de maneira geral, transparência para com os clientes, investidores e sociedade.
81
Uma organização que é projetada para seu funcionamento competitivo

pode apresentar dificuldades para um modelo de Governança da Segurança da
Informação, já que seus processos nunca param, ou seja, as soluções de segurança
constantemente estão sendo atualizadas e acompanhadas, por isso muitas orga-
nizações comercializam com serviços adicionais. Existe uma dificuldade entre
a competitividade e a aceitação ou rejeição dos riscos, que é o ponto de equilí-
brio da gestão de riscos.
Risco pode ser definido como uma probabilidade de algum impacto acon-
tecer e, com isso, impedir de alcançar o objetivo do projeto.
O conceito de Governança de TI é muito variado, para Fernandes e Abreu

(2008, p. 14), a Governança de TI
busca o compartilhamento das decisões de TI com os demais dirigentes
da organização, assim como estabelece as regras, a organização e os
processos que nortearão o uso de tecnologia da informação [...].
Logo, o ITGI (2007, online) conceitua assim:

A Governança de TI é de responsabilidade da alta administração e con-
siste na liderança, nas estruturas e processos organizacionais que ga-
rantem que a TI da empresa sustente e estenda as estratégias e objetivos
da organização.
Para participar do desenvolvimento da estratégia de segurança e para alinhá-la

com os objetivos do negócio da organização, deverá haver participação de todos
da empresa, desde a direção até a equipe operacional da organização.
Na Figura 23, podemos observar que existe um relacionamento entre a estra-
tégia de negócios, o gerenciamento de riscos e a governança de TI, e que o comitê
diretor e a gerência executiva, juntamente com o CISO, são os responsáveis pela
elaboração do Plano de Ação de Segurança, Políticas e Padrões.
Governança de Segurança da Informação

III
Governança em Segurança da Informação

Objetivos
Diretoria Estratégia de Negócios
Organizacionais
Comitê Diretor e Gerenciamento de Riscos e Requisitos de

Gerência Executiva Estratégia de Segurança da Informação Segurança
CISO / Plano de Ação de Segurança, Políticas Programas de
Comitê Diretor e Padrões Segurança
Implementação
Objetivos de
Segurança
Monitoramento
Métricas
Relatórios
Análises de Tendências
Figura 23: A Governança de Segurança da Informação

Fonte: ITGI (2006).
O sistema da informação é composto por dados sobre os mais diferentes

assuntos, dependendo da necessidade da pessoa, do local ou do momento. Esses
dados são chamados de informações, que passam por três atividades dentro de
uma organização para ajudar na tomada de decisão, são elas: controlar as ope-
rações, analisar problemas e criar novos produtos ou serviços. As informações
passam pelas atividades de Entrada, Processamento e Saída. A Figura 24 mos-
tra todos os elementos descritos nesse processo.
83
AMBIENTE
Fornecedores Clientes
ORGANIZAÇÃO
SISTEMA DE INFORMAÇÃO
Processar
Entrada Classificar Saída
Organizar
Calcular
Feedback
Agências Acionistas Concorrentes

reguladoras
Figura 24: Passos da informação dentro de uma organização

Fonte: adaptada de Nascimento (2011, online).
A primeira atividade é a entrada e tem como função capturar e organizar os

dados para o processamento. A segunda atividade é o processamento, em que
os dados são transformados em atividade de processamento. Os dados subme-
tidos a essa atividade são convertidos em informação para os usuários finais. A
terceira atividade é a saída, em que os dados são transmitidos aos usuários finais
e colocados à disposição deles.
As empresas têm grande necessidade dos sistemas de informação com algu-
mas atividades que são totalmente dependentes. As diretorias devem estruturar
e coordenar da melhor maneira possível as diversas aplicações utilizadas em
sistemas empresariais, para que possam atender às necessidades de cada um de
forma geral.
SEGURANÇA DA INFORMAÇÃO NA ORGANIZAÇÃO
Todos os funcionários da empresa, sejam eles terceirizados ou parceiros, devem

saber que existem normas e procedimentos a serem seguidos para que seja pos-
sível realizar a proteção das informações na empresa.

III
Ao falar sobre definição de Segurança da Informação, é importante citar

Peixoto (2006, p. 37), quando diz que:
O termo segurança da informação pode ser designado como uma área
do conhecimento que salvaguarda os chamados ativos da informação,
contra acessos indevidos, modificações não autorizadas ou até mesmo
de sua não disponibilidade.
A Segurança da Informação é composta por três pilares, são eles: Confidencialidade,

Integridade e Disponibilidade.
Quanto à análise da Confidencialidade, Peixoto (2006) traz a seguinte
definição:
Confidencialidade: Toda informação deve ser protegida de acordo
com o grau de sigilo de seu conteúdo, visando a limitação de seu acesso
e uso apenas às pessoas para quem elas são destinadas. A tramitação
das informações deve contar com a segurança de que elas cheguem ao
seu destino final, sem que se dissipem para outros meios ou lugares
onde não deveriam passar. Recursos como criptografar (vide 4.3.6.1.3.1
Criptografia, págs. 37-38) as informações enviadas, autenticações, den-
tre outros, são válidos desde que mantenham também a integridade
destas informações.
A Integridade, conforme Peixoto (2006):

Integridade: Toda informação deve ser mantida na mesma condição
em que foi disponibilizada pelo seu proprietário, visando protegê-las
contra alterações indevidas, intencionais ou acidentais. As informações
não podem ter sofrido nenhum tipo de modificação ou alteração com-
prometendo sua real veracidade, levando à perda da integridade que
continham quando partiram da origem.
Peixoto (2006) faz a seguinte observação sobre Disponibilidade:

Disponibilidade: Toda informação gerada ou adquirida por um indi-
víduo ou instituição deve estar disponível aos seus usuários no mo-
mento em que ele necessitarem delas para qualquer finalidade. Conse-
guir manter essa estrutura da passagem destas informações de forma
confiável e íntegra sem que haja a enorme dificuldade ou até mesmo a
impossibilidade de captar de forma viável tais informações.
Alguns autores incluem mais dois pilares básicos que consistem em: não repú-
dio e autenticidade.
85
Independente da forma ou dos pilares que se adote, para que seja possível
uma segurança eficaz, deve haver a participação de todos da empresa.
Segurança é o embasamento de que as empresas precisam para poder criar
oportunidades de negócio. Os negócios estão cada vez mais dependentes da tec-
nologia que, por sua vez, necessitam ter segurança. Para garantir a segurança das
informações, é necessário utilizar os princípios de segurança.
Quando a segurança da informação se encontra de acordo com as regras da
empresa, ela colabora com a produtividade dos funcionários por meio da orga-
nização do ambiente, controlando os recursos de informática e melhorando o
uso das aplicações críticas.

Para Stoneburner (2001), só conseguimos uma segurança eficiente por meio da
relação e implementação dos quatro princípios de segurança: Confidencialidade,
Integridade, Disponibilidade e Auditoria. Veja na Figura 25.
Confidencialidade Integridade
Integridade Confidencialidade
Disponibilidade Auditoria
Confidencialidade Integridade Confidencialidade Integridade
SEGURANÇA
Figura 25: Quatro princípios da segurança

Fonte: Laureano (2005).
Quando há Confidencialidade, Integridade, Disponibilidade e Auditoria nas

dimensões adequadas, os sistemas de informação serão mais confiáveis pois com
a presença destas estruturas básicas da segurança da informação.

III
Se não houver integridade no sistema, a confidencialidade não será possível,

pois a confidencialidade depende da integridade das informações. A integridade
depende da confidencialidade. A auditoria e a disponibilidade são dependentes
da integridade e da confidencialidade. A auditoria é o registro histórico do sis-
tema e a disponibilidade é a informação na sua forma original, sem alteração.
CONCEITOS IMPORTANTES
Primeiramente, vamos conhecer o conceito do que é ameaça. O termo vem da
expressão em inglês “threat” e, segundo Shirey (2000), existem vários tipos de
ameaças. A ameaça é uma violação da segurança. Ocorre quando, em uma circuns-
tância, uma ação ou evento rompe a segurança e pode causar danos ao sistema.
Uma ameaça é qualquer ação que aproveita da vulnerabilidade do sistema
para ocasionar possíveis danos, perdas ou prejuízos aos negócios da empresa. As
ameaças podem ocorrer a qualquer momento e podem gerar impactos ao negó-
cio desde que comprometa a relação dos atributos Confidencialidade, Integridade
e Disponibilidade.
A ameaça, segundo Couto (1988, p. 329), é “qualquer acontecimento ou ação
(em curso ou previsível) que contraria a consecução de um objetivo e que, nor-
malmente, é causador de danos, materiais ou morais. As ameaças podem ser de
variada natureza”.
Uma ameaça inteligente é o momento em que o invasor tem o potencial
técnico e operacional para detectar e explorar uma vulnerabilidade do sistema.
Ameaça de Análise é a análise da probabilidade de ocorrências e dos resulta-
dos de ações prejudiciais a um sistema. As consequências de uma ameaça são o
resultado da ação de uma ameaça à violação que abrange a divulgação, a extra-
ção, a decepção e o rompimento.
As ameaças podem ser qualificadas quanto as suas intencionalidades em
ameaças naturais, voluntárias e involuntárias. Ameaças naturais são provoca-
das por fenômenos naturais, como incêndios naturais, enchentes, tempestades,
terremotos, entre outros. Ameaças involuntárias são provocadas por interven-
ção humana ou não. São causadas por motivo inconsciente, desconhecimento
87
ou descuido, são ameaças do tipo falta de energia, erro do usuário, funcioná-

rio mal treinado e outros. As ameaças voluntárias são provocadas pelo homem
propositalmente para criar incidente de segurança, como hackers, espiões, cria-
dores de vírus etc.
Os sistemas de informações podem sofrer alguns tipos de ameaças:
■■ Falha de Hardware ou software.
■■ Ações humanas.
■■ Invasão por terminais de acesso.
■■ Roubo de dados e equipamentos.

■■ Incêndio.
■■ Problemas elétricos.
■■ Erros de usuários.
■■ Mudanças no programa.
■■ Problemas de telecomunicação.
Essas ameaças podem ser geradas por alguns fatores técnicos, organizacionais e
ambientais, podendo ainda ser agravadas por decisões erradas por parte da dire-
toria da organização (LAUDON; LAUDON, 2004).
ATAQUES
“Attack” ou ataque, que é um termo derivado do inglês. Existem vários tipos de

ataques, os quais podemos definir como um tipo de assalto ao sistema de segu-
rança que deriva de uma ameaça inteligente, isto é, uma tentativa deliberada
para invadir os serviços de segurança e violar as políticas do sistema (SHIREY,
2000). Quando existe uma tentativa de quebra dos princípios apresentados acima,
isto é, a tentativa de desvio dos controles de segurança do sistema, dizemos que
ocorreu um ataque.

III
Podemos chamar um ataque de ativo, quando ocorre alteração dos dados.

Podemos chamar de ataque passivo, quando ocorre liberação dos dados. E, ainda,
de destrutivo, quando é negado o acesso aos dados ou aos serviços (WADLOW,
2000).
Quando é detectado um ataque, não significa exatamente que ele terá sucesso.
Dependendo da vulnerabilidade do sistema, o ataque pode ter sucesso ou não,
como também das contramedidas existentes na organização.
Conforme Stallings (2006), são classificados em quatro os ataques mais
comuns de segurança: interrupção, interceptação, modificação e fabricação.
Esses ataques podem ocasionar a perda da disponibilidade, confidencialidade e
integridade das informações.
Ataque por interrupção é um recurso do sistema apagado ou colocado indis-
ponível. Ataque por interceptação aceita uma entidade não autorizada capturar
certa notícia. Ataque por Modificação é uma entidade não permitida ter acesso
a certo recurso e fazer modificação. Ataque por fabricação é uma autoridade não
autorizada se passar por outra determinando artefatos falsos.
Corroborando esse conceito, valiosas são as abordagens de Silva (2004, p.
87-90) para Interrupção: “Neste ataque não se pretende interceptar nenhuma
informação para fins escusos. Antes, seu propósito é meramente prejudicar a
comunicação entre as partes interessadas pela informação”.
Continua Silva (2004, p. 88),
A interceptação é considerada um dos ataques mais perigosos na tran-
sação entre as partes interessadas na informação. Isso se deve ao fato
de não se saber qual é a intenção do atacante e é um ataque de difícil
detecção, uma vez que o atacante não demonstra nenhuma ação du-
rante a escuta.
Para Silva (2004, p. 89), modificação é o tipo de ataque que “visa especificamente
um benefício financeiro do atacante ou um prejuízo à idoneidade da informa-
ção”. Por exemplo, uma informação irreal poderá ser propagada e, assim, induzir
ao erro a todos que a obtiverem posteriormente, ocasionando danos de gran-
des proporções.
89
Silva (2004, p. 90) finaliza com Fabricação,

Neste tipo, o atacante se faz passar por um usuário autêntico, forjan-
do uma informação em seu nome, na tentativa de enganar o ponto de
destino da informação. Geralmente tem por objetivo o benefício finan-
ceiro.
Interceptação Modificação
Interrupção Personificação
Figura 26: Mecanismos de Segurança

VULNERABILIDADES
São caracterizadas quando há falhas ou fragilidade nos recursos na segurança

da informação, ou seja, há sempre um ponto por meio do qual pode receber um
ataque. A vulnerabilidade pode estar em qualquer ambiente, não existe sistema
totalmente seguro. Usuários finais, muitas vezes, não têm ciência das vulnera-
bilidades e ataques que estão sofrendo. A falta de conhecimento técnico ou até
mesmo descuido dos administradores da rede são exemplos de situações que
podem ocasionar vulnerabilidades.

III
Assim corrobora Silva (2004, p. 90), as vulnerabilidades podem vir de vários

fatores:
■■ Carência de política de segurança;
■■ Sistemas desatualizados em relação a falhas largamente conhecidas;
■■ Gestão imprópria dos softwares e dispositivos praticados por pessoas sem
o conhecimento necessário.
A relação pode ser entendida com n para n, cada vulnerabilidade pode estar pre-
sente em diversos ambientes computacionais, conforme figura abaixo:
Ambiente Vulnerabilidade
Computacional
n n
Figura 27: Vulnerabilidade n para n
O Marco Civil da Internet é um tipo de constituição designado para regula-

mentar a forma de uso da Internet no Brasil, definindo direitos e deveres de
usuários e provedores da web no país. Sua consolidação ocorreu depois dos
escândalos de espionagem de autoridades brasileiras.
A ideia do projeto do Marco Civil da Internet surgiu em 2007. O projeto sur-
giu em 2009 e foi aprovado na Câmara dos deputados e no senado federal
em 2014 e sancionado por Dilma Rousseff no mesmo ano.
Para saber mais sobre esse assunto, acesse a reportagem completa disponí-
vel em: <http://culturadigital.br/marcocivil/>. Acesso em: 15 jul. 2015.
Fonte: Cultura Digital (2014, online).
91
RELAÇÃO AMBIENTE COMPUTACIONAL X VULNERABILIDADES
Uma vulnerabilidade admite que determinadas ocorrências causem acidentes de

segurança. Portanto, os principais motivos de acidentes de segurança são cau-
sados pelas vulnerabilidades.
Possibilita
Vulnerabilidade Incidente de Segurança
Afeta
Clientes
Impacta
Imagem negativamente Negócio
Produto
Figura 28: Relação ambiente computacional x vulnerabilidade

POR QUE OS SISTEMAS SÃO VULNERÁVEIS?
Os dados eletrônicos são mais vulneráveis hoje do que antes, quando os dados
eram armazenados manualmente. Os dados podem ser acessados de qualquer
lugar da rede, o que facilita a sua vulnerabilidade.
Os campos da vulnerabilidade se ampliaram, já que as empresas possuem
filiais em outras localidades interligando seus sistemas por meio das redes que
utilizam a Internet para se comunicar. Existem diversos fatores que contribuem
com o início da vulnerabilidade, como fatores ambientais, organizacionais, téc-
nicos; também o acesso por pessoas não autorizadas que cometem os ataques,
impedindo o serviço ou inserindo softwares mal intencionados para impedir o
funcionamento de sites.

III
Instalação inadequada, erros de programação ou alterações não autorizadas

e hardwares complexos facilitam a vulnerabilidade do sistema juntamente com
o uso da Internet, que foi projetada para ter seu acesso por qualquer pessoa e de
forma rápida. Outras formas de vulnerabilidade existentes são enchentes, incên-
dios, queda de energia, usuários finais, entre outros.
Para impedir essas vulnerabilidades, é necessário corrigir as falhas de forma
rápida. Os softwares de vírus são criados muito rapidamente e, para combatê-
-los, é muito demorado e dispendioso. A Figura 29 apresenta as vulnerabilidades
das redes de telecomunicações.
Radiação
(campos eletromagnéticos)
GRAMPOS
Radiação
Radiação
Linha cruzada GRAMPOS Radiação
Linha cruzada Radiação
Central de Linhas de
Processador Arquivos
comutação comunicação
Roubo
Cópia
Acesso não
Hardware autorizado
Ligações impróprias Hardware
Falha nos circuitos
Programador de sistemas Operador de proteção
Desativa recursos de proteção Substitui supervisor Contribui para
Revela medidas de proteção Revela medidas falha de software
de proteção
Software
Consoles Falha das características
remotos Pessoal de manutenção
Desativa dispositivos de proteção
de hardware Controle de acesso
Usuário Acesso Controle de limites
Identificação Grampos (legais) Utiliza programas
Autenticação Bugs utilitários isolados
Modificações
sutis no software
Figura 29: Vulnerabilidades das redes de telecomunicações

93
MECANISMOS PARA CONTROLE DE SEGURANÇA
Existem mecanismos para controle de segurança que são mais ou menos efi-
cientes, destacarei alguns deles de forma a facilitar o entendimento de medidas
a serem tomadas para a Governança da Segurança da Informação.
AUTENTICAÇÃO E AUTORIZAÇÃO
Para acessar um sistema, o usuário ou o sistema deve ter permissão para realizar
tal atividade. As permissões são realizadas por um controle de acesso chamado
ACL (Access Control List - ACL). Por meio de um processo é autorizada ou negada
a permissão, criando o perfil do usuário. Esse perfil do usuário define qual sis-
tema e qual atividade poderá ser acessada pelo usuário. Conforme Pinheiro (2008,
p. 16), o roubo de identificação atinge milhões de pessoas e vem constituindo o
tipo de fraude mais cometido em redes de computadores, tornando-se, assim, a
autenticação um componente fundamental para a segurança.
Características importantes que um Sistema de Controle de Acesso tem que
possuir é fazer a verificação da autenticidade do usuário e do seu nível de per-
missão, verificar também se ele é quem diz ser e se ele tem a permissão para
fazer o que quer fazer.
Conforme entendimento de Silva (2008, p. 7), a autenticação fornece a garan-
tia da identidade de um usuário. Ela é responsável por verificar se um usuário
é quem ele diz ser, por meio de suas credenciais, consiste em que suas creden-
ciais são as evidências que um usuário apresenta para constituir sua identidade
como um usuário apropriado.
Pinheiro (2008) completa dizendo que a identificação é a ação em que o usu-
ário afirma sua identidade ao sistema e a autenticação é a ação responsável pela
validação dessa declaração e que, apenas depois da validação, é que o sistema
concederá ou negará o acesso.
Alguns autores defendem que os mecanismos de autenticação se baseiam
em três paradigmas: Identificação Positiva (O que você sabe), Identificação
Proprietária (O que você tem) e Identificação Biométrica (O que você é).
Mecanismos para Controle de Segurança

III
Conforme Silva (2008,

p. 7) e Pinheiro (2008, p.
17-21), os mecanismos de
autenticação são as senhas
de acesso; algo-que-você-
-tem são as chaves, cartões
de acesso e chaves cripto-
gráficas e algo-que-você-é,
a voz, impressão digital,
retina, palma da mão e
Figura 30: Cartão de acesso
qualquer outra caracterís-
tica biométrica.
O mecanismo de auten-
ticação “o que você sabe”
utiliza a identificação posi-
tiva, em que o usuário
apresenta algum tipo de
informação para o processo
de autenticação, senha e
login de acesso.
O mecanismo de auten-
ticação “o que você tem”
utiliza a identificação pro-
prietária, em que o usuário Figura 31: Biometria
tem alguma coisa que possa ser usado ou identificado no processo de autenti-
cação, um cartão magnético, por exemplo. Conforme a Figura 30.
O mecanismo de autenticação “o que você é” utiliza a identificação biomé-
trica, em que o usuário exibe uma característica própria, a sua impressão digital,
por exemplo.
É válido ressaltar que essas técnicas usadas sozinhas não têm garantia de
segurança.
95
COMBATE A ATAQUES E INVASÕES
Existem mecanismos com função primordial no modelo de gestão de segurança

que contribuem com a infraestrutura tecnológica para o combate aos ataques e
às invasões. Diversos são os tipos de dispositivos utilizados para monitoramento,
tratamento de tentativas de ataque, filtragem e registro de acessos lógicos, iden-
tificação, entre outros.
FIREWALL
É um sistema de proteção entre uma rede interna segura e uma rede externa
não segura, a Internet. O firewall pode ser de dois tipos, hardware ou software,
incluindo como proteção e-mail, web, pacotes, entre outros.
Ele faz a proteção da rede conectada à Internet dos acessos indevidos, sejam
eles internos ou externos. Controla o tráfego de entrada e saída e, de acordo com
seus regulamentos, aceita ou nega algum tipo de serviço.
O firewall ativo bloqueia as conexões de entrada que estejam configuradas
para o bloqueio e avisa quando faz um novo bloqueio, impede que o computador
envie dados mal-intencionados a outros computadores, todavia, ações malicio-
sas podem usufruir da vulnerabilidade dos serviços por ele habilitados. Dessa
forma, é necessário utilizar outro mecanismo de detecção de intrusos.
Caruso e Steffen (2006, p. 218) afirmam que:
Normalmente, um Firewall é instalado no ponto de interligação de
uma rede interna com a Internet. Todo o tráfego, nos dois sentidos,
tem de passar por este ponto e, dessa forma, atender aos requisitos da
política de segurança da instalação.
Grennan (2000) observa que o firewall trabalha como um processo de filtragem

de pacotes, atuando no nível da rede. Logo que os pacotes chegam ao firewall,
eles são filtrados de acordo com o seu tipo, endereço de origem, endereço de
destino e porta, contidos em cada pacote. Os firewalls são bem transparentes ao
usuário, não precisando realizar configurações em seu computador ou aplicati-
vos, para que seja possível acessar a Internet.
Combate a Ataques e Invasões

III
Para Morimoto (2006), para manter um servidor seguro, é imprescindível

manter um firewall ativo na rede, com finalidade de consentir somente acessos
aos serviços que realmente almeja disponibilizar na rede interna. A ideia mais
comum de firewall é de que haja um dispositivo que esteja ligado à Internet e tam-
bém à rede local, mantendo-as primeiramente isoladas. Desse modo, o firewall
aceita as conexões provenientes da rede local e faz o roteamento para a Internet.
Entretanto, as tentativas de conexão decorridas da Internet são bloqueadas antes
mesmo de chegar aos clientes.
Dividimos os firewalls em duas classes: filtros de pacotes e servidores proxy.
Os filtros de pacotes são um dos principais mecanismos, em que o admi-
nistrador de rede faz a filtragem dos pacotes de datagramas IP para verificar se
são permitidos pelas regras do firewall. Um exemplo dessa permissão é filtrar
pacotes para evitar o acesso a serviços como um chat ou até mesmo o acesso a
um determinado site.
Conforme entendimento de Grennan (2000), o firewall trabalha como um
processo de filtragem de pacotes, atuando no nível da rede. De acordo com que
os pacotes vão chegando ao firewall, eles são filtrados conforme seu tipo, ende-
reço de origem, endereço de destino e porta, contidos em cada pacote.
Os servidores proxy possuem o mecanismo mais simples, permitem exe-
cutar a conexão de serviços em uma rede de modo direto, ou seja, interligando
duas redes distintas. O modo mais utilizado é o firewall entre uma intranet e a
Internet e também é utilizado como elemento para acelerar a conexão de links
lentos. Morimoto (2006) define que um servidor proxy serve como intermedi-
ário entre a Internet e computadores da rede local.
Um exemplo típico desse sistema é o firewall entre uma intranet e a Internet,
como mostra a Figura 32:
97
FIREWALL DUAL HOMED HOST
Workstation
Ethernet da Empresa INTERNET
Workstation Workstation
Figura 32: Firewall simples

Servidor proxy é um computador que faz a intermediação entre a internet e o

provedor web. Ele armazena uma cópia das páginas mais acessadas para agilizar
a abertura dela nas próximas vezes que for solicitada. As páginas armazenadas
no servidor proxy, conhecidas também como cache, são mais rápidas de serem
acessadas quando solicitadas pelo navegador. É também um tipo de segurança,
já que filtra alguns tipos de conteúdos e softwares mal intencionados.
Acerca do tema, Kurose e Ross (2010, p. 81) dispõem que:
Um cache Web – também denominado servidor proxy – é uma enti-
dade da rede que atende requisições HTTP em nome de um servidor
Web de origem. O cache Web tem seu próprio disco de armazenagem
e mantém, dentro dele, cópias de objetos recentemente requisitados.
INTRANET
Workstation FIREWALL PROXY
Ethernet da Empresa INTERNET
Workstation Workstation Páginas WEB
Figura 33: Servidor Proxy

Combate a Ataques e Invasões

III
DETECTOR DE INTRUSOS
Detecção de Intrusão é uma verificação da tentativa, com sucesso ou não, de

acesso a um sistema. Um sistema de intrusos indica que houve tentativa indese-
jada de intrusos cometida no sistema. Segundo Wang (2009), ataque é a tentativa
de modificar, manipular ou perturbar o funcionamento do sistema, sendo bem-
-sucedida ou não.
Para Silva e Sampaio (2006), uma intrusão é definida como um conjunto de
atos realizados pelo intruso que danifica a estrutura da segurança da informação
de um sistema composto pela integridade, confidencialidade e disponibilidade.
Ataque e intrusão são diferentes, apesar de parecerem ter o mesmo significado.
Ataque refere-se à tentativa de perturbação e intrusão é um ataque realizado
com sucesso, conseguiu invadir a rede.
CLASSIFICAÇÃO DOS DETECTORES DE INTRUSÃO
São usados os IDS para classificar os tipos de detectores de intrusão, eles detec-
tam diferentes tipos de procedimentos que possam ocorrer no sistema. Esses
procedimentos podem comprometer a segurança e a confiabilidade do sistema,
se forem realizados por pessoas que não tenham permissão de acesso. Os ataques
podem ocorrer pela rede de computadores ou em uma estação de computadores.
ORIGEM DOS DADOS
Para o monitoramento, podem ser usados dois tipos de Sistemas de Detecção

de Intrusão. Para monitorar o tráfego de dados de uma rede, são utilizados os
Sistemas de Detecção de Intrusão, NIDS (Network Intrusion Detection System).
Para monitorar os programas que rodam na máquina com base nas informa-
ções de arquivos de logs, são usados os Sistemas de Detecção de Intrusão, HIDS
(Host Based Intrusion Detection System).
99
Conforme Nakamura (2007, p. 264):

NIDS são componentes essenciais em um ambiente cooperativo. Sua
capacidade de detectar diversos ataques e intrusões auxilia na proteção
do ambiente, e sua localização é um dos pontos a serem definidos com
cuidado.
Os HIDS são capazes de monitorar acessos e alterações em importantes docu-

mentos do sistema, fazer modificações nos privilégios dos usuários do sistema,
nos programas que são executados, no uso da CPU e na detecção das portas de
entrada. Os HIDS servem para detectar as atividades maliciosas em um único
computador (KIZZA, 2005).

A detecção do intruso é obtida por meio do acordo de uma série de funções
capazes de detectar, analisar e responder às atividades suspeitas.
PRIVACIDADE DAS COMUNICAÇÕES
CRIPTOGRAFIA
Criptografia é conjunto de métodos que visa esconder a informação de pessoas

que não tenham acesso autorizado. Tem como objetivo transformar um conjunto
de informação legível em informação não legível. A palavra criptografia é uma
composição de palavras gregas que têm como significado: Kryptós, “oculto”, e
gráphein, “grafia”.
Assim, corroboram Kurose e Ross (2010, p. 495):
Técnicas criptográficas permitem que um remetente disfarce os dados
de modo que um intruso não consiga obter nenhuma informação dos
dados interceptados. O destinatário, é claro, deve estar habilitado a re-
cuperar os dados originais a partir dos dados disfarçados.
Privacidade das Comunicações

III
Kurose e Ross (2010) apresentam três pessoas: duas que querem se comunicar
de forma segura, Alice e Bob. E a outra é a intrusa, Trudy. Alice quer enviar uma
mensagem a Bob, mas sem que Trudy receba. Por exemplo, Alice envia a mensa-
gem “Bob, I love you. Alice”. Essa mensagem é conhecida como texto aberto. Alice
criptografa a sua mensagem usando um algoritmo de criptografia, transformando
a sua mensagem em texto cifrado, ou seja, de modo que pareça ininteligível para
qualquer intruso. Mas muitos dos sistemas atuais, inclusive os usados na Internet,
são técnicas de codificação conhecidas, padronizadas e disponíveis para qual-
quer um, inclusive para um intruso. Claro que, se todos conhecem a técnica para
decodificar os dados, como enviá-los sem que um intruso decifre a informação?
É aqui que entram as chaves: Privada ou Pública.
CHAVE PRIVADA OU SIMÉTRICA
A criptografia simétrica utiliza a mesma chave para cifrar e decifrar a mensagem.

A mesma chave deve ser entregue de forma segura ao remente e ao destinatá-
rio, para que possam cifrar a mensagem e enviar, receber a mensagem e decifrar.
A Figura 34 mostra que Alice envia a mensagem e fornece uma chave, KA,
como entrada para o algoritmo de criptografia. O algoritmo, por sua vez, pega
a chave e o texto aberto como entrada e produz texto cifrado como saída. De
maneira semelhante, Bob fornecerá uma chave KB, ao algoritmo de decripta-
ção, que pega o texto cifrado e a chave de Bob como entrada e produz o texto
aberto original como saída.
101
Texto Texto
aberto aberto
Texto cifrado
Algoritmo de Algoritmo de
criptografia criptografia
Canal
KA KB
Alice Bob
Trudy
Figura 34: Exemplo de comunicação com criptografia simétrica
Fonte: Kurose e Ross (2010).
Assim, valiosas são as lições de Kurose e Ross (2010, p. 495) acerca da conceitu-
ação Simétrica ou Chave Privada. Vejamos:
Em sistemas de chaves simétricas, as chaves de Bob e de Alice são idên-
ticas e secretas. Em sistemas de chaves públicas, é usado um par de
chaves. Uma das chaves é conhecida por Bob e por Alice (na verdade, é
conhecida pelo mundo inteiro). A outra chave é conhecida apenas por
Bob ou por Alice (mas não por ambos).
Mas existe ainda outro tipo de criptografia, a Pública ou Assimétrica, que vere-
mos no próximo item.
PÚBLICA OU ASSIMÉTRICA
A criptografia pública utiliza duas chaves diferentes, a pública e a privada, uma

usada para cifrar e a outra para decifrar as mensagens. A chave pública é conhe-
cida por todos e é usada para cifrar a mensagem e a chave privada é secreta e
deve ser usada para decifrar a mensagem. Esse método é usado quando se quer
garantir a confidencialidade da mensagem.

III
Kurose e Ross (2010) mostram, na Figura 34, que Bob e Alice compartilham
uma única chave secreta. Bob, é o destinatário da mensagem de Alice. Existem
duas chaves, a pública e a privada. A chave pública está à disposição do mundo
todo, inclusive de Trudy, a intrusa. E a chave privada somente Bob conhece.
Para se comunicar com Bob, Alice busca primeiramente a chave pública de Bob.
Depois, ela criptografa sua mensagem, usando a chave pública de Bob e um algo-
ritmo criptográfico conhecido. Bob recebe a mensagem criptografada de Alice
e usa sua chave privada e um algoritmo de decriptação conhecido para decifrar
a mensagem de Alice. Assim, Alice pode enviar a mensagem secreta a Bob uti-
lizando a chave de Bob disponível publicamente.
A Figura 35 representa Criptografia de Chave Pública ou Assimétrica.
KB+Chave criptográfica pública

K -Chave criptográfica privada
B
Mensagem em Mensagem em
Texto aberto, m Texto aberto, m
Texto cifrado
Algoritmo de KB+(m) Algoritmo de
criptografia decriptação m = KB-(KB+(m))
Figura 35: Exemplo de comunicação com criptografia assimétrica

Fonte: Kurose e Ross (2010).
VIRTUAL PRIVATE NETWORK
As VPNs - Virtual Private Network ou Rede Virtual Privada são ferramentas

importantes para a segurança das informações digitais. Os dados são enviados
por meio da Internet e para garantir a segurança do seu tráfego, usa-se a VPN,
que, por meio da Internet, cria um túnel por onde serão enviados os dados. A
VPN trabalha com uma espécie de Firewall, mantendo a segurança dos dados
enquanto trafega pela rede. Por isso, esse recurso é mais conhecido por empresas
103
que presam pela segurança dos seus dados.

A definição de VPN, por Wolf (2007, p. 77), é a seguinte:
É uma técnica utilizada para fazer um “túnel” seguro entre duas redes,
geralmente separadas pela internet. Os dados são criptografados antes
de entrar no túnel e apenas a outra ponta conhece a chave para des-
criptografar o mesmo, dessa forma, criando um canal de comunicação
relativamente seguro. O OpenVPN usa criptografia de chaves ao invés
de usuário e senha para estabelecer um túnel de VPN.
Existem diversos protocolos disponíveis para a construção das VPNs, não há

indicação do melhor. Deve-se analisar a situação em que o protocolo será apli-
cado para escolher o mais adequado.
APLICAÇÕES PARA REDES PRIVADAS VIRTUAIS
Utiliza-se a criptografia para garantir a integridade dos dados, mesmo se forem

interceptados por algum intruso, será difícil a compreensão dos dados. É uti-
lizado também para mascarar IP’s, burlando os acessos a sites bloqueados. A
Figura 36 traz essa configuração.
CONEXÃO DE LANS VIA

INTERNET
Conforme entendimento de
Guimarães, Lins e Oliveira (2006),
esse modo de interconexão realiza a
conectividade entre as redes de uma
empresa, possibilitando a interligação
de filiais e matrizes, por meio de uma
infraestrutura não confiável. A Figura
37 traz essa configuração.
Figura 36: Acesso remoto

III
Rede Corporativa Rede Corporativa

Filial Virtual Private Matriz
Network
INTERNET
Link Link
Dedicado Dedicado
Figura 37: Conexão LAN via internet
Fonte: os autores.
CONEXÃO DE COMPUTADORES NUMA INTRANET
Esse é um tipo de conexão física entre as redes locais, que restringe os acessos
não autorizados entre elas. Para Guimarães, Lins e Oliveira (2006), ela propor-
ciona conectividade entre clientes e fornecedores, funcionando como solução
para colaboração de compartilhamento de aplicações e comércio eletrônico entre
empresas. A Figura 38 traz essa configuração.
.............. Virtual Private Network
Rede Corporativa
Servidor VPN
Rede
Invisível
Figura 38: Conexão de Computadores em uma Intranet

Fonte: os autores.
105
TUNELAMENTO
O tunelamento é o processo de encapsular os protocolos um dentro do outro. O

tunelamento utiliza a técnica que realiza, primeiro, a criptografia dos dados e,
depois, faz o encapsulamento do pacote que deve ser transportado. Conforme
Guimarães, Lins e Oliveira (2006), o tunelamento é um processo de guardar um
pacote dentro do outro para facilitar de alguma maneira o transporte dos dados
dentro da rede. Por meio do tunelamento, os pacotes são encapsulados por paco-
tes IP. Veja o exemplo na Figura 39.
Extremidades do Túnel
Tráfego entre Redes

Pacote Pacote Pacote
Pacote Túnel
Figura 39: Transporte de Pacote

Fonte: os autores.
PROCESSO DE SEGURANÇA
A segurança é constituída por um processo, e não pode ser vendida como tec-
nologia. A tecnologia e os equipamentos ajudam a compor uma empresa, mas
não cometem erros. Wadlow (2000) afirma que a segurança deve ser proporcio-
nal ao valor do que se protege. Uma parte desse valor é o trabalho necessário
para restabelecê-lo e a outra parte é realmente um valor.

III
Complementando, Wadlow (2000) afirma que:

A segurança é um processo. Pode-se aplicar o processo seguidamente à
rede e à empresa que a mantém e, dessa maneira, melhorar a segurança
dos sistemas. Se não iniciar ou interromper a aplicação do processo,
sua segurança será cada vez pior, à medida que surgem novas ameaças
e técnicas.
A Figura 40 traz o conceito da Tríade.
Avaliação
Análise Síntese
Figura 40: A Tríade grega

Fonte: Laureano (2005, p. 50, online).
A segurança pode ainda ser analisada por perímetros, como sugere a Figura
41:
Segurança
Vulnerabilidade
Co
e
ad
n
fid
rid
en
eg
cia
Int
lid
Informação
ad
e
Figura 41: Perímetros de segurança

107
O SISTEMA DE GESTÃO DA SEGURANÇA DA

INFORMAÇÃO OU SGSI
Tem um enfoque importante para a gestão de informações sigilosas da empresa

para que ela permaneça segura. Esse enfoque envolve pessoas, processos e siste-
mas de tecnologia da informação. Para alcançar o sucesso no SGSI, é necessária
a verificação do Planejamento e do Plano Diretor. Planejamento é o que será
seguido e o Plano Diretor é o meio para concretizar o planejamento.
Comitê Executivo de Segurança da Informação

Executivo
Security Officer
Nível
Percepção de
Planejar Analisar Monitorar Implementar mudanças no
negócio
Sistema de Gestão de Segurança da Informação

Tático
Nível
Planejar Planejar Planejar Planejar

Percepção de
Planejar Planejar Planejar Planejar mudanças nos
indicadores do
sistema de gestão
Analisar Analisar Analisar Analisar
Monitorar Monitorar Monitorar Monitorar

Operacional
Percepção de
Nível
Implementar Implementar Implementar Implementar mudanças físicas,

tecnológicas e
humanas
Alça de realimentação do processo de segurança

Figura 42: Níveis da empresa para construção do Plano Diretor
O Sistema de Gestão da Segurança da Informação ou SGSI

III
A Figura 43 apresenta as fases de um Plano Diretor:
Plano
Diretor de
Segurança Planejar
[ realimentação
Percepção de
mudanças físicas,
Analisar Monitorar tecnológicas e
humanas
[ realimentação
Situação realimentação ]
Atual
Início/startup
Figura 43: Fases do Plano Diretor
O Worm não faz o mesmo estrago que um vírus. Vírus infecta programas ou
arquivos e, em muitos casos, destrói as informações. Porém os Woms repre-
sentam ameaças de grande proporção aos computadores. Você sabe o que
um Worm pode causar no seu computador?
Fonte: os autores.
109
Quando falamos e estudamos segurança da informação, podemos observar que

ela está diretamente relacionada com a proteção de um conjunto de informa-
ções que estão armazenadas em uma organização ou por um indivíduo. Dentro
desse estudo visualizamos que a segurança da informação é composta por alguns
atributos, como: confidencialidade, integridade, disponibilidade e autenticidade.
Quando falamos em segurança, não estamos restritos somente aos sistemas com-
putacionais ou aos sistemas de armazenamento, esse conceito se aplica a todos
os aspectos de proteção aos dados.

Observamos algumas formas de ataques que são usadas por hackers, porém,
devemos lembrar que nem todos os ataques podem ser gerados diretamente por
computadores, existem ataques que chamamos de Engenharia Social, que é um
ataque realizado pelo hacker diretamente com sua vítima, ou seja, o hacker con-
versa sobre muitos assuntos diretamente com a vítima até ganhar sua confiança
e, assim, seu dados pessoais e senhas.
Também apresentamos algumas formas de defesas que as organizações devem
utilizar para evitar prejuízos causados por ataques. A grande maioria das empresas
não enxerga a importância de investimentos na área de segurança, até o momento
que sofre um prejuízo causado por hackers. Nesse caso, a Governança de TI tem
seu papel fundamental para esses investimentos. A Segurança da Informação
tem um papel importante dentro das organizações e, para que tenha eficácia no
seu funcionamento, os analistas e técnicos dessa área devem estar sempre atua-
lizados no quesito de segurança, pois todos os dias surgem novos vírus e tipos
de ataques. Todo profissional dessa área deve ter o conhecimento para realizar
um contra-ataque no caso da empresa ser atacada por hackers.
Mantenha-se sempre atualizado(a) em sites que tratam desse assunto, troque
informações com outros profissionais e lembre-se de que sempre tem alguém
que pode tentar executar um ataque na empresa em que você é responsável pela
segurança da informação. A informação é o maior bem que uma empresa tem,
cuide dele!
Considerações Finais
1. Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder.” Sendo
assim, defina o que é Governança de Segurança da Informação.
2. Nos dias atuais, a Governança de TI é motivada por vários fatores. Apresente os
6 motivos que estudamos nesta unidade.
3. As empresas têm a necessidade de aumentar sua segurança. Uma forma de au-
mentá-la é a implementação de firewalls. Defina o que são firewalls.
4. O principal objetivo dos IDS é a detecção de tentativas de entrada no sistema
ou até de algum usuário que tem permissão de acesso e que está fazendo mau
uso desse sistema. Toda vez que é detectada uma ocorrência que seja suspeita
ou ilegal, essa ferramenta gera uma notificação e sua detecção é em tempo real,
pois os IDS rodam em background. Para a implementação de ferramentas IDS,
usamos basicamente dois tipos. Cite esses dois tipos.
111
Hoje se vive na era digital em que as informações ocorrem em tempo real e a segurança
da informação é o elemento mais vulnerável. Esse assunto também é um desafio do
século XXI, em que se tenta proteger a informação de quem não se conhece, mas que é
mal intencionada. As pessoas são invadidas pelas próprias tecnologias que as rodeiam.
Diariamente, são divulgadas notícias sobre a invasão de privacidade, ocasionada pela
propagação de informações retiradas dos computadores e ou celulares da própria pes-
soa, ação essa conhecida como crime cibernético. Esses ataques são realizados por meio
da apropriação de informações, dados e fotos sem o consentimento da pessoa ou até
mesmo através do acesso a falsos websites.
A respeito do tema, Roque (2007, p. 25) dispõe que crimes cibernéticos são “toda condu-
ta, definida em lei como crime, em que o computador tiver sido utilizado como instru-
mento de sua perpetração ou consistir em seu objeto material”.
Em 2012, foi criada a Lei dos Crimes Cibernéticos - Lei nº 12.737/2012, conhecida extra-
oficialmente como a Lei “Carolina Dickmann”. Essa lei proporcionou alterações no De-
creto-Lei 2.848/40 – Código Penal brasileiro, que trata da inviolabilidade dos segredos,
ou seja, invadir dispositivos de informática sem o consentimento, com a intenção de
impetrar, modificar ou apagar informações sem a autorização do titular do dispositivo
ou instalar vulnerabilidades para conseguir proveito ilícito.
Dentre todos os benefícios que surgiram com a Internet, surgiram também os sacrifícios
como o comportamento inadequado cometido por pessoas mal-intencionadas. Com
as alterações permitidas pela Lei “Carolina Dickmann”, hoje, os crimes cibernéticos são
tratados de forma mais específica, com mais rigor e sofrendo infrações penais. Apesar
de ficar claro que a legislação precisa preencher as lacunas dessa Lei, já que o texto con-
sente várias interpretações. Mas, enquanto isso não ocorre, é importante lembrar que se
deve conscientizar as pessoas sobre a boa educação e o respeito para com a privacidade
alheia, evitando assim os crimes cibernéticos.
Leia mais sobre esse assunto no link disponível em: <http://www.mpsp.mp.br/portal/
page/portal/cao_criminal/notas_tecnicas/NOVA%20LEI%20DE%20CRIMES%20CIBER-
N%C3%89TICOS%20ENTRA%20EM%20VIGOR.pdf>. Acesso em: 15 jul. 2015.
Fonte: adaptado de Ministério Público do Estado de São Paulo (online).
Testes de Invasão
Georgia Weidman
Editora: Novatec
Sinopse: em Testes de invasão, a especialista em segurança,
pesquisadora e instrutora Georgia Weidman apresenta as principais
habilidades e técnicas necessárias a todo pentester. Ao usar um
laboratório baseado em máquinas virtuais que inclui o Kali Linux
e sistemas operacionais vulneráveis, você verá uma série de lições
práticas usando ferramentas, como o Wireshark, o Nmap e o Burp Suite.
À medida que acompanhar as lições, usando o laboratório e realizando
ataques, você vivenciará as fases fundamentais de uma avaliação
de verdade – que incluem a coleta de informações, a descoberta de
vulnerabilidades passíveis de exploração, a obtenção de acesso aos
sistemas, a pós-exploração de falhas, além de outras atividades.
Professor Esp. João Messias Pereira
IV
UNIDADE
TI NAS EMPRESAS
■■ Analisar o setor de TI nas empresas de modo geral, demonstrando
seu funcionamento no modelo antigo e nos dias atuais.
■■ Estudar o departamento de TI nas empresas, qual seu papel e função
dentro de uma organização.
■■ Compreender a diferença entre os modelos antigos da TI e o novo
modelo do departamento de TI.
■■ Entender o que é processo e serviço.
Plano de Estudo
■■ TI nas Empresas
■■ Panorama Atual
■■ Papel da área de TI
■■ A importância da área de TI
■■ TI tradicional versus TI orientada a serviços
■■ Processo
■■ Serviço
115
INTRODUÇÃO
Ouve-se falar muito em Tecnologia da Informação, mas será que sabemos o que
é Tecnologia da Informação ou simplesmente TI? Tempos atrás, a palavra infor-
mação era relacionada à transmissão de dados realizada por alguém ou por algo,
enquanto que nos dias de hoje, quando falamos em informação, a associamos à
tecnologia, à velocidade, ao tempo e ao espaço. Como na informática, vivemos
dentro do dinamismo, velocidade é algo que se ganha todos os dias.
Nesta unidade, quero que você estude a TI como ela realmente é, como
funciona e que conheça algumas diferenças entre as indústrias e as empresas

prestadoras de serviços. Quais as mudanças foram necessárias para que o antigo
setor de informática se tornasse uma ferramenta poderosa chamada departa-
mento de TI, que faz organizações faturarem milhões nos dias de hoje. A partir
da velocidade que as tecnologias e informações são inovadas, podemos afirmar
que é praticamente impossível para alguém manter-se atualizado.
Mas, ao mesmo tempo, vivemos dentro de uma sociedade em que a trans-
formação é crucial ou, no mínimo, devemos nos atualizar com velocidade bem
próxima a das mudanças. Essas atualizações e transformações geram uma pres-
são muito grande nas pessoas, pois quando não se atualizam de forma constante,
não acompanham os avanços tecnológicos, não sabendo responder pelas novas
tecnologias que trazem grandes benefícios para as organizações.
Dentre os vários assuntos que estudaremos nesta unidade, veremos também
a importância da área de TI dentro de uma organização, qual o papel que ela rea-
liza nos dias de hoje. Faremos um comparativo entre a TI antiga e a moderna,
como cada uma funciona, quais eram seus objetivos e quais os objetivos no
departamento de TI de hoje; como funcionam as empresas que trabalham com
processos, por que elas atingem seus objetivos de forma eficaz. Estudaremos
também os serviços, suas definições e comportamentos. Aproveite, leia, estude
e ganhe mais conhecimento!
Bons estudos!
Introdução
IV
TI NAS EMPRESAS
Podemos observar que todas as empresas, por menor que sejam, sempre estão
envolvidas de algum modo com a TI. Para Rezende e Abreu (2000), a TI veio
para as organizações com o objetivo de diminuir a complexidade e as dificul-
dades que são encontradas dentro dos seus negócios. Os colaboradores que
trabalham dentro das empresas e têm o conhecimento de TI são colocados nas
funções para melhoria dos processos para que seus produtos e serviços tenham
uma aceitação maior junto ao mercado e aos clientes.
Com a notável evolução das empresas nos diversos setores da economia, o
aprimoramento e as melhorias nas áreas de tecnologia se tornavam cada vez mais
importantes. A necessidade do gerenciamento de informações e até mesmo da
sua segurança transformou a TI de um simples departamento da empresa a uma
das áreas estratégicas das organizações (McGEE; PRUSAK, 1994).
Para Albertin e Moura (2004), o investimento em TI proporciona benefí-
cios diretos e indiretos, resultando em melhores indicadores em todas as áreas
das organizações. Porém, esse investimento deve ser feito de forma estratégica e
planejada, para que tais resultados aconteçam de forma satisfatória. Para algu-
mas empresas, a tecnologia da informação é vista como a principal ferramenta
de apoio estratégico e de tomada de decisões, permitindo o melhor gerencia-
mento das atividades empresariais e influenciando diretamente o modelo de
gestão administrativa das empresas (REZENDE, 2002).
A Figura 44 mostra algumas empresas que sofreram prejuízos por falhas
em serviços de TI:
TI NAS EMPRESAS
117
EMPRESA DATA OCORRÊNCIA
A atualização da versão do sistema prevista para ser realizada em 6

Abril de horas, levou 26 horas. Custo de US$ 40 milhões e, descontos nas fa-
AT&T
1998 turas de serviço ao não-cumprimento de acordos de nível de serviço
celebrados com os seus clientes finais.
Indisponibilidade durante 22 horas devido à falha no sistema. Custo
Junho de
eBay estimado entre US$ 3 e 5 milhões em receitas e declínio de 26% no
1999
valor das ações.
Falhas no sistema devido à estratégia de implementação de nova
versão. Custo não estimado com o atraso no envio de encomendas,
Setembro
Hershey`s 12% de redução nas vendas do trimestre e diminuição de 19% no

de 1999
lucro líquido do trimestre em relação ao mesmo período do ano
anterior.
Figura 44: Empresas que agregaram prejuízos por falhas de TI
Fonte: Magalhães e Brito (2007, online).
A dependência das empresas dos serviços de TI é muito grande e, quando ocor-

rem falhas nos serviços, são gerados prejuízos imensos para as organizações.
Veja na Figura 45.
CUSTO MÉDIO POR HORA DE

INDÚSTRIA SERVIÇO
INTERRUPÇÃO DO SERVIÇO (US$)
Financeira Operações de corretagem 7.840.00
Financeira Vendas por cartão de crédito 3.160.00
Mídia Venda por pay-per-view 183.000
Varejo Vendas pela TV 137.000
Varejo Vendas por catálogo 109.000
Transporte Reservas aéreas 108.000
Entretenimento Venda de ingressos por telefone 83.000
Entregas rápidas Entrega de encomendas 34.000
Pagamento de taxas via ATM
Financeira 18.000
(Automitic teller Machine)
Figura 45: Valor por hora de interrupção dos serviços de TI
Ti nas Empresas
IV
Quando uma organização adota uma ferramenta com o Gerenciamento de

Serviços de Tecnologia, isso vai mudar a forma de pensar e de agir dessa empresa.
Gerando uma proatividade em relação aos projetos e atendimentos que a empresa
realiza. A empresa que tem um Gerenciamento de Serviços de TI consegue alocar
os recursos e gerenciar de forma completa, ou seja, visando à totalidade de sua
produção e não permitindo que esse colaborador fique ocioso, gerando melho-
ria na produtividade e qualidade dos projetos.
Esse objetivo é alcançado quando a tática de projeto, a implementação e o
gerenciamento de processos internos trabalham em parceria com as melhores
práticas aplicadas pela ITIL® (Information Technology Infrastructure Library),
como você pode observar na Figura 46.
Figura 46: Estratégia de implementação do Gerenciamento de Serviços de TI

Dentro do Gerenciamento de Serviços de TI, as práticas da ITIL® são

comumente utilizadas pelo mundo, como podemos observar na Figura 47, que
demonstra uma pesquisa realizada pela International Network Services com 194
empresas do mundo todo.
Os resultados que podemos observar são que 38% das empresas utilizam as
boas práticas da ITIL®, sendo que essas práticas podem ser aplicadas sozinhas
ou em conjunto com as formas de gerenciamento interno, podendo ser somente
TI NAS EMPRESAS
119
as boas práticas da ITIL ou em conjunto com as formas de gerenciamento inter-

nas. Podemos dizer também que a ITIL® é base para outras abordagens como:
Information Technology Service Managament (ITSM) e Microsoft Operations
Frameworks (MOF).
Figura 47: Resultado da pesquisa sobre adoção de práticas de Gerenciamento de Serviços de TI

Fonte: Magalhães e Brito (2007).
De acordo com Magalhães e Brito (2007), para melhorar a forma de alcançar os

objetivos do negócio das organizações, a ITIL® oferece um conjunto de melhores
práticas em que serão identificados os processos que compõem a área de TI, ajus-
tando-os aos serviços da empresa, gerando, assim, funções qualitativas em termos
econômicos, tornando mais efetivas, eficazes e objetivas as modalidades da TI.
Com isso, as organizações conquistam grandes vantagens na parte de econo-
mia de custos e ganho na eficiência de entrega dos produtos/serviços e suporte de
TI. Percebemos que alinhamento e serviço, quando são usados de forma conjunta,
podem alavancar grandes contribuições na área da Tecnologia da Informação e,
como resultado, grandes valores para as organizações.
Ti nas Empresas
IV
Observe a Figura 48:
Figura 48: Valor de TI
Para os autores, a organização que usa as melhores práticas de forma cor-

reta tem uma alta qualidade nos serviços de TI. Isso gera maior valorização no
relacionamento com os clientes, assegurando uma expectativa positiva no seu
atendimento, não deixando de lado as expectativas dos usuários. Ou seja, as áreas
de TI devem prestar serviços quando solicitadas, de maneira que o cliente ou
as organizações fiquem satisfeitos já que suas necessidades estarão sendo supri-
das, e uma boa forma de alcançar os objetivos é todas as áreas das organizações
manterem um bom relacionamento com as equipes de TI. Um exemplo de inter-
-relacionamento de áreas está na Figura 49.
TI NAS EMPRESAS
121
Figura 49: Dependência da área de TI e seus parceiros

Segundo Magalhães e Brito (2007, p. 31), a área de Tecnologia da Informação

tem adotado o modelo multisourcing como estratégia para a contratação de mão
de obra, ou seja, a utilização de recursos internos e externos, de acordo com
a necessidade da organização. A utilização desse modelo deve apresentar um
ponto de equilíbrio baseado em uma análise complexa e criteriosa realizada
pelo departamento de TI.
Atualmente, as empresas têm buscado esse modelo considerando não ape-
nas o custo, mas também o grau de complexidade de cada processo que precisa
ser desenvolvido, agregando valor para a organização. Para Magalhães e Brito
(2007, p. 31), toda atividade ou serviço da área de tecnologia da informação que
possa ser padronizado, possivelmente, pode ser terceirizado.
As organizações devem ter seu foco no nível de tecnologia e mão de obra
humana ou, como chamamos, talentos humanos, sendo estes observados pelo
setor administrativo, porém o setor de TI deve possuir um olhar estratégico.
Para Montana (2009), “uma empresa pode não precisar de tecnologia de ponta
para operar efetivamente”.
Ti nas Empresas
IV
Podemos analisar que a escolha da tecnologia é uma peça importantíssima

para a conquista dos objetivos de uma organização.
O ambiente interno de uma empresa consiste nos recursos organiza-
cionais disponíveis para conseguir seus objetivos. Esses recursos são
humanos, tecnológicos, financeiros e físicos. A tarefa da administração
é adquirir esses recursos e usá-los eficiente e eficazmente dentro da or-
ganização. Nesta tarefa, o gerente de cada empresa está competindo
com todas as outras empresas. Assim, o sucesso da administração de-
pende de quão bem esses recursos são adquiridos e usados (MONTA-
NA, 2009).
Apesar de os recursos citados pelo autor, devemos lembrar que também conta-
mos com o ambiente externo que se relaciona com a organização, o qual também
influencia a conquista dos objetivos e estratégias organizacionais.
O multisourcing é um trabalho em conjunto entre a organização que detém

a infraestrutura de TI e outras empresas terceirizadas. Para essa nova ten-
dência ou evolução do Outsourcing, também se exige mudança de atitude
por parte de todos os envolvidos nesse processo, já que, em certos casos,
estão trabalhando em conjunto várias empresas.
Leia mais em: <http://convergecom.com.br/tiinside/18/06/2007/cios-reve-
lam-porque-defendem-o-multisourcing/#.VXgsMqO5dkg>. Acesso em: 15
jul. 2015.
Fonte: Oliveira (2007, online).
TI NAS EMPRESAS
123
PANORAMA ATUAL
No cenário atual, a tecnologia da informação tem influenciado de forma signi-

ficativa a vida das pessoas, em consequência disso, um novo comportamento
vem sendo adotado, não apenas pela sociedade, mas também pelas empresas nas
estruturas organizacionais. A consolidação e a permanência das empresas em seu
mercado de atuação estão diretamente relacionadas a sua capacidade de geren-
ciamento da informação demandada pelo ambiente. “A nova realidade provoca
uma reorganização intensa na sociedade, gerando modificações nas organiza-
ções” (TAPSCOTT, 1997, p. 82).

Segundo Albertin (2000, p. 102), as principais mudanças que ocorrem nas
empresas nos últimos anos estão estritamente ligadas à tecnologia da informa-
ção. A busca por resultados significativamente positivos em relação ao custo, à
produção e, principalmente, à satisfação de seus clientes é o principal fator que
contribui para essa nova atmosfera vivida pelas organizações empresariais.
O mercado atual exige dos CIOs que conquistem um excelente ganho de
produtividade e eficiência e, ao mesmo tempo, deve ganhar um percentual
considerável no aumento da capacidade na área de TI no que diz respeito ao
atendimento das novas demandas das estratégias de negócios, gerando, assim,
valores para as empresas.
A Figura 50 apresenta uma forma de distribuição das horas disponíveis da
equipe da área de TI entre processos, que visam ao atendimento de necessida-
des de TI da organização e de gastos gerais destinados às atividades internas da
área de TI e, portanto, não agregam diretamente valor para a organização. No
melhor caso, essa relação é de 10% aplicados em gastos gerais e 90% em proces-
sos destinados ao suporte dos serviços de TI necessários à organização.
Panorama Atual
IV
Figura 50: Distribuição das horas disponíveis da equipe TI.
Existe uma necessidade muito grande de alinhamento da área de TI junto

à estratégia de negócio da organização. Um dos grandes desafios das empresas
é a administração de todos esses recursos tecnológicos, incluindo seus investi-
mentos, custos e ciclo de vida desses ativos, além disso, também é importante a
coordenação estar em parceria com as outras áreas de negócios da organização
(MANSUR, 2009). Podendo, assim, garantir que todas as áreas funcionem de
acordo com o planejamento proposto.
Os trabalhos voltados para a área de TI devem ser executados a partir da
estratégia de negócio da organização, ou seja, tudo o que for realizado em ter-
mos de TI deve ser em função da estratégia de negócio, que apresenta seu retorno
de uma forma identificável na geração de valor nos resultados da organização.
O alinhamento inadequado entre essas duas áreas influencia diretamente o
acontecimento de falhas durante o desenvolvimento de processos que atendam às
demandas organizacionais, acarretando perdas não somente produtivas e finan-
ceiras, mas também no que se refere às oportunidades de inovação (VALORINTA,
2011). Para que isso não ocorra, é importante o entrosamento entre todos os
responsáveis de maneira profissional e comprometida, evitando, assim, as per-
das sobre o investimento feito em tecnologia (PEREIRA; DORNELAS, 2010).
TI NAS EMPRESAS
125
De acordo com Magalhães e Brito (2007), toda empresa deseja que seu pro-
duto se torne muito mais do que um simples produto, ela deseja que seu produto
se torne um serviço, que o cliente receberá um serviço e não um produto, e essa
filosofia deve ser entendida pela área de TI.
Dentro dessa filosofia, o departamento de TI deve focar o tipo de serviço
que ele entrega para a organização, qual o valor desses serviços para a execução
do negócio da organização e como será garantido que os serviços sejam entre-
gues dentro dos prazos e parâmetros de qualidade que foram acordados com o
cliente, olhando sempre para a melhor relação custo/benefício para a empresa.
Para as mudanças acontecerem, devem ocorrer motivação e envolvimento de

todos os integrantes que estão participando do projeto de TI, gerando transfor-
mações das suas convicções, de seus conhecimentos e expectativas, mudança no
comportamento, conforme pode ser observado na Figura 51, em “Cenário Atual”.
Cenário anterior Cenário atual

Atendimento do usuário Atendimento do cliente
Perspectiva interna Perspectiva externa
Esforço pessoal Esforço repetitivo e medido
Foco na tecnologia Foco no processo
Processos ad-hoc Processo racionalizados
Recursos internos Recursos internos e externos
Comportamento reativo Comportamento proativo
Visão fragmentada Visão integrada
Sistema manual Sistema automatizado
Gestor de operações Gestor
Figura 51: Cenário anterior versus Cenário atual
Panorama Atual
IV
PAPEL DA ÁREA DE TI
As empresas têm seus departamentos de informática com o papel importante de

ajudar as organizações a atingirem seus objetivos com eficiência e eficácia, com
relação a sua economicidade e estratégia do negócio. Quando as empresas pos-
suem um Gerenciamento dos Serviços de TI, é maximizada a contribuição da
área de TI para a geração de valor da organização e maximizado o retorno dos
investimentos e das despesas realizadas pela Tecnologia da Informação.
Segundo Alter (1998, p. 9), “um Sistema de Informação (SI) é um sistema que
usa a Tecnologia da Informação para capturar, transmitir, armazenar, recuperar,
manipular ou expor informações usadas em um ou mais processos de negócio”.
Os cenários que as organizações buscam para suas melhorias vão muito além
de simples frases montadas, como “qualidade do serviço”, “melhores práticas”,
“otimização de processos”, e passam a ser uma filosofia de vida. Realmente, vai
muito além de “falar”, e sim executar as melhores práticas em todas as áreas de TI.
De acordo com Brancheaue e Wetherbe (l987), para saírem do papel as frases
citadas, as áreas de tecnologias e negócios de uma organização devem estar devi-
damente alinhadas, de maneira estratégica, com as melhores práticas e não devem
tentar crescer com uma metodologia de tentativa e erro, e sim aprender com os
erros de outras organizações e implantar uma gestão funcional e determinada.
Um estilo de vida inovador que vem sendo implantado nas organizações é a
ITIL®, conforme você pôde estudar na unidade II, que é um conjunto de melho-
res práticas que, junto com uma gestão, gera uma maturidade no processo de
gerenciamento de TI, que ensina a caminhar entre o que denominamos “Caótico”
e “Valor”, em que é possível demonstrar o valor de TI para a organização. Veja
na Figura 52.
TI NAS EMPRESAS
127
Figura 52: Maturidade do processo de gerenciamento de TI em relação à ITIL®

A IMPORTÂNCIA DA ÁREA DE TI
Magalhães e Brito (2007) afirmam que, para atingir seus objetivos estratégicos,
as empresas cada vez mais se utilizam da área de TI dentro das áreas de negócios
em que atuam. As áreas de TI devem trabalhar em conjunto com os objetivos
estratégicos da organização, fazendo deles o seus também, caso contrário, essa
área de TI será uma simples fornecedora de tecnologia. Nos dias atuais, até
mesmo os provedores de tecnologia se preocupam com os objetivos estratégi-
cos das organizações, que são seus clientes, isso é uma condição básica para a
venda de serviços sob demanda.
A Importância da Área de Ti
IV
A área de TI é de suma importância para a execução da estratégia de negó-

cio, é o que conclui uma pesquisa realizada pelo IT Governance Institute, em que
50% das organizações nos diferentes segmentos da indústria fizeram essa afir-
mação, conforme apresenta a Tabela abaixo (Figura 53):
MUITO POUCO
SETOR IMPORTANTE INDIFERENTE
IMPORTANTE IMPORTANTE
Setor público 56% 40% 4% 0%
Varejo 38% 43% 19% 0%
Manufatura 45% 45% 9% 1%
Financeira 59% 38% 3% 0%
TI/Telecomunicações 65% 23% 7% 0%
Figura 53: Importância da TI em diferentes indústrias
Fonte: IT Governance Global Status Report, IT Governance Institute (2004, online).
De acordo com Magalhães e Brito (2007), a necessidade da área de TI como

ferramenta estratégica de negócio mudou de forma significativa a visão das outras
áreas dentro das empresas, dessa forma, a TI passou a ser vista como parte da
organização, com uma participação muito mais efetiva. Tendo esse ponto de vista
por todos da organização, tudo o que for realizado pela área de TI é demons-
trado na forma de ganho de valor para a organização, ou seja, a área de TI deve
criar uma relação com as outras áreas, como se fossem sócias.
Para Magalhães e Brito (2007), o antigo modelo da área de TI, apenas como
instrumento de produtividade, limitando-se à entrega de produtos de tecnologia,
atuando somente com o papel de prover tecnologia e cuidando do gerenciamento
da infraestrutura, não existe mais. Conforme o tempo foi passando, as organi-
zações foram ganhando maturidade e desenvolvendo novas atividades dentro
das suas áreas de atuação, no que tange ao departamento de TI. Essa maturidade
está tornando a área de TI em um parceiro estratégico dos outros departamen-
tos que compõem a organização, se baseando na Governança de TI juntamente
com a Governança Corporativa. Na Figura 54, podemos observar uma evolu-
ção a partir do nível 2, quando a área de TI já está pronta para ser reconhecida,
não mais como provedor de tecnologia, mas sim como provedor de serviços.
Nesse ponto, o Gerenciamento de Serviços de TI se transforma em um aspecto
TI NAS EMPRESAS
129
indispensável para alcançar a maturidade e a sustentação, visando à conquista da

base de confiança junto a todas as áreas da organização, para que, assim, possa
continuar subindo para o terceiro nível de maturidade que é a Governança de TI.
Figura 54: Escala de maturidade da função de TI

A Importância da Área de Ti
IV
TI TRADICIONAL VERSUS TI ORIENTADA A SERVIÇOS
Magalhães e Brito (2007) afirmam que, dentro do contexto da tecnologia da infor-

mação, o termo serviço está inserido de forma bastante genérica, mesmo que
sem um claro entendimento de sua aplicação nessa área. Um exemplo de como
isso acontece são os equipamentos e as plataformas tecnológicas que, embora
não sejam exatamente um tipo de serviço, são ferramentas que nos permitem o
acesso aos tipos de serviços contidos dentro da tecnologia da informação.
No ambiente organizacional, a TI orientada a serviços possui caracterís-
ticas bem distintas do modelo de TI como provedor de recursos tecnológicos,
também conhecido como modelo “tradicional”, sendo assim, as necessidades e
os objetivos de cada empresa precisam estar bem definidos para que a melhor
estratégia seja aplicada.
No modelo orientado a serviços, é importante considerar a sua aplicação
quanto ao escopo, aos custos, aos riscos e, principalmente, ao retorno obtido. A
falta de conhecimento necessário e a pouca experiência resultam em um processo
inadequado ocasionando prejuízos, além de insatisfação e perda de credibilidade
entre as partes interessadas.
Uma das formas de compreender o modelo de TI tradicional é que este tra-
balha de dentro para fora, servindo de provedor tecnológico para a organização;
no modelo orientado a serviços, o trabalho acontece de forma contrária, ou seja,
de fora para dentro, atuando como uma provedora de serviços. Para Magalhães
e Brito (2007), os dois modelos se diferem por suas características tecnológicas
e, principalmente, por seus clientes.
Magalhães e Brito (2007) descrevem a centralização voltada para a tecnolo-
gia como um centro de custos com foco na maximização do uso dos seus ativos.
Essa área tem uma tendência a se organizar de forma alinhada em torno de suas
funções, conhecimentos, capacidades e plataformas tecnológicas, primando pelos
custos de maneira monopolizada e não competitiva. Essa área de TI tem uma
aceitação quanto à restrição da sua capacidade de fornecimento.
TI NAS EMPRESAS
131
Nas organizações em que a cultura é centralizada no cliente, acontece uma

abordagem de entrega mista, considerando o equilíbrio entre fornecedores exter-
nos e as equipes internas. Esse modelo se apresenta de maneira competitiva, se
orientando por meio de processos, além de possuir diversos fornecedores que
atuam como parceiros comerciais. Essas organizações negociam com os clien-
tes para garantir uma demanda fundamentada, ou seja, com a garantia de que
os recursos necessários para o atendimento ao projeto estão disponíveis.
De acordo com Magalhães e Brito (2007), o sucesso dessa nova abordagem
depende exclusivamente da mudança de postura, tanto nas áreas de tecnologias
quanto nas áreas de negócios, permitindo um novo aprendizado para ambas

as partes. Quando falamos em mudança, podemos colocar muitos obstáculos,
nesse momento, a figura do gestor é fundamental para que haja a aceitação da
mudança de postura por parte dos demais membros da organização. A gestão
entra para uma aceitação por parte total da organização.
O primeiro passo para essas mudanças deve partir da área de TI, definindo
seu catálogo de serviços como algo distinto dos demais processos da organiza-
ção, no entanto é importante ressaltar que esses elementos devem estar alinhados
com as demais necessidades da organização. Outros elementos necessários para
a entrega e o suporte dos serviços de TI, ao mesmo tempo, devem estar alinhados
com as necessidades da organização. Observe a Figura 55, que trata desse aspecto.
TI Tradicional Versus ti Orientada a Serviços

IV
Figura 55: Posicionamento de serviço de catálogo de TI
Magalhães e Brito (2007) afirmam que a mudança não acontece de forma

rápida, deve ser iniciada e caminhar um passo por vez. Devemos analisar que
ocorrerão alterações na forma de comportamento, como também a transforma-
ção das convicções, conhecimentos e expectativas dos integrantes da área de TI.
Não é uma tarefa fácil e o desafio se torna maior, quando percebemos que
essas mudanças ocorrerão com pessoas que já sentem a pressão por uma acele-
ração de mudanças, tanto na vida profissional quanto na vida pessoal. Para as
mudanças não se tornarem pesos ainda maiores, devem ocorrer interações até
que se atinja um nível adequado do comportamento das equipes envolvidas nessa
transformação e de maturidade na nova modalidade.
Para melhorar, antes vai piorar, ou seja, quando temos mudanças previstas,
principalmente quando as mudanças são de comportamento, a tendência é uma
queda na produtividade para, no futuro próximo, ganhar um resultado positivo.
A Figura 56 traz uma ilustração do que acontece com os efeitos das mudanças.
TI NAS EMPRESAS
133
Situação Desejada
Entusiasmo
Situação Atual
Negação
Aceitação
Frustração
Inevitável
Figura 56: Efeitos do processo de mudança
De acordo com os autores, algumas ações são fundamentais para que a execu-
ção de uma mudança seja um sucesso, dentre elas estão:
■■ Reconhecimento da necessidade de mudar.
■■ Conhecer a “visão da mudança”.
■■ Reconhecimento das condições que são limitantes.
■■ Selecionar e apresentar o método que será utilizado na mudança.
■■ Implementação e avaliação do método usado para introduzir a mudança.
Magalhães e Brito (2007) descrevem de forma bastante simplificada as fases

que compõem um processo de mudança. De acordo com os autores, as fases que
fazem parte do processo de mudanças nas organizações podem ser divididas
em quatro etapas e, dependendo dos resultados, esse caminho poderá se repe-
tir de forma sequencial até que a implementação da mudança esteja assegurada.
Segundo eles, essas fases são as seguintes:
Descongelar – preparar para mudar. Momento em que ocorre o conven-
cimento das pessoas a deixarem suas zonas de conforto e enfrentarem o novo
desafio da turbulenta e inovadora maneira de realizar as novas tarefas e entende-
rem aquilo que pode ser uma situação futura e quase nada clara nesse momento.

IV
Em outras palavras, convencer as pessoas a deixarem seus velhos hábitos, padrões

e conhecimentos.
Reconfigurar – realizar a mudança. Esse é o momento em que realmente
as pessoas se livram dos velhos hábitos, padrões, convicções e expectativas; é a
fase do processo que realmente inicia a mudança. Não existe mais o comporta-
mento passado; por outro lado, ainda não assumiu de forma definitiva o novo
comportamento desejado.
Recongelar – fixar a mudança. Nesse momento, os integrantes das mudanças
já assumiram a nova metodologia de trabalho, o novo comportamento desejado,
então, chega o momento de interromper as ações que motivam as mudanças.
Com a parada das pressões para as mudanças, é o momento de buscar novamente
as rotinas de trabalho, de dar estabilidade, porém, com uma diferença bastante
perceptível de como era antes do início das mudanças.
Analisar – ocorreu sucesso na realização da mudança? É a fase da busca
pelos resultados para avaliar se as mudanças atingiram seus objetivos de forma
positiva, por meio das métricas de objetivos traçados e de níveis de mudanças
que deveriam ser implementadas, como também pela qualificação dos ganhos
com os resultados dos novos comportamentos. Caso o resultado seja negativo,
um novo plano de mudança deverá ser feito e retomar à primeira fase.
Dentro de um processo de mudança, uma boa gestão se faz muito neces-
sária, pois o sucesso e a continuidade de uma organização estão diretamente
relacionados ao planejamento estratégico e à tomada de decisões para que essas
mudanças aconteçam, embora sempre tenhamos como resultado os fatores posi-
tivos e os negativos.
Segundo Magalhães e Brito (2007, online), seguem listados alguns pontos
fundamentais, que trazem resultados negativos e positivos durante todo o pro-
cesso de mudança nas organizações.
TI NAS EMPRESAS
135
■■ Propósito da adoção do gerenciamento de serviços:

Perdedoras – querem reduzir as reclamações dos usuários e clientes,
usando o gerenciamento de serviços como ferramenta de marketing.
Sobreviventes – tendem a permanecer competitivas.
Vencedoras – buscam ser visualizadas por todos e, principalmente, pelos
stakeholders como uma área que cria valor.
■■ Escolha da metodologia:
Perdedoras – buscam sempre o que está na moda.
Sobreviventes – elegem um guru e seguem essa metodologia.
Vencedoras – quando têm algumas opções, examinam seu impacto na

organização e escolhem uma delas para suas necessidades.
■■ Planejamento para o gerenciamento de serviços de TI:
Perdedoras – preferem a metodologia da moda.
Sobreviventes – se apropriam de soluções já usadas com sucesso por
outras organizações.
Vencedoras – criam seu próprio plano de mudança.
■■ Retorno obtido do Gerenciamento dos Serviços de TI:
Perdedoras – não se preocupam com o retorno do investimento realizado.
São realizadas medições nas atividades executadas e não nos resultados.
Sobreviventes – continuam com os olhos na execução das atividades,
esperando seu retorno investido em longo prazo.
Vencedoras – o Gerenciamento de Serviços de TI paga suas despesas
conforme avançam na mudança. Os sistemas de medição devem ser inse-
ridos no início do processo de mudança, para que possa ser medido o
retorno dos investimentos de modo contínuo.

IV
PROCESSO
Segundo Magalhães e Brito (2007), as empresas mais antigas sempre mantive-

ram uma estrutura hierárquica muito rígida, principalmente para o controle de
trabalho dos funcionários e, com essa forma de gerenciamento, estavam segu-
ros de que o cumprimento dos prazos firmados com os clientes seria finalizado
conforme o previsto.
Conforme as organizações foram crescendo, com esse modelo de gestão
baseado na metodologia do “medo”, puderam observar o tamanho do problema
que estavam criando, pois seus departamentos se tornaram ilhas de funcioná-
rios, cada um preocupado em realizar as suas tarefas sem ter a visão do todo, ou
seja, cada área cuidava somente de suas atividades, sem ter o foco nos objetivos
da empresa. Por muitos anos a área de TI foi participante e uma dessas ilhas.
As organizações que trabalham com processos observam que existe uma inte-
ração entre os diversos departamentos, já que um processo pode ser definido como
um conjunto de ações, atividades, mudanças, que são conectadas entre si e exe-
cutadas por agentes com o propósito de alcançar uma meta. Observe a Figura 57.
Figura 57: Processo

TI NAS EMPRESAS
137
Para Magalhães e Brito (2007), quando existe na organização uma área de TI

estruturada que trabalha do modo tradicional, ou seja, quando tem uma visão
fragmentada do todo, em certas situações, é praticamente impossível implantar
um processo com visão integrada. Tem certas áreas de TI que até conseguem,
por um período, caminhar nessa direção, porém, logo percebem que não sabem
qual caminho deverão seguir.
No entanto, para que um processo de mudança aconteça, os problemas das
estruturas tradicionais assim como as políticas internas da organização preci-
sam ser entendidos de forma que seus eventos e restrições não prejudiquem o
sucesso desse novo modelo implementado.

Magalhães e Brito (2007) afirmam que as áreas de TI que adotam a metodolo-
gia de trabalho orientada por processos apresentam equipes que desenvolvem suas
atividades de forma diferente. Dentro dessa metodologia, o trabalho individual
com foco em tarefas é substituído pelo trabalho em equipe, pelas responsabili-
dades individuais e pela vontade de fazer sempre o melhor.
Durante o processo de formação, algumas atividades se apresentam como
etapas fundamentais para que se possa alcançar o objetivo e os resultados espera-
dos. Para Magalhães e Brito (2007), cada atividade é seguida por uma sequência
de tarefas, em que cada uma transforma uma informação em sua entrada em
uma informação de saída pronta para servir de entrada para a próxima tarefa.
Podemos ver esse exemplo na Figura 58.
Processo
IV
Figura 58: Composição de uma atividade
Mas, como então seria o detalhamento de um processo? Dividimos alguns

tópicos nos quais você pode verificar como seria esse detalhamento, conforme
apresentado por Magalhães e Brito (2007):
■■ Cada processo tem entradas e saídas, definindo o que necessita ser feito
para atingir o(s) objetivo(s) e que outros processos necessitam dele para
atingir seus objetivos.
■■ Para cada processo deve existir um responsável, como, por exemplo, o
gerente de Capacidade, que responde pela definição do processo, assim
como pelo sucesso das atividades desse processo.
■■ Cada processo pode ser dividido em uma série de tarefas. Cada uma será
executada por um ator (participante do processo) específico. Poderá ser uma
pessoa física ou, até mesmo, uma etapa automatizada de processamento.
■■ Para cada atividade são definidos papéis claros e as pessoas conhecem as
suas responsabilidades, assim como o que é esperado delas.
■■ Podem ser usadas referências de performance, a fim de encorajar e acom-
panhar o melhoramento das atividades processuais.
TI NAS EMPRESAS
139
■■ Atividades comuns, com o mesmo resultado para diferentes departamen-

tos, podem ser controladas de forma melhor se tiver sido identificado um
processo global para elas.
■■ Cada processo individualmente é mais bem gerido do que um processo
global para todas as atividades de uma área de TI.
■■ Os processos abrangem o que é necessário fazer, enquanto os procedi-
mentos cobrem como deve ser feito.
Dependendo do segmento da indústria, os processos têm características pró-
prias. Podemos classificar a área de TI como sendo a da indústria de serviços,
independente do ramo de negócio em que a organização atua (MAGALHÃES;

BRITO, 2007).
Na Figura 59, apresentamos as diferenças entre os processos na indústria de
serviços e na indústria de manufatura, de modo que a área de TI possa definir
seu modo de trabalho pela definição e gerenciamento de seus processos.
INDÚSTRIA DE
CARACTERÍSTICA INDÚSTRIA DE SERVIÇO
MANUFATURA
Propriedade (identificação do Tende a ser ambígua ou o
Definição geralmente clara
reponsável) processo tem vários donos
Fronteiras (pontos inicial e
Pouco nítidas e difusas Claramente definidas
final)
Pontos de controle (regu-
Estabelecidos de forma clara
lam a qualidade e fornecem Frequentemente não existem
e formal
feedback)
Medições (base estatística do Difícil de definir, geralmente
Fáceis de definir e gerenciar
funcionamento) não existem
Ações corretivas (correção de Em geral ocorrem de forma Muito frequente as ações
variações) reativa preventivas
Figura 59: Diferenças entre a indústria de manufatura e indústrias de serviços
Processo
IV
SERVIÇO
Os autores Magalhães e Brito (2007, online) ainda destacam que pode haver
diversas definições de serviços. Com o objetivo de atender às áreas da tecnolo-
gia da informação, alguns autores definem serviço da seguinte forma:
■■ “Atividades, benefícios ou satisfações que são colocados à venda ou propor-
cionados em conexão com a venda de bens” (AMERICAN MARKETING
ASSOCIATION, 1960).
■■ “Quaisquer atividades colocadas à venda que proporcionem benefícios e
satisfações valiosas; atividades que o cliente prefira ou não possa realizar
por si próprio” (BESSOM, 1973).
■■ “Uma atividade colocada à venda que gera benefícios e satisfações, sem
levar a uma mudança física na forma de um bem” (STANTON, 1974).
■■ “Qualquer atividade ou benefício que uma parte possa oferecer a outra,
que seja essencialmente intangível e que não resulte propriedade de
alguma coisa. Sua produção pode ou não estar ligada a um produto físico”
(KOTLER, 1988).
■■ “Serviço ao cliente significa todos os aspectos, atitudes e informações que
ampliem a capacidade do cliente de compreender o valor potencial de um
bem ou serviço essencial” (UTTAL; DAVIDOW, 1991).
Considerando o ponto de vista de cada um dos autores, podemos definir ser-

viço como uma atividade humana, que satisfaz alguma necessidade, sem que
esse vire um produto físico (MAGALHÃES; BRITO, 2007, online). No modelo
de gerenciamento ITIL®, a definição de serviço de TI leva em conta o uso de um
ou mais sistemas que habilitam um processo de negócio, considerando que um
sistema de TI é um conjunto de fatores que envolvem a utilização de hardware,
software, facilidades, processos e pessoas.
Siqueira (2005, p. 257) afirma que serviço “é um produto intangível, que não
se vê, não se cheira, não se pega, e geralmente não se experimenta antes da com-
pra, mas que permite satisfações”. Um exemplo prático é a cirurgia plástica, que
não pode ser observada pelo paciente antes que seja realizada.
Magalhães e Brito (2007) afirmam que essa intangibilidade característica
TI NAS EMPRESAS
141
do serviço cria uma incerteza na maioria dos clientes que, diante disso, tentam
reduzir essa incerteza, nos resultados negativos da contratação de um serviço,
observando a qualidade nos outros serviços realizados e tiram conclusões das
informações que recebem e das evidências que são apresentadas, que são forneci-
das por participantes do processo utilizado e da tecnologia empregada. Conforme
demonstra a Figura 60, na área de TI, é praticamente necessário que se ofereça
uma representação palpável que demonstre o processo e os resultados do serviço.
Figura 60: Composição de um serviço

Quando falamos de produtos, o cliente pode, antes de comprar, testar, por exem-
plo, na aquisição de um automóvel, o comprador pode fazer um test-drive.
Quando falamos de serviço, a situação muda totalmente, primeiro o serviço é
vendido, no caso de um software, criado, testado pela empresa de TI para, pos-
teriormente, ser utilizado pelo cliente. Mas como podemos estar certos de que
o analista de sistemas entendeu do que realmente o cliente necessitava, se todas
as necessidades dos clientes foram entendidas pelos analistas e programadores?
Os seres humanos se adaptam às mudanças, sejam elas boas ou ruins. Nos

dias de hoje, somos acostumados a estar conectados em todos os momen-
tos, ou seja, nos acostumamos com a tecnologia. Você acredita que uma
empresa fictícia conseguiria ficar sem conexão ou sem qualquer tipo de tec-
nologia por quanto tempo?
Fonte: os autores.
Serviço
IV
A Tecnologia da Informação teve um avanço considerável, podemos observar

que, nos últimos 30, anos ela se tornou uma ferramenta indispensável para as
organizações, sejam elas de pequeno, médio ou grande porte.
Visualizando sua importância nos dias atuais, ela deixou de ser um simples
departamento que atende ao suporte de computadores e tem interagido cada vez
mais com os setores das empresas para conquistar valores e, com informações
precisas e detalhes, tem buscado atingir os objetivos do negócio de maneira efi-
caz e eficiente.
Para que os objetivos sejam atingidos, estudamos, nesta unidade, que a TI
tem estabelecido uma comunicação e um relacionamento muito forte com os
departamentos, fornecedores e clientes da organização. Hoje podemos obser-
var as inovações nas áreas de TI, fugindo daquele caráter técnico, que somente
atendia às solicitações dos colaboradores.
Agora, dentro das novas visões, são setores de grande importância para as
empresas, as quais exigem uma nova postura, com soluções de impacto posi-
tivo para os resultados financeiros. As empresas de TI estão passando por uma
reformulação gigantesca para atender de forma eficaz a todos os departamen-
tos da organização.
A área de TI ou CPD, como era chamada até alguns anos atrás, tinha a sim-
ples função de “manter as luzes acesas”, ou seja, manter os sistemas funcionando e
a infraestrutura para atender à empresa. Esse papel não cabe mais para um setor
que pode e deve trabalhar em conjunto com outros departamentos, para que os
melhores resultados sejam alcançados em conjunto com os parceiros e clientes.
Com a globalização, a maneira como funcionava um departamento de TI não
é mais viável, se tornando totalmente obsoleta. Hoje, as empresas têm departa-
mentos de TI modernos, com profissionais altamente competentes, que colocam
as empresas nesse mercado competitivo em que vivemos nos dias atuais.
TI NAS EMPRESAS
143
1. Dentre os modelos estratégicos utilizados na Tecnologia da Informação, o mul-

tisourcing tem sido aplicado de forma bastante eficaz na contratação de mão de
obra, utilizando recursos internos e externos de acordo com a necessidade da
organização. Descreva: por que as empresas têm buscado esse modelo estraté-
gico em seus negócios?
2. Para as mudanças acontecerem, devem ocorrer motivação e envolvimento de
todos os integrantes que estão participando do projeto de TI, acontecendo
transformações das suas convicções, de seus conhecimentos de suas expectati-
vas, gerando mudança no comportamento. Apresente algumas diferenças entre
o Cenário Atual e o Cenário Anterior da TI, conforme apresentado nesta unidade.
3. Algumas áreas de TI tradicionais são tentadas a se tornarem orientadas a servi-
ços, porém, não têm o conhecimento como um todo, não têm a clara visão do
escopo, nem dos riscos e dos possíveis retornos dessa abordagem. Sem um total
conhecimento para realizar essa mudança, o resultado será grandes falhas cada
vez mais visíveis. Descreva qual a diferença entre o modelo tradicional e o mode-
lo orientado a serviço para o departamento de TI.
A TECNOLOGIA E A PEQUENA EMPRESA: COMO APROVEITAR OS BENEFÍCIOS DA TI
COM BAIXOS CUSTOS E ALTOS GANHOS
Não raro, pequenas e médias empresas (personificadas por seus donos e/ou administra-
dores/gerentes) têm uma relação de medo e dúvidas com a TECNOLOGIA.
Contudo, é preciso que pequenos e médios empresários aprendam que TI (Tecnologia
de Informação) não é nenhum “bicho de sete cabeças”. Primeiro, é necessário explicar di-
reito o que é “tecnologia da informação” e sua diferença com o conceito de “tecnologia”.
A tecnologia é um conceito bastante amplo, que se aplica a diversos aspectos da vida
moderna: o celular, hoje tão comum e utilizado, é uma tecnologia que há alguns anos
foi considerada revolucionária; computadores, carros, aparelhos de TV e DVD são fruto
da tecnologia e de sua evolução; a tecnologia se faz notar, ainda, em máquinas e muitos
utilitários pesados, aplicados na indústria em geral; na agricultura, a tecnologia existe
não apenas na forma de máquinas, mas também na evolução de remédios, venenos
e fertilizantes, que são desenvolvidos com o auxílio de Pesquisa e Desenvolvimento
(P&D), em que existe também larga utilização de tecnologias, das mais diversas; graças
à tecnologia, ferramentas domésticas estão mais leves, potentes e versáteis, assim como
eletrodomésticos (como o micro-ondas ou máquinas de lavar) foram aperfeiçoados nos
últimos anos.
A tecnologia da informação, apesar de também ser um conceito amplo, é restrita às ma-
neiras de lidar com as informações – em quaisquer níveis e âmbitos.
Nesse sentido, cabe ressaltar que, nos últimos anos (mais especialmente a partir de
1996), a quantidade de informações disponíveis a qualquer pessoa cresceu vertiginosa-
mente – e um dos motivos foi o crescimento da Internet.
Podemos dizer que, por meio de intrincados conjuntos de hardware, software e teleco-
municações, a tecnologia da informação viabiliza complexos processos de negócio, ao
mesmo tempo, contribui para os negócios a partir de sofisticadas manipulações, ofere-
cendo diferentes visões desses negócios. Assim, a tecnologia da informação é um “tipo”
de tecnologia, pensada especificamente para gerenciar os mais diversos tipos de infor-
mações – e, neste caso, gerenciar a informação significa disponibilizar as informações
adequadas no momento certo para as pessoas que precisam dela.
Para leitura completa, acesse o link disponível em: <http://www.bibliotecas.sebrae.
com.br/chronus/ARQUIVOS_CHRONUS/bds/bds.nsf/979CCC7E563C39C003256EA-
0005C3450/$File/NT0000DCDA.pdf>. Acesso em: 16 jul. 2015.
Repensando A Ti Na Empresa Moderna: Atualizando a Gestão

com a Tecnologia da Informação
George Leal Jamil
Editora: Axcel Books
Sinopse: esse livro aborda tanto a aplicação dos recursos de
Tecnologia da Informação, na gestão dos novos negócios, quanto
o correto gerenciamento dessas indispensáveis ferramentas nos
modernos cenários empresariais.
Professor Esp. Ronie Cesar Tokumoto
IMPLANTANDO A
V
UNIDADE
GOVERNANÇA DE TI
■■ Entender o funcionamento da implantação da Governança de TI.
■■ Analisar os frameworks – CobiT® e ITIL®.
Plano de Estudo
■■ Implantando a Governança de TI
■■ Planejando, Implementando e Gerenciando a Governança de TI
■■ Planejando o Programa de Governança de TI
■■ Implementando o Programa de Governança de TI
■■ Gerenciando a Governança de TI
■■ Para quem devemos atribuir a Gestão desses componentes de TI?
■■ CobiT® – Control Objectives for Information and Related Technology
■■ Orientações para Processos
■■ ITIL® – Information Technology Infrastructure Library
149
INTRODUÇÃO
Olá, caro(a) aluno(a), seja bem-vindo(a) a mais uma unidade, em que caminha-
remos juntos em busca do conhecimento. Neste momento, estamos chegando à
última unidade do nosso livro. Aproveite este momento especial para aprofun-
dar um pouco mais seu conhecimento.
Sabemos que as empresas verificam cada vez mais a necessidade de modifi-
car sua gestão como um todo, mais especialmente na área de TI. Com a evolução
tecnológica constante, o negócio precisa acompanhar de perto as influências
que essas mudanças podem acarretar e se reinventar, sempre que houver a pos-
sibilidade ou a necessidade. Deve haver uma sintonia entre todos os setores do
negócio e o departamento de TI, para que processos, custos e tempo de execu-
ção sejam aprimorados.
Muitos modelos de gestão utilizados pelas empresas estão ultrapassados e
deixam de apresentar resultados positivos. Diante do cenário, as empresas se
deparam com a necessidade de encontrar uma solução para resolver o problema
entre custo, qualidade e riscos.
Atualmente, as organizações não sobrevivem sem a tecnologia, ou seja,
a tecnologia faz parte de uma empresa, ela é indispensável para o suporte e,
principalmente, para as operações com tomada de decisões por parte da alta
administração e para o uso e o armazenamento de bancos de informações.
De forma a auxiliá-lo(a) na solução desse tipo de problema em relação ao
departamento de TI, estaremos, nesta unidade, apresentando alguns assuntos
dos quais muitos profissionais têm dúvidas e desconhecimento de ferramentas
ou modelos para ajudar na busca de soluções para sua empresa.
Analisaremos como planejar, implementar e gerenciar a Governança de TI,
possibilitando a execução de um programa de Governança de TI. Para a implan-
tação da Governança de TI, devemos ter um planejamento, já que os resultados
são a longo prazo. Porém, é necessário que alguns resultados apareçam em curto
prazo, de forma a indicar que o caminho que estamos seguindo está correto.
Então, fechemos com chave de ouro nossos estudos. Vamos lá?!
Introdução
V
Conforme já vimos em unidades anteriores, podemos dizer que, nas duas últimas
décadas, vêm aparecendo vários modelos de melhores práticas para o geren-
ciamento de TI. Alguns modelos são os primeiros ou os iniciais e outros são
derivados que vêm evoluindo conforme o tempo vai passando. Na Figura 61,
são apresentados os principais modelos de Governança de TI.
MODELO DE MELHORES PRÁTICAS ESCOPO DO MODELO
COBIT - Control Objectives for Information and Modelo abrangente aplicável para a audito-
related Techonology ria e o controle dos processos de TI, desde o
planejamento da tecnologia até a monitoração
e auditoria de todos os processos.
Val IT - Enterprise Value: Governance of IT Invest- Modelo que trata da governança dos inves-
ments timentos de TI e gerenciamento do portfólio
destes investimentos.
Risk IT - Enterprise Risk: Indentify, Govern and Modelo que trata do gerenciamento dos riscos
Manage IT Risks de TI.
CMMI - Capability Maturity Model Integration Desenvolvimento de produtos e projetos de
sistemas e software.
MPS.br Modelo brasileiro para a melhoria do processo
de software.
ITIL - Information Technology Infrastructure Serviços de TI, segurança de informação, geren-
Library ciamento da infraestrutura, gestão de ativos e
aplicativos, etc.
ISO/IEC 2000 Norma abordando requisitos e melhores práti-
cas para o gerenciamento de serviços de TI.
ISO/IEC 27001 e ISO/IEC 27002 Requisitos e código de prática para a gestão da
segurança da informação
eSCM-SP - Service Provider Capability Maturity Outsourcing em serviços que usam TI de forma
Model intensiva.
PMBOK - Project Management Body of knowle- Base de conhecimento em gestão de projetos
dge
SCRUM Modelo ágil para o gerenciamento de projetos.
Figura 61: Principais modelos e melhores práticas em TI
Fonte: Fernandes e Abreu (2008).
151
Para fazermos a implantação da Governança de TI nas organizações, deve-

mos utilizar os modelos de melhores práticas para um auxílio e, mesmo tendo
auxílio, são encontradas algumas brechas que devem ser resolvidas.
Encontramos brechas nas fases de implantação, como o alinhamento estra-
tégico, decisão, compromisso, priorização e alocação de recursos. Apesar de
encontrarmos vários modelos, nenhum trata dessas questões, que podemos afir-
mar que são tarefas críticas do ponto de vista da Governança de TI.
O modelo mais utilizado nas organizações é o Cobit®, porém, para que o pro-
cesso esteja completo, é necessário fazermos a junção de mais de um modelo,
como, por exemplo, utilizar o Cobit®, ITIL® e o Guia PMBOK® juntos. Estaremos
analisando a implantação da Governança de TI, utilizando os modelos Cobit®
e ITIL®.
Podemos observar, no mercado, que a Governança de TI não fica presa
somente à implantação de alguns modelos de melhores práticas. Porém, é muito
importante conhecer os diversos modelos, quanto aos seus objetivos, estrutu-
ras e aplicabilidade, para que se possa utilizar o melhor modelo no momento e
situação mais precisa.
Implantando a Governança de TI
V
PLANEJANDO, IMPLEMENTANDO E GERENCIANDO A
GOVERNANÇA DE TI
De acordo com Fernandes e Abreu (2010), para uma organização realizar o pro-
cesso de implantação da Governança de TI, vai precisar de tempo, pois podemos
dizer que esse processo é uma implantação que necessita de um longo prazo para
que seus resultados possam ser percebidos.
Para que essa implantação possa ter sucesso, devemos seguir alguns requi-
sitos, segundo os autores do livro Implantando a Governança de TI, Fernandes
e Abreu (2012).
Um executivo da organização precisa estar disposto a liderar a mudança pro-
posta pelo plano de Governança de TI, sendo que toda diretoria precisa estar
comprometida com o mesmo propósito, fazendo com que essa motivação impul-
sione o projeto e possa englobar todos os demais setores da empresa.
Não apenas o departamento de TI é influenciado por uma mudança dessa
magnitude, mas toda organização pode sofrer mudanças radicais na execução,
nos processos e na gestão de serviços.
Processos formais para assegurar que os comportamentos cotidianos
sejam consistentes com as políticas de TI e contribuam com as deci-
sões. Incluem processos de avaliação e proposta de investimentos em
TI, processos de exceções de arquitetura, acordos de nível de serviço,
cobrança reversa e métricas (WEIL, 2004).
153
Investimentos na área de TI são essenciais para que o plano de Governança possa

ser implementado, mas apenas investimento pode não ser o suficiente para garan-
tir o resultado, pois toda estrutura organizacional precisa estar alinhada com o
objetivo, cobrar e ser cobrada por resultados atingidos ou não.
Algumas etapas ajudam com o processo de implantação do plano e permitem
um controle das ações e elaboração de cronogramas em cada etapa. Um modelo
de Governança permite que seja feito um planejamento inicial, a implantação
dos processos criados e o gerenciamento posterior destes, assim como verificar
vulnerabilidades para já antever soluções possíveis nessas etapas iniciais.
Assim, como citou Fernandes (2008), um programa de Governança de TI

deve ser instituído, “considerando perspectivas de curto, médio e longo prazos
reunindo profissionais da área de gerência de projetos”.
Além de observar as perspectivas, é preciso prever reações e atitudes perante
as mudanças nos processos de trabalho que a implantação gerará e preparar
medidas preventivas a tais reações.
Para obter sucesso na implantação da Governança de TI, é necessário
que a equipe seja muito bem qualificada. Quando chegar o momento
de alocar as pessoas para a implantação deve verificar se elas têm os
perfis requeridos para o planejamento, implantação e gerenciamento
do Programa (WEIL, 2006).
A contratação de pessoal capacitado à nova forma de trabalho pode ser neces-

sária e pode impactar de forma negativa aqueles já estabelecidos na empresa,
devido à insegurança trazida pela chegada de novos componentes, sendo neces-
sário expor fatos e garantir que o pessoal já presente no quadro funcional seja
mantido ou realocado sem prejuízos morais ou financeiros.
Mudanças incomodam sempre que interferem na zona de conforto pessoal
e podem criar situações de difícil solução, culminando em possíveis demissões
e mudanças nas equipes estabelecidas.
Tais mudanças afetam, inclusive, o pessoal de pontos mais altos da admi-
nistração e, com isso, a força do projeto pode ser reduzida. Manter o foco nas
metas e continuamente incentivar a diretoria informando progressos e mos-
trando resultados permitirá a continuidade do plano.
Planejando, Implementando e Gerenciando a Governança de TI

V
Além dos níveis mais altos, os níveis inferiores também devem estar
informados quanto a tais mudanças, para, também, poderem acompanhar o
desenvolvimento do projeto. Para isso, é preciso um sistema de marketing interno
eficiente que possa atingir todos os setores afetados pelas mudanças.
O programa de Governança de TI requer uma estratégia de marketing
focada principalmente na comunicação interna, de forma que o apoio
ao programa seja constante ao longo de sua implementação, e os seus
feitos entendidos pela organização como um todo (WEIL, 2006).
PLANEJANDO O PROGRAMA DE GOVERNANÇA DE TI
Como vimos anteriormente, existem muitos fatores que motivam a implantação

da Governança de TI. Para implantar a Governança de TI, devemos partir da
premissa de que o processo passa por um ciclo, ou seja, deve existir processo de
alinhamento estratégico para que seja tomada a decisão e a priorização de ope-
rações de serviços e de gestão de desempenho.
Temos dois caminhos básicos para a implantação do Programa de Governança
de TI: (1) fazer uma avaliação dos processos de TI, partindo de um modelo como
o Cobit® e localizando os maiores problemas entre as necessidades de negócio e
a situação atual da TI; e (2) os processos devem ter um alinhamento estratégico
baseado em Balanced Scorecard, em que serão definidas as estratégias de atua-
ção, visando aos requisitos de negócios. Para a definição do escopo do Programa
de Governança de TI, podemos utilizar as duas alternativas.
155
Balanced Scorecard é um meio, por meio de ajustes de objetivos e proces-

sos, de balancear os índices de desempenho do negócio, afetando todos
os setores, desde o financeiro até o administrativo, o chão de fábrica e o
departamento de TI.
Com a harmonização desses indicadores, pode-se elevar o nível dos servi-
ços prestados e dos processos internos.
Leia mais sobre esse tema no link disponível em: <http://www.portaledu-
cacao.com.br/administracao/artigos/3949/o-que-e-balanced-scorecard#ix-
zz3as4MUBKx>. Acesso em: 21 maio 2015.
Fonte: Portal Educação (2008, online).
Podemos afirmar que a primeira alternativa é mais utilizada, pois o modelo

Cobit® traz todo o instrumental que pode avaliar a maturidade dos processos e,
assim, estabelecer as metas de evolução de processos e de atributos, nos processos
em que devem ocorrer interferências para ganho na melhoria de desempenho,
e criar indicadores de resultados dos processos.
O Cobit® utiliza uma técnica, a qual podemos dizer ser bem fundamentada,
que permite identificar quais os processos de TI devem ser tratados de forma
prioritária, com base nos objetivos do negócio da organização.
De acordo com o ITGI, o Cobit® estabelece relacionamentos com os
requisitos do negócio, organiza as atividades de TI em um modelo de
processo genérico, identifica os principais recursos de TI, nos quais
deve haver mais investimento, e define os objetivos de controle que de-
vem ser considerados para a gestão (FERNANDES, 2008).
Devemos fazer uma pergunta importante: por que desde o início desta unidade
estamos falando de Programa de Governança de TI? Pois esse processo mostra
resultados em médio e em longo prazo sendo, assim, um processo que deve ser
implantado dentro de um projeto bem definido e com metas bem claras.
Podemos ver na Figura 62 o ciclo de vida de um Programa de acordo com o
PMI que estabelece padrões para o Gerenciamento de Programas.
Planejando o Programa de Governança de TI

V
Figura 62: Ciclo de vida de um Programa

Fonte: Fernandes (2008, p. 169).
IMPLEMENTANDO O PROGRAMA DE GOVERNANÇA
DE TI
Na implantação de programas de Governança de TI, dúvidas chamam a atenção,

como qual a forma para se implantar o programa de Governança de TI e como
outros modelos podem contribuir para obter melhores resultados, mesclando
ideias com o método Cobit®. Na Figura 63, podemos observar uma visão prá-
tica da implantação dos processos de TI.
Figura 63: Implementando os processos de TI

157
Quando observamos de forma bem atenta os objetivos que o Cobit® oferece

para controle, vemos que é praticamente impossível trabalhar apenas com um
modelo para projetar e implantar um processo de TI.
Como podemos observar na Figura 63, o Cobit® abrange diversas etapas
bem definidas em seu processo de implantação. Porém, quando formos pensar
de forma geral no processo, devemos ter a visão dos outros modelos que irão for-
necer a devida orientação com maiores detalhes sobre determinados processos.
Após ter definido quais práticas dos modelos mais se adequam à realidade
da organização, será necessário instanciar o processo, ou seja, devemos adequá-
-lo à realidade da organização. Em resumo, devemos verificar quais os modelos

de melhores práticas interessam para atender ao processo Cobit® definido.
Temos um exemplo prático em que uma empresa implanta a Governança de
TI pelo processo Cobit®, instanciado pelo método do Guia PMBOK®, que for-
nece uma ideia geral da descrição do conjunto de conhecimentos do negócio
e projeta os processos utilizando ferramentas BPMN para a representação dos
processos do negócio.
O Cobit® atua como um integrador desses diferentes materiais de
orientação, resumindo os principais objetivos sob uma metodologia
que também está relacionada aos requisitos de governança e de negó-
cios (IT GOVERNANCE INSTITUTE, 2007, online).
Após a definição das práticas, deve-se projetar o processo, ou seja, criar um fluxo
utilizando a notação BPMN (Business Process Modeling Notation) ou outra que
segue o mesmo padrão. Mesmo na fase de projeto do processo, já são contem-
pladas as particularidades da estrutura organizacional e as responsabilidades
próprias da organização. Outra parte muito importante dessa fase é a documen-
tação de todos os processos.
Após ter todo o processo elaborado e totalmente documentado, devemos
partir para a implantação, utilizando ferramentas de fluxo de trabalho, como
gerir projetos e problemas.
Implementando o Programa de Governança de TI

V
GERENCIANDO A GOVERNANÇA DE TI
O gerenciamento dentro da Governança de TI se baseia em pontos como o uso

do Balanced Scorecard, que mede e acompanha a execução de cada meta do pro-
cesso e mantém o foco nos valores coletados durante o processo.
Segundo Kaplan e Norton (1997), Balanced Scorecard é uma técnica que visa
à integração e ao balanceamento de todos os principais indicadores de desem-
penho existentes em uma empresa, desde os financeiros e administrativos até os
relativos aos processos internos, estabelecendo objetivos da qualidade (indica-
dores) para funções e níveis relevantes dentro da organização.
Gerir portfólio de TI é o ponto em que se podem observar custos e valores
a investir, organizando-os e medindo mudanças nesse portfólio que necessita
de mudanças nos planos traçados, mantendo os departamentos informados e
focados nos mesmos objetivos. A partir desse ponto, é preciso gerenciar tam-
bém todos os processos durante o andamento da implantação a partir de dados
coletados estrategicamente.
A partir do momento da implantação, deve-se acompanhar a rotina e verifi-
car pontos positivos e melhoras obtidas nos processos afetados pela implantação
da Governança. Veja a Figura 64.
Figura 64: Componentes da Governança de TI

159
PARA QUEM DEVEMOS ATRIBUIR A GESTÃO DESSES

COMPONENTES DE TI?
Primeiro deve ser analisado o porte do setor de TI, pois, em determinadas organi-
zações de grande porte, são criados departamentos para gerenciar a Governança
de TI. Algumas empresas chamam essas estruturas de Escritório de Governança
de TI. Em empresas de pequeno porte, em que o departamento de TI é bem
menor, os componentes podem ser diluídos em equipes de gestão temporária
ou de força-tarefa, que serão compostas por gerentes e coordenadores.
No primeiro momento, serão medidos os benefícios e, em outro, serão veri-

ficadas as melhorias nos processos. Uma recomendação importante é que pelo
menos a Gestão de Estratégia e a Gestão de Portfólio sejam permanentes.
COBIT® – CONTROL OBJECTIVES FOR INFORMATION

AND RELATED TECHNOLOGY
Voltado ao bom desempenho na entrega de resultados, produtos ou serviços de

TI, baseando-se nos objetivos propostos dentro das práticas do negócio, foca o
controle da execução dos processos.
Para muitos profissionais o Cobit® é o framework mais indicado para
ajudar as organizações para garantir que o departamento de TI e os ob-
jetivos do negócio caminhem em conjunto com a mesma visão, dando
sempre a ênfase para as necessidades do negócio (COLBERT; BOWEN,
1996).
Para quem Devemos Atribuir a Gestão desses Componentes de TI?

V
A ITGI, dentro dos seus princípios, afirma que as informações corporativas e

a tecnologia não podem ser separadas, elas devem ser tratadas em conjunto,
devendo, o setor de TI, ser considerado parte integrante da estratégia corpora-
tiva, e não um setor isolado. A definição de Governança de TI que está presente
na versão 4.1 do Cobit® demonstra a importância da TI dentro de uma empresa:
“consiste na liderança, nas estruturas organizacionais e nos processos que garan-
tem que a tecnologia da informação da empresa sustente e estenda as estratégias
e objetivos da organização”.
O grande problema das empresas de TI é a garantia na entrega de produtos
e serviços, e é nesse momento que entra o principal objetivo do Cobit®, que é sua
contribuição para o sucesso dessas tarefas, a partir das necessidade do negócio,
pois tem o foco maior no controle do que na execução.
O modelo Cobit® pode e é flexível o suficiente para representar os proces-
sos que são encontrados dentro das funções de TI, e é facilmente tratado, tanto
pelo pessoal operacional quanto pela gerência de negócio, já que cria uma ponte
entre os setores operacionais e a visão dos executivos para que ocorra a gestão.
O Cobit® é formado por pilares que englobam a Governança de TI. São repre-
sentados pelas áreas indicadas na Figura 65.
Figura 65: Áreas-Foco da Governança de TI, na visão do Cobit®

161
Um dos fundamentos, o alinhamento estratégico, faz a ligação entre pla-

nos estratégicos do negócio e de TI. Outro deles é a agregação de valor, que
acrescenta serviços que aumentam o valor dos produtos e serviços visando à
otimização de custos.
O gerenciamento de recursos se preocupa com a otimização de investimen-
tos, não abrindo mão do cumprimento dos objetivos. Já o Gerenciamento de
riscos se baseia na correta identificação deles e da ciência desses pela direção,
sabendo que cada um dos riscos deve ter responsáveis por ele.
A medição de desempenho acompanha e monitora as etapas da implantação
desde o projeto até a entrega dos produtos ou serviços, mantendo indicadores

para o acompanhamento.
ORIENTAÇÕES PARA PROCESSOS
O Cobit® possui uma linguagem comum e também fornece um modelo padrão

a reduzir o aparecimento de dificuldades para os colaboradores da organização,
distinguindo e gerenciando as atividades no que diz respeito à TI.
Assim, podemos utilizar o ciclo tradicional de melhoria contínua (planejar,
construir, executar e monitorar), na implantação desse processo de redução em
que o Cobit® encontrou 34 processos de TI que foram distribuídos em quatro
domínios, que podemos encontrar na maioria das organizações como padrão de
TI. A Figura 66 apresenta a interação entre esses domínios na estrutura do Cobit®.
Orientações para Processos

V
Figura 66: Governança de TI e Domínios
Fonte: Guldentops et al. (2000).
Uma das etapas do processo é a de planejamento e organização, que trabalha

ações estratégicas e táticas buscando formas de fazer a TI ser participante ativa
nos processos de organização, comunicação e planejamento.
Outra etapa consiste na aquisição e implantação que gerencia os processos
de identificação e criação ou compra de solução de TI. Também age na implan-
tação e integração com os demais processos já existentes na empresa.
No processo de entrega e suporte, o produto ou serviço finalizado é implan-
tado para testes e validação. A manutenção também ocorre nessa etapa do
trabalho.
Monitoração e Avaliação é a etapa que se preocupa com a qualidade da TI,
mantendo um acompanhamento das ações, o monitoramento e avaliações inter-
nas e externas. O Quadro 1 descreve questões e os processos do domínio Cobit®
163
QUESTÕES GERENCIAIS PROCESSOS DE TI

• A estratégia do negócio e a TI estão • PO-1 → Definir um plano estratégico para
alinhadas? TI
PO (PLANEJAMENTO E ORGANIZAÇÃO)
• A empresa está otimizando a utili- • PO-2 → Definir a arquitetura da informação

zação dos seus recursos? • PO-3 → Determinar a direção tecnológia
• Todos na organização compreen- • PO-4 → Definir a organização de TI, os seus
dem as metas de TI? processos e relacionamentos
• Os riscos relacionados à TI estão • PO-5 → Gerenciar o investimento em TI
compreendidos e sendo gerencia-
• PO-6 → Comunicar objetivos e direciona-
dos?
mentos gerenciais
• A qualidade dos sistemas de TI

• PO-7 → Gerenciar os recursos humanos
está adequada às necessidades do
negócios? • PO-8 → Gerenciar a qualidade
• PO-9 → Avaliar e gerenciar riscos de TI
• PO-10 → Gerenciar projetos

• Os novos projetos conseguem • AI-1 → Identificar soluções automatizadas
entregar soluções que atendem as • AI-2 → Adquirir e manter software aplica-
AI (AQUISIÇÃO E IMPLEMENTAÇÃO)
necessidades do negócios? tivo

• Os novos projetos conseguem ser • AI-3 → Adquirir e manter infraestrutura
entregues dentro do prazo e orça- tecnológica
mento planejados?
• AI-4 → Viabilizar operação e utilização
• Os novos sistemas funcionam
• AI-5 → Adquirir recursos de TI
adequadamente depois de imple-
mentados? • AI-6 → Gerenciar mudanças
• As mudanças são conduzidas com • AI-7 → Instalar e aprovar soluções e mu-
baixo impacto nas operações de danças
negócios correntes?
Orientações para Processos

V

• Os serviços de TI estão sendo entre- • DS-1 → Definir e gerenciar níveis de serviço
gues com alinhamento às priorida- • DS-2 → Gerenciar serviços terceirizados
des do negócios?
• DS-3 → Gerenciar desempenho e capaci-
• Os custos de TI estão otimizados? dade
• As equipes de trabalho são capazes
DS (ENTREGA E SUPORTE)
• DS-4 → Garantir a segurança dos sistemas

de utilizar os sistemas de TI com
• DS-5 → Garantir a segurança dos sistemas
segurança e produtividade?
• DS-6 → Identificar e alocar custos
• Atributos como confidencialidade,
integridade e disponibilidade estão • DS-7 → Educar e treinar usuários
implementados de forma adequa- • DS-8 → Gerenciar central de serviços e
da? incidentes
• DS-9 → Gerenciar a configuração
• DS-10 → Gerenciar problemas
• DS-11 → Gerenciar dados
• DS-12 → Gerenciar o ambiente físico
• DS-13 → Gerenciar operações

• As medições de desempenho da TI • ME-1 → Monitorar e avaliar o desempenho
detectam problemas antes que seja da TI
ME (MONITORAÇÃO E AVALIAÇÃO)
tarde demais? • ME-2 → Monitorar e avaliar os controles

• Há garantias de que os controles internos
internos sejam eficientes e eficazes? • ME-3 → Assegurar conformidade com
• É possível associar diretamente o requisitos externos
desempenho de TI às metas de ne- • ME-4 → Fornecer governança para a TI
gócio estabelecidas anteriormente?
• Existem controles para confiden-
cialidade, integridade e disponibi-
lidade adequados para garantir a
segurança da informação?
Quadro 1: Questões e processos do domínio do Cobit®

165
ITIL® – INFORMATION TECHNOLOGY

INFRASTRUCTURE LIBRARY
Desenvolvida no final dos anos 80, a

Information Technology Infrastructure
Library foi criada pela insatisfação do
governo Britânico com o nível dos ser-
viços de TI existentes na época. Visava
a uma evolução da forma como eram
utilizados esses recursos para que se tor-

nassem mais eficientes.
Uma terceira versão foi criada em
2007 acrescentando funções como
melhores formas de gerenciamento
de serviços. Essa biblioteca é um con-
junto de métodos de gerenciamento de
TI baseados em observação e pesquisa.
Unindo práticas usadas para o acompanhamento de serviços de TI, consegue
agradar muitos gestores pela sua abrangência e capacidade de se aprofundar nos
processos do negócio.
O principal objetivo da ITIL® é prover um conjunto de práticas de ge-
renciamento de serviços de TI testadas e comprovadas no mercado (or-
ganizadas segundo uma lógica de ciclo de vida de serviços), que podem
servir como balizadoras, tanto para organizações que já possuem ope-
rações de TI em andamento e pretendem empreender melhorias quan-
to para a criação de novas operações (FERNDANDES, 2008, p. 442).
ITIL® – Information Technology Infrastructure Library

V
ESTRUTURA DO MODELO
As organizações utilizam a ITIL® como uma fonte de boas práticas para estabe-
lecer e melhorar a forma de gestão de serviços e possuir os vários componentes
citados por Fernandes (2008):
- Um desses componentes representa o núcleo da ITIL® que orienta para
práticas eficientes para prestadoras de serviços.
- Outro componente é a orientação complementar à ITIL®, composto por
um conjunto de orientações publicadas, voltadas para difundir os métodos defi-
nidos no componente anterior.
- A estratégia de serviço detalha formas de como definir e implementar políti-
cas e processos. O projeto de serviços detalha cada serviço prestado e seus níveis,
capacidades e continuidade. Já a transição de serviço mostra como implantar a
nova metodologia, modificando a metodologia de serviços anterior. A operação
de serviço trata da garantia de entrega de serviços e sua contínua manutenção.
- Finalmente, a melhoria de serviço continuada orienta como melhorar a
qualidade dos serviços prestados e metas estabelecidas.
Observe esses processos na Figura 67.
167
PUBLICAÇÕES PROCESSOS FUNÇÕES

Estratégia de • Gerenciamento Financeira de TI;
Serviço • Gerenciamento do Portfolio de Serviços;
• Gerenciamento da Demanda.
Desenho de • Gerenciamento do Catálogo de Serviços;
Serviço • Gerenciamento do Nível de Serviço;
• Gerenciamento da Capacidade;
• Gerenciamento da Continuidade de Serviço;
• Gerenciamento de Segurança da Informação;
• Gerenciamento de Fornecedor.
Transição de • Gerenciamento de Mudança;
Serviço • Gerenciamento da Configuração e de Ativo de
Serviço;
• Gerenciamento da Liberação e Implantação;
• Validação e Teste de Serviço;
• Avaliação;
• Gerenciamento do Conhecimento.
Operação de • Gerenciamento de Evento; • Central de Serviço
Serviço • Gerenciamento de Incidente; • Gerenciamento Técnico;
• Gerenciamento de Requisição; • Gerenciamento das Opera-
• Gerenciamento de Problema; ções de TI;
• Gerenciamento de Acesso; • Gerenciamento de Aplicativo.
Melhoria de Ser- • Relatório de Serviço;

viço Continuada • Medição de Serviço.
Figura 67: Processos e funções da ITIL®
Fonte: Fernandes (2012).
A Governança de TI utiliza vários frameworks para sua implantação e gestão

em uma empresa. Você sabe quais e quantos desses frameworks devem ser
utilizados?
Fonte: os autores.
ITIL® – Information Technology Infrastructure Library

V
Conforme vimos nesta unidade, são muitos os passos para implantarmos a

Governança de TI nas empresas. Os passos iniciais devem partir da aceitação
por parte de toda a equipe que estará trabalhando nesse projeto.
Deve-se iniciar pelo planejamento em que dois passos devem ser seguidos:
fazer uma avaliação dos processos de TI, partindo de uma ferramenta como
o Cobit®, e os processos devem ter um alinhamento estratégico baseado em
Balanced Scorecard. Cobit® é uma técnica que identifica quais processos devem
ser tratados em primeiro lugar.
Para a implantação da Governança de TI, devemos observar quais ferramen-
tas do Cobit® estaremos usando dentro da empresa, já que cada organização tem
suas particularidades. O Cobit® gerencia diversas ferramentas organizadas por
ele, como, por exemplo, ITIL®, Guia PMBOK®, Ferramentas do BPM, Workflow,
entre outras.
Após ter todo o processo projetado e documentado, devemos partir para
a implementação utilizando ferramentas de fluxo de trabalho. O processo de
implantação gera grandes mudanças dentro da organização e o planejamento é
fundamental para que possamos ter um caminho a ser seguido.
Porém, quando partimos para a realidade da implantação, devemos cuidar
com o estresse que pode ser gerado devido às mudanças de comportamento que
serão necessárias para o sucesso da implantação da Governança da Tecnologia
da Informação.
Você deve lembrar que, quando falamos em implantação, não podemos
nos concentrar somente em um framework. O Cobit® é o modelo principal, mas
cada empresa utiliza outros frameworks conforme seu negócio, sua necessidade
e seu planejamento.
Não deixe de se atualizar, pois a Governança da Tecnologia da Informação,
apesar de ser nova, sofre alterações e adaptações, como a ITIL®, que gerou mais
de uma versão.
169
1. Conforme já vimos nas unidades anteriores, podemos dizer que nas duas últimas
décadas vêm aparecendo vários modelos de melhores práticas para o gerencia-
mento de TI. Alguns modelos são os primeiros ou os iniciais e outros são deri-
vados que vêm evoluindo conforme o tempo vai passando. Cite três modelos e
seus escopos.
2. Para uma organização realizar o processo de implantação da Governança de TI,
vai precisar de tempo, pois podemos dizer que esse é um processo de resultados
em longo prazo. Para que essa implantação possa ter sucesso, devemos seguir
alguns requisitos. Descreva, de forma resumida, dois deles.
3. Como vimos anteriormente, existem muitos fatores que motivam a implantação
da Governança de TI. Para implementar a Governança de TI, devemos partir da
premissa de que o processo passa por um ciclo, ou seja, deve existir o processo
de alinhamento estratégico para que seja tomada a decisão e a priorização de
operações de serviços e de gestão de desempenho. Apresente os dois caminhos
básicos para a implantação do Programa de Governança de TI.
Fatores que Interferem no Alinhamento Estratégico da Tecnologia da Informação
No momento em que todos os processos e objetivos se alinham em um negócio, as
perspectivas futuras apontam para a evolução. Para Boar (2002, p. 143), esse alinhamen-
to “é o processo de garantir que todas as funções comerciais operem em harmonia umas
com as outras para dar suporte ao escopo comercial”.
Assim, existe também a necessidade de harmonizar o meio externo com o qual o negó-
cio interage além da harmonia interna, pois não adianta apenas a empresa estar toda
ajustada em sua estrutura de processos, quando tais processos não conseguirem atingir
o meio externo que funcione de forma diferente.
Rezende (2002) diz que há um processo complexo com a necessidade de atividades e
fatores diversos para o sucesso, sendo alguns deles fatores políticos, organizacionais,
sistêmicos, humanos, sociais, culturais ou tecnológicos.
É preciso compreender que para que uma solução seja completa e eficiente, ela deve
atender e abranger a todos os setores do negócio, desde áreas operacionais, até direto-
rias e gerências.
Essa abrangência é necessária para que todos os processos sejam compatíveis, e não
apenas relacionados com um ou outro setor do negócio, pois, dessa forma, a solução
seria parcialmente funcional e processos mais complexos que envolvam vários setores
poderiam não ser implantados devido a restrições de quaisquer tipos.
Quando todos têm acesso às camadas superiores na hierarquia, ocorre uma melhora
sensível no alinhamento do negócio, assim como setores precisam que seus responsá-
veis mantenham contato direto e linear principalmente com o setor de TI, em que seu
gerente deve manter todos os demais situados no andamento dos processos.
Para isso, é preciso que o Gerente de TI saiba profundamente como funciona o negócio
e tenha acesso a todos os detalhes pertinentes aos processos envolvidos ou não com TI.
Keen (1993) diz que as diferenças parecem relacionar-se crescentemente com a qualida-
de do diálogo ou com a falta dele entre líderes de negócio e seus gerentes de TI.
Um negócio não pode se dar ao luxo de permitir que pequenos conflitos pessoais ou
até discriminações impeçam que revoluções na forma da condução dele sejam inviáveis,
mas sim norteadores de novos avanços dentro do processo evolutivo desejável vislum-
brado pelos seus altos escalões.
Fonte: Galas e Ponte (2006, p. 37-51).
Governança de TI - Tecnologia da Informação

Peter Weill, Jeanne Ross
Editora: M. BOOKS
Sinopse: o livro cita as decisões mais significantes dentro do uso da
TI em negócios, além de um conjunto de modelos que ajudam no
processo de decisão da hierarquia da implementação do plano de
Governança de TI. Exemplos reais de casos de sucesso na implantação
são citados, enriquecendo o material e permitindo comparações mais
próximas com a realidade do leitor, além do material ser capaz de
auxiliar o alinhamento da TI com os objetivos do negócio como um
todo.
173
CONCLUSÃO
Neste livro, em todo o momento, procuramos apresentar para você, aluno(a), da-
dos e informações sobre a Governança de TI, desde seu início (onde surgiu e como
funciona dentro de uma organização). Entenda que este livro não vai fazer de você
um(a) profissional certificado(a) em Governança de TI e nem foi isso que buscamos
aqui, porém, o que esperamos é ter esclarecido algumas dúvidas que você possa
ter em relação aos assuntos aqui apresentados e ter despertado em você algumas
curiosidades que gerem o interesse de compreender e buscar mais informações so-
bre o que vimos.
Dentro da unidade I, tratei de assuntos como o surgimento da governança de TI
e o início da governança corporativa. Qual o real motivo que existiu para ocorre-
rem grandes mudanças nas formas de gestão e modelos que seriam criados para as
empresas que trabalham com investimentos. Esses modelos deram tão certo que
outras empresas em gestão começaram a utilizar os mesmos métodos.
Na unidade II, apresentamos como era o funcionamento das empresas sem o entro-
samento entre os demais setores da organização e o departamento de TI. Conforme
foi percebida a dimensão da importância do setor de TI na tomada de decisão, as
empresas verificaram que poderiam melhorar os atendimentos e produtos/serviços
se utilizassem de forma correta o setor de TI. Para uma empresa poder desfrutar das
melhores formas, para alcançar os objetivos do negócio, elas estão utilizando ferra-
mentas disponíveis, como ITIL®, Cobit®, entre outras. Nesta unidade, apresentamos
uma introdução à ferramenta ITIL®. Em um breve comentário, foram apesentadas as
áreas das quais ITIL® faz cobertura.
Na unidade III, estudamos a Segurança da Informação em etapas: começamos apre-
sentando a Governança da Segurança da Informação, em que vimos a definição
de “Segurança da Informação”; quais os fatores que nos levam a implantar a Go-
vernança de TI e como isso aprimora a Segurança. Apresentamos para você alguns
mecanismos de segurança que ajudam e protegem as empresas contra ataques de
hackers.
Na unidade IV, estudamos a TI como ela realmente é, como funciona e vimos algu-
mas diferenças entre as indústrias e as empresas prestadoras de serviços. Estuda-
mos quais mudanças foram necessárias para que o antigo setor de informática se
tornasse uma ferramenta poderosa chamada departamento de TI, que faz organiza-
ções faturarem milhões nos dias de hoje.
E, na última unidade, estudamos como planejar, implementar e gerenciar a Gover-
nança de TI, planejando o programa de Governança de TI. Para a implantação da
Governança de TI, devemos ter um planejamento, já que os resultados são em longo
prazo, porém, é necessário que alguns resultados apareçam em curto prazo para
indicar que o caminho que estamos seguindo está correto.
Chegamos, então, ao final de nosso livro. Todos nós, autores, esperamos que você
tenha aproveitado bastante os conteúdos aqui expostos e que nós tenhamos con-
seguido aguçar a sua curiosidade para que você busque mais conhecimento e de-
senvolva-se ainda mais nessa grandiosa área, que é a Governança em Tecnologia da
Informação.
175
REFERÊNCIAS
AGUIAR, W. S.; FONTENELLE, J. M. B.; LIMA, M. J.; GONÇALVES, A. A. Implantando a

Governança de TI: Estudo de Caso em uma Operadora de Planos de Saúde no Nor-
deste. In: CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO, 10., 2014, Rio de
Janeiro. Anais... RJ: Centro Universitário Estácio do Ceará – UNESA, 2014. 14 p. Dis-
ponível em:<http://www.excelenciaemgestao.org/Portals/2/documents/cneg10/
anais/T14_0256.pdf>. Acesso em: 26 jun. 2015.
ARRUDA, A. Apostila Fundamentos em Gerenciamento de TI. Disponível em: <files.
robertomarcello.webnode.com.br/200000041.../ITIL.PDF>. Acesso em: 10 jun. 2015.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação –
Técnicas de segurança – Código de prática para a gestão da segurança da in-
formação. NBR ISO/IEC 27002:2005. Rio de Janeiro, 2005, 120p.
BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção
dos ativos de informação nas organizações. São Paulo: Atlas, 2005. 180 p.
BOAR, B. Tecnologia da Informação: a Arte do Planejamento Estratégico. 2. ed. São
Paulo: Berkeley, 2002.
BON, J. V. ITIL® V3 Foundation Exam: The Study Guide. Zaltbommel – Holanda: Van
Haren Publishing, 2008.
BRIDGE CONSULTING. Quais os objetivos em implantar a Governança de TI. 2012.
Disponível em: <http://www.blog.bridgeconsulting.com.br/quais-sao-os-objeti-
vos-em-implantar-a-governanca-de-ti/#sthash.81rzB59U.dpuf>. Acesso em: 05 jun.
2015.
BRITO, A. Análise da Lei 12.737/12 – “Lei Carolina Dieckmann”. Política, Cidadania
e Dignidade. 2013. Disponível em: <http://politicacidadaniaedignidade.blogspot.
com.br/2013/04/analise-da-lei-1273712-lei-carolina.html>. Acesso em: 17 jun. 2015.
BROCARDO, M. L.; ROLT, C. R. de; FERNANDES, R. Introdução à Certificação Digi-
tal da Criptografia ao Carimbo de Tempo. Florianópolis: Editora BRy Tecnologia,
2006.
CARUSO, C. A. A.; STEFFEN, F. D. Segurança em Informática e de Informações. 3.
ed. rev. e ampl. São Paulo: Editora Senac São Paulo, 2006.
Colbert, J. and Bowen, P. (1996), “A comparison of internal controls: COBIT, SAC,
COSO and SAS 55/78”, IS Audit & Control Journal, Vol. 4, pp. 26‐35.
COUTO, G. A. C. Elementos de Estratégia: Apontamentos para um Curso. Volume I.
Lisboa: IAEM, 1988.
FABICIACK, D. Introdução ao Gerenciamento de Serviços de TI (GSTI). Governança
de TI e Gerenciamento de Serviços. 2009. Disponível em: <https://danielfabiciack.
wordpress.com/2009/12/05/1-introducao-ao-gerencimento-de-servicos-de-ti-gs-
ti/>. Acesso em: 19 jun. 2015.
REFERÊNCIAS
FARHAT, S. Dicionário Parlamentar e Político: o Processo Político e Legislativo no

Brasil. São Paulo: Fundação Petrópolis, 1996.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI: da estratégia
à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI: da estratégia
à gestão dos processos e serviços. 3. ed. Rio de Janeiro: Brasport, 2012.
FERREIRA, M. Apostila ITL. Disponível em: <http://www.ebah.com.br/content/ABA-
AABVk8AD/32939973-apostila-itil>. Acesso em: 14 abr. 2015.
GALAS, E. S.; PONTE, V. M. R. O Balanced Scorecard e o Alinhamento Estratégico da
Tecnologia da Informação: Um Estudo de Casos Múltiplos. Revista Contabilidade
Financeira – USP, São Paulo, n. 40, p. 37-51, Jan./Abr. 2006
GAMA, F. A.; MARTINELLO, M. Governança de Tecnologia da Informação: Um Estudo
em Empresas Brasileiras. In: SIMPÓSIO FUCAPE DE PRODUÇÃO CIENTÍFICA. 4. Dis-
ponível em: <http://www.fucape.br/_public/producao_cientifica/2/gama%20-%20
governanca%20de%20tecnologia%20de%20informacao.pdf>. Acesso em: 17 jul.
2015.
GRENNAN, M. Firewall and Proxy Server HOWTO. 2000. Disponível em: <http://www.
tldp.org/HOWTO/Firewall-HOWTO-2.html#ss2.1>. Acesso em: 22 jun. 2015.
GULDENTOPS, E.et al. COBIT - Control Objectives for Information and related Tech-
nology, 3 ed. Rolling Meadows, Ilinois – USA. Information Systems Control Associa-
tion, 2000
GUIMARÃES, A. G; LINS, R. D; OLVEIRA, R. Segurança com Redes Privadas Virtuais
VPNs. Rio de Janeiro: Brasport, 2006.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Governança Corpo-
rativa. Disponível em: <http://www.ibgc.org.br/Secao.aspx?CodSecao=17>. Acesso
em: 28 mar. 2015.
IT GOVERNANCE INSTITUTE. IT Governance Global Status Report. 2004. Disponível
em: <https://www.isaca.org/Knowledge-Center/Research/Documents/ITGI-Global-
-Status-Report-2004.pdf>. Acesso em: 22 jul. 2015.
IT GOVERNANCE INSTITUTE. Disponível em: <http://www.itgi.org>. Acesso em: 28
mar. 2015.
IT GOVERNANCE INSTITUTE. Cobit® 4.1. 2. ed. USA: Board briefing on IT. IT Gover-
nance Institute, 2003. p. 8.
IT GOVERNANCE INSTITUTE. Aligning CoBiT 4.1, ITIL V3, ISO/IEC 27002 for Business
Benefit – A Management Briefing From ITGI and OGC. 2008. Disponível em: <http://
www.isaca.org/Knowledge-Center/Research/Documents/Aligning-COBIT-ITIL-V3-I-
SO27002-for-Business-Benefit_res_Eng_1108.pdf>. Acesso em: 28 mar. 2015.
177
REFERÊNCIAS
KAPLAN, R. S.; NORTON, D. P. The Balanced Scorecard: Measures that Drive Perfor-
mance. Boston: Harvard Business Review, 1992.
KEEN, P. G. W. Information technology and the management difference: a fusion
map. IBM Systems Journal, v. 32, n. 1, p. 17-39, 1993.
KIZZA, J. M. Guide to Computer Network Security. New York, NY: Springer, 2005.
KOTLER, P. Administração de Marketing: análise, planejamento, implementação e
controle. 5. ed. São Paulo: Atlas, 1998.
KUROSE, J. F.; ROSS, K. W. Redes de computadores e a Internet: uma abordagem
top-down. 5. ed. São Paulo: Pearson, 2010.
LAUDON, K.; LAUDON, J. Sistemas de informação gerenciais. 7. ed. São Paulo: Pe-
arson Pratice Hall, 2007.
LAUREANO, M. A. P. Gestão de Segurança da Informação. MLaureano. 2005. Dis-
ponível em: <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.
pdf>. Acesso em: 01 mai. 2015.
LUNARDI, G.; DOLCI, P.; BECKER, J.; MACADA, A. Governança de TI no Brasil: uma aná-
lise dos mecanismos mais difundidos entre as empresas nacionais. In: SIMPÓSIO DE
EXCELÊNCIA EM GESTÃO E TECNOLOGIA, 4., 2007, Rio Grande do Sul. Anais... Rio
Grande do Sul: Universidade do Rio Grande do Sul – UFRGS – Repositório Digital –
2007. Disponível em: <http://www.lume.ufrgs.br/handle/10183/31080?locale=en>.
Acesso em: 17 jul. 2015.
MAGALHÃES, I. L.; PINHEIRO, W. B. Gerenciamento de Serviços de TI na prática.
Capítulo 1. Disponível em: <http://novatec.com.br/livros/gerenciamento/capitu-
lo9788575221068.pdf>. Acesso em: 10 abr. 2015.
MANSUR, R. Governança de TI: metodologia, frameworks e melhores práticas. Rio
de Janeiro: Brasport, 2007.
MONTANA, J. C. Retention of Mergers and Acquisitions Records and Information.
In-formation Management Journal, v. 34, n. 2, p. 54, 2000.
MONTANA, P. J.; CHARNOV, B. H. Administração. 3. ed. São Paulo: Saraiva, 2009.
MORIMOTO, C. E. Redes e Servidores Linux – Guia prático. 2. ed. 2006. Disponível
em: <http://www.hardware.com.br/livros/linux-redes/>. Acesso em: 22 jun. 2015.
MUSSI, O. Modelo de Gestão Integrada para Governança de TI. Webinsider. 2009.
Disponível em: < http://webinsider.com.br/2009/01/08/modelo-de-gestao-integra-
da-para-governanca-de-ti/>. Acesso em: 28 mar. 2015.
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de Redes em Ambientes Cooperati-
vos. São Paulo: NOVATEC, 2007.
NASCIMENTO, S. A. Segurança da Informação. 2011. Disponível em: <http://sebas-
REFERÊNCIAS
tiao.azevedo.zip.net/arch2011-12-18_2011-12-24.html>. Acesso em: 25 abr. 2015.

OLIVEIRA, J. CIOs revelam porquê defendem o multisourcing. TI inside online servi-
ces. Diponível em:<http://convergecom.com.br/tiinside/18/06/2007/cios-revelam-
-porque-defendem-o-multisourcing/#.VXgsMqO5dkg> Acesso em: 13 ago. 2015.
OPSERVICES. Governança de TI X Governança Corporativa. Disponível em: <http://
www.opservices.com.br/governanca-de-ti-x-governanca-corporativa-quais-os-
-seus-papeis-e-suas-diferencas/>. Acesso em: 15 jun. 2015.
PEIXOTO, M. C. P. Engenharia Social e Segurança da Informação na Gestão Cor-
porativa. Rio de Janeiro: Brasport, 2006.
PELLEGRINI, A. Governança em Tecnologia da Informação (Ebook). Disponível em:
<http://www.alanapellegrini.com.br/mobdigital/download-ebook-governanca-
-em-tecnologia-da-informacao/>. Acesso em: 11 jun. 2015.
PETERSON, R. Integration strategies and tactics for information technology gover-
nance. In: VAN SAMBAMURTHY, V.; ZMUD, R. Arrangements for information tech-
nology governance: a theory of multiple contingencies. MIS Quarterly, v. 23, n. 2,
1997.
PINHEIRO, J. M. Biometria nos Sistemas Computacionais: Você é a Senha. Rio de
Janeiro: Ciência Moderna, 2008.
REZENDE, D. A. Alinhamento do Planejamento Estratégico da Tecnologia da In-
formação ao Planejamento Empresarial: Proposta de um Modelo e Verificação da
Prática em Grandes Empresas Brasileiras. 2002. 286p. Tese (Doutorado) - EPS/UFSC,
Florianópolis, 2002.
ROCHA, N. Afinal, quem é o responsável pela governança de TI? iMasters. Dispo-
nível em: <http://imasters.com.br/artigo/16865/gerencia-de-ti/afinal-quem-e-res-
ponsavel-pela-governanca-de-ti/>. Acesso em: 29 mar. 2015.
ROQUE, S. M. Criminalidade informática: crimes e criminosos do computador. São
Paulo: ADPESP Cultural, 2007. p. 25.
RÓS, D. V. Gerenciamento de Serviços de Tecnologia da Informação, utilizan-
do a biblioteca de boas práticas da ITIL. 2009. 55f. Monografia (Pós-graduação
em Redes e Telecomunicações) – Universidade Municipal de São Caetano do Sul,
São Caetano do Sul, 2009. Disponível em: <http://repositorio.uscs.edu.br/bitstre-
am/123456789/149/2/Monografia_Daniel%20Vieira%20Ros.pdf>. Acesso em: 06
jun. 2015.
ROSA, E. J. Ciclo da Governança de TI. Disponível em: <http://www.p2he.com.br/
artigos/governancia_de_ti.pdf>. Acesso em: 04 abr. 2015.
SANTOS, M. A. P. dos. O que é Balanced Scorecard. Portal Educação. Disponível
em:<http://www.portaleducacao.com.br/administracao/artigos/3949/o-que-e-ba-
lanced-scorecard#ixzz3as4MUBKx>. Acesso em: 21 maio. 2015.
179
REFERÊNCIAS
SANTOS, R. Gerenciamento de Incidentes e de Problemas. 2009. Disponível em:

<http://pt.slideshare.net/SanDbc1/gerenciamento-de-problemas-e-de-inciden-
tes>. Acesso em: 10 jun. 2015.
SÊMOLA, M. Gestão de Segurança da Informação. Rio de Janeiro: Campus, 2003.
SÊMOLA, M. IT GRC: o que significa na prática. Coluna Firewall – IDGNow®. 101
– Julho de 2008. Disponível em: <http://www.semola.com.br/disco/Coluna_IDG-
Now_101.pdf>. Acesso em: 10 jun. 2015.
SHIREY, R. RFC 2828 – Internet Security Glossary. The Internet Society, 2000. Disponí-
vel em: <https://www.ietf.org/rfc/rfc2828.txt>. Acesso em: 12 jun. 2015.
SIGNIFICADOS. Significado de Stakeholder. Disponível em: <http://www.significa-
dos.com.br/stakeholder/>. Acesso em: 06 jun. 2015.
SILVA, L. G. C. et al. Certificação Digital: Conceitos e Aplicações. Rio de Janeiro: Edi-
tora Ciência Moderna, 2008.
SILVA, L. S. Public Key Infrastructure – PKI: conheça a infra-estrutura de chaves
públicas e a certificação digital. São Paulo: Novatec, 2004.
SILVA, M. P.; SAMPAIO, N. S. Estudos de sistemas de detecção e prevenção de in-
trusões uma abordagem open Source. Relatório final da Disciplina de Projeto I
– Instituto Politécnico de Leiria, Escola Superior de Tecnologia e Gestão. Disponível
em: <http://mosel.estg.ipleiria.pt/files/Estudo_de_Sistemas_de_Deteccao_e_Pre-
vencao_de_Intrusoes.pdf>. Acesso em: julho de 2015.
SILVA. W. Governança de Tecnologia da Informação. 2014. Disponível em: <http://
pt.slideshare.net/waguinho40/gti02>. Acesso em: 31 mar. 2015.
SIQUEIRA, A. C. B. Marketing empresarial, industrial e de serviços. São Paulo: Sa-
raiva, 2005.
STALLINGS, W. Cryptography and Network Security: Principles and Practice. 4. ed.
Upper Saddle River: Prentice Hall, 2006. 680 p.
STONEBURNER, Gary. Underlying Technical Models for Information Technology
Security. USA: NIST Special Publication 800-33, 2001.
UNIVERSIDADE FEDERAL FLUMINENSE. Comissão de Governança e Segurança da
Informação. Plano de Governança de Tecnologia de Informação. Superintendên-
cia de Tecnologia da Informação STI. Disponível em: <http://www.sti.uff.br/sites/de-
fault/files/Plano-Governanca-em-TI-STI.pdf>. Acesso em: 26 jun. 2015.
WADLOW, A. T. Projeto e Gerenciamento de Redes Seguras. São Paulo: Editora
Campus, 2000.
WANG, J. Computer network security: theory and practice. Pequim: Higher Educa-
tion Press, 2009.
WEILL, P.; ROSS, J. A matrix approach to designing IT governance. Sloan Manage-
REFERÊNCIAS
ment Review, v. 46, n. 2, 2005.

WEILL, P. ROSS, J. W. IT governance – How top performers manage IT decision
rights for superior results. Harvard Business School Press (2004).
WEILL, Peter; ROSS, Jeanne W. Governança de TI: Tecnologia da Informação. São
Paulo: MBooks, 2006.
WELTER, F. Engenharia de Software Magazine. Disponível em: <http://www.dev-
media.com.br/apoio-a-gestao-de-ti-com-itil-engenharia-de-software-27/17738>.
Acesso em: 14 abr. 2015.
WIKIPEDIA – A ENCICLOPÉDIA LIVRE. Proxy. Disponível em <http://pt.wikipedia.org/
wiki/Proxy>. Acesso em: 12 jun. 2015.
WOLF, A. S. Manual Servidor Debian. Divulgar Linux é Divulgar Conhecimento. De-
bian. 2007. Disponível em: <http://ensino.univates.br/~awolf/ManualServidorDe-
bian1_0.pdf>. Acesso em: 19 jun. 2015.
181
GABARITO
UNIDADE I
1. A Governança Corporativa deu início às suas atividades devido ao número muito
grande de escândalos ocorridos no mercado financeiro em meados de 2002 e,
com a gravidade desses escândalos, os investidores perderam a confiança tanto
nas instituições como nas pessoas físicas, colocando em dúvida a competência
de proteger os investimentos. Com o surgimento da Governança Corporativa,
surgiu também a Governança de TI. Defina o que é Governança de TI.
Resposta:
Poderíamos definir de muitos modos o termo Governança Corporativa. Traze-
mos para você a definição segundo o IBGC – INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, que é um órgão especializado no assunto
Governança Corporativa é o sistema pelo qual as organizações
são dirigidas, monitoradas e incentivadas, envolvendo as práti-
cas e os relacionamentos entre proprietários, conselho de admi-
nistração, diretoria e órgãos de controle. As boas práticas de Go-
vernança Corporativa convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar e
otimizar o valor da organização, facilitando seu acesso ao capi-
tal e contribuindo para a sua longevidade (INSTITUTO BRASILEI-
RO DE GOVERNANÇA CORPORATIVA, online).
2. Para Weill (2002), a Governança de TI é um conjunto combinado de práticas que

comportam processos, mecanismos de relacionamento e estrutura. Apresente e
descreva os três elementos básicos para a Governança de TI.
Resposta:
Estrutura: é a definição de papéis e responsabilidades, ou seja, o que cada um
representa dentro da empresa com seu papel detalhado, incluindo equipamen-
tos. Como, por exemplo, um analista de infraestrutura tem seu papel definido
como a pessoa responsável pelos servidores, estrutura de comunicação e outras
funções definidas pela empresa.
Processos: é o método para avaliar o desempenho da TI e a elaboração do Pla-
nejamento Estratégico. O processo vai ao encontro com a metodologia que será
usada para a definição das métricas e diretrizes, que terão como resultado a me-
dição do funcionamento do Planejamento Estratégico.
Relacionamento: solução de serviços de forma ativa, controle de serviços exe-
cutados e meios de recompensa. Demonstração dos resultados obtidos dentro
do processo de Governança gerando maior aproximação entre a organização e
o cliente.
GABARITO
3. Com a TI, a empresa ganha, para uma administração mais eficaz, ferramentas
que facilitam o planejamento financeiro e contribuem para uma gestão inte-
grada e responsável dos recursos, ganhando melhorias nos processos e maior
transparência. Essa transparência foi o grande incentivador da Governança de
TI para que os investimentos possam ter um elemento a mais para os gestores
adquirirem confiança dos clientes. Cite e defina pelo menos 5 desses benefícios.
Resposta:
Modernização: estruturar uma área de TI com qualidade e custos menores para
os desafios do presente e futuro.
Organização: ter melhor gerenciamento dos processos.
Gestão: apresentar uma nova cultura na administração, com o uso das melhores
práticas.
Capacitação: melhor gestão dos recursos técnicos e humanos.
Conhecimento: maior compartilhamento de informações e criação de uma
base de conhecimento na Empresa.
UNIDADE II
1. Quando os processos são bem definidos, atinge-se com maior objetividade a efi-
ciência e eficácia. Todos os processos que não são possíveis monitorar se tornam
inviáveis. Se não temos o controle sobre o processo, de nada nos serve. A base
do Gerenciamento de Serviços de TI pode ser facilmente resumida pelos 3 P’s.
Cite quais são e descreva com suas palavras cada um deles.
Resposta:
pessoas, processos e produtos (tecnologias).
2. Help Desk é um setor responsável pela busca por soluções de problemas ocorri-
dos em serviços prestados. Descreva pelo menos 3 objetivos principais das cen-
trais de serviço.
Resposta
Referência que serve de ponte entre usuário e TI, tendo um contato direto com
esses usuários.
Recuperar serviços que tenham erros comuns ou na base de dados, reduzindo
inconvenientes aos usuários.
Prestar suporte de qualidade para manter bons níveis de atendimento, tendo
boa base de conhecimento sobre o negócio.
183
GABARITO
3. A Central de Serviços é a responsável por controlar todos os incidentes informa-

dos e registrá-los. Esse é o primeiro setor para o qual o usuário liga para informar
seu problema. Em nossos estudos, vimos que existem 3 tipos de centrais de ser-
viços. Cite cada uma e, com uma base analítica, descreva as 3 centrais estudadas.
Resposta:
Central de Atendimento (Call Center) - para grandes volumes de chamadas
telefônicas. Não soluciona problemas, mas indica os mecanismos capazes de
ajudar na solução.
Central de Suporte (Help Desk) - é onde as solicitações podem ser soluciona-
das, lembrando que todas as solicitações devem ser atendidas.
Central de Serviços (Service Desk) – necessário, atende ao negócio em um ní-
vel mais profundo, pois além de pequenas ocorrências, trabalha na solução de
problemas maiores e alterações em tempo real nos serviços.
UNIDADE III
1. Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder.” Sendo
assim, defina o que é Governança de Segurança da Informação.
Resposta:
Governança de TI é um conjunto de práticas, padrões e relacionamentos estrutu-
rados, assumidos por executivos, gestores, técnicos e usuários de TI de uma or-
ganização, com a finalidade de garantir controles efetivos, ampliar os processos
de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação
de recursos, reduzir os custos, suportar as melhores decisões e, consequente-
mente, alinhar TI aos negócios.
2. Nos dias atuais, a Governança de Ti é motivada por vários fatores. Apresente os 6

motivos que estudamos nesta unidade.
Resposta:
Ambiente de Negócio é onde os clientes estão cada vez mais exigentes, neces-
sitando de uma transparência maior.
TI como Prestadora de Serviços no cumprimento de prazos e requisitos.
Integração Tecnológica das redes de distribuição voltadas para a aplicação e
infraestrutura.
GABARITO
Segurança da Informação para melhorar a segurança contra ataques digitais

pela Internet principalmente.
Dependência do Negócio é onde todos os setores ficam interligados ao de TI,
criando esse vínculo.
Marcos de Regulação para manter certas restrições no negócio.
3. As empresas têm a necessidade de aumentar sua segurança. Uma forma de au-

mentá-la é a implementação de firewalls. Defina o que são firewalls.
Resposta:
São softwares que agem como sistemas de proteção e filtragem entre a comuni-
cação da rede local com redes externas e a Internet.
4. O principal objetivo dos IDS é a detecção de tentativas de entrada no sistema

ou até de algum usuário que tem permissão de acesso e que está fazendo mau
uso desse sistema. Toda vez que é detectada uma ocorrência que seja suspeita
ou ilegal, essa ferramenta gera uma notificação e sua detecção é em tempo real,
pois os IDS rodam em background. Para a implementação de ferramentas IDS,
usamos basicamente dois tipos. Cite esses dois tipos.
Resposta:
Host Based IDS (HIDS) é instalada no servidor para identificar e impedir ataques
ou acessos proibidos a máquinas da rede.
Network Based IDS (NIDS) é instalada nas máquinas que são responsáveis pelo
monitoramento da rede identificando ataques. São monitorados os conteúdos e
detalhes como conteúdo do cabeçalho e protocolos.
UNIDADE IV
1. Dentre os modelos estratégicos utilizados na Tecnologia da Informação, o mul-
tisourcing tem sido aplicado de forma bastante eficaz na contratação de mão de
obra, utilizando recursos internos e externos de acordo com a necessidade da
organização. Descreva por que as empresas têm buscado esse modelo estraté-
gico em seus negócios?
Resposta:
Atualmente, as empresas têm buscado esse modelo considerando não apenas
o custo, mas também o grau de complexidade de cada processo que precisa
ser desenvolvido, agregando valor para a organização. Para Magalhães e Brito
185
GABARITO
(2007, p. 31), toda atividade ou serviço da área de tecnologia da informação que

possa ser padronizado, possivelmente, pode ser terceirizado.
2. Para as mudanças acontecerem, devem ocorrer motivação e envolvimento de

todos os integrantes que estão participando do projeto de TI, acontecendo
transformações das suas convicções, de seus conhecimentos e expectativas,
gerando mudança no comportamento. Apresente algumas diferenças entre o
Cenário Atual e o Cenário Anterior da TI, conforme apresentado nesta unidade.
Resposta:
Cenário anterior: Atendimento aos usuários, Perspectivas internas, Esforços pes-
soais, Foco na tecnologia, Processos Ad-Hoc, Recursos internos, Comportamento
reativo, Visão fragmentada, Sistema manual e Gestor de operações.
Cenário atual: Atendimento aos clientes, Perspectivas externas, Esforços repetiti-
vos e medidos, Foco nos processos, Processos racionalizados, Recursos internos
e externos, Comportamento proativo, Visão integrada, Sistema automatizado e
Gestor de serviços.
3. Algumas áreas de TI tradicionais são tentadas a se tornarem orientadas a servi-

ços, porém, não têm o conhecimento como um todo, não têm a clara visão do
escopo nem dos riscos e dos possíveis retornos dessa abordagem. Sem um total
conhecimento para realizar essa mudança, o resultado será grandes falhas cada
vez mais visíveis. Descreva qual a diferença entre o modelo tradicional e o mode-
lo orientado a serviço para o departamento de TI.
Resposta:
O modelo orientado a serviços trabalha com o foco primeiramente externo para
depois interiorizá-lo. O tradicional faz o sentido inverso, primeiro vendo pontos
internos para depois externalizar.
UNIDADE V
1. Conforme já vimos nas unidades anteriores, podemos dizer que nas duas últi-
mas décadas vêm aparecendo vários modelos de melhores práticas para o ge-
renciamento de TI. Alguns modelos são os primeiros ou os iniciais e outros são
derivados que vêm evoluindo conforme o tempo vai passando. Cite 3 modelos
e seus escopos.
Resposta
CobiT® – ITIL® – CMMI
GABARITO
2. Para uma organização realizar o processo de implantação da Governança de TI,

vai precisar de tempo, pois podemos dizer que esse processo é em longo prazo.
Para que essa implantação possa ter sucesso, devemos seguir alguns requisitos.
Descreva, de forma resumida, dois desses processos.
Resposta:
Envolvimento dos executivos da organização: primeiro, o Programa de Gover-
nança de TI necessita de um executivo patrocinador para liderar a mudança, po-
rém é necessário o envolvimento dos demais executivos da organização. Esse
envolvimento dos demais executivos se dá por um simples motivo, as demais
áreas da empresa podem sofrer alteração na forma de atendimento do depar-
tamento de TI. É normal que os executivos de outras áreas não entendam que
o departamento de TI também necessita de instrumentos para a gestão de seus
serviços.
Entendimento dos estágios de maturidade em que se encontra a organização de
TI: para iniciar o processo de implantação, devemos entender em que estágio se
encontra os processos de TI dentro da organização. Assim, pode ser realizado um
planejamento adequado do Programa de Governança de TI dessa organização,
para localizar as vulnerabilidades que causam maiores prejuízos ao negócio e
que merecem uma atenção imediata. Todo empreendimento em longo prazo
necessita de resultados em curto prazo, caso contrário, não sobrevive.
3. Como vimos anteriormente, existem muitos fatores que motivam a implantação

da Governança de TI. Para implementar a Governança de TI, devemos partir da
premissa de que o processo passa por um ciclo, ou seja, devem existir processos
de alinhamento estratégico para que seja tomada a decisão e a priorização de
operações de serviços e de gestão de desempenho. Apresente os dois caminhos
básicos para a implantação do Programa de Governança de TI.
Resposta:
Fazer uma avaliação dos processos de TI partindo de um modelo como o Cobit®
e localizando os maiores problemas entre as necessidades de negócio e a situa-
ção atual da TI.
- Os processos devem ter um alinhamento estratégico baseado em Balanced
Scorecard, em que serão definidas as estratégias de atuação, visando aos requi-
sitos de negócios.

Governança em Ti: Unicesumar

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governança em Ti: Unicesumar

Enviado por

Direitos autorais:

Formatos disponíveis

GOVERNANÇA EM TI

Professor Me. Luiz Felipe Benevino

NEAD - Núcleo de Educação a Distância

Ficha catalográfica elaborada pelo bibliotecário

Professora Me. Luiz Felipe Benevino

Professora Joszislaine da Costa

Professor João Messias Pereira

Professora Ronie Cesar Tokumoto

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

16 O Que é Governança Coorporativa

19 O Que é Governança de Ti

23 Motivador da Governança de Ti

26 Objetivos da Governança de Ti

29 Componentes da Governança de Ti

GERENCIAMENTO DE SERVIÇOS E PROCESSOS

80 Governança de Segurança da Informação

93 Mecanismos para Controle de Segurança

95 Combate a Ataques e Invasões

99 Privacidade das Comunicações

107 O Sistema de Gestão da Segurança da Informação ou SGSI

109 Considerações Finais

116 TI nas Empresas

123 Panorama Atual

126 Papel da Área de TI

127 A Importância da Área de TI

130 TI Tradicional Versus TI Orientada a Serviços

142 Considerações Finais

150 Implantando a Governança de TI

152 Planejando, Implementando e Gerenciando a Governança de TI

154 Planejando o Programa de Governança de TI

156 Implementando o Programa de Governança de TI

158 Gerenciando a Governança de TI

159 Para quem Devemos Atribuir a Gestão desses Componentes de TI?

159 COBIT® – Control Objectives for Information and Related Technology

161 Orientações para Processos

165 ITIL® – Information Technology Infrastructure Library

168 Considerações Finais

lizadas de forma que apresentasse um resultado positivo com maior eficiência.

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

as atividades de TI e gerenciar os riscos são algumas das possibilidades que a

Stakeholder é qualquer pessoa ou entidade que tenha um papel dentro de

O Que é Governança Coorporativa

Podemos assim dizer que a Governança Corporativa é uma prática de gestão

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

Observamos no primeiro tópico que a Governança de TI em muito ajuda os

çados e seus riscos gerenciados apropriadamente, verificando que seus

Podemos definir a Governança de TI da seguinte forma: é um conjunto de

Outro ponto muito importante, no setor de tecnologia, são as redes de compu-

Relacionamento de TI Estrutura de TI Processos

Figura 1: Modelo em Governança de Tecnologia da Informação

Os componentes envolvidos nesse modelo de Governança de TI são descri-

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

Estrutura de TI: é a definição de papéis e responsabilidades, ou seja, o que

Relacionamento de TI: resolução ativa dos serviços, catalogação dos servi-

Observe que o conceito de governança é relativamente novo, mas já se reconhece

Cada uma dessas áreas tem um objetivo definido dentro da Governança:

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

Dando continuidade a nossa

principal foco motivador é a

informação, gerenciamento de mudanças, gerenciamento de crises, entre outros.

A GOVERNANÇA DE TI X GOVERNANÇA CORPORATIVA

para os desafios do presente e futuro.

Segundo o ITGI – IT Governance Institute (online), a TI tem potencial para

16 O Que é Governança Coorporativa

19 O Que é Governança de Ti

23 Motivador da Governança de Ti

26 Objetivos da Governança de Ti

29 Componentes da Governança de Ti

80 Governança de Segurança da Informação

93 Mecanismos para Controle de Segurança

95 Combate a Ataques e Invasões

99 Privacidade das Comunicações

107 O Sistema de Gestão da Segurança da Informação ou SGSI

109 Considerações Finais

116 TI nas Empresas

123 Panorama Atual

126 Papel da Área de TI

127 A Importância da Área de TI

130 TI Tradicional Versus TI Orientada a Serviços

142 Considerações Finais

150 Implantando a Governança de TI

152 Planejando, Implementando e Gerenciando a Governança de TI

154 Planejando o Programa de Governança de TI

156 Implementando o Programa de Governança de TI

158 Gerenciando a Governança de TI

159 Para quem Devemos Atribuir a Gestão desses Componentes de TI?

159 COBIT® – Control Objectives for Information and Related Technology

161 Orientações para Processos

165 ITIL® – Information Technology Infrastructure Library

168 Considerações Finais