Escolar Documentos
Profissional Documentos
Cultura Documentos
GRADUAÇÃO
Unicesumar
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor de Administração
Wilson de Matos Silva Filho
Pró-Reitor de EAD
Willian Victor Kendrick de Matos Silva
Presidente da Mantenedora
Cláudio Ferdinandi
TITULO DO LIVRO
SEJA BEM-VINDO(A)!
Caro(a) aluno(a), com imenso prazer nós trazemos até você o livro de Governança em
Tecnologia da Informação. Apresentamos este livro a partir das experiências de quatro
profissionais da área de Gestão em TI. As duas primeiras unidades foram escritas pelo
professor mestre Luiz Felipe Benevino, a terceira unidade foi escrita pela professora mes-
tranda Joszislaine Costa, a quarta unidade foi desenvolvida pelo professor João Messias
Pereira e a quinta e última unidade pelo professor Ronie Tokumoto.
A primeira unidade trata do surgimento da governança coorporativa e como, a partir
dela, a Governança em TI se desenvolveu. Nela apresentaremos qual foi o real motivo
para ocorrerem grandes mudanças nas formas de gestão e na criação de modelos de
governança para as empresas. Esses modelos deram tão certo que seu uso foi dissemi-
nado fomentando em outras empresas a utilização deles. Grandes empresas utilizam
serviços de TI, independente do seu tipo de negócio, e, na maioria das vezes, a gestão
deixa a desejar em questão de resultados e prazos.
A segunda unidade traz as melhores práticas a serem desenvolvidas em relação a esse
gerenciamento de serviços mediante o ITIL®. Nele você saberá a real diferença entre
os serviços, a central de serviços e o gerenciamento de serviços. Importante assunto
também discutido nesta unidade é a diferença entre problemas e incidentes. Falaremos
sobre o gerenciamento desses dois elementos e como eles podem auxiliar ou atrapalhar
a Governança em TI de acordo com a forma com que forem abordados.
Na terceira unidade, trazida pela professora Joszislaine, você poderá aprender sobre a
Segurança da Informação da TI. Verá o que faz com que ataques ocorram e diferencia-
rá o que é um ataque e uma invasão, no sentido dos danos que são causados para a
empresa. Vamos discutir o que fazer para detectar ataques, para realizar uma defensiva
segura à comunicação da empresa e diminuir os danos que poderão ser causados por
essa situação.
O professor João Messias traz, na quarta unidade, os antigos e o novo modelo de gestão
da TI nas empresas. Mostra como é o panorama atual desse modelo e trabalha a ideia de
qual é a importância do setor de TI nas organizações. Ele ainda discute como a TI tradi-
cional se transformou em uma TI orientada a serviços e traz as definições de processos e
serviços na área de TI, bem como exemplos dos mesmos.
Na unidade V, o professor Ronie fecha com a utilização do COBIT® e ITIL®, mostrando
como deve ser a implantação da Governança de TI por parte dos setores da empresa e
quais as modificações que isso implica em qualquer ambiente. Aproveite este estudo,
extraia o melhor que você puder e procure colocar em prática.
Bons estudos!
09
SUMÁRIO
UNIDADE I
15 Introdução
33 Considerações Finais
UNIDADE II
41 Introdução
42 Ferramenta Itil®
45 Gerenciamento de Serviços
47 Conceito de Serviços
48 Central de Serviços
52 Gerenciamento de Incidentes
60 Gerenciamento de Problemas
72 Considerações Finais
SUMÁRIO
UNIDADE III
SISTEMAS DA INFORMAÇÃO
79 Introdução
98 Detector de Intrusos
UNIDADE IV
TI NAS EMPRESAS
115 Introdução
136 Processo
140 Serviço
UNIDADE V
IMPLANTANDO A GOVERNANÇA DE TI
149 Introdução
173 CONCLUSÃO
175 REFERÊNCIAS
186 GABARITO
Professor Me. Luiz Felipe Benevino
I
A GOVERNANÇA DE
UNIDADE
TI X GOVERNANÇA
CORPORATIVA
Objetivos de Aprendizagem
■■ Entender o que é Governança Corporativa e Governança de TI.
■■ Elencar os motivos para implantar a Governança de TI nas empresas.
■■ Analisar os Componentes da Governança de TI.
■■ Analisar a Governança de TI.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ O que é a Governança Corporativa
■■ O que é Governança de TI
■■ Motivador da Governança de TI
■■ Objetivos da Governança de TI
■■ Componentes da Governança de TI
15
INTRODUÇÃO
A TI, ao longo de sua história, teve grande desenvolvimento dentro das empre-
sas, escolas e outras instituições. Em muitos casos, a TI não era usada de forma
adequada, chegando algumas vezes a apresentar decisões equivocadas por falta
de comunicação entre profissionais da área e de outros setores.
Como a TI assumiu um papel muito importante dentro das organizações, ficou
claro que deveria haver um processo, uma metodologia ou um modelo de gestão
no qual as informações existentes nos servidores das empresas pudessem ser uti-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Introdução
I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
O QUE É GOVERNANÇA COORPORATIVA
Com o crescimento da TI, houve grande alteração na forma das organizações tra-
balharem. Essas mudanças nos processos de negócios são observadas em todos
os setores da empresa, fazendo com que os funcionários consigam entender a
importância dessas alterações.
Atualmente, todos os processos de tomada de decisão são baseados em sof-
tware e tecnologia, por isso a solução para essas mudanças está na Governança
de TI. Na essência, a Governança de TI determina quem toma as decisões. E,
para que ocorra essa tomada de decisão, são necessárias informações, controles,
processos e procedimentos. Todo um conjunto (framework) de responsabilida-
des é utilizado para estimular comportamentos esperados na utilização de TI
(IT GOVERNANCE INSTITUTE, online).
Hoje, quanto mais rápido for o uso da informação, mais eficaz é a gestão e o
direcionamento da área de TI e do negócio para o sucesso. Controlar os objeti-
vos da área de tecnologia, alinhar as estratégias, definir expectativas e medidas
de desempenho, viabilizar e gerenciar recursos, definir prioridades, direcionar
Essa crise gerou uma queda de grande proporção nos valores das ações do
mundo todo, especialmente nos Estados Unidos. Sendo assim, a Governança
Corporativa começou originalmente nos Estados Unidos e na Grã Bretanha e
se espalhou pelo mundo por meio de sua eficiência em tomadas de decisões nas
empresas, visando proteger todas as partes envolvidas, com isso, ganha-se um
aumento de transparência junto ao mercado.
As empresas, vendo a
necessidade de se organi-
zarem de forma cada vez
mais competitiva, adotam
as práticas da Governança
Corporativa. Poderíamos
definir de muitos modos
o termo Governança
Corporativa. Trago para
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
você a definição segundo o
IBGC – Instituto Brasileiro
de Governança, que é um
órgão especializado no assunto:
Governança Corporativa é o sistema pelo qual as organizações são di-
rigidas, monitoradas e incentivadas, envolvendo as práticas e os rela-
cionamentos entre proprietários, conselho de administração, diretoria
e órgãos de controle. As boas práticas de Governança Corporativa con-
vertem princípios em recomendações objetivas, alinhando interesses
com a finalidade de preservar e otimizar o valor da organização, fa-
cilitando seu acesso ao capital e contribuindo para a sua longevidade
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA,
online).
O QUE É GOVERNANÇA DE TI
O Que é Governança de Ti
I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
objetivos, ao se lançarem no mundo virtual, nas redes sociais e em toda a tecno-
logia necessária para esses processos, os riscos operacionais são de proporções
gigantescas. Quanto maior for a dependência em relação à TI, maior será o seu
risco.
Para Weill (2004), a Governança de TI é um conjunto combinado de prá-
ticas que comportam processos, mecanismos de relacionamento e estrutura. A
Figura 1 apresenta os três elementos básicos para a Governança de TI, caracte-
rizando os pilares para a construção de qualquer modelo específico, ou seja, ele
estabelece os pontos cruciais a serem estudados e modelados, de forma particu-
lar, para atingir os objetivos da organização.
Governança de TI
O Que é Governança de Ti
I
GOVERNANÇA
AUDITORIA
GESTÃO
TIC
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 2: Os três pilares da Governança
Fonte: o autor
MOTIVADOR DA GOVERNANÇA DE TI
TI como
Prestadora
de Serviços
Ambiente de Integração
Negócios Tecnológica
Governança
de TI
Marcos de Segurança da
Regulação Informação
Dependência
do Negócio
em relação a TI
Figura 3: Fatores que motivam a Governança de TI
Fonte: os autores.
São muitos os fatores que motivam as empresas a reverem seus atuais modelos
de gestão de TI, já que, nos modelos atuais, a grande maioria dos projetos não
cumpre os prazos e os custos são normalmente excedidos. Sendo assim, sur-
giu a necessidade de agregar novos valores e novos modelos de gerenciamento
de riscos de TI. Alguns exemplos como: o ambiente de negócios, segurança da
Motivador da Governança de Ti
I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
dade no ramo em que atua.
Aragon (2008 apud AGUIAR, 2014) apontou alguns fatores que motivam
a Governança de TI:
Ambiente de Negócios: clientes cada vez mais exigentes, maior transparên-
cia, ciclos de vida cada vez mais curtos.
TI como Prestadora de Serviços: entrega dos projetos nos prazos determi-
nados, atendimento aos requisitos do negócio, disponibilidade dos aplicativos,
uma prestação de serviço com qualidade.
Integração do Negócio: integração de todas as redes de distribuição
envolvidas nos processos. Integração no sentido de infraestrutura, aplicativos,
comunicação de voz e dados.
Segurança da Informação: hoje, com a disseminação da internet, a gestão
de TI na área de segurança ficou mais complexa e com riscos diários.
Dependência do Negócio: as estratégias corporativas do negócio e as ope-
rações diárias criaram uma dependência maior em relação à TI.
Marcos de Regulação: representam restrições ao negócio, em função das
diversas regulamentações do governo federal, como exemplo, podemos citar
algumas normativas que podem ser consultadas para verificação da sua funcio-
nalidade: IN 04, IN01, IN02, 8666, DEC-LEI 200.
Um fator que motiva a implantação da Governança são os riscos, que podem
ser apresentados de maneiras diferentes como: custos, prazos, mão de obra espe-
cializada. Outro motivador importante para a implantação da Governança de
TI são os benefícios que ela traz para a empresa.
Com a TI, a empresa ganha uma administração mais eficaz, ferramentas que
facilitam o planejamento financeiro e que contribuem para uma gestão integrada
e responsável dos recursos, ganhando melhorias nos processos e maior transpa-
rência. Essa transparência foi o grande incentivador da Governança de TI para
que os investimentos possam ter um elemento a mais para os gestores adquiri-
rem a confiança dos clientes.
Seguem alguns desses principais benefícios (IT GOVERNANCE INSTITUTE,
2008):
Modernização: estruturar uma área de TI com qualidade e custos menores
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Motivador da Governança de Ti
I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
OBJETIVOS DA GOVERNANÇA DE TI
Governança Corporativa
Governança de TI
Gestão de TI
Objetivos da Governança de Ti
I
9.70
9.68
9.73
9.70
Aumentando a agilidade para apoiar futuras 11.6 12.5% 10.9%
mudanças no negócio
Alcançar o melhor entre inovação e
prevenção de riscos para melhorar o retorno
9.5 9.4% 9.6%
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Cumprindo com a indústria e/ou
regulamentações governamentais 8.5 11.2% 6.2%
0% 20% 40% 60%
A garantia de que as funcionalidades que são entregues pela TI aos seus clientes
estejam ajustadas com as reais necessidades de negócio supera 400% o aten-
dimento a requisitos legais. Isso demonstra que a Governança de TI alavanca
melhorias para o negócio.
Empresas têm apresentado uma melhoria no relacionamento com seus clientes
com a implantação da Governança de TI, esse relacionamento envolve o cliente
e as áreas de TI garantindo um bom alinhamento, transparência, definição das
expectativas, prazos cumpridos e contratos de compromisso.
Um dos itens mais classificados foi a redução de custos. Uma estrutura efi-
caz de Governança acaba com os retrabalhos, diminui o tempo ocioso da equipe,
padroniza os processos e a entrega dos serviços, fazendo com que a TI gaste
melhor (e menos) o seu orçamento.
COMPONENTES DA GOVERNANÇA DE TI
Componentes da Governança de Ti
I
DECISÃO, ESTRUTURA,
ALINHAMENTO COMPROMISSO, PROCESSOS, MEDIÇÃO DO
ESTRATÉGICO E PRIORIZAÇÃO E OPERAÇÃO E DESEMPENHO
COMPLIANCE ALOCAÇÃO DE GESTÃO
RECURSOS
Alinhamento Mecanismos Operações Gestão do
estratégico de decisão de serviços desempenho
da TI
Princípios de TI Portfólio de TI Relacionamento
com usuários
Necessidades Relacionamento
de aplicações com fornecedores
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Arquitetura de TI
Infra-estrutura
de TI
Objetivos de
desempenho
Capacidade de
atendimento
Estratégia de DOMÍNIOS E COMPONENTES
outsourcing DA GOVERNAÇA DE TI
Segurança da
informação
Competências
Processos e
organização
Plano de TI
de um portfólio de TI”.
Componentes da Governança de Ti
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Fonte: Rosa (2015, online).
Figura 6: Visão geral do modelo de Governança de TI
CONSIDERAÇÕES FINAIS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Considerações Finais
I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
GERENCIAMENTO DE
II
UNIDADE
SERVIÇOS E PROCESSOS
Objetivos de Aprendizagem
■■ Apresentar o conceito de Serviço, Central de Serviços e Central Virtual
de Serviços.
■■ Analisar e conceituar a diferenciação de Gerenciamento de
Incidentes e Gerenciamento de Problemas.
■■ Compreender as relações que devem ocorrer entre as pessoas do call
center, os funcionários e os parceiros.
■■ Entender o funcionamento de uma central de serviços.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Ferramenta ITIL®
■■ Gerenciamento de Serviços
■■ Conceito de Serviços
■■ Central de Serviços
■■ Gerenciamento de Incidentes
■■ Gerenciamento de Problemas
41
INTRODUÇÃO
Introdução
II
O ITIL® apresenta seu conceito para um incidente dizendo que ele é uma
interrupção não planejada de algum serviço de TI ou a queda na qualidade do
serviço oferecido. O Gerenciamento de Problemas tem como objetivo a busca, a
localização e a solução do problema que gerou um incidente na organização. Em
organizações de grande porte, o Gerenciamento de Incidentes e o Gerenciamento
de Problemas são dois departamentos individuais, já nas organizações menores
são as mesmas pessoas que exercem essas duas funções.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
FERRAMENTA ITIL®
De acordo com os conceitos propostos pela metodologia ITIL®, por muito tempo
as organizações trabalhavam sem a ajuda de departamentos de TI e, mesmo
assim, sempre deram continuidade aos seus negócios. Atualmente, essa realidade
é bem diferente, a TI (Tecnologia da Informação) tem um papel fundamental
para o sucesso da organização e ocorrem situações nas quais ela é o diferencial
competitivo no mercado.
É difícil imaginarmos, hoje, uma empresa que não tenha um departamento
de TI. Podemos citar empresas de pequeno porte ou, até mesmo, microempresas
como padarias, farmácias e outras que têm, no mínimo, um ou dois computado-
res, ajudando na sua administração, no controle de estoque e têm até processo
na tomada de decisão auxiliado pela TI.
Já as empresas de grande porte têm departamentos completos de TI e, em
certos casos, não conseguimos imaginar seu funcionamento sem o apoio desse
departamento, como exemplo, no caso do sistema bancário, seria impossível o
controle das contas correntes sem que houvesse um eficiente departamento de
TI envolvido no controle dos processos, desenvolvimento e manutenção do sis-
tema informatizado.
Maturidade do Gerenciamento de TI
ISO 20.000
BSI 15000
BSI CODE &
OGCITIL 2
HP ITSM
ITIL
IBM ISMA
Idade
Escura da TI
Tempo
1970 1980 1990 2000 2005
Figura 7: Evolução dos frameworks de gerenciamento de TI
Fonte: Ferreira (2015).
Ferramenta Itil®
II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
várias empresas adotaram. Atualmente, é o método mais usado e considerado
o melhor para o Gerenciamento de Serviços de um departamento de TI, sendo
usado por milhares de empresas no mundo todo.
Como podemos observar na Figura 8, o processo da ITIL® tem duas áreas
principais de cobertura: a primeira, sendo a área de Suporte ao Serviço em que
se concentram as tarefas diárias e o Suporte aos Serviços de TI; a segunda, a
Entrega do Serviço, em que se concentra o planejamento a longo prazo e o seu
melhoramento.
GERENCIAMENTO DE SERVIÇOS
O NEGÓCIO
ENTREGA DO SERVIÇO
GERENCIAMENTO
DA SEGURANÇA
GERENCIAMENTO DE APLICAÇÕES
Figura 8: Os 7 livros que compõem a ferramenta ITIL®
Fonte: Magalhães e Pinheiro (2007 apud RÓS, 2009, p. 9).
GERENCIAMENTO DE SERVIÇOS
GSTI
Pessoas
Processos Produtos
Gerenciamento de Serviços
II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2 – Continuidade nos serviços de TI, apresentando segurança e confiabili-
dade e aumentando a habilidade de colocar os serviços em funcionamento de
uma forma mais rápida, causando menor impacto na organização.
3 – A capacidade atual é vista de uma forma mais clara.
4 – Geração de relatórios em níveis gerenciais para o acompanhamento do
desempenho podendo traçar as melhorias que forem necessárias.
5 – O trabalho da equipe de TI fica mais fácil de gerir já que ela está mais
motivada, pois é possível conhecer a carga de trabalho dela.
6 – As entregas dos serviços apresentam maior qualidade e agilidade, gerando
uma maior satisfação para os clientes e usuários.
7 – Dependendo da situação, ocorre uma diminuição dos custos com o
melhor planejamento e controle dos processos internos.
8 – Quando se faz necessária uma mudança, ganha-se em agilidade e con-
fiabilidade. Quando os processos são definidos e controlados, fica mais fácil
planejar e realizar mudanças simultâneas.
CONCEITO DE SERVIÇOS
Serviço é qualquer ato ou desempenho que uma parte possa oferecer a outra e
que seja essencialmente intangível e não resulte na propriedade de nada. Sua pro-
dução pode ou não estar vinculada a um produto físico (KOTLER, 1998, p. 412).
Em outras palavras, são componentes que se relacionam fornecidos para um ou
mais suportes de processos de negócio. Serviço será sempre com o que o usu-
ário interage diretamente. Exemplo: um sistema de Cadastramento de clientes
(serviço) é armazenado em um banco de dados MySql (recurso de TI) e cone-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Entradas Saídas
Tarefa Tarefa Tarefa
Conceito de Serviços
II
CENTRAL DE SERVIÇOS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
quem vai realizar atividade de resolução dos
problemas e desenvolvimento”.
Ter uma área com suporte aos usuários
traz grandes benefícios, pois o suporte é mais eficiente e muito mais rápido no
atendimento, ganhando em tempo e qualidade. Por outro lado, a equipe de TI
torna-se mais eficiente, sendo que o especialista não precisa desviar sua função
e seus afazeres para atender os usuários.
Uma coisa que é bastante irritante e desagradável é você ligar para um número
de suporte e começar as transferências de uma pessoa para outra até que se con-
siga chegar ao departamento no qual uma pessoa resolva o seu problema.
Quando temos a Central de Serviços, é mais fácil passar a ligação para o
departamento do qual você necessita, o qual sempre terá pessoas focadas na
resolução das solicitações dos usuários, evitando, assim, que o usuário entre em
contato direto com as equipes de suporte e desenvolvimento.
Certamente, você já ligou para um Help Desk e conhece o seu funciona-
mento, a Central de Serviços é uma evolução desse conceito. O antigo setor de
Help Desk resolve os problemas básicos de hardware e software, enquanto que a
Central de Serviços atende a todas as solicitações dos usuários que são voltadas
para os serviços prestados pela área de TI.
Os principais objetivos das centrais de serviços são:
- Funcionar como o ponto central de contato entre os usuários e o departa-
mento de TI. A Central de Serviços funciona como 1º nível de suporte ao usuário.
Central de Serviços
II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
TIPOS DE CENTRAIS DE SERVIÇO
RELACIONAMENTOS
Central de Serviços
II
GERENCIAMENTO DE INCIDENTES
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
DEFINIÇÃO DE INCIDENTE
DESCRIÇÃO DO PROCESSO
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Gerenciamento de Incidentes
II
Central de Roteamento
Serviços
RDM
Processo de Gestão de Incidentes
. Detecção e Registro de Incidentes Gestão de
Operações . Classificação e Suporte Inicial Mudanças
. Diagnóstico e Resolução
. Recuperação
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
. Encerramento BD de Problemas
Redes . Propriedade, Monitoração. e Erros conhecidos
BDGC
ATIVIDADES
Gerência de Incidentes
. Registrar os Detalhes Básicos do Incidente.
. Categorização: hardware/software/requisição/segurança.
Registro . Priorização (Baseado no SLA): Impacto (efeito sobre o negócio).
. Urgência (rapidez com que o Incidente deve ser resolvido).
Ciclo de Vida do Incidente
Suporte Inicial
Requisição S Requisição de
. Análise do Incidente na busca rápida de uma solução
de Serviço? Serviço permanente ou de contorno.
Gerenciamento de Incidentes
II
O suporte a usuários é uma ação essencial, como sugere o padrão ITIL®. Após
um contato feito, via internet ou telefone, um chamado é aberto, acionando o
setor responsável.
Quando o chamado é aberto internamente via intranet, isso reduz conges-
tionamentos em linhas telefônicas e permite muitas vezes que a resposta seja
mais rápida, pois, assim que possível, o chamado já será verificado, sendo que,
via telefone, pode acontecer de não ser possível abrir o chamado.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
O controle e o monitoramento interno têm como foco as atividades e itens de
uma equipe ou departamento. Um gerente de recepção de serviços pode moni-
torar um número de chamadas para determinar quantos membros da equipe
são necessários para atendimento via telefone (BON, 2008).
O registro de todos os chamados, resolvidos em tempo real, não resolvidos
em momento algum, ou aqueles que ainda serão atendidos na medida do pos-
sível, de acordo com a ordem de precedência dos chamados, é extremamente
importante, seja por causa de simples histórico, seja para o acompanhamento
do atendimento.
IMPACTO
Alto Médio Baixo
Urgência Alta 1 2 3
Média 2 3 4
Baixa 3 4 5
A Figura 14 mostra uma tabela que é uma sugestão de classificação para as empre-
sas trabalharem, podendo ser alterada conforme as necessidades da organização. A
prioridade será utilizada para a definição do prazo para a resolução do Incidente.
Gerenciamento de Incidentes
II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
REGRAS DE SUPORTE
Procedimento S
de requisição Requisição
de Serviço
N
Suporte
inicial
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
N Investigar
Resolvido
Diagnosticar
Solução N Investigar
Resolvido
Restauração Diagnosticar
Solução N
Restauração
Resolvido etc
Solução
Restauração
Fechar
Gerenciamento de Incidentes
II
Diretor
Gerente 1 Gerente 2
Hierárquico
Funcional
Figura 16: Diferentes tipos de relacionamentos
Fonte: Arruda (online).
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
GERENCIAMENTO DE PROBLEMAS
DEFINIÇÕES
Gerenciamento de Problemas
II
OBJETIVO
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
ção definitiva e prevenção das falhas por trás dos incidentes que afetam
o funcionamento normal dos serviços de TI. Isto inclui assegurar que
as falhas serão corrigidas, prevenir a reincidência das mesmas e realizar
uma manutenção preventiva que reduza a possibilidade de que venham
a ocorrer (MAGALHÃES; PINHEIRO, online).
Gerenciamento de Problemas
II
Gerenciamento
Gerenciador Central de Pró-ativo de
de Incidente Serviços Problema
Gerenciador Detecção
de Evento Fornecedor
Registro
Categorização
BDGC
Priorização
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Investigação e diagnóstico
Solução de
Contorno
Resolução e Fechamento
. Controle de Problemas
. Suporte inicial, classificação e controle
Incidentes de erros
Graves . Apoio no tratamento de incidentes graves Requisição de
. Prevenção Proativa de Problemas Mudança (RDM)
Incidentes . Obtenção de informações gerenciais a
correlacionados partir dos dados de problemas
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Gerenciamento de Problemas
II
ATIVIDADES
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
CONTROLE DOS PROBLEMAS
Classificação
Investigação e Diagnóstico
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
(Controle de Erros)
CONTROLE DE ERROS
É o processo de total eliminação dos Erros Conhecidos (Figura 20). Para as cor-
reções, são necessárias mudanças, com isso, é feita uma Requisição de Mudança
e roteada para o Gerenciamento de Mudança para sua aprovação.
Gerenciamento de Problemas
II
(Controle de Problemas)
Acompanhamento e Monitoramento de Erros
Avaliação
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Registra a Solução do Erro
RDM - OK
Monitora as Soluções
Quando um erro é detectado, uma solicitação para ele deve ser aberta, na qual
impactos ou riscos devem ser minimizados durante todo o processo de solução,
evitando que esse problema possa afetar outros setores ou pessoas que tenham
ligação direta ou indireta com o evento que originou a ocorrência.
Esse tipo de gerenciamento deve fazer uma verificação de dados obtidos em pro-
cessos distintos no negócio para tentar prever situações propícias para novas
ocorrências, ou seja, a prevenção de problemas mediante a correta verificação de
situações favoráveis às ocorrências. Caso sejam detectadas ocorrências já regis-
tradas, esses dados são destinados ao controle de problemas e erros.
REATIVO PROATIVO
Prevenção de problemas em
outros sistemas e aplicações
Monitoramento do Gerenciamento
de Mudanças
FERRAMENTAS
Gerenciamento de Problemas
II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
sas e abrangência dentro do negócio.
Rede Externos
Roteador DoS
Falha de Ataque hacker
hardware
Placa de rede Arquivos deletados
Site inacessível
DNS
Acesso bloqueado
Configuração Internet
Inacessível
Apache Firewall do cliente Conta
não paga
Servidor Outros
A Análise de Kepner e Tregoe é uma técnica que utiliza 4 perguntas para estru-
turar a resolução do problema: “o quê”, “onde”, “quando” e “extensão”. Com base
nesses questionamentos, as possíveis causas são identificadas, a provável causa
deve ser testada e a causa real é verificada.
São sugeridos os seguintes passos para a identificação do problema: definir
o problema; descrever o problema relacionando identidade, localização, tempo
e tamanho; estabilizar possíveis causas; testar a causa mais provável; e verificar
a verdadeira causa.
Gerenciamento de Problemas
II
CONSIDERAÇÕES FINAIS
Estudamos, nesta unidade, três assuntos importantes para uma gestão bem suce-
dida dentro de uma organização, no que tange ao setor de informática. Falamos
sobre Gerenciamento de Serviços, Gerenciamento de Incidentes e Gerenciamento
de Problemas.
Gerenciamento de Serviços tem como objetivo prover um serviço de TI com
qualidade e sempre alinhado com as necessidades de negócio de uma organiza-
ção, visando à redução de custos e ao cumprimento dos prazos. Um dos pontos
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
que deve ter um foco grande é a Central de Serviços. Foram apresentados alguns
tipos de centrais e seus funcionamentos, porém, se os recursos humanos não
seguirem os processos definidos, os problemas continuarão.
Gerenciamento de Incidentes e Gerenciamento de Problemas, em muitas
organizações, são atividades executadas pela mesma equipe, mas devemos divi-
di-las em dois grupos (incidentes e problemas). Gerenciamento de Incidentes,
podemos chamar de corpo de bombeiros, ou seja, é a primeira equipe que deve
apagar o fogo, quando surgir um problema, que a produção de uma organiza-
ção seja afetada, como parada no sistema, lentidão das informações ou outro
problema que possa aparecer. A equipe de incidentes entra para reestabelecer o
mais rápido possível, minimizando os problemas causados pelo incidente. Depois
de restabelecida a normalidade do sistema, entra a equipe de Gerenciamento de
Problemas, que analisa, executa e, se necessário, altera o sistema para que não
ocorra o problema que gerou esse incidente.
Com base nos ensinamentos vistos nesta unidade, no momento que estiver
em uma empresa e surgir algum incidente, saiba separar incidente de problema e,
principalmente, saiba como agir perante cada uma das duas situações. Se dentro
da sua empresa não tem a divisão de equipes para gerenciar incidentes e geren-
ciar problemas, utilize o aprendizado desta unidade para identificar o incidente
com as técnicas apresentadas e para a resolução do problema.
1. Quando os processos são bem definidos, atinge-se com maior objetividade a efi-
ciência e eficácia. Todos os processos que não são possíveis monitorar se tornam
inviáveis. Se não temos o controle sobre o processo, de nada nos serve. A base do
Gerenciamento de Serviços de TI pode ser facilmente resumida pelos 3 P’s. Cite
quais são e descreva com suas palavras cada um deles.
2. Help Desk é um setor responsável pela busca por soluções de problemas ocorri-
dos em serviços prestados. Descreva pelo menos 3 objetivos principais das cen-
trais de serviço.
3. A Central de Serviços é a responsável por controlar todos os incidentes informa-
dos e registrá-los. Esse é o primeiro setor para o qual o usuário liga para informar
seu problema. Em nossos estudos, vimos que existem 3 tipos de centrais de ser-
viços. Cite cada uma e, com uma base analítica, descreva as 3 centrais estudadas.
INVESTIMENTO EM TECNOLOGIAS DA INFORMAÇÃO (TI).
Processo Integrador: INVESTIMENTO E MELHORIA EM RECURSOS DE INFORMÁTICA.
Tecnologia da Informação (TI), expressão que vem substituindo o termo “informática”, é
o conjunto de meios tecnológicos e computacionais que permite a produção e a utiliza-
ção da informação.
O custo de investimento em TI não é baixo, principalmente para a pequena empresa, e
sua implantação pressupõe a necessidade de se alterar estruturas, cultura, processos e
hábitos empresariais.
Entretanto, para a maioria das empresas, o investimento e melhorias na área permitem
maior competitividade e produtividade.
A tomada de decisão pelo emprego das Tecnologias da Informação não pode ser isola-
da, pois sua implantação e sua utilização deverão abranger todos os setores da empresa.
Sempre quando se fala em investimentos na área de Tecnologia da Informação, toda
empresa tende a segurar os recursos por achar que devem ser investidos no próprio ne-
gócio. Porém, como podemos ver, nos dias atuais, a Tecnologia da Informação caminha
em conjunto com os objetivos do negócio, ajudando na tomada de decisões, sem contar
que ganha maior competitividade e produtividade.
Quando falamos em investimento no setor de Tecnologia da Informação, devemos, no
primeiro momento, realizar um planejamento de como será realizado esse investimen-
to, quais serão os setores prioritários ou se será investido em toda a empresa. Este artigo
apresenta alguns aspectos importantes para a realização desse planejamento.
Se observarmos com muita atenção, poderemos ver que as empresas informatizadas
não utilizam, de forma totalmente correta, a infraestrutura que detêm ou os recursos
disponíveis que podem auxiliar nos objetivos do negócio.
Neste artigo, é apresentado um exemplo de um Supermercado que adquiriu equipa-
mentos que não estavam homologados pelo órgão responsável e não foi possível utili-
zá-los.
Por isso, todo investimento dentro da área de Tecnologia da Informação deve ser muito
bem planejado, incluindo os órgãos reguladores do negócio da empresa, para que não
ocorram problemas como o citado acima.
Este artigo traz boas informações às quais devemos estar atentos em nosso dia a dia, por
isso, não deixe de ler, tire um tempo a mais e desfrute deste material que está disponível
para você.
Leia mais sobre este artigo em: <http://bis.sebrae.com.br/bis/conteudoPublicacao.zht-
ml?id=2834>. Acesso em: 14 jul. 2015.
Fonte: adaptado de Sebrae (online).
MATERIAL COMPLEMENTAR
Material Complementar
Professora Esp. Joszislaine da Costa
III
UNIDADE
SISTEMAS DA INFORMAÇÃO
Objetivos de Aprendizagem
■■ Entender as motivações que levam pessoas a atacar empresas
usando os computadores.
■■ Analisar algumas formas de ataques usadas pelos hackers.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Governança de Segurança da Informação
■■ Mecanismos para controle de segurança
■■ Combate a ataques e invasões
■■ Detector de Intrusos
■■ Privacidade das Comunicações
■■ O sistema de Gestão da Segurança da Informação ou SGSI
79
INTRODUÇÃO
Introdução
III
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Segurança da informação é a maneira de proteger a informação na sua integri-
dade. A norma da ABNT - NBR ISO/IEC 27002 (online) define que
Segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunida-
des de negócio.
Segundo Beal (2005), segurança da informação pode ser definida como o pro-
cesso de proteger informações contra ameaças a sua integridade, disponibilidade
e confiabilidade.
A informação é um conjunto de dados organizados que emite uma mensa-
gem sobre um determinado evento. A informação também pode transmitir o
sentido de alguma coisa ou auxiliar na tomada de decisão. E, conforme foi obser-
vado anteriormente pelos autores, a informação é considerada o maior bem de
uma empresa nos dias de hoje e, para protegê-la, é necessário uma administra-
ção estratégica.
Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder”. Ficando
clara a importância de se ter transparência da governança para todos os envolvi-
dos de maneira geral, transparência para com os clientes, investidores e sociedade.
SISTEMAS DA INFORMAÇÃO
81
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
CISO / Plano de Ação de Segurança, Políticas Programas de
Comitê Diretor e Padrões Segurança
Implementação
Objetivos de
Segurança
Monitoramento
Métricas
Relatórios
Análises de Tendências
SISTEMAS DA INFORMAÇÃO
83
AMBIENTE
Fornecedores Clientes
ORGANIZAÇÃO
SISTEMA DE INFORMAÇÃO
Processar
Entrada Classificar Saída
Organizar
Calcular
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Feedback
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
definição:
Confidencialidade: Toda informação deve ser protegida de acordo
com o grau de sigilo de seu conteúdo, visando a limitação de seu acesso
e uso apenas às pessoas para quem elas são destinadas. A tramitação
das informações deve contar com a segurança de que elas cheguem ao
seu destino final, sem que se dissipem para outros meios ou lugares
onde não deveriam passar. Recursos como criptografar (vide 4.3.6.1.3.1
Criptografia, págs. 37-38) as informações enviadas, autenticações, den-
tre outros, são válidos desde que mantenham também a integridade
destas informações.
Alguns autores incluem mais dois pilares básicos que consistem em: não repú-
dio e autenticidade.
SISTEMAS DA INFORMAÇÃO
85
Independente da forma ou dos pilares que se adote, para que seja possível
uma segurança eficaz, deve haver a participação de todos da empresa.
Segurança é o embasamento de que as empresas precisam para poder criar
oportunidades de negócio. Os negócios estão cada vez mais dependentes da tec-
nologia que, por sua vez, necessitam ter segurança. Para garantir a segurança das
informações, é necessário utilizar os princípios de segurança.
Quando a segurança da informação se encontra de acordo com as regras da
empresa, ela colabora com a produtividade dos funcionários por meio da orga-
nização do ambiente, controlando os recursos de informática e melhorando o
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Confidencialidade Integridade
Integridade Confidencialidade
Disponibilidade Auditoria
SEGURANÇA
CONCEITOS IMPORTANTES
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Primeiramente, vamos conhecer o conceito do que é ameaça. O termo vem da
expressão em inglês “threat” e, segundo Shirey (2000), existem vários tipos de
ameaças. A ameaça é uma violação da segurança. Ocorre quando, em uma circuns-
tância, uma ação ou evento rompe a segurança e pode causar danos ao sistema.
Uma ameaça é qualquer ação que aproveita da vulnerabilidade do sistema
para ocasionar possíveis danos, perdas ou prejuízos aos negócios da empresa. As
ameaças podem ocorrer a qualquer momento e podem gerar impactos ao negó-
cio desde que comprometa a relação dos atributos Confidencialidade, Integridade
e Disponibilidade.
A ameaça, segundo Couto (1988, p. 329), é “qualquer acontecimento ou ação
(em curso ou previsível) que contraria a consecução de um objetivo e que, nor-
malmente, é causador de danos, materiais ou morais. As ameaças podem ser de
variada natureza”.
Uma ameaça inteligente é o momento em que o invasor tem o potencial
técnico e operacional para detectar e explorar uma vulnerabilidade do sistema.
Ameaça de Análise é a análise da probabilidade de ocorrências e dos resulta-
dos de ações prejudiciais a um sistema. As consequências de uma ameaça são o
resultado da ação de uma ameaça à violação que abrange a divulgação, a extra-
ção, a decepção e o rompimento.
As ameaças podem ser qualificadas quanto as suas intencionalidades em
ameaças naturais, voluntárias e involuntárias. Ameaças naturais são provoca-
das por fenômenos naturais, como incêndios naturais, enchentes, tempestades,
terremotos, entre outros. Ameaças involuntárias são provocadas por interven-
ção humana ou não. São causadas por motivo inconsciente, desconhecimento
SISTEMAS DA INFORMAÇÃO
87
Essas ameaças podem ser geradas por alguns fatores técnicos, organizacionais e
ambientais, podendo ainda ser agravadas por decisões erradas por parte da dire-
toria da organização (LAUDON; LAUDON, 2004).
ATAQUES
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Esses ataques podem ocasionar a perda da disponibilidade, confidencialidade e
integridade das informações.
Ataque por interrupção é um recurso do sistema apagado ou colocado indis-
ponível. Ataque por interceptação aceita uma entidade não autorizada capturar
certa notícia. Ataque por Modificação é uma entidade não permitida ter acesso
a certo recurso e fazer modificação. Ataque por fabricação é uma autoridade não
autorizada se passar por outra determinando artefatos falsos.
Corroborando esse conceito, valiosas são as abordagens de Silva (2004, p.
87-90) para Interrupção: “Neste ataque não se pretende interceptar nenhuma
informação para fins escusos. Antes, seu propósito é meramente prejudicar a
comunicação entre as partes interessadas pela informação”.
Continua Silva (2004, p. 88),
A interceptação é considerada um dos ataques mais perigosos na tran-
sação entre as partes interessadas na informação. Isso se deve ao fato
de não se saber qual é a intenção do atacante e é um ataque de difícil
detecção, uma vez que o atacante não demonstra nenhuma ação du-
rante a escuta.
Para Silva (2004, p. 89), modificação é o tipo de ataque que “visa especificamente
um benefício financeiro do atacante ou um prejuízo à idoneidade da informa-
ção”. Por exemplo, uma informação irreal poderá ser propagada e, assim, induzir
ao erro a todos que a obtiverem posteriormente, ocasionando danos de gran-
des proporções.
SISTEMAS DA INFORMAÇÃO
89
Interceptação Modificação
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Interrupção Personificação
VULNERABILIDADES
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ambiente Vulnerabilidade
Computacional
n n
Figura 27: Vulnerabilidade n para n
Fonte: Laureano (2005).
SISTEMAS DA INFORMAÇÃO
91
Possibilita
Vulnerabilidade Incidente de Segurança
Afeta
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Clientes
Impacta
Imagem negativamente Negócio
Produto
Os dados eletrônicos são mais vulneráveis hoje do que antes, quando os dados
eram armazenados manualmente. Os dados podem ser acessados de qualquer
lugar da rede, o que facilita a sua vulnerabilidade.
Os campos da vulnerabilidade se ampliaram, já que as empresas possuem
filiais em outras localidades interligando seus sistemas por meio das redes que
utilizam a Internet para se comunicar. Existem diversos fatores que contribuem
com o início da vulnerabilidade, como fatores ambientais, organizacionais, téc-
nicos; também o acesso por pessoas não autorizadas que cometem os ataques,
impedindo o serviço ou inserindo softwares mal intencionados para impedir o
funcionamento de sites.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Radiação
(campos eletromagnéticos)
GRAMPOS
Radiação
Radiação
Linha cruzada GRAMPOS Radiação
Linha cruzada Radiação
Central de Linhas de
Processador Arquivos
comutação comunicação
Roubo
Cópia
Acesso não
Hardware autorizado
Ligações impróprias Hardware
Falha nos circuitos
Programador de sistemas Operador de proteção
Desativa recursos de proteção Substitui supervisor Contribui para
Revela medidas de proteção Revela medidas falha de software
de proteção
Software
Consoles Falha das características
remotos Pessoal de manutenção
Desativa dispositivos de proteção
de hardware Controle de acesso
Usuário Acesso Controle de limites
Identificação Grampos (legais) Utiliza programas
Autenticação Bugs utilitários isolados
Modificações
sutis no software
SISTEMAS DA INFORMAÇÃO
93
Existem mecanismos para controle de segurança que são mais ou menos efi-
cientes, destacarei alguns deles de forma a facilitar o entendimento de medidas
a serem tomadas para a Governança da Segurança da Informação.
AUTENTICAÇÃO E AUTORIZAÇÃO
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Para acessar um sistema, o usuário ou o sistema deve ter permissão para realizar
tal atividade. As permissões são realizadas por um controle de acesso chamado
ACL (Access Control List - ACL). Por meio de um processo é autorizada ou negada
a permissão, criando o perfil do usuário. Esse perfil do usuário define qual sis-
tema e qual atividade poderá ser acessada pelo usuário. Conforme Pinheiro (2008,
p. 16), o roubo de identificação atinge milhões de pessoas e vem constituindo o
tipo de fraude mais cometido em redes de computadores, tornando-se, assim, a
autenticação um componente fundamental para a segurança.
Características importantes que um Sistema de Controle de Acesso tem que
possuir é fazer a verificação da autenticidade do usuário e do seu nível de per-
missão, verificar também se ele é quem diz ser e se ele tem a permissão para
fazer o que quer fazer.
Conforme entendimento de Silva (2008, p. 7), a autenticação fornece a garan-
tia da identidade de um usuário. Ela é responsável por verificar se um usuário
é quem ele diz ser, por meio de suas credenciais, consiste em que suas creden-
ciais são as evidências que um usuário apresenta para constituir sua identidade
como um usuário apropriado.
Pinheiro (2008) completa dizendo que a identificação é a ação em que o usu-
ário afirma sua identidade ao sistema e a autenticação é a ação responsável pela
validação dessa declaração e que, apenas depois da validação, é que o sistema
concederá ou negará o acesso.
Alguns autores defendem que os mecanismos de autenticação se baseiam
em três paradigmas: Identificação Positiva (O que você sabe), Identificação
Proprietária (O que você tem) e Identificação Biométrica (O que você é).
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
retina, palma da mão e
Figura 30: Cartão de acesso
qualquer outra caracterís-
tica biométrica.
O mecanismo de auten-
ticação “o que você sabe”
utiliza a identificação posi-
tiva, em que o usuário
apresenta algum tipo de
informação para o processo
de autenticação, senha e
login de acesso.
O mecanismo de auten-
ticação “o que você tem”
utiliza a identificação pro-
prietária, em que o usuário Figura 31: Biometria
tem alguma coisa que possa ser usado ou identificado no processo de autenti-
cação, um cartão magnético, por exemplo. Conforme a Figura 30.
O mecanismo de autenticação “o que você é” utiliza a identificação biomé-
trica, em que o usuário exibe uma característica própria, a sua impressão digital,
por exemplo.
É válido ressaltar que essas técnicas usadas sozinhas não têm garantia de
segurança.
SISTEMAS DA INFORMAÇÃO
95
FIREWALL
É um sistema de proteção entre uma rede interna segura e uma rede externa
não segura, a Internet. O firewall pode ser de dois tipos, hardware ou software,
incluindo como proteção e-mail, web, pacotes, entre outros.
Ele faz a proteção da rede conectada à Internet dos acessos indevidos, sejam
eles internos ou externos. Controla o tráfego de entrada e saída e, de acordo com
seus regulamentos, aceita ou nega algum tipo de serviço.
O firewall ativo bloqueia as conexões de entrada que estejam configuradas
para o bloqueio e avisa quando faz um novo bloqueio, impede que o computador
envie dados mal-intencionados a outros computadores, todavia, ações malicio-
sas podem usufruir da vulnerabilidade dos serviços por ele habilitados. Dessa
forma, é necessário utilizar outro mecanismo de detecção de intrusos.
Caruso e Steffen (2006, p. 218) afirmam que:
Normalmente, um Firewall é instalado no ponto de interligação de
uma rede interna com a Internet. Todo o tráfego, nos dois sentidos,
tem de passar por este ponto e, dessa forma, atender aos requisitos da
política de segurança da instalação.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Os filtros de pacotes são um dos principais mecanismos, em que o admi-
nistrador de rede faz a filtragem dos pacotes de datagramas IP para verificar se
são permitidos pelas regras do firewall. Um exemplo dessa permissão é filtrar
pacotes para evitar o acesso a serviços como um chat ou até mesmo o acesso a
um determinado site.
Conforme entendimento de Grennan (2000), o firewall trabalha como um
processo de filtragem de pacotes, atuando no nível da rede. De acordo com que
os pacotes vão chegando ao firewall, eles são filtrados conforme seu tipo, ende-
reço de origem, endereço de destino e porta, contidos em cada pacote.
Os servidores proxy possuem o mecanismo mais simples, permitem exe-
cutar a conexão de serviços em uma rede de modo direto, ou seja, interligando
duas redes distintas. O modo mais utilizado é o firewall entre uma intranet e a
Internet e também é utilizado como elemento para acelerar a conexão de links
lentos. Morimoto (2006) define que um servidor proxy serve como intermedi-
ário entre a Internet e computadores da rede local.
Um exemplo típico desse sistema é o firewall entre uma intranet e a Internet,
como mostra a Figura 32:
SISTEMAS DA INFORMAÇÃO
97
Workstation
Workstation Workstation
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
INTRANET
DETECTOR DE INTRUSOS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
de um sistema composto pela integridade, confidencialidade e disponibilidade.
Ataque e intrusão são diferentes, apesar de parecerem ter o mesmo significado.
Ataque refere-se à tentativa de perturbação e intrusão é um ataque realizado
com sucesso, conseguiu invadir a rede.
São usados os IDS para classificar os tipos de detectores de intrusão, eles detec-
tam diferentes tipos de procedimentos que possam ocorrer no sistema. Esses
procedimentos podem comprometer a segurança e a confiabilidade do sistema,
se forem realizados por pessoas que não tenham permissão de acesso. Os ataques
podem ocorrer pela rede de computadores ou em uma estação de computadores.
SISTEMAS DA INFORMAÇÃO
99
CRIPTOGRAFIA
Kurose e Ross (2010) apresentam três pessoas: duas que querem se comunicar
de forma segura, Alice e Bob. E a outra é a intrusa, Trudy. Alice quer enviar uma
mensagem a Bob, mas sem que Trudy receba. Por exemplo, Alice envia a mensa-
gem “Bob, I love you. Alice”. Essa mensagem é conhecida como texto aberto. Alice
criptografa a sua mensagem usando um algoritmo de criptografia, transformando
a sua mensagem em texto cifrado, ou seja, de modo que pareça ininteligível para
qualquer intruso. Mas muitos dos sistemas atuais, inclusive os usados na Internet,
são técnicas de codificação conhecidas, padronizadas e disponíveis para qual-
quer um, inclusive para um intruso. Claro que, se todos conhecem a técnica para
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
decodificar os dados, como enviá-los sem que um intruso decifre a informação?
É aqui que entram as chaves: Privada ou Pública.
SISTEMAS DA INFORMAÇÃO
101
Texto Texto
aberto aberto
Texto cifrado
Algoritmo de Algoritmo de
criptografia criptografia
Canal
KA KB
Alice Bob
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Trudy
Figura 34: Exemplo de comunicação com criptografia simétrica
Fonte: Kurose e Ross (2010).
Assim, valiosas são as lições de Kurose e Ross (2010, p. 495) acerca da conceitu-
ação Simétrica ou Chave Privada. Vejamos:
Em sistemas de chaves simétricas, as chaves de Bob e de Alice são idên-
ticas e secretas. Em sistemas de chaves públicas, é usado um par de
chaves. Uma das chaves é conhecida por Bob e por Alice (na verdade, é
conhecida pelo mundo inteiro). A outra chave é conhecida apenas por
Bob ou por Alice (mas não por ambos).
Mas existe ainda outro tipo de criptografia, a Pública ou Assimétrica, que vere-
mos no próximo item.
PÚBLICA OU ASSIMÉTRICA
Kurose e Ross (2010) mostram, na Figura 34, que Bob e Alice compartilham
uma única chave secreta. Bob, é o destinatário da mensagem de Alice. Existem
duas chaves, a pública e a privada. A chave pública está à disposição do mundo
todo, inclusive de Trudy, a intrusa. E a chave privada somente Bob conhece.
Para se comunicar com Bob, Alice busca primeiramente a chave pública de Bob.
Depois, ela criptografa sua mensagem, usando a chave pública de Bob e um algo-
ritmo criptográfico conhecido. Bob recebe a mensagem criptografada de Alice
e usa sua chave privada e um algoritmo de decriptação conhecido para decifrar
a mensagem de Alice. Assim, Alice pode enviar a mensagem secreta a Bob uti-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
lizando a chave de Bob disponível publicamente.
A Figura 35 representa Criptografia de Chave Pública ou Assimétrica.
Texto cifrado
Algoritmo de KB+(m) Algoritmo de
criptografia decriptação m = KB-(KB+(m))
SISTEMAS DA INFORMAÇÃO
103
Conforme entendimento de
Guimarães, Lins e Oliveira (2006),
esse modo de interconexão realiza a
conectividade entre as redes de uma
empresa, possibilitando a interligação
de filiais e matrizes, por meio de uma
infraestrutura não confiável. A Figura
37 traz essa configuração.
INTERNET
Link Link
Dedicado Dedicado
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 37: Conexão LAN via internet
Fonte: os autores.
Esse é um tipo de conexão física entre as redes locais, que restringe os acessos
não autorizados entre elas. Para Guimarães, Lins e Oliveira (2006), ela propor-
ciona conectividade entre clientes e fornecedores, funcionando como solução
para colaboração de compartilhamento de aplicações e comércio eletrônico entre
empresas. A Figura 38 traz essa configuração.
Rede Corporativa
Servidor VPN
Rede
Invisível
SISTEMAS DA INFORMAÇÃO
105
TUNELAMENTO
Extremidades do Túnel
Pacote Túnel
PROCESSO DE SEGURANÇA
A segurança é constituída por um processo, e não pode ser vendida como tec-
nologia. A tecnologia e os equipamentos ajudam a compor uma empresa, mas
não cometem erros. Wadlow (2000) afirma que a segurança deve ser proporcio-
nal ao valor do que se protege. Uma parte desse valor é o trabalho necessário
para restabelecê-lo e a outra parte é realmente um valor.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Avaliação
Análise Síntese
A segurança pode ainda ser analisada por perímetros, como sugere a Figura
41:
Segurança
Vulnerabilidade
Co
e
ad
n
fid
rid
en
eg
cia
Int
lid
Informação
ad
e
SISTEMAS DA INFORMAÇÃO
107
Security Officer
Nível
Percepção de
Planejar Analisar Monitorar Implementar mudanças no
negócio
Percepção de
Nível
Plano
Diretor de
Segurança Planejar
[ realimentação
Percepção de
mudanças físicas,
Analisar Monitorar tecnológicas e
humanas
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
[ realimentação
Situação realimentação ]
Atual
Início/startup
Figura 43: Fases do Plano Diretor
Fonte: Laureano (2005, p. 54, online).
O Worm não faz o mesmo estrago que um vírus. Vírus infecta programas ou
arquivos e, em muitos casos, destrói as informações. Porém os Woms repre-
sentam ameaças de grande proporção aos computadores. Você sabe o que
um Worm pode causar no seu computador?
Fonte: os autores.
SISTEMAS DA INFORMAÇÃO
109
CONSIDERAÇÕES FINAIS
Considerações Finais
1. Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder.” Sendo
assim, defina o que é Governança de Segurança da Informação.
2. Nos dias atuais, a Governança de TI é motivada por vários fatores. Apresente os
6 motivos que estudamos nesta unidade.
3. As empresas têm a necessidade de aumentar sua segurança. Uma forma de au-
mentá-la é a implementação de firewalls. Defina o que são firewalls.
4. O principal objetivo dos IDS é a detecção de tentativas de entrada no sistema
ou até de algum usuário que tem permissão de acesso e que está fazendo mau
uso desse sistema. Toda vez que é detectada uma ocorrência que seja suspeita
ou ilegal, essa ferramenta gera uma notificação e sua detecção é em tempo real,
pois os IDS rodam em background. Para a implementação de ferramentas IDS,
usamos basicamente dois tipos. Cite esses dois tipos.
111
Hoje se vive na era digital em que as informações ocorrem em tempo real e a segurança
da informação é o elemento mais vulnerável. Esse assunto também é um desafio do
século XXI, em que se tenta proteger a informação de quem não se conhece, mas que é
mal intencionada. As pessoas são invadidas pelas próprias tecnologias que as rodeiam.
Diariamente, são divulgadas notícias sobre a invasão de privacidade, ocasionada pela
propagação de informações retiradas dos computadores e ou celulares da própria pes-
soa, ação essa conhecida como crime cibernético. Esses ataques são realizados por meio
da apropriação de informações, dados e fotos sem o consentimento da pessoa ou até
mesmo através do acesso a falsos websites.
A respeito do tema, Roque (2007, p. 25) dispõe que crimes cibernéticos são “toda condu-
ta, definida em lei como crime, em que o computador tiver sido utilizado como instru-
mento de sua perpetração ou consistir em seu objeto material”.
Em 2012, foi criada a Lei dos Crimes Cibernéticos - Lei nº 12.737/2012, conhecida extra-
oficialmente como a Lei “Carolina Dickmann”. Essa lei proporcionou alterações no De-
creto-Lei 2.848/40 – Código Penal brasileiro, que trata da inviolabilidade dos segredos,
ou seja, invadir dispositivos de informática sem o consentimento, com a intenção de
impetrar, modificar ou apagar informações sem a autorização do titular do dispositivo
ou instalar vulnerabilidades para conseguir proveito ilícito.
Dentre todos os benefícios que surgiram com a Internet, surgiram também os sacrifícios
como o comportamento inadequado cometido por pessoas mal-intencionadas. Com
as alterações permitidas pela Lei “Carolina Dickmann”, hoje, os crimes cibernéticos são
tratados de forma mais específica, com mais rigor e sofrendo infrações penais. Apesar
de ficar claro que a legislação precisa preencher as lacunas dessa Lei, já que o texto con-
sente várias interpretações. Mas, enquanto isso não ocorre, é importante lembrar que se
deve conscientizar as pessoas sobre a boa educação e o respeito para com a privacidade
alheia, evitando assim os crimes cibernéticos.
Leia mais sobre esse assunto no link disponível em: <http://www.mpsp.mp.br/portal/
page/portal/cao_criminal/notas_tecnicas/NOVA%20LEI%20DE%20CRIMES%20CIBER-
N%C3%89TICOS%20ENTRA%20EM%20VIGOR.pdf>. Acesso em: 15 jul. 2015.
Fonte: adaptado de Ministério Público do Estado de São Paulo (online).
MATERIAL COMPLEMENTAR
Testes de Invasão
Georgia Weidman
Editora: Novatec
Sinopse: em Testes de invasão, a especialista em segurança,
pesquisadora e instrutora Georgia Weidman apresenta as principais
habilidades e técnicas necessárias a todo pentester. Ao usar um
laboratório baseado em máquinas virtuais que inclui o Kali Linux
e sistemas operacionais vulneráveis, você verá uma série de lições
práticas usando ferramentas, como o Wireshark, o Nmap e o Burp Suite.
À medida que acompanhar as lições, usando o laboratório e realizando
ataques, você vivenciará as fases fundamentais de uma avaliação
de verdade – que incluem a coleta de informações, a descoberta de
vulnerabilidades passíveis de exploração, a obtenção de acesso aos
sistemas, a pós-exploração de falhas, além de outras atividades.
Professor Esp. João Messias Pereira
IV
UNIDADE
TI NAS EMPRESAS
Objetivos de Aprendizagem
■■ Analisar o setor de TI nas empresas de modo geral, demonstrando
seu funcionamento no modelo antigo e nos dias atuais.
■■ Estudar o departamento de TI nas empresas, qual seu papel e função
dentro de uma organização.
■■ Compreender a diferença entre os modelos antigos da TI e o novo
modelo do departamento de TI.
■■ Entender o que é processo e serviço.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ TI nas Empresas
■■ Panorama Atual
■■ Papel da área de TI
■■ A importância da área de TI
■■ TI tradicional versus TI orientada a serviços
■■ Processo
■■ Serviço
115
INTRODUÇÃO
Ouve-se falar muito em Tecnologia da Informação, mas será que sabemos o que
é Tecnologia da Informação ou simplesmente TI? Tempos atrás, a palavra infor-
mação era relacionada à transmissão de dados realizada por alguém ou por algo,
enquanto que nos dias de hoje, quando falamos em informação, a associamos à
tecnologia, à velocidade, ao tempo e ao espaço. Como na informática, vivemos
dentro do dinamismo, velocidade é algo que se ganha todos os dias.
Nesta unidade, quero que você estude a TI como ela realmente é, como
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Bons estudos!
Introdução
IV
TI NAS EMPRESAS
Podemos observar que todas as empresas, por menor que sejam, sempre estão
envolvidas de algum modo com a TI. Para Rezende e Abreu (2000), a TI veio
para as organizações com o objetivo de diminuir a complexidade e as dificul-
dades que são encontradas dentro dos seus negócios. Os colaboradores que
trabalham dentro das empresas e têm o conhecimento de TI são colocados nas
funções para melhoria dos processos para que seus produtos e serviços tenham
uma aceitação maior junto ao mercado e aos clientes.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Com a notável evolução das empresas nos diversos setores da economia, o
aprimoramento e as melhorias nas áreas de tecnologia se tornavam cada vez mais
importantes. A necessidade do gerenciamento de informações e até mesmo da
sua segurança transformou a TI de um simples departamento da empresa a uma
das áreas estratégicas das organizações (McGEE; PRUSAK, 1994).
Para Albertin e Moura (2004), o investimento em TI proporciona benefí-
cios diretos e indiretos, resultando em melhores indicadores em todas as áreas
das organizações. Porém, esse investimento deve ser feito de forma estratégica e
planejada, para que tais resultados aconteçam de forma satisfatória. Para algu-
mas empresas, a tecnologia da informação é vista como a principal ferramenta
de apoio estratégico e de tomada de decisões, permitindo o melhor gerencia-
mento das atividades empresariais e influenciando diretamente o modelo de
gestão administrativa das empresas (REZENDE, 2002).
A Figura 44 mostra algumas empresas que sofreram prejuízos por falhas
em serviços de TI:
TI NAS EMPRESAS
117
Ti nas Empresas
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
práticas aplicadas pela ITIL® (Information Technology Infrastructure Library),
como você pode observar na Figura 46.
TI NAS EMPRESAS
119
Ti nas Empresas
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 48: Valor de TI
Fonte: Magalhães e Brito (2007, online).
TI NAS EMPRESAS
121
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ti nas Empresas
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Apesar de os recursos citados pelo autor, devemos lembrar que também conta-
mos com o ambiente externo que se relaciona com a organização, o qual também
influencia a conquista dos objetivos e estratégias organizacionais.
TI NAS EMPRESAS
123
PANORAMA ATUAL
Panorama Atual
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 50: Distribuição das horas disponíveis da equipe TI.
Fonte: Magalhães e Brito (2007, online).
TI NAS EMPRESAS
125
De acordo com Magalhães e Brito (2007), toda empresa deseja que seu pro-
duto se torne muito mais do que um simples produto, ela deseja que seu produto
se torne um serviço, que o cliente receberá um serviço e não um produto, e essa
filosofia deve ser entendida pela área de TI.
Dentro dessa filosofia, o departamento de TI deve focar o tipo de serviço
que ele entrega para a organização, qual o valor desses serviços para a execução
do negócio da organização e como será garantido que os serviços sejam entre-
gues dentro dos prazos e parâmetros de qualidade que foram acordados com o
cliente, olhando sempre para a melhor relação custo/benefício para a empresa.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Panorama Atual
IV
PAPEL DA ÁREA DE TI
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
usa a Tecnologia da Informação para capturar, transmitir, armazenar, recuperar,
manipular ou expor informações usadas em um ou mais processos de negócio”.
Os cenários que as organizações buscam para suas melhorias vão muito além
de simples frases montadas, como “qualidade do serviço”, “melhores práticas”,
“otimização de processos”, e passam a ser uma filosofia de vida. Realmente, vai
muito além de “falar”, e sim executar as melhores práticas em todas as áreas de TI.
De acordo com Brancheaue e Wetherbe (l987), para saírem do papel as frases
citadas, as áreas de tecnologias e negócios de uma organização devem estar devi-
damente alinhadas, de maneira estratégica, com as melhores práticas e não devem
tentar crescer com uma metodologia de tentativa e erro, e sim aprender com os
erros de outras organizações e implantar uma gestão funcional e determinada.
Um estilo de vida inovador que vem sendo implantado nas organizações é a
ITIL®, conforme você pôde estudar na unidade II, que é um conjunto de melho-
res práticas que, junto com uma gestão, gera uma maturidade no processo de
gerenciamento de TI, que ensina a caminhar entre o que denominamos “Caótico”
e “Valor”, em que é possível demonstrar o valor de TI para a organização. Veja
na Figura 52.
TI NAS EMPRESAS
127
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
A IMPORTÂNCIA DA ÁREA DE TI
Magalhães e Brito (2007) afirmam que, para atingir seus objetivos estratégicos,
as empresas cada vez mais se utilizam da área de TI dentro das áreas de negócios
em que atuam. As áreas de TI devem trabalhar em conjunto com os objetivos
estratégicos da organização, fazendo deles o seus também, caso contrário, essa
área de TI será uma simples fornecedora de tecnologia. Nos dias atuais, até
mesmo os provedores de tecnologia se preocupam com os objetivos estratégi-
cos das organizações, que são seus clientes, isso é uma condição básica para a
venda de serviços sob demanda.
A Importância da Área de Ti
IV
MUITO POUCO
SETOR IMPORTANTE INDIFERENTE
IMPORTANTE IMPORTANTE
Setor público 56% 40% 4% 0%
Varejo 38% 43% 19% 0%
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Manufatura 45% 45% 9% 1%
Financeira 59% 38% 3% 0%
TI/Telecomunicações 65% 23% 7% 0%
Figura 53: Importância da TI em diferentes indústrias
Fonte: IT Governance Global Status Report, IT Governance Institute (2004, online).
TI NAS EMPRESAS
129
A Importância da Área de Ti
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
ticas bem distintas do modelo de TI como provedor de recursos tecnológicos,
também conhecido como modelo “tradicional”, sendo assim, as necessidades e
os objetivos de cada empresa precisam estar bem definidos para que a melhor
estratégia seja aplicada.
No modelo orientado a serviços, é importante considerar a sua aplicação
quanto ao escopo, aos custos, aos riscos e, principalmente, ao retorno obtido. A
falta de conhecimento necessário e a pouca experiência resultam em um processo
inadequado ocasionando prejuízos, além de insatisfação e perda de credibilidade
entre as partes interessadas.
Uma das formas de compreender o modelo de TI tradicional é que este tra-
balha de dentro para fora, servindo de provedor tecnológico para a organização;
no modelo orientado a serviços, o trabalho acontece de forma contrária, ou seja,
de fora para dentro, atuando como uma provedora de serviços. Para Magalhães
e Brito (2007), os dois modelos se diferem por suas características tecnológicas
e, principalmente, por seus clientes.
Magalhães e Brito (2007) descrevem a centralização voltada para a tecnolo-
gia como um centro de custos com foco na maximização do uso dos seus ativos.
Essa área tem uma tendência a se organizar de forma alinhada em torno de suas
funções, conhecimentos, capacidades e plataformas tecnológicas, primando pelos
custos de maneira monopolizada e não competitiva. Essa área de TI tem uma
aceitação quanto à restrição da sua capacidade de fornecimento.
TI NAS EMPRESAS
131
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 55: Posicionamento de serviço de catálogo de TI
Fonte: Magalhães e Brito (2007, online).
TI NAS EMPRESAS
133
Situação Desejada
Entusiasmo
Situação Atual
Negação
Aceitação
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Frustração
Inevitável
Figura 56: Efeitos do processo de mudança
Fonte: Magalhães e Brito (2007, online).
De acordo com os autores, algumas ações são fundamentais para que a execu-
ção de uma mudança seja um sucesso, dentre elas estão:
■■ Reconhecimento da necessidade de mudar.
■■ Conhecer a “visão da mudança”.
■■ Reconhecimento das condições que são limitantes.
■■ Selecionar e apresentar o método que será utilizado na mudança.
■■ Implementação e avaliação do método usado para introduzir a mudança.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
então, chega o momento de interromper as ações que motivam as mudanças.
Com a parada das pressões para as mudanças, é o momento de buscar novamente
as rotinas de trabalho, de dar estabilidade, porém, com uma diferença bastante
perceptível de como era antes do início das mudanças.
Analisar – ocorreu sucesso na realização da mudança? É a fase da busca
pelos resultados para avaliar se as mudanças atingiram seus objetivos de forma
positiva, por meio das métricas de objetivos traçados e de níveis de mudanças
que deveriam ser implementadas, como também pela qualificação dos ganhos
com os resultados dos novos comportamentos. Caso o resultado seja negativo,
um novo plano de mudança deverá ser feito e retomar à primeira fase.
Dentro de um processo de mudança, uma boa gestão se faz muito neces-
sária, pois o sucesso e a continuidade de uma organização estão diretamente
relacionados ao planejamento estratégico e à tomada de decisões para que essas
mudanças aconteçam, embora sempre tenhamos como resultado os fatores posi-
tivos e os negativos.
Segundo Magalhães e Brito (2007, online), seguem listados alguns pontos
fundamentais, que trazem resultados negativos e positivos durante todo o pro-
cesso de mudança nas organizações.
TI NAS EMPRESAS
135
PROCESSO
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
que estavam criando, pois seus departamentos se tornaram ilhas de funcioná-
rios, cada um preocupado em realizar as suas tarefas sem ter a visão do todo, ou
seja, cada área cuidava somente de suas atividades, sem ter o foco nos objetivos
da empresa. Por muitos anos a área de TI foi participante e uma dessas ilhas.
As organizações que trabalham com processos observam que existe uma inte-
ração entre os diversos departamentos, já que um processo pode ser definido como
um conjunto de ações, atividades, mudanças, que são conectadas entre si e exe-
cutadas por agentes com o propósito de alcançar uma meta. Observe a Figura 57.
TI NAS EMPRESAS
137
Processo
IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 58: Composição de uma atividade
Fonte: Magalhães e Brito (2007, online).
TI NAS EMPRESAS
139
INDÚSTRIA DE
CARACTERÍSTICA INDÚSTRIA DE SERVIÇO
MANUFATURA
Propriedade (identificação do Tende a ser ambígua ou o
Definição geralmente clara
reponsável) processo tem vários donos
Fronteiras (pontos inicial e
Pouco nítidas e difusas Claramente definidas
final)
Pontos de controle (regu-
Estabelecidos de forma clara
lam a qualidade e fornecem Frequentemente não existem
e formal
feedback)
Medições (base estatística do Difícil de definir, geralmente
Fáceis de definir e gerenciar
funcionamento) não existem
Ações corretivas (correção de Em geral ocorrem de forma Muito frequente as ações
variações) reativa preventivas
Figura 59: Diferenças entre a indústria de manufatura e indústrias de serviços
Fonte: Magalhães e Brito (2007, online).
Processo
IV
SERVIÇO
Os autores Magalhães e Brito (2007, online) ainda destacam que pode haver
diversas definições de serviços. Com o objetivo de atender às áreas da tecnolo-
gia da informação, alguns autores definem serviço da seguinte forma:
■■ “Atividades, benefícios ou satisfações que são colocados à venda ou propor-
cionados em conexão com a venda de bens” (AMERICAN MARKETING
ASSOCIATION, 1960).
■■ “Quaisquer atividades colocadas à venda que proporcionem benefícios e
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
satisfações valiosas; atividades que o cliente prefira ou não possa realizar
por si próprio” (BESSOM, 1973).
■■ “Uma atividade colocada à venda que gera benefícios e satisfações, sem
levar a uma mudança física na forma de um bem” (STANTON, 1974).
■■ “Qualquer atividade ou benefício que uma parte possa oferecer a outra,
que seja essencialmente intangível e que não resulte propriedade de
alguma coisa. Sua produção pode ou não estar ligada a um produto físico”
(KOTLER, 1988).
■■ “Serviço ao cliente significa todos os aspectos, atitudes e informações que
ampliem a capacidade do cliente de compreender o valor potencial de um
bem ou serviço essencial” (UTTAL; DAVIDOW, 1991).
TI NAS EMPRESAS
141
do serviço cria uma incerteza na maioria dos clientes que, diante disso, tentam
reduzir essa incerteza, nos resultados negativos da contratação de um serviço,
observando a qualidade nos outros serviços realizados e tiram conclusões das
informações que recebem e das evidências que são apresentadas, que são forneci-
das por participantes do processo utilizado e da tecnologia empregada. Conforme
demonstra a Figura 60, na área de TI, é praticamente necessário que se ofereça
uma representação palpável que demonstre o processo e os resultados do serviço.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Quando falamos de produtos, o cliente pode, antes de comprar, testar, por exem-
plo, na aquisição de um automóvel, o comprador pode fazer um test-drive.
Quando falamos de serviço, a situação muda totalmente, primeiro o serviço é
vendido, no caso de um software, criado, testado pela empresa de TI para, pos-
teriormente, ser utilizado pelo cliente. Mas como podemos estar certos de que
o analista de sistemas entendeu do que realmente o cliente necessitava, se todas
as necessidades dos clientes foram entendidas pelos analistas e programadores?
Serviço
IV
CONSIDERAÇÕES FINAIS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
caz e eficiente.
Para que os objetivos sejam atingidos, estudamos, nesta unidade, que a TI
tem estabelecido uma comunicação e um relacionamento muito forte com os
departamentos, fornecedores e clientes da organização. Hoje podemos obser-
var as inovações nas áreas de TI, fugindo daquele caráter técnico, que somente
atendia às solicitações dos colaboradores.
Agora, dentro das novas visões, são setores de grande importância para as
empresas, as quais exigem uma nova postura, com soluções de impacto posi-
tivo para os resultados financeiros. As empresas de TI estão passando por uma
reformulação gigantesca para atender de forma eficaz a todos os departamen-
tos da organização.
A área de TI ou CPD, como era chamada até alguns anos atrás, tinha a sim-
ples função de “manter as luzes acesas”, ou seja, manter os sistemas funcionando e
a infraestrutura para atender à empresa. Esse papel não cabe mais para um setor
que pode e deve trabalhar em conjunto com outros departamentos, para que os
melhores resultados sejam alcançados em conjunto com os parceiros e clientes.
Com a globalização, a maneira como funcionava um departamento de TI não
é mais viável, se tornando totalmente obsoleta. Hoje, as empresas têm departa-
mentos de TI modernos, com profissionais altamente competentes, que colocam
as empresas nesse mercado competitivo em que vivemos nos dias atuais.
TI NAS EMPRESAS
143
Material Complementar
Professor Esp. Ronie Cesar Tokumoto
IMPLANTANDO A
V
UNIDADE
GOVERNANÇA DE TI
Objetivos de Aprendizagem
■■ Entender o funcionamento da implantação da Governança de TI.
■■ Analisar os frameworks – CobiT® e ITIL®.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Implantando a Governança de TI
■■ Planejando, Implementando e Gerenciando a Governança de TI
■■ Planejando o Programa de Governança de TI
■■ Implementando o Programa de Governança de TI
■■ Gerenciando a Governança de TI
■■ Para quem devemos atribuir a Gestão desses componentes de TI?
■■ CobiT® – Control Objectives for Information and Related Technology
■■ Orientações para Processos
■■ ITIL® – Information Technology Infrastructure Library
149
INTRODUÇÃO
Olá, caro(a) aluno(a), seja bem-vindo(a) a mais uma unidade, em que caminha-
remos juntos em busca do conhecimento. Neste momento, estamos chegando à
última unidade do nosso livro. Aproveite este momento especial para aprofun-
dar um pouco mais seu conhecimento.
Sabemos que as empresas verificam cada vez mais a necessidade de modifi-
car sua gestão como um todo, mais especialmente na área de TI. Com a evolução
tecnológica constante, o negócio precisa acompanhar de perto as influências
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
que essas mudanças podem acarretar e se reinventar, sempre que houver a pos-
sibilidade ou a necessidade. Deve haver uma sintonia entre todos os setores do
negócio e o departamento de TI, para que processos, custos e tempo de execu-
ção sejam aprimorados.
Muitos modelos de gestão utilizados pelas empresas estão ultrapassados e
deixam de apresentar resultados positivos. Diante do cenário, as empresas se
deparam com a necessidade de encontrar uma solução para resolver o problema
entre custo, qualidade e riscos.
Atualmente, as organizações não sobrevivem sem a tecnologia, ou seja,
a tecnologia faz parte de uma empresa, ela é indispensável para o suporte e,
principalmente, para as operações com tomada de decisões por parte da alta
administração e para o uso e o armazenamento de bancos de informações.
De forma a auxiliá-lo(a) na solução desse tipo de problema em relação ao
departamento de TI, estaremos, nesta unidade, apresentando alguns assuntos
dos quais muitos profissionais têm dúvidas e desconhecimento de ferramentas
ou modelos para ajudar na busca de soluções para sua empresa.
Analisaremos como planejar, implementar e gerenciar a Governança de TI,
possibilitando a execução de um programa de Governança de TI. Para a implan-
tação da Governança de TI, devemos ter um planejamento, já que os resultados
são a longo prazo. Porém, é necessário que alguns resultados apareçam em curto
prazo, de forma a indicar que o caminho que estamos seguindo está correto.
Então, fechemos com chave de ouro nossos estudos. Vamos lá?!
Introdução
V
IMPLANTANDO A GOVERNANÇA DE TI
Conforme já vimos em unidades anteriores, podemos dizer que, nas duas últimas
décadas, vêm aparecendo vários modelos de melhores práticas para o geren-
ciamento de TI. Alguns modelos são os primeiros ou os iniciais e outros são
derivados que vêm evoluindo conforme o tempo vai passando. Na Figura 61,
são apresentados os principais modelos de Governança de TI.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
COBIT - Control Objectives for Information and Modelo abrangente aplicável para a audito-
related Techonology ria e o controle dos processos de TI, desde o
planejamento da tecnologia até a monitoração
e auditoria de todos os processos.
Val IT - Enterprise Value: Governance of IT Invest- Modelo que trata da governança dos inves-
ments timentos de TI e gerenciamento do portfólio
destes investimentos.
Risk IT - Enterprise Risk: Indentify, Govern and Modelo que trata do gerenciamento dos riscos
Manage IT Risks de TI.
CMMI - Capability Maturity Model Integration Desenvolvimento de produtos e projetos de
sistemas e software.
MPS.br Modelo brasileiro para a melhoria do processo
de software.
ITIL - Information Technology Infrastructure Serviços de TI, segurança de informação, geren-
Library ciamento da infraestrutura, gestão de ativos e
aplicativos, etc.
ISO/IEC 2000 Norma abordando requisitos e melhores práti-
cas para o gerenciamento de serviços de TI.
ISO/IEC 27001 e ISO/IEC 27002 Requisitos e código de prática para a gestão da
segurança da informação
eSCM-SP - Service Provider Capability Maturity Outsourcing em serviços que usam TI de forma
Model intensiva.
PMBOK - Project Management Body of knowle- Base de conhecimento em gestão de projetos
dge
SCRUM Modelo ágil para o gerenciamento de projetos.
Figura 61: Principais modelos e melhores práticas em TI
Fonte: Fernandes e Abreu (2008).
IMPLANTANDO A GOVERNANÇA DE TI
151
como, por exemplo, utilizar o Cobit®, ITIL® e o Guia PMBOK® juntos. Estaremos
analisando a implantação da Governança de TI, utilizando os modelos Cobit®
e ITIL®.
Podemos observar, no mercado, que a Governança de TI não fica presa
somente à implantação de alguns modelos de melhores práticas. Porém, é muito
importante conhecer os diversos modelos, quanto aos seus objetivos, estrutu-
ras e aplicabilidade, para que se possa utilizar o melhor modelo no momento e
situação mais precisa.
Implantando a Governança de TI
V
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
PLANEJANDO, IMPLEMENTANDO E GERENCIANDO A
GOVERNANÇA DE TI
De acordo com Fernandes e Abreu (2010), para uma organização realizar o pro-
cesso de implantação da Governança de TI, vai precisar de tempo, pois podemos
dizer que esse processo é uma implantação que necessita de um longo prazo para
que seus resultados possam ser percebidos.
Para que essa implantação possa ter sucesso, devemos seguir alguns requi-
sitos, segundo os autores do livro Implantando a Governança de TI, Fernandes
e Abreu (2012).
Um executivo da organização precisa estar disposto a liderar a mudança pro-
posta pelo plano de Governança de TI, sendo que toda diretoria precisa estar
comprometida com o mesmo propósito, fazendo com que essa motivação impul-
sione o projeto e possa englobar todos os demais setores da empresa.
Não apenas o departamento de TI é influenciado por uma mudança dessa
magnitude, mas toda organização pode sofrer mudanças radicais na execução,
nos processos e na gestão de serviços.
Processos formais para assegurar que os comportamentos cotidianos
sejam consistentes com as políticas de TI e contribuam com as deci-
sões. Incluem processos de avaliação e proposta de investimentos em
TI, processos de exceções de arquitetura, acordos de nível de serviço,
cobrança reversa e métricas (WEIL, 2004).
IMPLANTANDO A GOVERNANÇA DE TI
153
Além dos níveis mais altos, os níveis inferiores também devem estar
informados quanto a tais mudanças, para, também, poderem acompanhar o
desenvolvimento do projeto. Para isso, é preciso um sistema de marketing interno
eficiente que possa atingir todos os setores afetados pelas mudanças.
O programa de Governança de TI requer uma estratégia de marketing
focada principalmente na comunicação interna, de forma que o apoio
ao programa seja constante ao longo de sua implementação, e os seus
feitos entendidos pela organização como um todo (WEIL, 2006).
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
PLANEJANDO O PROGRAMA DE GOVERNANÇA DE TI
IMPLANTANDO A GOVERNANÇA DE TI
155
Devemos fazer uma pergunta importante: por que desde o início desta unidade
estamos falando de Programa de Governança de TI? Pois esse processo mostra
resultados em médio e em longo prazo sendo, assim, um processo que deve ser
implantado dentro de um projeto bem definido e com metas bem claras.
Podemos ver na Figura 62 o ciclo de vida de um Programa de acordo com o
PMI que estabelece padrões para o Gerenciamento de Programas.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IMPLEMENTANDO O PROGRAMA DE GOVERNANÇA
DE TI
IMPLANTANDO A GOVERNANÇA DE TI
157
Após a definição das práticas, deve-se projetar o processo, ou seja, criar um fluxo
utilizando a notação BPMN (Business Process Modeling Notation) ou outra que
segue o mesmo padrão. Mesmo na fase de projeto do processo, já são contem-
pladas as particularidades da estrutura organizacional e as responsabilidades
próprias da organização. Outra parte muito importante dessa fase é a documen-
tação de todos os processos.
Após ter todo o processo elaborado e totalmente documentado, devemos
partir para a implantação, utilizando ferramentas de fluxo de trabalho, como
gerir projetos e problemas.
GERENCIANDO A GOVERNANÇA DE TI
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
dores) para funções e níveis relevantes dentro da organização.
Gerir portfólio de TI é o ponto em que se podem observar custos e valores
a investir, organizando-os e medindo mudanças nesse portfólio que necessita
de mudanças nos planos traçados, mantendo os departamentos informados e
focados nos mesmos objetivos. A partir desse ponto, é preciso gerenciar tam-
bém todos os processos durante o andamento da implantação a partir de dados
coletados estrategicamente.
A partir do momento da implantação, deve-se acompanhar a rotina e verifi-
car pontos positivos e melhoras obtidas nos processos afetados pela implantação
da Governança. Veja a Figura 64.
IMPLANTANDO A GOVERNANÇA DE TI
159
Primeiro deve ser analisado o porte do setor de TI, pois, em determinadas organi-
zações de grande porte, são criados departamentos para gerenciar a Governança
de TI. Algumas empresas chamam essas estruturas de Escritório de Governança
de TI. Em empresas de pequeno porte, em que o departamento de TI é bem
menor, os componentes podem ser diluídos em equipes de gestão temporária
ou de força-tarefa, que serão compostas por gerentes e coordenadores.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
e serviços, e é nesse momento que entra o principal objetivo do Cobit®, que é sua
contribuição para o sucesso dessas tarefas, a partir das necessidade do negócio,
pois tem o foco maior no controle do que na execução.
O modelo Cobit® pode e é flexível o suficiente para representar os proces-
sos que são encontrados dentro das funções de TI, e é facilmente tratado, tanto
pelo pessoal operacional quanto pela gerência de negócio, já que cria uma ponte
entre os setores operacionais e a visão dos executivos para que ocorra a gestão.
O Cobit® é formado por pilares que englobam a Governança de TI. São repre-
sentados pelas áreas indicadas na Figura 65.
IMPLANTANDO A GOVERNANÇA DE TI
161
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Figura 66: Governança de TI e Domínios
Fonte: Guldentops et al. (2000).
IMPLANTANDO A GOVERNANÇA DE TI
163
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
da? incidentes
• DS-9 → Gerenciar a configuração
• DS-10 → Gerenciar problemas
• DS-11 → Gerenciar dados
• DS-12 → Gerenciar o ambiente físico
• DS-13 → Gerenciar operações
IMPLANTANDO A GOVERNANÇA DE TI
165
ESTRUTURA DO MODELO
As organizações utilizam a ITIL® como uma fonte de boas práticas para estabe-
lecer e melhorar a forma de gestão de serviços e possuir os vários componentes
citados por Fernandes (2008):
- Um desses componentes representa o núcleo da ITIL® que orienta para
práticas eficientes para prestadoras de serviços.
- Outro componente é a orientação complementar à ITIL®, composto por
um conjunto de orientações publicadas, voltadas para difundir os métodos defi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
nidos no componente anterior.
- A estratégia de serviço detalha formas de como definir e implementar políti-
cas e processos. O projeto de serviços detalha cada serviço prestado e seus níveis,
capacidades e continuidade. Já a transição de serviço mostra como implantar a
nova metodologia, modificando a metodologia de serviços anterior. A operação
de serviço trata da garantia de entrega de serviços e sua contínua manutenção.
- Finalmente, a melhoria de serviço continuada orienta como melhorar a
qualidade dos serviços prestados e metas estabelecidas.
Observe esses processos na Figura 67.
IMPLANTANDO A GOVERNANÇA DE TI
167
• Gerenciamento de Fornecedor.
Transição de • Gerenciamento de Mudança;
Serviço • Gerenciamento da Configuração e de Ativo de
Serviço;
• Gerenciamento da Liberação e Implantação;
• Validação e Teste de Serviço;
• Avaliação;
• Gerenciamento do Conhecimento.
Operação de • Gerenciamento de Evento; • Central de Serviço
Serviço • Gerenciamento de Incidente; • Gerenciamento Técnico;
• Gerenciamento de Requisição; • Gerenciamento das Opera-
• Gerenciamento de Problema; ções de TI;
CONSIDERAÇÕES FINAIS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
ser tratados em primeiro lugar.
Para a implantação da Governança de TI, devemos observar quais ferramen-
tas do Cobit® estaremos usando dentro da empresa, já que cada organização tem
suas particularidades. O Cobit® gerencia diversas ferramentas organizadas por
ele, como, por exemplo, ITIL®, Guia PMBOK®, Ferramentas do BPM, Workflow,
entre outras.
Após ter todo o processo projetado e documentado, devemos partir para
a implementação utilizando ferramentas de fluxo de trabalho. O processo de
implantação gera grandes mudanças dentro da organização e o planejamento é
fundamental para que possamos ter um caminho a ser seguido.
Porém, quando partimos para a realidade da implantação, devemos cuidar
com o estresse que pode ser gerado devido às mudanças de comportamento que
serão necessárias para o sucesso da implantação da Governança da Tecnologia
da Informação.
Você deve lembrar que, quando falamos em implantação, não podemos
nos concentrar somente em um framework. O Cobit® é o modelo principal, mas
cada empresa utiliza outros frameworks conforme seu negócio, sua necessidade
e seu planejamento.
Não deixe de se atualizar, pois a Governança da Tecnologia da Informação,
apesar de ser nova, sofre alterações e adaptações, como a ITIL®, que gerou mais
de uma versão.
IMPLANTANDO A GOVERNANÇA DE TI
169
1. Conforme já vimos nas unidades anteriores, podemos dizer que nas duas últimas
décadas vêm aparecendo vários modelos de melhores práticas para o gerencia-
mento de TI. Alguns modelos são os primeiros ou os iniciais e outros são deri-
vados que vêm evoluindo conforme o tempo vai passando. Cite três modelos e
seus escopos.
2. Para uma organização realizar o processo de implantação da Governança de TI,
vai precisar de tempo, pois podemos dizer que esse é um processo de resultados
em longo prazo. Para que essa implantação possa ter sucesso, devemos seguir
alguns requisitos. Descreva, de forma resumida, dois deles.
3. Como vimos anteriormente, existem muitos fatores que motivam a implantação
da Governança de TI. Para implementar a Governança de TI, devemos partir da
premissa de que o processo passa por um ciclo, ou seja, deve existir o processo
de alinhamento estratégico para que seja tomada a decisão e a priorização de
operações de serviços e de gestão de desempenho. Apresente os dois caminhos
básicos para a implantação do Programa de Governança de TI.
Fatores que Interferem no Alinhamento Estratégico da Tecnologia da Informação
No momento em que todos os processos e objetivos se alinham em um negócio, as
perspectivas futuras apontam para a evolução. Para Boar (2002, p. 143), esse alinhamen-
to “é o processo de garantir que todas as funções comerciais operem em harmonia umas
com as outras para dar suporte ao escopo comercial”.
Assim, existe também a necessidade de harmonizar o meio externo com o qual o negó-
cio interage além da harmonia interna, pois não adianta apenas a empresa estar toda
ajustada em sua estrutura de processos, quando tais processos não conseguirem atingir
o meio externo que funcione de forma diferente.
Rezende (2002) diz que há um processo complexo com a necessidade de atividades e
fatores diversos para o sucesso, sendo alguns deles fatores políticos, organizacionais,
sistêmicos, humanos, sociais, culturais ou tecnológicos.
É preciso compreender que para que uma solução seja completa e eficiente, ela deve
atender e abranger a todos os setores do negócio, desde áreas operacionais, até direto-
rias e gerências.
Essa abrangência é necessária para que todos os processos sejam compatíveis, e não
apenas relacionados com um ou outro setor do negócio, pois, dessa forma, a solução
seria parcialmente funcional e processos mais complexos que envolvam vários setores
poderiam não ser implantados devido a restrições de quaisquer tipos.
Quando todos têm acesso às camadas superiores na hierarquia, ocorre uma melhora
sensível no alinhamento do negócio, assim como setores precisam que seus responsá-
veis mantenham contato direto e linear principalmente com o setor de TI, em que seu
gerente deve manter todos os demais situados no andamento dos processos.
Para isso, é preciso que o Gerente de TI saiba profundamente como funciona o negócio
e tenha acesso a todos os detalhes pertinentes aos processos envolvidos ou não com TI.
Keen (1993) diz que as diferenças parecem relacionar-se crescentemente com a qualida-
de do diálogo ou com a falta dele entre líderes de negócio e seus gerentes de TI.
Um negócio não pode se dar ao luxo de permitir que pequenos conflitos pessoais ou
até discriminações impeçam que revoluções na forma da condução dele sejam inviáveis,
mas sim norteadores de novos avanços dentro do processo evolutivo desejável vislum-
brado pelos seus altos escalões.
Fonte: Galas e Ponte (2006, p. 37-51).
MATERIAL COMPLEMENTAR
Material Complementar
173
CONCLUSÃO
Neste livro, em todo o momento, procuramos apresentar para você, aluno(a), da-
dos e informações sobre a Governança de TI, desde seu início (onde surgiu e como
funciona dentro de uma organização). Entenda que este livro não vai fazer de você
um(a) profissional certificado(a) em Governança de TI e nem foi isso que buscamos
aqui, porém, o que esperamos é ter esclarecido algumas dúvidas que você possa
ter em relação aos assuntos aqui apresentados e ter despertado em você algumas
curiosidades que gerem o interesse de compreender e buscar mais informações so-
bre o que vimos.
Dentro da unidade I, tratei de assuntos como o surgimento da governança de TI
e o início da governança corporativa. Qual o real motivo que existiu para ocorre-
rem grandes mudanças nas formas de gestão e modelos que seriam criados para as
empresas que trabalham com investimentos. Esses modelos deram tão certo que
outras empresas em gestão começaram a utilizar os mesmos métodos.
Na unidade II, apresentamos como era o funcionamento das empresas sem o entro-
samento entre os demais setores da organização e o departamento de TI. Conforme
foi percebida a dimensão da importância do setor de TI na tomada de decisão, as
empresas verificaram que poderiam melhorar os atendimentos e produtos/serviços
se utilizassem de forma correta o setor de TI. Para uma empresa poder desfrutar das
melhores formas, para alcançar os objetivos do negócio, elas estão utilizando ferra-
mentas disponíveis, como ITIL®, Cobit®, entre outras. Nesta unidade, apresentamos
uma introdução à ferramenta ITIL®. Em um breve comentário, foram apesentadas as
áreas das quais ITIL® faz cobertura.
Na unidade III, estudamos a Segurança da Informação em etapas: começamos apre-
sentando a Governança da Segurança da Informação, em que vimos a definição
de “Segurança da Informação”; quais os fatores que nos levam a implantar a Go-
vernança de TI e como isso aprimora a Segurança. Apresentamos para você alguns
mecanismos de segurança que ajudam e protegem as empresas contra ataques de
hackers.
Na unidade IV, estudamos a TI como ela realmente é, como funciona e vimos algu-
mas diferenças entre as indústrias e as empresas prestadoras de serviços. Estuda-
mos quais mudanças foram necessárias para que o antigo setor de informática se
tornasse uma ferramenta poderosa chamada departamento de TI, que faz organiza-
ções faturarem milhões nos dias de hoje.
E, na última unidade, estudamos como planejar, implementar e gerenciar a Gover-
nança de TI, planejando o programa de Governança de TI. Para a implantação da
Governança de TI, devemos ter um planejamento, já que os resultados são em longo
prazo, porém, é necessário que alguns resultados apareçam em curto prazo para
indicar que o caminho que estamos seguindo está correto.
Chegamos, então, ao final de nosso livro. Todos nós, autores, esperamos que você
tenha aproveitado bastante os conteúdos aqui expostos e que nós tenhamos con-
seguido aguçar a sua curiosidade para que você busque mais conhecimento e de-
senvolva-se ainda mais nessa grandiosa área, que é a Governança em Tecnologia da
Informação.
175
REFERÊNCIAS
KAPLAN, R. S.; NORTON, D. P. The Balanced Scorecard: Measures that Drive Perfor-
mance. Boston: Harvard Business Review, 1992.
KEEN, P. G. W. Information technology and the management difference: a fusion
map. IBM Systems Journal, v. 32, n. 1, p. 17-39, 1993.
KIZZA, J. M. Guide to Computer Network Security. New York, NY: Springer, 2005.
KOTLER, P. Administração de Marketing: análise, planejamento, implementação e
controle. 5. ed. São Paulo: Atlas, 1998.
KUROSE, J. F.; ROSS, K. W. Redes de computadores e a Internet: uma abordagem
top-down. 5. ed. São Paulo: Pearson, 2010.
LAUDON, K.; LAUDON, J. Sistemas de informação gerenciais. 7. ed. São Paulo: Pe-
arson Pratice Hall, 2007.
LAUREANO, M. A. P. Gestão de Segurança da Informação. MLaureano. 2005. Dis-
ponível em: <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.
pdf>. Acesso em: 01 mai. 2015.
LUNARDI, G.; DOLCI, P.; BECKER, J.; MACADA, A. Governança de TI no Brasil: uma aná-
lise dos mecanismos mais difundidos entre as empresas nacionais. In: SIMPÓSIO DE
EXCELÊNCIA EM GESTÃO E TECNOLOGIA, 4., 2007, Rio Grande do Sul. Anais... Rio
Grande do Sul: Universidade do Rio Grande do Sul – UFRGS – Repositório Digital –
2007. Disponível em: <http://www.lume.ufrgs.br/handle/10183/31080?locale=en>.
Acesso em: 17 jul. 2015.
MAGALHÃES, I. L.; PINHEIRO, W. B. Gerenciamento de Serviços de TI na prática.
Capítulo 1. Disponível em: <http://novatec.com.br/livros/gerenciamento/capitu-
lo9788575221068.pdf>. Acesso em: 10 abr. 2015.
MANSUR, R. Governança de TI: metodologia, frameworks e melhores práticas. Rio
de Janeiro: Brasport, 2007.
MONTANA, J. C. Retention of Mergers and Acquisitions Records and Information.
In-formation Management Journal, v. 34, n. 2, p. 54, 2000.
MONTANA, P. J.; CHARNOV, B. H. Administração. 3. ed. São Paulo: Saraiva, 2009.
MORIMOTO, C. E. Redes e Servidores Linux – Guia prático. 2. ed. 2006. Disponível
em: <http://www.hardware.com.br/livros/linux-redes/>. Acesso em: 22 jun. 2015.
MUSSI, O. Modelo de Gestão Integrada para Governança de TI. Webinsider. 2009.
Disponível em: < http://webinsider.com.br/2009/01/08/modelo-de-gestao-integra-
da-para-governanca-de-ti/>. Acesso em: 28 mar. 2015.
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de Redes em Ambientes Cooperati-
vos. São Paulo: NOVATEC, 2007.
NASCIMENTO, S. A. Segurança da Informação. 2011. Disponível em: <http://sebas-
REFERÊNCIAS
UNIDADE I
1. A Governança Corporativa deu início às suas atividades devido ao número muito
grande de escândalos ocorridos no mercado financeiro em meados de 2002 e,
com a gravidade desses escândalos, os investidores perderam a confiança tanto
nas instituições como nas pessoas físicas, colocando em dúvida a competência
de proteger os investimentos. Com o surgimento da Governança Corporativa,
surgiu também a Governança de TI. Defina o que é Governança de TI.
Resposta:
Poderíamos definir de muitos modos o termo Governança Corporativa. Traze-
mos para você a definição segundo o IBGC – INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, que é um órgão especializado no assunto
Governança Corporativa é o sistema pelo qual as organizações
são dirigidas, monitoradas e incentivadas, envolvendo as práti-
cas e os relacionamentos entre proprietários, conselho de admi-
nistração, diretoria e órgãos de controle. As boas práticas de Go-
vernança Corporativa convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar e
otimizar o valor da organização, facilitando seu acesso ao capi-
tal e contribuindo para a sua longevidade (INSTITUTO BRASILEI-
RO DE GOVERNANÇA CORPORATIVA, online).
3. Com a TI, a empresa ganha, para uma administração mais eficaz, ferramentas
que facilitam o planejamento financeiro e contribuem para uma gestão inte-
grada e responsável dos recursos, ganhando melhorias nos processos e maior
transparência. Essa transparência foi o grande incentivador da Governança de
TI para que os investimentos possam ter um elemento a mais para os gestores
adquirirem confiança dos clientes. Cite e defina pelo menos 5 desses benefícios.
Resposta:
Modernização: estruturar uma área de TI com qualidade e custos menores para
os desafios do presente e futuro.
Organização: ter melhor gerenciamento dos processos.
Gestão: apresentar uma nova cultura na administração, com o uso das melhores
práticas.
Capacitação: melhor gestão dos recursos técnicos e humanos.
Conhecimento: maior compartilhamento de informações e criação de uma
base de conhecimento na Empresa.
UNIDADE II
1. Quando os processos são bem definidos, atinge-se com maior objetividade a efi-
ciência e eficácia. Todos os processos que não são possíveis monitorar se tornam
inviáveis. Se não temos o controle sobre o processo, de nada nos serve. A base
do Gerenciamento de Serviços de TI pode ser facilmente resumida pelos 3 P’s.
Cite quais são e descreva com suas palavras cada um deles.
Resposta:
pessoas, processos e produtos (tecnologias).
2. Help Desk é um setor responsável pela busca por soluções de problemas ocorri-
dos em serviços prestados. Descreva pelo menos 3 objetivos principais das cen-
trais de serviço.
Resposta
Referência que serve de ponte entre usuário e TI, tendo um contato direto com
esses usuários.
Recuperar serviços que tenham erros comuns ou na base de dados, reduzindo
inconvenientes aos usuários.
Prestar suporte de qualidade para manter bons níveis de atendimento, tendo
boa base de conhecimento sobre o negócio.
183
GABARITO
UNIDADE III
1. Segundo Farhat (1996, p. 465), a finalidade de governar “é prover segurança,
bem-estar e prosperidade dos que investem os governantes do poder.” Sendo
assim, defina o que é Governança de Segurança da Informação.
Resposta:
Governança de TI é um conjunto de práticas, padrões e relacionamentos estrutu-
rados, assumidos por executivos, gestores, técnicos e usuários de TI de uma or-
ganização, com a finalidade de garantir controles efetivos, ampliar os processos
de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação
de recursos, reduzir os custos, suportar as melhores decisões e, consequente-
mente, alinhar TI aos negócios.
UNIDADE IV
1. Dentre os modelos estratégicos utilizados na Tecnologia da Informação, o mul-
tisourcing tem sido aplicado de forma bastante eficaz na contratação de mão de
obra, utilizando recursos internos e externos de acordo com a necessidade da
organização. Descreva por que as empresas têm buscado esse modelo estraté-
gico em seus negócios?
Resposta:
Atualmente, as empresas têm buscado esse modelo considerando não apenas
o custo, mas também o grau de complexidade de cada processo que precisa
ser desenvolvido, agregando valor para a organização. Para Magalhães e Brito
185
GABARITO
UNIDADE V
1. Conforme já vimos nas unidades anteriores, podemos dizer que nas duas últi-
mas décadas vêm aparecendo vários modelos de melhores práticas para o ge-
renciamento de TI. Alguns modelos são os primeiros ou os iniciais e outros são
derivados que vêm evoluindo conforme o tempo vai passando. Cite 3 modelos
e seus escopos.
Resposta
CobiT® – ITIL® – CMMI
GABARITO