Governança TI

Governança de TI e Sistemas de Informação
Governança de TI
Prof. José Leão

1 Governança de TI
Os Nômades Tuaregues e a
Rota do Sal
2 Governança de TI
A observação do FATO levou o homem a
criação de uma coisa chamada...... SEGURO
3 Governança de TI
Características da Industria nos dias atuais
A competitividade é a palavra chave
4 Governança de TI
• Forte utilização de recursos tecnológicos;
• Disponibilidade massiva de produtos e serviços automatizados;
• Vários sistemas de plataformas diferentes que necessitam de integração;
• Necessidade constante de adaptação a um mercado sempre dinâmico;
• O Cliente cada vez mais presente nas operações da indústria;
• Alinhamento com as novas regras de proteção a informação. Lei geral de proteção de
dados pessoais” - LGPD
5 Governança de TI
• Orçamentos limitados;
REALIDADE
• Dificuldade para aprovação de projetos de
melhoria;
• Baixa aderência de Hardware e Software;
• Poucas politicas de Governança de TI e

Dados implantados na organização.
Desejo de ser “data driven”
6 Governança de TI
O que é Governança de TI
• Forma de controlar os processos entre a Organização, Fornecedores e Clientes;

• Conjunto de práticas que orientam a tomada de decisão na área de TI (metodologias);
• Entregar valor a organização e ao ecossistema;
• Fornecer métricas de auditoria e de evolução dos processos de Governança.
• Gerenciar e mitigar Riscos.
• Criar Politicas de Segurança;
• Equilibrar o Custo de Tecnologia e o ROI correspondente;
• Essencial para Gestão financeira e estratégica da organização;
7 Governança de TI
Organização
Estratégia
Empresarial
Clientes Internos
Fornecedores
e Externos
8 Governança de TI
“A Governança de TI está muito mais próxima de uma filosofia do que de

algo que possa ser implantado ou adquirido”. Nesse sentido, a Governança
de TI está profundamente ligada ao pensamento estratégico da empresa, ou
seja, à personalidade da organização.
É importante que você entenda também que planejamento estratégico tem

tudo a ver com governança. Só posso governar aquilo que planejei.
9 Governança de TI
Um exemplo de Governança
10 Governança de TI
Um exemplo de Governança
MODELO DE GOVERNANÇA – O Modelo de Governança depende do plano

estratégico da empresa.
PLANO ESTRATÉGICO – O Plano estratégico é a base para a elaboração do

Plano Diretor.
PLANO DIRETOR DE TI (PDTI) – O PDTI é crucial para o modelo de

Governança de TI
Governança de TI no dia a dia, é:
PDCA
Plan - PLANEJAR
Do – FAZER
Check - VERIFICAR
Act - AGIR
Na Governança Corporativa
• Focamos em:
• No que estamos fazendo;
• Fazemos com eficiência e
eficácia?
• Estamos atingindo os objetivos da
Estratégia definida?
Estamos cumprindo o propósito da

Organização?
Na Governança Corporativa
Para atingir competitividade...
…duas perguntas que devem ser respondidas
Onde competir?
Alta
Atratividade
da Indústria
Como competir?
Baixa
Ruim Boa
Posição Competitiva da Empresa
Metodologias de Gestão
COBIT - Control Objectives for Information and related Technology
ISACA – Information Systems and Related Technology
Oficialmente a metodologia COBIT define Governança como sendo uma estrutura de

relacionamento entre processos que direcionam e controlam a organização através de
itens como qualidade de software, níveis de maturidade e segurança da informação;
Podemos acrescer também que COBIT é um conjunto atualizado de boas praticas

internacionais que estabelece métodos e documentos na organização para
acompanhamento da Tecnologia implementada;
A metodologia é aplicada considerando 4 processos básicos que refletem o modelo de

governança de TI
Processo Descrição
Planejamento e Organização Definição de estratégias, Arquitetura, Investimentos e Risco
Aquisição e Implementação Definição e aquisição de soluções, procedimentos, manutenção e gerencia

de mudanças
Entrega e Suporte Niveis de SLA, Garantia de desempenho, custos de serviços, gerencia de

dados, problemas e incidentes.
Monitoração Analise de dados para auditoria, eficiência e acompanhamento de KPIs para
melhoria continua
ITIL - Information Technology Infrastructure library
ITIL é baseado na gestão e operação dos recursos de infra-estrutura e em fornecimento de

serviços no apoio nas necessidades e atividades dos clientes, medindo a qualidade dos
serviços prestados vs. os custos deste serviço e consequentemente a eficiência do negócio.
O ITIL tem sua origem no governo britânico, tem utilização em vários segmentos, mas seu
uso demonstrou aderência a serviços.
ITIL - Information Technology Infrastructure library
A metodologia ITIL esta baseada em 3 processos básicos

Processo Descrição
Gerenciamento de Aplicações Projeto e Planejamento
Implantação
Operação
Suporte de Software
Suporte a usuários
Gerenciamento de Serviços Entrega de Serviços
Suporte de Serviços
Gerencia de Infraestrutura de TIC – Projeto e Planejamento, Implantação, Operação e Suporte Técnico
Tecnologia da Informação e
Comunicação.
A importância e o papel da Tecnologia da Informação
Importância da Informação nas Organizações
• Permeia todos os processos gerenciais e operacionais das organizações;

• Faz com que se produza mais com custos menores;
• Possibilita a tomada de decisões fundamentadas em informações precisas;
• Melhora o rendimento das empresas em atendimento ao mercado e ao público-alvo;
• Provoca o aumento da prosperidade e da continuidade da empresa, gerando riquezas para
toda a sociedade de forma direta ou indireta;
A Estratégia da Organização e os Sistemas de Informação
Mainframe
DM
ETL – Extração e transformação

Cubos DM
ERP
DataMart
Legados
DataWarehouse
Relatórios
Data Mining
Query
Aplicações
Analíticas
ODS Planejamento
Financeiro
Stage
Área
Data Lake
Dados Refinados
Analiytics
Ingestão de dados
Dados Brutos
Machine Learning
SandBox
Data Discovey
Planejamento estratégico de TI
Estratégia de Negócio
Uma boa estratégia de negócio resulta de processos revolucionários que transformam o
estado natural das coisas. Com isso, a organização pode atingir uma posição que,
dificilmente, será alcançada e disputada por outras empresas.
Sabemos que estratégias que seguem receitas conhecidas tendem a ser copiadas
rapidamente.
Nesse sentido, a própria TI acaba contribuindo para facilitar a difusão do conhecimento
quase em tempo real. Isso acontece devido à rapidez que a TI proporciona à divulgação da
informação.
O cenário de alta competitividade, difusão de boas práticas, informações e receitas prontas
para o sucesso favorece a obtenção de resultados de curto prazo. No entanto, desfavorece
a eficácia estratégica, que visa a resultados de curto e médio prazos. Grande desafio nos
dias atuais.
Normas internacionais
A Organização Internacional de Normalização (ISO) e

a Comissão Eletrotécnica Internacional (IEC)
publicaram a norma internacional para a governança
corporativa de tecnologia da informação ISO/IEC
38500.
O objetivo dessa norma é orientar os dirigentes de áreas de tecnologia da informação, os

auditores de TI, bem como os profissionais responsáveis por estruturar, avaliar, gerenciar
ou monitorar o uso da tecnologia das informações em suas organizações.
A norma NRB ISO/IEC 38500:2009 está fundamentada em seis princípios aplicáveis a
organizações de qualquer porte.
1 – Responsabilidade - Os indivíduos e os grupos da organização compreendem e
aceitam suas responsabilidades com respeito ao fornecimento e demanda de TI. Os
responsáveis pelas ações também têm autoridade para desempenhar tais funções.
2 – A estratégia de negócio da organização leva em conta as capacidades atuais e futuras
de TI. Os planos estratégicos para TI satisfazem as necessidades atuais e contínuas da
estratégia de negócio da organização.
3 – As aquisições de TI são feitas por razões válidas, com base em análise apropriada e
contínua, com tomada de decisão clara e transparente. Existe um equilíbrio apropriado
entre benefícios, oportunidades, custos e riscos – em curto e longo prazos.
4 – Desempenho - A TI é adequada ao propósito de apoiar a organização,

fornecendo serviços, níveis de serviço e qualidade de serviço necessários para atender os
requisitos atuais e futuros do negócio.
5 – Continuidade - A TI cumpre toda a legislação e os regulamentos obrigatórios.
As políticas e as práticas são definidas, implementadas e fiscalizadas claramente.
6 – Comportamento Humano - As políticas, práticas e decisões de TI demonstram respeito
pelo comportamento humano, incluindo as necessidades atuais e futuras de todas as
pessoas envolvidas no processo.
Processos
Processo são atividades que transformam entradas em saídas aplicando regras nas
transformações obedecendo procedimentos e/ou funções organizacionais.
Processos tem que ser desenhados, descritos e formalizados, devem ter suas entradas e
saídas definidas através de ferramentas;
Processos
Inteligência organizacional começa pelo desenho e descrição do processo.
Quando uma organização não tem desenho e descrição processo, executa atividade de
formas diferentes, isto quebra a vantagem competitiva. Se um empregado precisa ser
demitido o novo profissional deverá aprender tudo o que o outro sabia, se tiver a definição
do processo, o novo profissional tem uma melhor curva de aprendizagem de suas atividades.
Processos diferentes para executar a mesma atividade é um risco para o monitoramento.
Defina metas e objetivos, papeis e responsabilidades, kpis e pessoas responsáveis por eles.
Processos
A empresa depende menos de pessoas para manter sua operações repetitivas
aproveitando profissionais para atividades de maior valor agregado.
Vantagem competitiva é quando uma empresa tem característica que a diferencia do

mercado, agregando mais valor ao cliente que o concorrente.
Eficiência Operacional da TI
Para aumentar a eficiência operacional das empresas, a TI é imprescindível. No entanto,

adotar a solução certa de negócios faz toda a diferença.
Com a solução certa, as empresas vencem os principais desafios ao mesmo tempo em

que aproveitam as oportunidades para melhorar as receitas e os lucros. Além disso, para
atender os negócios, a infraestrutura precisa funcionar 24 horas por dia, sete dias por
semana.
Automação completa dos processos de TI - Eliminar o esforço manual da área de TI em

processos orientados ao usuário final.
Suporte a diversas tecnologias e à integração entre elas - Possibilitar que os usuários

finais selecionem as ferramentas e tecnologias que os ajudarão em seu trabalho.
Controle nas mãos do usuário com supervisão da TI - Padronizar o catálogo de serviços,

controlar o tamanho e o custo dos recursos de processamento alocados aos responsáveis
pelos aplicativos, e garantir que as políticas de segurança sejam incorporadas.
Gestão adequada de hardware e softwares - Com relação à eficiência operacional,

precisamos tratar de um assunto difícil: a gestão de hardware e software. Nas empresas,
ainda é comum encontrarmos pacotes de aplicativos que nunca são instalados ou não são
utilizados quando instalados. Muitas vezes, também são adquiridos equipamentos sem um
uso definido ou com configurações inadequadas.
Eficiência e Eficácia Estratégica da TI
• Decolar na hora correta.

• Tornar o voo agradável e confortável;
• Consumir o mínimo de combustível;
• Aterrissar na hora correta.
Funções e Processos Organizacionais
É comum ouvirmos que a TI está em tudo o que fazemos. E o que é tudo?
Para definir o alinhamento estratégico da TI, precisamos definir as funções que ela
desempenha nas organizações. Embora seja muito difícil construir uma lista absoluta
dessas funções organizacionais, podemos fazer uma divisão simples como classificação
inicial. Vejamos:
Atender
Pessoas
Entender
Implementar
Processos
Tecnologia
Ciclo de Vida da Governança de TI
Ciclo de vida deve atender os objetivos da organização
Um ciclo de vida genérico, que favorece a gestão e os controles dos processos da TI,
facilita o alinhamento da estratégia da organização.
O ciclo deve garantir que a Governança de TI atenda os objetivos esperados pela

organização em quatro áreas-macro, cada uma com seus respectivos componentes e
processos.
Alinhamento
estratégico e
compliance
Decisão, compromisso,
Medição de priorização e alocação
desempenho de recursos
Estrutura, processos,
operação e gestão
Alinhamento Estratégico e Compliance
Análise dos planos estratégicos e táticos do negócio permite:
• Definir princípios da TI e o seu papel alinhados as estratégias de negócio;

• Definição dos requisitos que sustentem a estratégia do negócio pela TI;
• Padrões de Arquitetura;
• Padrões de Serviço.
O que deve ser governado - Decisão, compromisso,
priorização e alocação de recursos
Ressaltamos seis conjuntos essenciais de ativos utilizados pelas empresas para implantar
sua estratégia e demonstram como cada um desses ativos deve ser governado. .
Ativos humanos - Ativos humanos são pessoas, habilidades, competências, planos de
desenvolvimento humano e treinamento. Seu objetivo é realizar processos e deter
relacionamentos.
Ativos financeiros - Os ativos financeiros são fluxo de caixa, investimentos, caixa disponível,
contas a receber e passivos. Seu objetivo é justificar as ações da organização.
Ativos físicos - Os ativos físicos são patrimônio, prédios e equipamentos. Seu objetivo é
abrigar a organização.
O que deve ser governado
Ativos de propriedade intelectual - Propriedade intelectual (Soma dos direitos relativos a

obras literárias, artísticas e científicas, proteção contra a concorrência desleal e todos os
outros direitos inerentes à atividade intelectual nos domínios industrial, científico, literário e
artístico.) são know-how de produção, patentes, conhecimento embutido em produtos e
processos, e sistemas da empresa. Seu objetivo é formar os valores intangíveis da
organização.
Ativos de informação e de TI – São dados digitalizados, conhecimentos sobre clientes e
desempenho de processos, sistemas de informação.Seu objetivo é viabilizar processos por
meio da redução de custos e do aumento da produtividade, o que se reflete nos resultados
obtidos, além de exercer controle sobre tais processos.
Os ativos tem como missão atender a estratégia da organização
Estrutura, Processos, Operação e Gestão
Definição do dia a dia da TI, sua estrutura funcional e processos operacionais.
• Desenho dos fluxos de serviços;

• Desenho da forma de como realizar mudanças;
• Politicas de comunicação com clientes, users e fornecedores.
Medição de Desempenho
Na fase de Medição de desempenho, é feita a coleta de dados e indicadores dos resultados dos
processos, produtos e serviços da TI.
A área da TI deve utilizar a análise de tais dados e indicadores para verificar se está contribuindo para a
estratégia do negócio. Nesse contexto, os dados também garantem a continuidade do fluxo do ciclo de
vida da Governança de TI, uma vez que indicam a necessidade de mudança e de melhoria contínua nos
processos da TI.
PDTI - Plano Diretor de TI
Sabendo que a área de TI deve estar alinhada com os objetivos

da organização, o Plano Diretor de TI contém as diretrizes para
curto, médio e longo prazos.
É uma forma de planejar, gerenciar recursos e processos de TI

para atender necessidades tecnológicas e estratégias de
negócio de uma organização.
Sabendo que a área de TI deve estar alinhada com os objetivos da organização, o Plano
Diretor de TI contém as diretrizes para curto, médio e longo prazos.
Algumas definições encontradas no mercado
O Plano Diretor de Tecnologia da Informação (PDTI) constitui um instrumento

de diagnóstico, planejamento e gestão da tecnologia da informação (TI).
O objetivo é alinhar os investimentos em TI à estratégia de negócios da

instituição, fornecendo informações relevantes para o processo de tomada
de decisão.
O atual PDTI contempla as diretrizes de TI da CVM para o quinquênio 2013-
2017.
O PDTI representa um instrumento de gestão para a

execução das ações e projetos de TIC da organização,
possibilitando justificar os recursos aplicados em TIC,
minimizar o desperdício, garantir o controle, aplicar recursos
no que é considerado mais relevante e, por fim, melhorar a
qualidade do gasto público e o serviço prestado ao cidadão
e à sociedade como um todo.”, conforme descrito no Guia
do PDTI do SISP versão 2.0. TICs = Tecnologias das informação e comunicação
Criando um Plano Diretor de TI
Tem origem no Plano Estratégico da Organização e foco na eficácia estratégica
Devem ser desenvolvidos aqui os acordos com usuários e fornecedores para garantir
a qualidade dos serviços prestados.
Deve ser revisado periodicamente, de modo que novas estratégias possam ser adotadas,
dependendo dos novos cenários que surjam.
Conteúdo do Plano Diretor de TI
O PDTI deve conter o portfólio de TI da empresa. Desse modo, o PDTI deve guiar todos os
envolvidos com relação ao que a TI faz – na forma de projetos ou operações continuadas –
bem como ao que a TI não faz.
Em outras palavras, o PDTI deve indicar os serviços que a TI fornece e os serviços que ela
não fornece. Nesse contexto, podemos esperar algumas dificuldades típicas no processo de
elaboração do plano.
O PDTI é a documentação final de todo o processo de Governança estudado até aqui.
GERENCIAMENTO DE RISCOS
É a ação de identifica-los e decidir o que fazer com eles
Os negócios dependem das informações geradas pelos serviços de TI e tomada de decisões,

ficando mais expostas aos problemas relacionados a tais serviços. Por consequência,
observamos um aumento na quantidade e na gravidade dos riscos.
Risco não é certeza de acontecer, não podemos prever falhas, se bem que hoje dispomos de
Inteligência artificial que pode atuar também nesta área.
Risco é saudável, nos tira da zona de conforto, e deve ser ser administrado, identificado e
gerenciado
Devemos ter equipes treinadas e prontas para atuar em problemas repentinos;

Buscar o risco trabalhando em sua identificação e criando planos de ação;
Gerenciamento de Riscos deve ser uma cultura difundida em todas as equipes e todas as
funções. Treinar o “.......e se....”;
Trabalhar lições aprendidas representando no prazo para qualquer iniciativa;
Não deixar o hábito de analisar riscos cair no esquecimento.
6 passos para o Gerenciamento de Riscos
1 – IDENTIFICAR – Analisar os processos identificando possibilidades de falha.
2 – PRIORIZAR – Gerar estimativas para que possam ser priorizados e recursos sejam alocados na mitigação.
3 – PLANEJAR– Desenvolver planos, ações, e estratégias para o risco analisado, incorporando-os na rotina da
área.
4 – RASTREAR E COMUNICAR - Monitorar o status do risco, comunicar os planos de ação desenvolvidos,

garantindo que todo o “staff” esteja a par do status do risco e dos planos de ação.
5 – CONTROLE - Controlar as alterações no status do risco que possam afetar a disponibilidade de um serviço ou
o Service Level Agreement (SLA).
6 – APRENDER – Documentar o conhecimento obtido, elaborando listas de riscos e categorização
Riscos e Áreas de conhecimento do PMI
O Project Management Institute (PMI) é uma organização sem fins lucrativos que tem o
objetivo de disseminar as melhores práticas de gerenciamento de projetos em todo o
mundo. Essa entidade fomenta o debate sobre o tema por meio de publicações,
eventos e reuniões. Suas áreas de conhecimento são:
• Gerenciamento da Integração.
• Gerenciamento de Escopo.
• Gerenciamento de Custos.
• Gerenciamento de Qualidade.
• Gerenciamento das Aquisições.
• Gerenciamento dos Recursos.
• Gerenciamento das Comunicações. Riscos não gerenciados “destroem” o projeto
• Gerenciamento de Risco
Plano de Respostas aos Riscos
Plano de Resposta deve atender:
Quais são as estratégias e as ações à serem implementadas para cada risco?

Quem é o responsáveis pela implantação dessas respostas?
Quando uma resposta terá de ser implementada?
Quais riscos precisam de um monitoramento mais efetivo?
Como serão tratadas as repostas?
Plano de Respostas aos Riscos
Resposta Descrição Ação
MITIGAR Ações para reduzir Antecipar o pedido de compra de um
probabilidades de ocorrência Servidor, em virtude do risco de
entrega pelo fornecedor
ACEITAR Ativamente Um plano de contingencia Utilizar outros servidores da empresa
ACEITAR Passivamente Não se define uma reposta ao Relatar o risco
risco, ele é monitorado e
apenas comunicado, caso
ocorra.
TRANSFERIR Transferir responsabilidade a Transferir a compra do produto a
terceiros, não eliminado o central de compras da organização.
risco.
ELIMINAR Mudar a estratégia Contratar os serviços de
eliminando o risco. processamento em nuvem (cloud
53 Governança de TI computing)
Plano de Continuidade de Negócios
Atualmente fala-se muito em Sustentabilidade, mas para uma organização manter-se

sustentável é necessário que um plano de continuidade seja adotado.
BCP - Business Continuity Plan - Plano de Continuidade dos Negócios, é composto de:
• OCP - Operational Continuity Plan - Plano de Continuidade Operacional
• BIA - Business Impact Analysis - Análise de Impacto nos Negócios
• DRP - Disaster Recovery Plan - Plano de Recuperação de Desastres
No dia a dia estamos às voltas com atividades bastante criativas em nossas rotinas de
trabalho. No entanto, em alguns momentos, essas atividades não são nada agradáveis.
O que fazer para recuperar dados perdidos ou utilizar um sistema fora do ar.
Falhas são inevitáveis, mas a interrupção do fornecimento do serviço e a perda de dados
podem ser evitados por meio do uso adequado de técnicas viáveis e de fácil
compreensão.
Para a manutenção da disponibilidade total dos sistemas, precisamos elaborar um plano

de ação. Tal plano é denominado Plano de Continuidade de Negócios ou Business
Continuity Plan (BCP).
BCP - Business Continuity Plan – Método para garantir que a produção de uma empresa
não pare, mesmo que ocorram incidentes, desastres ou danos.
Muitos são os motivos para que o BCP se torne uma prática amplamente adotada pelas
organizações.
Segundo a Fundação Bradesco, 80% das empresas que não têm um BCP não
conseguem reabrir seus negócios após um desastre. O número de empresas que
decreta falência em cinco anos é de 5%. Apenas 8% sobrevivem.
Fases de um BCP
Analise de riscos e
vulnerabilidade
Planejamento
Analise de
impacto nos
negócios
Testes e
Manutenção
Plano de
continuidade
Plano de operacional
recuperação de
desastres
Como criar um BCP
Planejamento
Tem relação com o ciclo PDCA - PLAN-DO-CHECK-ACT;

Assim como o PDCA, o BCP é contínuo e não pode ser comparado a um projeto;
Como é esta relação:
PLANEJAR - Definir os objetivos do plano de continuidade, planejar o que será feito,

estabelecer metas e definir os métodos que permitirão atingir as metas propostas. Executar
a análise de riscos, identificar e selecionar as alternativas de recuperação
EXECUTAR - Construir os procedimentos de recuperação, tomando iniciativas para treinar,

implementar e executar o que foi planejado, conforme as metas e os métodos definidos
Como criar um BCP
Planejamento
AGIR - Fazer as correções e as melhorias no BCP que tenham sido constatadas na fase
anterior. O primeiro passo para a elaboração de um BCP é o conhecimento, por parte da
alta direção da empresa, de que existe a necessidade de tal plano. Se a empresa não der
atenção especial ao projeto, não será possível justificá-lo e aprovar verbas para sua
execução. Consequentemente, o projeto falhará antes mesmo de ser iniciado.
VERIFICAR - Verificar, a partir de testes, os resultados obtidos com o desenvolvimento

do Plano. Além disso, verificar, continuamente, se os trabalhos estão sendo executados
conforme planejados.
Análise de Riscos e Vulnerabilidades
Esta fase tem a missão de:

• Discutir e definir os objetivos e os obstáculos do projeto;
• Identificar ameaças e riscos que possam impedir a continuidade;
• Definir politicas de continuidade;
Nesta fase do BCP criamos um grupo com pessoas chaves relacionadas ao negócio e
tecnologia. Este grupo será chamado de Grupo de continuidade de negócio.
Análise de Impacto nos Negócios – Business Impact Analysis (BIA)
• A fase anterior “Analise de Riscos e Vulnerabilidades realizada apontou os processos
de negocio e sistemas que são críticos.
• Agora vamos ao dia a dia das operações e para isso podemos fazer uma série de
entrevistas com pessoas da área de negócio, identificando áreas críticas e essenciais
para a sustentabilidade da empresa.
Perguntas importantes:
• Qual a importância e a criticidade do processo para a organização?

• Como está organizado o processo de negócio (subprocessos, atividades e outros)?
• Qual o tempo de autonomia do processo?
• Qual o relacionamento com outros processos ?
• Que elementos da TI são necessários para manter a sustentabilidade?
Comparando Avaliação de Riscos e Análise de Impacto nos negócios.
BIA é responsável por:

• Identificar recursos necessários para realizar as atividades de negócios;
• Estimar impacto no tempo de inatividade.
Avaliação de Riscos é responsável por:

• Identificar recursos necessários que podem ser afetados por uma ampla variedade de
ameaças conhecidas e desconhecidas;
• Compreender o impacto nos negócios de forma a priorizar controles e estratégias para
mitigar os riscos.
Benefícios Gerados:
• Visibilidade de processos de negócio são críticos para a sustentabilidade da

organização;
• Recursos computacionais que podem impedir a execução do processo de negócio;
• Estimativa de valor referente a parada do processo;
• A ordem em que os processos devem ser restaurados;
• Apresentar painéis com visões gráficas de tempo de parada vs. perdas financeiras.
Plano de Continuidade Operacional – Operational Continuity Plan (OCP)
Uma vez que Risco, Vulnerabilidades e Impactos foram devidamente analisados, cabe
agora a um bom Plano de Continuidade garantir que a Infraestrutura Computacional
garantam que os processo de negócio sejam executados com perfeição. Chamamos a isto
de Plano de Continuidade Operacional.
Um OCP deve conter:

• Local físico para Hardware
• Capacity Plan para Softwares
• Recursos Humanos adequados
• Politicas e Processos de segurança para profissionais (velocidade de realocação)
• Ambiente de Trabalho
• Rede Elétrica
• Acessos a locais físicos
Plano de Recuperação de Desastres – Disaster Recovery Plan (DRP)
Foco em restabelecer as operações da organização no menor tempo possível frente a

desastres evitando perdas significativas no negócio.
Engana-se quem acha que este papel cabe somente a TI. Pelo contrário toda a
organização deve estar envolvida nesta cultura.
Para atingir os objetivos do Plano, devemos criar ações para:

• Preparar pessoas para situações de desastre;
• Preparar coordenadores para atuar em situações de desastre;
• Minimizar perdas financeiras;
• Identificar quais operações podem requisitar suporte de terceiros;
• Minimizar tempo de parada de operações;
• Tornar a recuperação mais simples possível.
Plano de Recuperação de Desastres – Disaster Recovery Plan (DRP)
Vai dar certo?
Podemos passar por uma auditoria?
Testes e manutenção
O que deve ser feito:
• Preparar cenários de testes;

• Criar Roadmap de testes ao longo de períodos;
• Desenvolver atividades após os testes para que as falhas sejam corrigidas;
• Rever continuamente o plano de testes.
Um programa de testes é a única garantia para atingir a confiança que precisamos no

plano de continuidade.
Plano de Contingência
Prevenção – Tomar ações com agilidade para atender emergências da organização;
Um plano de contingência tem o objetivo de padronizar as ações para que processos vitais
não deixem de atender a empresa em seu negócios, mesmo que seja o mínimo aceitável.
É chamado também de plano de continuidade de negócios, recuperação de desastres ou

planejamento de riscos, garantindo a continuidade das operações
Exemplos:
• 11 de setembro;
• Queda de Sistemas na área de aviação;
• Transações bancárias.
Atividade
• Case de Governança de TI

Governança TI

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governança TI

Enviado por

Direitos autorais:

Formatos disponíveis

Governança de TI e Sistemas de Informação

Prof. José Leão

• Disponibilidade massiva de produtos e serviços automatizados;

• Vários sistemas de plataformas diferentes que necessitam de integração;

• Necessidade constante de adaptação a um mercado sempre dinâmico;

• O Cliente cada vez mais presente nas operações da indústria;

• Alinhamento com as novas regras de proteção a informação. Lei geral de proteção de

dados pessoais” - LGPD

• Baixa aderência de Hardware e Software;

• Poucas politicas de Governança de TI e

Desejo de ser “data driven”

• Forma de controlar os processos entre a Organização, Fornecedores e Clientes;

“A Governança de TI está muito mais próxima de uma filosofia do que de

É importante que você entenda também que planejamento estratégico tem

MODELO DE GOVERNANÇA – O Modelo de Governança depende do plano

PLANO ESTRATÉGICO – O Plano estratégico é a base para a elaboração do

PLANO DIRETOR DE TI (PDTI) – O PDTI é crucial para o modelo de

Governança de TI no dia a dia, é:

Estamos cumprindo o propósito da

COBIT - Control Objectives for Information and related Technology

ISACA – Information Systems and Related Technology

Oficialmente a metodologia COBIT define Governança como sendo uma estrutura de

Podemos acrescer também que COBIT é um conjunto atualizado de boas praticas

A metodologia é aplicada considerando 4 processos básicos que refletem o modelo de

Aquisição e Implementação Definição e aquisição de soluções, procedimentos, manutenção e gerencia

Entrega e Suporte Niveis de SLA, Garantia de desempenho, custos de serviços, gerencia de

ITIL - Information Technology Infrastructure library

ITIL é baseado na gestão e operação dos recursos de infra-estrutura e em fornecimento de

ITIL - Information Technology Infrastructure library

A metodologia ITIL esta baseada em 3 processos básicos

Importância da Informação nas Organizações

• Permeia todos os processos gerenciais e operacionais das organizações;

ETL – Extração e transformação

A Organização Internacional de Normalização (ISO) e

O objetivo dessa norma é orientar os dirigentes de áreas de tecnologia da informação, os

4 – Desempenho - A TI é adequada ao propósito de apoiar a organização,

Vantagem competitiva é quando uma empresa tem característica que a diferencia do

Para aumentar a eficiência operacional das empresas, a TI é imprescindível. No entanto,

Com a solução certa, as empresas vencem os principais desafios ao mesmo tempo em

Automação completa dos processos de TI - Eliminar o esforço manual da área de TI em

Suporte a diversas tecnologias e à integração entre elas - Possibilitar que os usuários

Controle nas mãos do usuário com supervisão da TI - Padronizar o catálogo de serviços,

Gestão adequada de hardware e softwares - Com relação à eficiência operacional,

• Decolar na hora correta.

O ciclo deve garantir que a Governança de TI atenda os objetivos esperados pela

Análise dos planos estratégicos e táticos do negócio permite:

• Definir princípios da TI e o seu papel alinhados as estratégias de negócio;

Ativos de propriedade intelectual - Propriedade intelectual (Soma dos direitos relativos a

Os ativos tem como missão atender a estratégia da organização

Definição do dia a dia da TI, sua estrutura funcional e processos operacionais.

• Desenho dos fluxos de serviços;

Sabendo que a área de TI deve estar alinhada com os objetivos

É uma forma de planejar, gerenciar recursos e processos de TI

Algumas definições encontradas no mercado

O Plano Diretor de Tecnologia da Informação (PDTI) constitui um instrumento

O objetivo é alinhar os investimentos em TI à estratégia de negócios da

O PDTI representa um instrumento de gestão para a

Tem origem no Plano Estratégico da Organização e foco na eficácia estratégica

O PDTI é a documentação final de todo o processo de Governança estudado até aqui.

É a ação de identifica-los e decidir o que fazer com eles

Os negócios dependem das informações geradas pelos serviços de TI e tomada de decisões,

Devemos ter equipes treinadas e prontas para atuar em problemas repentinos;

4 – RASTREAR E COMUNICAR - Monitorar o status do risco, comunicar os planos de ação desenvolvidos,