Escolar Documentos
Profissional Documentos
Cultura Documentos
Contextualização Contextualização
A JP Consultoria em TI nos acompanhará e você fará parte deste Em um segundo momento do projeto, você terá de analisar os
time. parceiros diretos e envolvidos no projeto, como a questão da
A especialidade da JP Consultoria em TI é atuar em projetos de segurança da informação deverá ser tratada e quais são seus
governança para estatais, e você e sua equipe irá ajudá-la a impactos dentro do processo de governança.
desenvolver um projeto junto ao Governo do Estado de São Por último, a JP Consultoria realizará a implantação de um
Paulo. Fonte: Shutterstock modelo de governança de TI, assegurando o processo de Fonte: Shutterstock
Inicialmente, você deverá apresentar uma análise de processos transparência exigido pela SOX, e fará uma documentação com as
que contemplem a importância da governança no setor, as lições aprendidas do projeto para apresentar ao gestor do
vantagens e o impacto que ela pode oferecer para o governo de departamento de Tecnologias e Inovação do Governo se SP .
forma detalhada. Vamos aprender?
Contextualizando
Conceitos Sua missão:
Em conjunto a JP Consultoria em TI, você deverá melhorar seu
conhecimento na área de governança de TI realizando uma análise
Governança de histórica e sobre a importância da área, ampliar sua compreensão
Tecnologia da do papel da área de TI dentro do processo de governança e suas
aplicações e demonstrar aos responsáveis do Governo do Estado
Informação de São Paulo os ganhos e as vantagens de utilizar esse método de
gerenciamento.
Fonte: Shutterstock
1
12/12/2021
Equidade: todos os stakeholders possuem direitos iguais, • Weill e Ross (2006) definem governança de TI como sendo
independentemente do porte de cada um, pois se parte do um ferramental que especifica as decisões e as
princípio que todos têm os mesmos interesses e responsabilidades para melhorar o desempenho dessa
expectativas. Além das responsabilidades, que também área, promovendo transparência nos negócios,
representam o papel de todos. alinhamento estratégico e controle dos processos, além de
Fonte: Shutterstock encorajar comportamentos desejáveis. Fonte: Shutterstock
Prestação de contas (accountability): os responsáveis pela • Para o IT Governance Institute (2007 apud FERNANDES;
governança (agentes) devem demonstrar as informações ABREU, 2014), a governança de TI é de responsabilidade
organizacionais de forma clara, breve, dentro dos prazos dos diretores e executivos no que tange à intermediação
esperados e de forma igualitária, pois, em caso de omissões, da compreensão das estratégias e dos objetivos da
serão responsabilizados com base nas responsabilidades que organização por parte da área de TI.
foram atribuídas ao seu cargo.
2
12/12/2021
O ciclo da governança de TI é:
Resolução da SP
Soluções
3
12/12/2021
Está na hora de se reunir com o gestor do governo e definir como Por que fazer? Quem fará? Onde fará? Quando fará? Como fará?
a governança em TI poderá auxiliar na busca de soluções para os Quanto custará?
problemas apresentados, com base nas questões a seguir: Todas as informações levantadas, bem como as respostas às
• Qual é o capital disponível para o investimento? questões supracitadas, devem ser registradas em um relatório e
• Quais são as vantagens que a governança de TI trará para o entregue ao gestor do Departamento de Tecnologias e Inovação
problema de consolidação das informações para o Portal? do Governo do Estado.
• Quais são as vantagens que a governança trará para o processo O relatório deve conter:
de instabilidade no Portal? • A importância da governança de TI.
Quais as aplicações da governança de TI auxiliarão na execução • Qual tipo de legislação pode interferir no projeto.
do projeto? • Como os aspectos estudados até o momento podem ajudar a
• Como o ciclo da governança de TI poderá ajudar nesse projeto? solucionar os problemas do governo.
Fazer perguntas com relação aos problemas identificados Veja um modelo de relatório de governança de TI disponível em:
também ajudará na solução do problema e no convencimento do <http://www.justicaeleitoral.jus.br/arquivos/tre-pi-feedback-
gestor. São exemplos de questionamentos: o que fazer? degovernanca- de-ti-2010>.
Contextualizando
Conceitos Você deverá analisar o parceiro do Governo do Estado de São
Paulo, a empresa T&&T Ltda., para que traga, de forma aplicada,
o modelo de implantação que será seguido, de acordo com as
Segurança da orientações contidas na ISO no que tange à segurança da
Informação em informação.
Esse modelo deverá contemplar os seguintes aspectos: política de
governança de TI segurança da informação, segurança em recursos humanos,
segurança física do ambiente, controle de acesso, gestão de
Fonte: Shutterstock
Contextualizando Contextualizando
O processo de gestão de projeto e das informações dele no que Algumas perguntas podem facilitar a solução da situação de
diz respeito ao percentual de execução da obra, aos aprendizagem, são elas:
investimentos realizados até o momento, às dificuldades de Existe fragilidade no processo atual?
execução, entre outros aspectos, acontece a distância, portanto, De que forma as informações podem ser protegidas dentro
usa o ambiente de internet como base. desse modelo?
José Mariano, que é o gerente do projeto, normalmente, Fonte: Shutterstock
É necessário realizar mudanças no processo? Fonte: Shutterstock
transfere as atividades citadas para seu assistente Kal Louis, por De que forma o processo de governança de TI pode auxiliar
causa de falta de tempo. na segurança da informação?
Alguns dos apontamentos realizados pela equipe da T&&T Ltda.
dão origem às informações contidas no Portal da Transparência
do governo, e outros devem ser utilizados para questões internas
apenas.
4
12/12/2021
DADOS DA EXPOSIÇÃO DAS como objetivo criar normas que possam ser utilizadas de forma
Tablets EMPRESA INFORMAÇÕES
padronizada pelo mundo. Ajuda as organizações a manterem
Notebooks ativos de informações seguros.
O uso dessa família de padrões ajuda a organização a gerenciar a Fonte: Shutterstock
ISO/IEC 27000 – São informações básicas sobre as normas da ISO 27011 – Descreve o guia de gestão de Segurança da
série. Informação para organizações de telecomunicações, sendo
ISO/IEC 27001 – Bases para a implementação de um SGSI em baseada na 27002.
uma organização. ISO/IEC 27014 – Técnicas para governança da Segurança da
ISO/IEC 27002 – Certificação profissional e códigos de práticas Informação.
para profissionais.
5
12/12/2021
Resolução da SP
Ano: 2020 Banca: VUNESP Órgão: EBSERH Prova: VUNESP -
2020 - EBSERH - Analista de Tecnologia da Informação
ISO 27000 A norma ISO 27001 estabelece a seguinte definição: uso
sistemático de informações para identificar fontes e estimar o
risco. Essa definição corresponde à
Interação
Ano: 2020 Banca: VUNESP Órgão: EBSERH Prova: VUNESP -
2020 - EBSERH - Analista de Tecnologia da Informação
A norma ISO 27001 estabelece a seguinte definição: uso
sistemático de informações para identificar fontes e estimar o
risco. Essa definição corresponde à
Conceitos
Você compreendeu a importância de segurança na governança
de TI?
Governança de TI x
Segurança da
Informação
Fonte: https://gifer.com/en/XlOL9
6
12/12/2021
Porque a S.I. impacta em governança e vice-versa? Porque a S.I. impacta em governança e vice-versa?
A governança - deve comunicar as práticas internas e os Para Fernandes e Abreu (2014), a governança de TI colabora
resultados aos stakeholders; para a mitigação ou eliminação dos riscos e controla as
A Segurança da Informação - deve garantir a divulgação informações das organizações.
dessas informações de forma segura. Atualmente, o que contribui para a criação do diferencial
Elas andam juntas. competitivo para muitas organizações é a tecnologia utilizada e
Assim, a ISO 27014 tem por objetivo planejar, organizar, dirigir Fonte: Shutterstock
a gestão de suas informações. Fonte: Shutterstock
e controlar as práticas de segurança e, ainda, comunicar tais Uma boa gestão da TI representa, sem dúvida, a criação de
práticas para que sejam compreendidas por todos. valor agregado para a organização e para seus stakeholders.
Nota-se a grande influência que uma gera na outra, pois, ao
mesmo tempo em que a governança precisa “abrir as portas”
para o acesso às informações da empresa, a segurança de TI
necessita proteger tais informações.
A CID (confidencialidade, integridade e disponibilidade), Legalidade garante que as informações sejam geradas com
faz parte do pilar da segurança da informação, que base nas leis que a regem, ou seja, garantir que a
devemos trabalhar para garantirmos a proteção da informação seja gerada cumprindo a lei.
empresa. Autenticidade da informação trata da garantia de que os
Confidencialidade deve garantir que somente as pessoas envolvidos no processo de acesso à informação sejam
autorizadas tenham acesso à informação. Fonte : Autora
quem dizem ser e que as informações divulgadas não Fonte : Autora
Integridade tem como objetivo oferecer uma informação sofreram alterações após sua validação.
exata, assegurando que apenas as pessoas autorizadas
possam modificar, adicionar ou remover tais informações.
Disponibilidade deve garantir que as pessoas autorizadas
tenham acesso, com base nas restrições determinadas,
sempre que necessitarem.
• As informações operacionais e financeiras devem ser A ISO/IEC 27001 é adequada para serviços bancários, serviços
disponibilizadas dentro dos padrões estabelecidos para financeiros, saúde, serviços públicos e setores de TI.
atender às necessidades dos stakeholders, mas é necessário A ISO 27001 é composta por requisitos principais e um apêndice
cuidado na veracidade das informações. que contém controles de segurança:
• A Lei SOX contribui para o processo de divulgação de • Política de segurança.
informações com credibilidade, atendendo à relação de Fonte: Shutterstock
• Organização da segurança da informação. Fonte: Shutterstock
governança de TI com a importância das informações. • Gestão de ativos.
• A Lei SOX é válida para empresas de todos os segmentos e • Segurança dos recursos humanos.
nacionalidades, basta que as empresas tenham suas ações • Segurança física e ambiental.
na SEC (Securitiesand Exchange Comission) para empresas • Gestão das comunicações e operações.
estrangeiras, ou na CVM (Comissão de Valores Mobiliários) • Controle de acesso.
para empresas brasileiras.
7
12/12/2021
Ponto fraco: a área mais frágil, no que tange à proteção, Medidas para definir a segurança da informação.
pode comprometer o sistema como um todo. • Implementar o SGSI.
Restrição do acesso: todo acesso deve ser realizado, Definir plano de gestão de riscos.
preferencialmente, por um único local. Implantar plano de gestão de riscos.
Exposição do necessário: divulgar apenas o necessário, Implantar medidas de avaliação dos riscos.
reduzindo as chances de quebra da segurança. Criar KPIs para medir a eficácia do plano de gestão de riscos.
PDCA
Resolução da SP
Trabalhar a conscientização e treinamentos.
Criar modelo de resposta a incidentes de segurança da
informação. Relatório ao gestor
• Monitorar e melhorar o SGSI.
Medir a eficácia dos controles.
Conduzir auditorias internas. Fonte: Shutterstock
Atualizar planos de segurança da informação.
Avaliar ações que possam impactar no modelo de segurança.
• Manter o SGSI.
Implantar ações preventivas e corretivas.
Informar aos envolvidos as ações de melhoria.
Criar melhorias que atinjam os objetivos.
8
12/12/2021
Contextualizando Contextualizando
9
12/12/2021
• Mudança cultural (TI vista como investimento e solução). Melhores práticas (frameworks) + conhecidos:
• Foco da TI em questões estratégicas. • CobiT – Objetivo de Controle para Tecnologia da
• Definição de KPIs para maior controle e gestão. Informação e Áreas Relacionadas.
• Mapeamento adequado dos processos (permitindo • CMMI – Modelo Integrado de Maturidade em Capacitação.
agilidades das ações). • ITIL – Biblioteca de Informações de Infraestrutura de
Perceba que os pontos elencados surgem a partir da Tecnologia.
Fonte: Shutterstock Fonte: Shutterstock
implantação do OpMon, que permite uma gestão mais íntegra • ISO 27001 – Melhores práticas em Segurança da
e um processo de governança mais estável. Informação.
• eSCM – Melhores práticas em relacionamento de
terceirização.
• BSC – Indicadores balanceados de desempenho.
10
12/12/2021
Case 2 - TNG
Resolução da SP
• PMBOK – Guia do Conjunto de Conhecimentos em
Gerenciamento de Projetos.
• Six Sigma – Metodologia para melhoramento da Relatório ao gestor
qualidade de processos.
• SAS 70 – Regras de Auditoria.
Para o sucesso na implantação de governança, devem ser Fonte: Shutterstock
utilizadas diversas das melhores práticas no processo de
implantação, acompanhamento e gestão.
A governança pode contribuir de forma significativa com
o processo de transparência e confiabilidade nas
informações da organização e, ainda, reduzir custos.
A JP Consultoria em TI deverá apresentar um relatório ao A criação de comitês também contribuiu para melhor gestão
gestor do Departamento de T.I do Governo do Estado de São do processo de governança a ser implantado e, por fim, o
Paulo sobre dificuldade com a consolidação das informações, a treinamento adequado dos envolvidos no processo contribui
instabilidade do Portal, a dificuldade de integração das para uma execução eficaz.
informações do fornecedor com o Portal da Transparência e a Transferir os aspectos identificados nos cases para o projeto do
segurança da informação imputada pelo fornecedor. Avalie: Governo do Estado de São Paulo.
• De que forma essas situações podem ser resolvidas?
• Quais métodos e melhores práticas podem ser utilizados?
• Qual é a melhor forma de auxiliar o cliente?
Ambos os cases mostraram de forma clara o sucesso da
aplicação da governança de TI por meio de alteração do
sistema de gestão e mudanças no processo de disponibilização
da informação.
Interação
Você compreendeu a importância de governança de TI?
Fonte: https://gifer.com/en/XlOL9
11
12/12/2021
Conceitos
Governança de Tecnologia da Informação
12