Escolar Documentos
Profissional Documentos
Cultura Documentos
Governança de TI
O que é governança de TI
Elas são estabelecidas a partir das exigências do setor e dos valores internos da
empresa, norteando assim os processos internos.
2
20/09/2023
• Redução de riscos
• Otimização de recursos
4
20/09/2023
1. Alinhamento estratégico
• Quem atua na governança de TI de uma organização deve fazer com
que a estratégia de TI esteja alinhada à dos negócios. Os métodos
mais eficazes para criar harmonia entre as duas são a
implementação de um modelo de arquitetura corporativa e
gerenciamento de portfólio.
2. Entrega de valor
• A equipe de governança de TI deve garantir que os investimentos em
tecnologia dentro da empresa entreguem o máximo valor comercial
possível de acordo com um nível aceitável de risco.
3. Gestão de riscos
• Além de identificar e avaliar os riscos, a áres de governança de TI deve
saber comunicá-los aos setores da empresa e aos clientes. O ideal é criar
um quadro de risco que preveja o planejamento de continuidade de
negócios, o alinhamento aos requisitos legais e um método de demanda e
tolerância para ser usado na tomada de decisões.
4. Gerenciamento de recursos
• A governança de TI é responsável por definir e gerenciar o orçamento da
área de tecnologia, o que envolve pessoas e infraestrutura. Ela deve fazer a
aquisição e gestão de recursos, monitorar fornecedores externos e criar
programas de treinamento e desenvolvimento pessoal.
5. Mensuração de desempenho
• É preciso fazer uma avaliação frequente da implementação da estratégia,
da execução dos projetos e da aplicação dos recursos, para assim
direcionar as ações de TI de acordo com as metas da organização. Um
método indicado para a governança de TI são os balanced scorecards, que
ajudam a visualizar as ações e resultados decorrentes das estratégias.
6
20/09/2023
Fonte: <http://www.ibgc.org.br/index.php/governanca/governanca-
corporativa/sistema>.
8
20/09/2023
10
20/09/2023
11
12
20/09/2023
13
14
20/09/2023
Weill e Ross (2004) identificam seis ativos principais que contribuem para a
geração de valor ao negócio.
15
Andrade e Rossetti (2007) mencionam que o termo tem seu uso recente e foi
utilizado pela primeira vez em 1991, por R. Monks, nos EUA.
Para o IBGC (2009), ao longo do século XX, a governança teve seu início nos EUA e
na Inglaterra, com o objetivo de superar o conflito de interesses entre os acionistas
(proprietários) e o administrador (agente decisor da organização perante a lei) no que
tange à compreensão do melhor para a empresa.
16
20/09/2023
Em 2002, o Governo dos EUA aprovou a Lei Sarbanes-Oxley (SOX) como resposta
às fraudes ocorridas em grandes companhias do país, que demonstravam falta de
transparência nos resultados e os gastos absurdos e abusivos contabilizados por
executivos de empresas, como Enron, WorldCom e Tyco.
17
Para a ISO/IEC 38500 (ABNT, 2009), a governança de TI é o sistema pelo qual o uso
atual e futuro da TI são dirigidos e controlados.
18
20/09/2023
Dessa forma, se reforça a ideia de que cada empresa, com base em seu segmento e
objetivos, terá necessidades diferentes para serem atendidas.
19
20
20/09/2023
21
De acordo com Santos (2010), o Plano Diretor de TI contém diretrizes para a área de
TI de curto, médio e longo prazos.
Embora esses valores não sejam absolutos, pois devem variar de empresa para
empresa e de setor para setor, o que o mercado tem praticado para curto, médio e
longo prazos na área de TI é: um ano, dois a três anos e cinco a seis anos,
respectivamente.
22
20/09/2023
Para Weill e Ross (2004), os fatores que podem corroborar nas aplicações da
governança de TI estão relacionados à percepção dos gestores da organização, por
exemplo:
• Volume de investimento.
23
24
20/09/2023
25
26
20/09/2023
Santos (2010) enfatiza que as fraudes em sistemas de TI geram prejuízos cada vez
maiores, pois as empresas utilizam mais os meios digitais.
27
28
20/09/2023
29
Nesse contexto, a ISO 27014 tem por objetivo planejar, organizar, dirigir e controlar as
práticas de segurança e, ainda, comunicar tais práticas para que sejam
compreendidas por todos.
Nota-se a grande influência que uma gera na outra, pois, ao mesmo tempo em que a
governança precisa “abrir as portas” para o acesso às informações da empresa, a
segurança de TI necessita proteger tais informações.
30
20/09/2023
Uma boa gestão da TI representa, sem dúvida, a criação de valor agregado para a
organização e para seus stakeholders (Figura 1.5).
31
32
20/09/2023
• A integridade tem como objetivo oferecer uma informação exata, assegurando que
apenas as pessoas autorizadas possam modificar, adicionar ou remover tais
informações.
33
Para Santos (2010), devem existir critérios claros na organização para classificar as
informações com base em seu valor e lhe oferecer um nível adequado de proteção.
34
20/09/2023
Para Santos (2010), devem existir critérios claros na organização para classificar as
informações com base em seu valor e lhe oferecer um nível adequado de proteção.
35
36
20/09/2023
37
38
20/09/2023
39
40
20/09/2023
41
A ISO 27001 usa o modelo do ciclo PDCA para montar seu Sistema de Gestão da
Segurança da Informação.
• Estabelecer o SGSI.
1. Definir escopo (processos, departamentos e envolvidos).
2. As diretrizes, alinhamento e critérios para avaliação.
3. Método de avaliação e tratamento de riscos.
4. Medidas para definir a segurança da informação.
• Implementar o SGSI.
1. Definir plano de gestão de riscos.
2. Implantar plano de gestão de riscos.
3. Implantar medidas de avaliação dos riscos.
4. Criar KPIs para medir a eficácia do plano de gestão de riscos.
5. Trabalhar a conscientização e treinamentos.
6. Criar modelo de resposta a incidentes de segurança da informação.
42
20/09/2023
A ISO 27001 usa o modelo do ciclo PDCA para montar seu Sistema de Gestão da
Segurança da Informação.
• Manter o SGSI.
1. Implantar ações preventivas e corretivas.
2. Informar aos envolvidos as ações de melhoria.
3. Criar melhorias que atinjam os objetivos.
43
Já parou para pensar o quanto valem as informações que a empresa que você
trabalha tem?
44