Com a transformação digital fortemente presente no mundo corporativo, é natural que a Tecnologia da Informação

(TI) seja vista como um elemento estratégico para o alcance de objetivos de negócios. Boas soluções de
infraestrutura, conectividade e sistemas se tornam essenciais para que as operações possam realizar um bom
desempenho. Entretanto, muitas empresas não apresentam a organização de uma governança de TI, o que pode
ocasionar um problema na eficiência dos serviços prestados.

Nesse contexto, é proposto um caso de uma empresa de comércio eletrônico do segmento de vendas de produtos
de informática, envolvendo a estruturação dos processos de TI, a fim de ter um maior controle dos serviços e
assegurar a sustentação dos negócios da empresa, com a adoção das melhores práticas de mercado.

As empresas estão cada vez mais dependentes de sistemas de informação e recursos tecnológicos para alcançar seus
objetivos de negócios. Isso faz com que a TI tenha um papel cada vez mais estratégico, devendo haver um
alinhamento com a estratégia da empresa e a sua governança corporativa. Tendo em vista essa necessidade,
modelos são propostos para sustentar a implementação de processos de TI, que podem se apoiar na criação de uma
governança de TI, com mecanismos de controle e um gerenciamento mais eficiente dos serviços relacionados.

Caro(a) estudante, ao ler este roteiro você vai:

 Entender o alinhamento entre a governança de TI com a governança corporativa;
 Compreender a necessidade da criação de um programa de governança de TI nas empresas;
 Avaliar o modelo COBIT para auxiliar na criação da governança de TI;
 Avaliar o modelo ITIL para auxiliar nos processos de gestão de serviços de TI;
 Compreender a necessidade de cuidados com a segurança da informação;
 Entender os requisitos da LGPD (Lei Geral de Proteção dos Dados);
 Analisar os dados necessários para a confecção de um plano de continuidade de negócios.

Introdução
Os serviços de TI estão presentes na rotina de trabalho dos principais processos de negócios de uma empresa.
Conectividade à Internet, e-mail, sistemas de informação e impressão são alguns exemplos de serviços
providenciados pela área de TI de uma organização, cujos problemas podem gerar grandes impactos nas suas
operações. Nesse contexto, o que a área de TI pode implementar para estar alinhada com a estratégia de negócios
da empresa e assegurando a disponibilidade de seus serviços? A resposta é um programa de governança de TI, que
pode ser implementado com o uso de modelos bem conhecidos no mercado. Essa abordagem necessita do apoio da
alta administração da empresa, sob a responsabilidade da área de TI, devendo ser promovida o quanto antes,
especialmente se a empresa estiver passando por problemas com os serviços de TI. Caso não seja implementada, a
empresa fica fragilizada e suscetível aos riscos do não cumprimento com as metas estratégicas de negócios.

Para que a Tecnologia de Informação possa prover serviços alinhados com a estratégia da organização, serão
apresentados conceitos que apoiarão a construir o conhecimento necessário para gerenciar os serviços de TI por
meio da implementação de um programa de governança de TI.

Governança Corporativa e Governança de TI

Segundo Blok (2017), a governança corporativa é um conceito que representa como as organizações são dirigidas e
controladas, contemplando o poder de controle e de direção de uma empresa. É utilizada para trazer uma maior
transparência da gestão de uma empresa, principalmente para os acionistas através das prestações de contas e
responsabilidade corporativa.

Para garantir uma maior efetividade da governança corporativa, são utilizados modelos de controle interno
(auditorias) e gestão de riscos, seja por interesse próprio ou por questões e regulação. O sistema de controle e riscos
criados pela governança corporativa acabam por criar restrições de operações e serviços de TI, implicando em
decisões sobre políticas e investimentos em TI, auditorias em TI e monitoramento dos riscos de TI (FERNANDES,
ABREU, 2014).
Para que a TI esteja alinhada com as restrições da governança corporativa e a estratégia da empresa, deve-se ter
uma governança de TI, com a implementação de controles e processos para o gerenciamento de projetos e serviços
de TI.

Segundo Fernandes e Abreu (2014), os componentes típicos do modelo de governança de TI são:

 Riscos e compliance: definição da tolerância de riscos da organização e na avaliação conjunta dos riscos com
o negócio.
 Avaliação independente: avaliações independentes para verificar a conformidade de TI.
 Gestão da mudança organizacional: processo de avaliar a prontidão para a mudança nas áreas de TI.
 Alinhamento estratégico: interação entre TI e a alta administração, estabelecendo mecanismos de direitos
decisórios.
 Entrega de valor: gerenciamento dos programas e projetos avaliando o valor entregue e o gerenciamento do
portfólio de TI.
 Gestão do desempenho: definição de indicadores, mecanismos de coleta e análise de indicadores de
resultado (metas) e de desempenho de TI.
 Comunicação: comunicação do valor entregue pela TI ao negócio.
 Gerenciamento de recursos: supervisão do investimento, do uso e da alocação dos recursos de TI.

O passo inicial para a implementação da governança de TI é a estruturação de funções e responsabilidade da

governança de TI, podendo ser atribuído a uma pessoa ou a um grupo de pessoas. Deve-se realizar o alinhamento
estratégico, o qual a partir dos objetivos e das estratégias do negócio derivam-se as iniciativas estratégicas de TI, que
serão transformadas em projetos e serviços, compondo um Plano de Tecnologia da Informação.

Com o alinhamento estratégico, serão definidas as prioridades de TI e assim gerar-se-á o portfólio de TI, que definirá
como será a rotina diária das operações de serviços de TI. Deve-se garantir que todas as implementações realizadas
por TI sejam controladas, monitoradas e atendendo aos parâmetros de riscos da TI para o negócio, aos requisitos de
compliance externos (leis, regulações etc.) e aos controles internos solicitados para TI.

No tópico a seguir será apresentado um dos modelos que apoiam a governança de TI, o modelo COBIT (FERNANDES,
ABREU, 2014).

LEITURA
Leia os capítulos 1, 2 e 3 do livro “Fundamentos do Gerenciamento de Serviços de TI”, de Marcos André dos Santos
Freitas, 2. edição, da Editora Brasport, de 2013. Nesses capítulos, é retratada a importância do alinhamento
estratégico entre os negócios de uma empresa com a organização de TI.

COBIT (Control Objectives for Information and related Technology)

COBIT foi criado em 1994 pela ISACF (Information System Audit and Control Function), para ser um modelo que
estabelece um conjunto de objetivos de controle, promovendo um melhor entendimento e a adoção dos princípios
de Governança de TI (FERNANDES; ABREU, 2014).

Esse modelo evoluiu ao longo dos anos, promovendo um alinhamento com outros modelos como COSO, ITIL e
ISO/IEC 17799. Segundo Fernandes e Abreu (2014), o principal objetivo das práticas do COBIT é contribuir para a
entrega de produtos e serviços de TI com sucesso, tendo como base as necessidades de negócio, trazendo um foco
maior sobre o controle da execução. Em outras palavras, o COBIT:

 Estabelece relacionamentos com os requisitos do negócio;

 Organiza as atividades de TI em um modelo de processos genérico;
 Identifica os principais recursos de TI, nos quais deve haver mais investimento;
 Define os objetivos de controle que devem ser considerados para a gestão.

Na visão do COBIT, os pilares que sustentam o núcleo de governança de TI são: alinhamento estratégico entre o
plano de negócios e TI, agregação de valor, gerenciamento de recursos, gerenciamento de riscos e medição de
desempenho. Os requisitos de negócio (eficácia, eficiência, confidencialidade, integridade, disponibilidade,
conformidade, confiabilidade) devem direcionar os investimentos em recursos de TI (sistemas aplicativos,
informação, infraestrutura, pessoas) que são utilizados por processos de TI a fim de fornecer informações
empresariais que, por sua vez, irão atender aos negócios da empresa, formando um ciclo.

Para tanto, o COBIT oferece um framework de processos que estão distribuídos em quatro domínios:

 PO - Planejamento e Organização: identifica as formas através das quais a TI pode contribuir melhor para
atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em
diversas perspectivas.
 AI - Aquisição e Implementação: identificação, desenvolvimento e/ou aquisição de soluções de TI para
executar a estratégia de TI estabelecida, assim como sua implementação e integração junto aos processos
de negócio.
 DS - Entrega e Suporte: cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento
de segurança e continuidade, suporte aos serviços para os usuários, gestão de dados e da infraestrutura
operacional.
 ME - Monitoração e Avaliação: assegurar a qualidade dos processos de TI, bem como a governança e a
conformidade com os objetivos de controle.

O objetivo de controle define o resultado ou propósito atingido por meio dos procedimentos de controle, sendo que
este é o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma
garantia razoável de que os objetivos de negócios serão atingidos (FERNANDES, ABREU, 2014).

O modelo COBIT pode ser aplicado na avaliação de processos de TI, auditoria de riscos operacionais de TI,
implementação modular da Governança de TI, realização de benchmarking e qualificação de fornecedores de TI.
Como principais benefícios, o COBIT pode trazer responsabilidades e protocolos de comunicação bastante claros,
visão clara acerca da situação atual dos processos de TI, redução da exposição a riscos, maior solidez e assertividade
no planejamento encadeado das ações de melhoria, alta visibilidade do impacto dos esforços de melhoria de TI,
redução dos custos operacionais e melhoria da imagem perante os clientes.

A seguir, será apresentado o modelo ITIL, que apoia o gerenciamento de serviços de TI e pode ser utilizado em
conjunto com o COBIT.

LEITURA
Leia o capítulo 6.2 do livro “Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços”, de
Aguinaldo Aragon Fernandes e Vladimir Ferraz de Abreu, 4. edição da Brasport, de 2014, sobre o Cobit e analise as
suas vantagens para auxiliar na compreensão e resolução da nossa situação-problema.

ITIL (Information Technology Infrastructure Library)

O modelo ITIL foi desenvolvido pelo CCTA (Central Computer and Telecommunication Agency), para atender uma
solicitação do governo britânico, insatisfeito com o nível de qualidade dos serviços de TI. O ITIL surgiu como um
modelo de melhores práticas para gerenciar a utilização eficiente e responsável dos recursos de TI (FERNANDES,
ABREU, 2014).

O principal objetivo do ITIL é trazer uma abordagem das melhores práticas utilizadas no gerenciamento de serviços
de TI, desde a sua concepção até sua operacionalização. Apresenta uma abordagem do ciclo de vida de um serviço
de TI, através de 5 publicações:

 Estratégia de Serviço: políticas e processos de serviços de TI podem ser desenhados, desenvolvidos e

implementados como ativos estratégicos.
 Desenho do Serviço: fornece orientação para o desenho de um novo serviço, com aspectos voltados para
gerenciamento do catálogo de serviços, do nível de serviço, da capacidade, da disponibilidade, da
continuidade, da segurança da informação e dos fornecedores.
 Transição do Serviço: aborda a inserção de serviços novos ou modificados para o ambiente operacional,
levando em consideração o gerenciamento de mudanças, configuração, liberação e distribuição.
  Operação do Serviço: responsável pelas atividades do dia a dia, abordando o gerenciamento de eventos,
problemas, incidentes, dentre outros.
 Melhoria Contínua do Serviço: realiza as melhorias incrementais de forma sistemática, focando no
gerenciamento da qualidade.

Os processos definidos pelo ITIL estão distribuídos nestes cinco estágios (publicações), conforme pode ser visto na
tabela a seguir (FERNANDES, ABREU, 2014):

O ITIL também propõe a criação de algumas funções específicas para a implementação dos processos definidos. Uma
das funções de grande relevância para a operação dos serviços de TI é a Central de Serviços, conhecida como Service
Desk. Essa função é responsável pela resposta a requisições, reclamações e problemas de usuários, a fim de permitir
que os serviços sejam executados com a qualidade esperada. Ela pode ser implementada de forma centralizada,
local ou virtual, tendo as seguintes modalidades (FERNANDES, ABREU, 2014):

 Central de Atendimento: ênfase no atendimento de um grande número de chamadas telefônicas.

 Help Desk: visa gerenciar, coordenar e resolver incidentes no menor tempo possível.
 Central de Serviços: permite a integração dos processos de negócio à infraestrutura de gerenciamento dos
serviços de TI.

O acordo de nível de serviço (SLA - Service Level Agreement) é uma definição importante para uma operação correta
da central de atendimento. Esse item propõe um acordo em relação ao tempo de retorno e resposta para cada
solicitação feita à central de atendimento, baseado em prioridades e, em especial, ao impacto gerado para as
atividades de negócios.

Enquanto o COBIT tem um foco maior sobre os objetivos de controle da TI, o ITIL traz uma abordagem sobre as
melhores práticas a serem adotadas para processos de gerenciamento de serviços de TI, ambas importantes para a
Governança de TI de uma empresa.

No próximo tópico serão abordados os aspectos de segurança da informação e a LGPD.

ARTIGO
Leia o capítulo 7.1 do livro “Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços”, 4. ed.
da editora Brasport, de 2014, sobre o ITIL e analise como essas informações podem ajudar a resolver a situação-
problema.

Segurança da Informação e LGPD

A informação tem se tornado um dos bens mais valiosos para uma organização, trazendo um grande valor para os
negócios, mas também uma preocupação com relação à segurança do seu transporte. Surge então a segurança da
informação, que deve proteger os ativos de informação de uma organização.

Manoel (2014) cita a norma ABNT NBR ISO/IEC 27014:2013 como referência para a implementação de governança
voltada para segurança da informação, por meio de exemplos simples. A governança de segurança de informação é
um conjunto de estruturas e processos para garantir a direção, a avaliação, a monitoração, e a comunicação de
atividades de segurança da informação para suportar os objetivos estratégicos da organização. Cita alguns princípios
para a governança de segurança da informação:

 Estabelecer a segurança da informação em toda a organização;

 Adotar uma abordagem baseada em riscos;
 Estabelecer a direção de decisão de investimentos (quanto investir em segurança da informação);
 Assegurar conformidade com os requisitos internos e externos;
 Promover um ambiente positivo de segurança;
 Analisar criticamente o desempenho em relação aos resultados de negócios.

Um plano estratégico de segurança da informação pode ser elaborado, com os registros de requisitos de segurança
da informação. E para apoiar a implementação de segurança da informação, pode ser utilizada a família de normas
ISO 27000, que traz a Política de Segurança de Informação, como um mecanismo preventivo de proteção dos dados
e processos importantes de uma organização, trazendo um conjunto de regras para o tratamento da informação.

Um ponto importante a ser considerado com relação aos dados utilizados para a geração de informação nas
organizações é a LGPD (Lei Geral de Proteção dos Dados), criado no Brasil através da Lei n. 13.709/2018 tendo como
base a GDPR (General Data Protection Regulation) da União Europeia.

Essa lei determina que dados pessoais sejam coletados somente com o consentimento do usuário, havendo
penalidades caso ocorram infrações. As empresas devem rever suas políticas de privacidade, principalmente com a
revolução da transformação digital, em que dados são solicitados e utilizados por diversos meios de comunicação
(SERPRO, 2019).

A seguir, será comentado sobre o Plano de Continuidade de Negócios, utilizado para assegurar que os recursos
tecnológicos utilizados para os processos de negócios estejam disponíveis durante as operações.

ARTIGO
Leia o capítulo 5 do livro “Governança de Segurança da Informação” de Sérgio da Silva Manoel, da editora Brasport,
de 2014, sobre a implantação da Governança de Segurança da Informação, analisando como esse tópico pode ajudar
na questão-problema.

Plano de Continuidade de Negócios

Um dos processos definidos no ITIL é o Gerenciamento de Continuidade de Serviço, que faz parte da publicação
Desenho do Serviço. Dentro desse processo temos o artefato Plano de Continuidade de Negócios (PCN), resultante
do gerenciamento dos riscos de TI que podem impactar nos negócios de uma organização.

Segundo Freitas (2013), continuidade está relacionada à capacidade da empresa em prever eventos de risco que
possam afetar o negócio e como reagir caso esses eventos ocorram.
Serviços que não sejam considerados críticos à continuidade do negócio e apresentem indisponibilidade devem ser
tratados pelo gerenciamento de incidentes. Já a indisponibilidade de um serviço considerado função vital de negócio
será chamado de desastre, e deve ser tratado conforme o Plano de Continuidade de Negócios, por meio dos planos
de recuperação.

As políticas de recuperação (ou restauração) apresentam dentro do escopo da restauração o OPR (Objetivo do Ponto
de Restauração) que contempla a quantidade mínima de dados que deve ser restaurada, e o OTR (Objetivo de
Tempo de Restauração), que provê o prazo máximo que o negócio pode suportar sem os serviços de TI (FREITAS,
2013).

Alguns exemplos de opções de restauração de serviços:

 Solução de contorno manual: solução de contorno temporária por meio de intervenção manual.
 Backup ou contingência: garante que dados essenciais ao negócio sejam copiados para outro dispositivo.
 Acordo recíproco: acordo entre duas empresas para compartilhar recursos durante períodos de emergência.
 Recuperação gradual: provisionamento de recursos para reposição dos que estão indisponíveis.
 Recuperação Intermediária: restauração por meio de componentes sobressalentes planejados.
 Recuperação Rápida: restauração por meio de componentes sobressalentes já preparados.
 Recuperação Imediata: restauração imediata através da duplicação de recursos e componentes de TI.

É importante que sejam feitos testes de recuperação, para que possa haver confiabilidade no plano de continuidade
de negócios, caso contrário, tem-se o risco dos planos de recuperação não serem efetivos.

ARTIGO
Leia o tópico Gerenciamento de Continuidade de Serviços de TI do livro “Fundamentos do Gerenciamento de Serviços
de TI”, 2. ed. da editora Brasport, de Marcos André dos Santos Freitas, de 2013, e analise como essas informações
podem ajudar a resolver a situação-problema.

Conclusão
Com os conceitos abordados neste roteiro de estudos, pode-se obter uma visão mais ampla sobre a governança de
TI, com o propósito de melhorar o controle e eficiência do gerenciamento de serviços de TI, estando alinhado com os
objetivos estratégicos de uma empresa. O uso de modelos de padrões internacionais como COBIT e ITIL auxiliam
com sugestões de processos como melhores práticas, que podem ser adotadas como referências para a
implementação de uma governança de TI. Essa implementação sustenta a melhoria da qualidade dos serviços de TI,
além de aumentar a disponibilidade de serviços mais críticos que impactam os negócios da empresa.

Referências Bibliográficas
BLOK, M. Compliance e governança corporativa. Rio de Janeiro: Freitas Bastos, 2017.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4.
ed. Rio de Janeiro: Brasport, 2014.
FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013.
MANOEL, S. S. Governança de Segurança da Informação. Rio de Janeiro: Brasport, 2014.
SERPRO. Serpro e LGPD: segurança e inovação. [2019]. Disponível em: <https://www.serpro.gov.br/lgpd>. Acesso
em: 22 out. 2019.

Dica 1: Governança de Ti

Dica 2: ITIL - Gestão de Problemas

Dica 3: Como Implantar a Governança de Ti

No capítulo 16 da obra a seguir, temos uma proposta de implantação de Governança de TI, contendo o roteiro e os
fatores críticos de sucesso. Faça a leitura do capítulo e reflita sobre os pontos que podem ser considerados para a
criação da proposta para atender à empresa M.
Fonte: FERNANDES, Aguinaldo Aragon; ABREU, VladImir Ferraz de. Implantando a Governança de TI. São Paulo:
Brasport, 2012.