Escolar Documentos
Profissional Documentos
Cultura Documentos
(TI) seja vista como um elemento estratégico para o alcance de objetivos de negócios. Boas soluções de
infraestrutura, conectividade e sistemas se tornam essenciais para que as operações possam realizar um bom
desempenho. Entretanto, muitas empresas não apresentam a organização de uma governança de TI, o que pode
ocasionar um problema na eficiência dos serviços prestados.
Nesse contexto, é proposto um caso de uma empresa de comércio eletrônico do segmento de vendas de produtos
de informática, envolvendo a estruturação dos processos de TI, a fim de ter um maior controle dos serviços e
assegurar a sustentação dos negócios da empresa, com a adoção das melhores práticas de mercado.
As empresas estão cada vez mais dependentes de sistemas de informação e recursos tecnológicos para alcançar seus
objetivos de negócios. Isso faz com que a TI tenha um papel cada vez mais estratégico, devendo haver um
alinhamento com a estratégia da empresa e a sua governança corporativa. Tendo em vista essa necessidade,
modelos são propostos para sustentar a implementação de processos de TI, que podem se apoiar na criação de uma
governança de TI, com mecanismos de controle e um gerenciamento mais eficiente dos serviços relacionados.
Introdução
Os serviços de TI estão presentes na rotina de trabalho dos principais processos de negócios de uma empresa.
Conectividade à Internet, e-mail, sistemas de informação e impressão são alguns exemplos de serviços
providenciados pela área de TI de uma organização, cujos problemas podem gerar grandes impactos nas suas
operações. Nesse contexto, o que a área de TI pode implementar para estar alinhada com a estratégia de negócios
da empresa e assegurando a disponibilidade de seus serviços? A resposta é um programa de governança de TI, que
pode ser implementado com o uso de modelos bem conhecidos no mercado. Essa abordagem necessita do apoio da
alta administração da empresa, sob a responsabilidade da área de TI, devendo ser promovida o quanto antes,
especialmente se a empresa estiver passando por problemas com os serviços de TI. Caso não seja implementada, a
empresa fica fragilizada e suscetível aos riscos do não cumprimento com as metas estratégicas de negócios.
Para que a Tecnologia de Informação possa prover serviços alinhados com a estratégia da organização, serão
apresentados conceitos que apoiarão a construir o conhecimento necessário para gerenciar os serviços de TI por
meio da implementação de um programa de governança de TI.
Para garantir uma maior efetividade da governança corporativa, são utilizados modelos de controle interno
(auditorias) e gestão de riscos, seja por interesse próprio ou por questões e regulação. O sistema de controle e riscos
criados pela governança corporativa acabam por criar restrições de operações e serviços de TI, implicando em
decisões sobre políticas e investimentos em TI, auditorias em TI e monitoramento dos riscos de TI (FERNANDES,
ABREU, 2014).
Para que a TI esteja alinhada com as restrições da governança corporativa e a estratégia da empresa, deve-se ter
uma governança de TI, com a implementação de controles e processos para o gerenciamento de projetos e serviços
de TI.
Riscos e compliance: definição da tolerância de riscos da organização e na avaliação conjunta dos riscos com
o negócio.
Avaliação independente: avaliações independentes para verificar a conformidade de TI.
Gestão da mudança organizacional: processo de avaliar a prontidão para a mudança nas áreas de TI.
Alinhamento estratégico: interação entre TI e a alta administração, estabelecendo mecanismos de direitos
decisórios.
Entrega de valor: gerenciamento dos programas e projetos avaliando o valor entregue e o gerenciamento do
portfólio de TI.
Gestão do desempenho: definição de indicadores, mecanismos de coleta e análise de indicadores de
resultado (metas) e de desempenho de TI.
Comunicação: comunicação do valor entregue pela TI ao negócio.
Gerenciamento de recursos: supervisão do investimento, do uso e da alocação dos recursos de TI.
Com o alinhamento estratégico, serão definidas as prioridades de TI e assim gerar-se-á o portfólio de TI, que definirá
como será a rotina diária das operações de serviços de TI. Deve-se garantir que todas as implementações realizadas
por TI sejam controladas, monitoradas e atendendo aos parâmetros de riscos da TI para o negócio, aos requisitos de
compliance externos (leis, regulações etc.) e aos controles internos solicitados para TI.
No tópico a seguir será apresentado um dos modelos que apoiam a governança de TI, o modelo COBIT (FERNANDES,
ABREU, 2014).
LEITURA
Leia os capítulos 1, 2 e 3 do livro “Fundamentos do Gerenciamento de Serviços de TI”, de Marcos André dos Santos
Freitas, 2. edição, da Editora Brasport, de 2013. Nesses capítulos, é retratada a importância do alinhamento
estratégico entre os negócios de uma empresa com a organização de TI.
Esse modelo evoluiu ao longo dos anos, promovendo um alinhamento com outros modelos como COSO, ITIL e
ISO/IEC 17799. Segundo Fernandes e Abreu (2014), o principal objetivo das práticas do COBIT é contribuir para a
entrega de produtos e serviços de TI com sucesso, tendo como base as necessidades de negócio, trazendo um foco
maior sobre o controle da execução. Em outras palavras, o COBIT:
Na visão do COBIT, os pilares que sustentam o núcleo de governança de TI são: alinhamento estratégico entre o
plano de negócios e TI, agregação de valor, gerenciamento de recursos, gerenciamento de riscos e medição de
desempenho. Os requisitos de negócio (eficácia, eficiência, confidencialidade, integridade, disponibilidade,
conformidade, confiabilidade) devem direcionar os investimentos em recursos de TI (sistemas aplicativos,
informação, infraestrutura, pessoas) que são utilizados por processos de TI a fim de fornecer informações
empresariais que, por sua vez, irão atender aos negócios da empresa, formando um ciclo.
Para tanto, o COBIT oferece um framework de processos que estão distribuídos em quatro domínios:
PO - Planejamento e Organização: identifica as formas através das quais a TI pode contribuir melhor para
atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em
diversas perspectivas.
AI - Aquisição e Implementação: identificação, desenvolvimento e/ou aquisição de soluções de TI para
executar a estratégia de TI estabelecida, assim como sua implementação e integração junto aos processos
de negócio.
DS - Entrega e Suporte: cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento
de segurança e continuidade, suporte aos serviços para os usuários, gestão de dados e da infraestrutura
operacional.
ME - Monitoração e Avaliação: assegurar a qualidade dos processos de TI, bem como a governança e a
conformidade com os objetivos de controle.
O objetivo de controle define o resultado ou propósito atingido por meio dos procedimentos de controle, sendo que
este é o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma
garantia razoável de que os objetivos de negócios serão atingidos (FERNANDES, ABREU, 2014).
O modelo COBIT pode ser aplicado na avaliação de processos de TI, auditoria de riscos operacionais de TI,
implementação modular da Governança de TI, realização de benchmarking e qualificação de fornecedores de TI.
Como principais benefícios, o COBIT pode trazer responsabilidades e protocolos de comunicação bastante claros,
visão clara acerca da situação atual dos processos de TI, redução da exposição a riscos, maior solidez e assertividade
no planejamento encadeado das ações de melhoria, alta visibilidade do impacto dos esforços de melhoria de TI,
redução dos custos operacionais e melhoria da imagem perante os clientes.
A seguir, será apresentado o modelo ITIL, que apoia o gerenciamento de serviços de TI e pode ser utilizado em
conjunto com o COBIT.
LEITURA
Leia o capítulo 6.2 do livro “Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços”, de
Aguinaldo Aragon Fernandes e Vladimir Ferraz de Abreu, 4. edição da Brasport, de 2014, sobre o Cobit e analise as
suas vantagens para auxiliar na compreensão e resolução da nossa situação-problema.
O principal objetivo do ITIL é trazer uma abordagem das melhores práticas utilizadas no gerenciamento de serviços
de TI, desde a sua concepção até sua operacionalização. Apresenta uma abordagem do ciclo de vida de um serviço
de TI, através de 5 publicações:
Os processos definidos pelo ITIL estão distribuídos nestes cinco estágios (publicações), conforme pode ser visto na
tabela a seguir (FERNANDES, ABREU, 2014):
O ITIL também propõe a criação de algumas funções específicas para a implementação dos processos definidos. Uma
das funções de grande relevância para a operação dos serviços de TI é a Central de Serviços, conhecida como Service
Desk. Essa função é responsável pela resposta a requisições, reclamações e problemas de usuários, a fim de permitir
que os serviços sejam executados com a qualidade esperada. Ela pode ser implementada de forma centralizada,
local ou virtual, tendo as seguintes modalidades (FERNANDES, ABREU, 2014):
O acordo de nível de serviço (SLA - Service Level Agreement) é uma definição importante para uma operação correta
da central de atendimento. Esse item propõe um acordo em relação ao tempo de retorno e resposta para cada
solicitação feita à central de atendimento, baseado em prioridades e, em especial, ao impacto gerado para as
atividades de negócios.
Enquanto o COBIT tem um foco maior sobre os objetivos de controle da TI, o ITIL traz uma abordagem sobre as
melhores práticas a serem adotadas para processos de gerenciamento de serviços de TI, ambas importantes para a
Governança de TI de uma empresa.
ARTIGO
Leia o capítulo 7.1 do livro “Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços”, 4. ed.
da editora Brasport, de 2014, sobre o ITIL e analise como essas informações podem ajudar a resolver a situação-
problema.
Manoel (2014) cita a norma ABNT NBR ISO/IEC 27014:2013 como referência para a implementação de governança
voltada para segurança da informação, por meio de exemplos simples. A governança de segurança de informação é
um conjunto de estruturas e processos para garantir a direção, a avaliação, a monitoração, e a comunicação de
atividades de segurança da informação para suportar os objetivos estratégicos da organização. Cita alguns princípios
para a governança de segurança da informação:
Um plano estratégico de segurança da informação pode ser elaborado, com os registros de requisitos de segurança
da informação. E para apoiar a implementação de segurança da informação, pode ser utilizada a família de normas
ISO 27000, que traz a Política de Segurança de Informação, como um mecanismo preventivo de proteção dos dados
e processos importantes de uma organização, trazendo um conjunto de regras para o tratamento da informação.
Um ponto importante a ser considerado com relação aos dados utilizados para a geração de informação nas
organizações é a LGPD (Lei Geral de Proteção dos Dados), criado no Brasil através da Lei n. 13.709/2018 tendo como
base a GDPR (General Data Protection Regulation) da União Europeia.
Essa lei determina que dados pessoais sejam coletados somente com o consentimento do usuário, havendo
penalidades caso ocorram infrações. As empresas devem rever suas políticas de privacidade, principalmente com a
revolução da transformação digital, em que dados são solicitados e utilizados por diversos meios de comunicação
(SERPRO, 2019).
A seguir, será comentado sobre o Plano de Continuidade de Negócios, utilizado para assegurar que os recursos
tecnológicos utilizados para os processos de negócios estejam disponíveis durante as operações.
ARTIGO
Leia o capítulo 5 do livro “Governança de Segurança da Informação” de Sérgio da Silva Manoel, da editora Brasport,
de 2014, sobre a implantação da Governança de Segurança da Informação, analisando como esse tópico pode ajudar
na questão-problema.
Segundo Freitas (2013), continuidade está relacionada à capacidade da empresa em prever eventos de risco que
possam afetar o negócio e como reagir caso esses eventos ocorram.
Serviços que não sejam considerados críticos à continuidade do negócio e apresentem indisponibilidade devem ser
tratados pelo gerenciamento de incidentes. Já a indisponibilidade de um serviço considerado função vital de negócio
será chamado de desastre, e deve ser tratado conforme o Plano de Continuidade de Negócios, por meio dos planos
de recuperação.
As políticas de recuperação (ou restauração) apresentam dentro do escopo da restauração o OPR (Objetivo do Ponto
de Restauração) que contempla a quantidade mínima de dados que deve ser restaurada, e o OTR (Objetivo de
Tempo de Restauração), que provê o prazo máximo que o negócio pode suportar sem os serviços de TI (FREITAS,
2013).
Solução de contorno manual: solução de contorno temporária por meio de intervenção manual.
Backup ou contingência: garante que dados essenciais ao negócio sejam copiados para outro dispositivo.
Acordo recíproco: acordo entre duas empresas para compartilhar recursos durante períodos de emergência.
Recuperação gradual: provisionamento de recursos para reposição dos que estão indisponíveis.
Recuperação Intermediária: restauração por meio de componentes sobressalentes planejados.
Recuperação Rápida: restauração por meio de componentes sobressalentes já preparados.
Recuperação Imediata: restauração imediata através da duplicação de recursos e componentes de TI.
É importante que sejam feitos testes de recuperação, para que possa haver confiabilidade no plano de continuidade
de negócios, caso contrário, tem-se o risco dos planos de recuperação não serem efetivos.
ARTIGO
Leia o tópico Gerenciamento de Continuidade de Serviços de TI do livro “Fundamentos do Gerenciamento de Serviços
de TI”, 2. ed. da editora Brasport, de Marcos André dos Santos Freitas, de 2013, e analise como essas informações
podem ajudar a resolver a situação-problema.
Conclusão
Com os conceitos abordados neste roteiro de estudos, pode-se obter uma visão mais ampla sobre a governança de
TI, com o propósito de melhorar o controle e eficiência do gerenciamento de serviços de TI, estando alinhado com os
objetivos estratégicos de uma empresa. O uso de modelos de padrões internacionais como COBIT e ITIL auxiliam
com sugestões de processos como melhores práticas, que podem ser adotadas como referências para a
implementação de uma governança de TI. Essa implementação sustenta a melhoria da qualidade dos serviços de TI,
além de aumentar a disponibilidade de serviços mais críticos que impactam os negócios da empresa.
Referências Bibliográficas
BLOK, M. Compliance e governança corporativa. Rio de Janeiro: Freitas Bastos, 2017.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4.
ed. Rio de Janeiro: Brasport, 2014.
FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013.
MANOEL, S. S. Governança de Segurança da Informação. Rio de Janeiro: Brasport, 2014.
SERPRO. Serpro e LGPD: segurança e inovação. [2019]. Disponível em: <https://www.serpro.gov.br/lgpd>. Acesso
em: 22 out. 2019.
Dica 1: Governança de Ti