Governaça Do TI
Governaça Do TI
Governaça Do TI
de TI
AULA 1
A definição de governança
O que é?
Em poucas palavras é o “alinhamento”, a observação e respeito aos interesses de todos
os
envolvidos, em uma empresa ou qualquer outra forma de corporação, sejam eles
gestores,
proprietários, colaboradores e a sociedade.
É o conjunto de práticas, processos, costumes, políticas, leis, regulamentos e
instituições que
regulam a maneira como uma empresa é dirigida, administrada ou controlada com o
objetivo principal de alinhar os interesses da empresa, dos seus acionistas e da
sociedade.
Se não houver governança em uma empresa, vários problemas podem surgir,
comprometendo sua sustentabilidade e crescimento a longo prazo. Aqui estão algumas
das possíveis consequências:
Tipos de governança
• Governança pública
• Governança privada
• Governança global
• Governança sem fins lucrativos
• Governança corporativa
• Governança ambiental
• Governança da terra
• Governança da Internet
• Governança de tecnologia da informação
• Governança regulatória
• Governança participativa
• Governança de contrato
• Governança colaborativa
• Governança do setor de segurança
• .......
Governança de TI
Definições
“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos
por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir
controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho,
otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e
consequentemente alinhar TI aos negócios.”
Preocupações da Governança de TI
O IT Governance Institute sugere que os desafios da empresa e suas preocupações incluem as
quatro questões:
- Alinhar a estratégia de TI com a estratégia do negócio;
- Implementar um modelo de estratégia para as metas da empresa;
- Desenhar as estruturas organizacionais que facilitem a implementação da estratégia e metas;
- Estabelecer indicadores de desempenho da TI aprovados e implementados.
Governança da TI Eficaz
Segundo Selig (2008) afirma que a governança da TI eficaz é construída sobre três fatores
críticos:
(1)liderança, organização e tomada de decisão correta;
(2)Importância da melhoria dos processos escaláveis e flexíveis; e
(3) o uso adequado da tecnologia
DECISÕES-CHAVE DA GOVERNANÇA DA TI
CMDB (Configuration Management Database)**: Sistemas que centralizam a gestão dos ativos de
TI, como o próprio ServiceNow CMDB, que rastreia todos os componentes de TI e suas relações.
IAM (Identity and Access Management)**: Ferramentas de gestão de identidades e acessos, como
Okta, Microsoft Azure AD e Oracle Identity Management, para garantir o controle sobre quem tem
acesso a quais ativos digitais.
SCM (Supply Chain Management)**: Sistemas de gestão da cadeia de suprimentos, como Oracle
SCM e SAP SCM, que ajudam a coordenar os ativos relacionados à produção e distribuição.
SIEM (Security Information and Event Management)**: Ferramentas para segurança e
monitoramento, como Splunk, IBM QRadar e ArcSight, que rastreiam incidentes e comportamentos
suspeitos relacionados aos ativos da empresa.
DMS (Document Management Systems)**: Ferramentas de gestão de documentos e informações,
como SharePoint, Google Drive for Work ou Alfresco, que garantem a governança de ativos de
informação.
2. Após completar a lista, identifique os mecanismos comuns entre os sistemas.
Centralização e Integração de Dados: A maioria desses sistemas tem o objetivo de centralizar
informações de ativos em uma única plataforma, facilitando o monitoramento, rastreamento e
controle de ativos em tempo real.
Automação de Processos: Esses sistemas automatizam processos, como monitoramento de ciclo
de vida, atualização de software, controle de acessos e rastreamento de inventário, reduzindo a
necessidade de intervenção manual.
Relatórios e Dashboards: Todos os sistemas oferecem funcionalidades de relatórios e dashboards,
permitindo visualização clara e análise de dados para tomada de decisões informadas.
Segurança e Controle de Acesso: Sistemas como IAM e SIEM, mas também outros como ERP e
EAM, incluem controles de segurança, como gerenciamento de permissões e monitoramento de
atividades.
Compliance e Auditoria: A maioria dessas ferramentas oferece suporte à conformidade regulatória
e auditorias, permitindo que as empresas acompanhem e garantam a conformidade com normas,
leis e políticas internas.
Gerenciamento do Ciclo de Vida dos Ativos: Os sistemas de governança de ativos permitem o
acompanhamento do ciclo de vida, desde a aquisição e instalação até a manutenção, substituição
ou desativação.
3. Estabeleça a forma de coordenar os principais ativos de uma empresa.
CobitT 2019
Uma das novidades do novo modelo foi a criação de Fatores de Desenho e Área de Foco. Esses
novos elementos permitirão a personalização do Sistema de Governança considerando o contexto e
a necessidade de cada organização.
Os Fatores de Desenho abordam relacionados à estratégia aspectos corporativa, objetivos
corporativos, porte da organização, papel da TI, modelo de prestação de serviços da TI, requisitos
de compliance, dentre outros.
A Área de Foco tem como objetivo definir o componente principal do sistema de governança que
pode estar relacionado à risco, segurança, DevOps, porte da organização (pequena ou média
empresa) e assim por diante.
COBIT (Control Objectives for Information and Related Technologies) é uma estrutura reconhecida
globalmente para a governança e gestão de TI nas empresas. Ele foi desenvolvido pela ISACA
(Information Systems Audit and Control Association) para ajudar as organizações a garantir que a TI
esteja alinhada com os objetivos de negócios, que os recursos sejam utilizados de forma responsável e
que os riscos sejam gerenciados adequadamente.
Processos:
Ele divide a governança de TI em vários processos e práticas, que são divididos em domínios como
Avaliação, Direção e Monitoramento (EDM), Alinhamento, Planejamento e Organização (APO),
Construção, Aquisição e Implementação (BAI), Entrega, Serviço e Suporte (DSS), e Monitoramento,
Avaliação e Auditoria (MEA).
Objetivos de Controle:
Oferece um conjunto de objetivos de controle que permitem que as organizações avaliem e melhorem
o gerenciamento e a governança de TI.
Metas e Indicadores:
O COBIT também inclui metas de desempenho e indicadores que ajudam a medir a eficácia dos
processos de TI.
Em resumo, o COBIT é uma ferramenta essencial para empresas que buscam garantir que a
governança de TI esteja alinhada com as estratégias de negócios, ajudando a maximizar o valor dos
investimentos em TI e a gerenciar riscos associados.
AULA 3
COBIT : UM MODELO CORPORATIVO PARA A GOVERNANÇA E GESTÃO DE TI DA
ORGANIZAÇÃO
O modelo do COBIT baseia-se em cinco princípios básicos, que são cobertos detalhadamente e
incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.
A família de produtos COBIT é formada pelos seguintes produtos:
□ Guias de habilitadores do COBIT , que detalham os habilitadores de governança e
gestão. Eles incluem:
□COBIT Habilitador Processos
□COBIT Habilitador Informações
□Guias profissionais do COBIT , que incluem:
Implementação
para Segurança da Informação para Risco
para Garantia (Assurance)
□ Programa de Avaliação
□ guias profissionais (ver www.isaca.org/cobit)
serviços, Abordar a questão da dependência cada vez maior para o sucesso da organização em parceiros
externos de TI e de negócios tais como
Tratar o aumento da quantidade de informação
❑Como as organizações selecionam a informação relevante e confiável que levará a decisões de
negócios corretas e eficientes?
❑A informação também precisa ser gerenciada de forma eficaz e um modelo eficiente para o
tratamento da informação
❑Administrar TI cada vez mais pervasiva (nota: que está em todos os lugares
ao mesmo tempo);
❑TI é cada vez mais uma parte integrante do negócio.
❑TI precisa ser uma parte integrante dos projetos organizacionais, estruturas
organizacionais, gestão de risco, políticas, capacidades, processos, etc.
❑Negócio e TI terão de ser mais bem integradas.
❑Fornecer mais orientações na área de tecnologias emergentes e inovadoras; no desenvolvimento de
novos produtos, tornar os produtos atuais mais interessantes para os clientes e conquistar novos tipos
de clientes.
❑Inovação também pressupõe a dinamização do desenvolvimento do produto, dos processos de
produção e da cadeia de suprimentos visando fornecer produtos ao mercado com níveis mais altos de
eficiência, rapidez e qualidade.
❑Cobrir o negócio de ponta a ponta e todas as áreas responsáveis pelas funções de TI, bem como
todos os aspectos que levam à eficiente governança e gestão de TI da organização, tais como
estruturas organizacionais, políticas e cultura, ao longo e acima dos processos.
Obter melhor controle sobre o crescente número de soluções de TI que são de iniciativa dos usuários e
estão sendo gerenciadas por eles.
Atingir:
□Criação de valor para a organização através do uso eficiente e inovador de TI da organização
□Satisfação dos usuários de negócio com os serviços de TI
□Cumprimento das leis, regulamentos, acordos contratuais e políticas internas pertinentes
□Uma melhoria das relações entre as necessidades corporativas e os objetivos de TI
Conectar-se e, quando pertinente, alinhar-se a outros importantes padrões e modelos do mercado, tais
como:
Ajudar as Partes Interessadas a entender como os diversos modelos, boas práticas e padrões se
inter-
relacionam e como elas podem ser usadas em conjunto.
PRINCE2®
COSO
ISO
• Objetivos:
• As informações corporativas e a tecnologia para suportá-las não podem ser tratadas isoladamente …
• TI considerada parte integrante da estratégia corporativa
• Contribuir para o sucesso da entrega de produtos e serviços de TI – com foco mais acentuado no
controle e não na execução.
• Estabelecer relacionamentos com os requisitos do negócio;
• Organizar as atividades de TI em um modelo de processos genérico;
• Identificar os principais recursos de TI, nos quais deve haver mais investimento;
• Definir os objetivos de controle que devem ser considerados para a gestão
Beneficio do cobit
• O cobit diminui os riscos operacionais de uma
organização e melhora as suas operações;
• Definição de uma linguagem comum para todos
controles dos processos.
Aplicabilidade
• Avaliação dos processos de TI
• Auditoria dos riscos operacionais de TI
• Implementação modular da governança TI
• Realização de benchmarking
• Qualificação de fornecedores de TI
AULA 4
O valor agregado com o uso do COBIT será percebido somente se ele tiver sido efetivamente adotado e
adaptado para atender ao ambiente único de cada organização Produto COBIT: Implementação, que se
baseia em um ciclo de vida de melhoria contínua O guia também é apoiado por um kit:
Ferramentas de autoavaliação, medição e diagnóstico Apresentações destinadas a diversos públicos
Artigos relacionados e explicações adicionais
O objetivo deste Guia (no Framework) é apresentar o ciclo de vida de melhoria contínua em um alto nível
e destacar diversos tópicos importantes:
Elaborar um estudo de caso para a implementação e melhoria da governança e gestão de TI
Reconhecer os pontos fracos mais comuns e os eventos desencadeadores
Criar o ambiente apropriado para a implementação
Aplicar o COBIT para identificar falhas e orientar o desenvolvimento de habilitadores
Considerar o Contexto da Organização
Cada organização deve elaborar seu próprio plano ou roteiro de implementação, dependendo de fatores
específicos do ambiente interno e externo da organização
Ética e cultura Leis e regulamentos Missão, visão e valores
Políticas e práticas de governança Capacidades e recursos
Plano de negócios e intenções estratégicas Práticas da Industria
Modelo operacional e nível de maturidade
Estilo de gestão Apetite ao risco
Os principais fatores para uma implementação bem-sucedida incluem:
Fornecimento pela alta administração da orientação e da
ordem para a iniciativa, bem como o compromisso e o apoio
visíveis e contínuos
Apoio aos processos de governança e gestão por todas as
partes a fim de entender os objetivos de TI e os da
organização
Garantia de comunicação efetiva e capacitação das mudanças necessária
Adaptação do COBIT e demais padrões e boas práticas de apoio a fim de atender
ao contexto único da organização
Foco em resultados rápidos e priorização das melhorias mais benéficas que são
mais fáceis de implementar
Capacitar a Mudança
O sucesso da implementação depende da implantação da mudança
adequada
Em muitas organizações, há um foco significativo no núcleo de governança de TI - mas há pouca
ênfase na gestão dos aspectos humanos, comportamentais e culturais da mudança e motivação das
partes interessadas para aceitar a mudança.
A possibilidade de ignorarem e/ou resistirem à mudança deve ser tratada por meio de uma abordagem
estruturada e proativa.
Conscientização Compromisso Comunicação Resposta Investimento Superar Barreiras
Neste esquema de avaliação, atingir a capacidade nível 1, mesmo em uma escala de 5, já pode
ser considerado uma importante conquista para a organização.
Há uma diferença significativa entre a capacidade de processo nível 1 e os níveis de capacidade
mais altos
Alguns requisitos do modelo ISO/IEC 15504:2
• Cada processo deve ser descrito em termos de objetivo e resultados.
• A descrição do processo não conterá nenhum aspecto da estrutura de medição além do nível 1
Ferramenta:
Process Assessment Model
(PAM)
COBIT –
Medições
• O que deve ser medido?
• Como ser medido?
• Onde obter os dados?
• Como agregar os resultados?
• Modelo de maturidade (como no CMM)