Mod Governanca Ti v1

Governana de
Tecnologia da Informao
Braslia-DF, 2010.
Elaborao:
Mauricio Santos Evangelista
Produo:
Governana de Tecnologia da Informao
Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao
Apresentao .......................................................................................................................................
Organizao do Caderno de Estudos e Pesquisa ...............................................................................
Organizao da Disciplina ..................................................................................................................
Introduo ...........................................................................................................................................
Unidade I Governana de TI e suas Melhores Prticas .................................................................
Captulo 1 Conceitos Bsicos sobre Governana Corporativa e de TI ......................................
Captulo 2 Tecnologia da Informao um Ativo da Organizao ..............................................
16
Captulo 3 Arqutipos da Governana de TI ...........................................................................
22
Captulo 4 Mecanismos para Elaborao da Governana de TI ...............................................
25
Unidade II Metodologias e Padres .................................................................................................
31
Captulo 5 Information Technology Infrastructure Library ITIL ...........................................
31
Captulo 6 Control Objectives for Information and Related Technology CobiT......................
42
Captulo 7 BSS 7799 (ISO17799) .........................................................................................
51
Unidade III A Norma ISO 20000 ......................................................................................................
55
Captulo 8 Conceituaes da Norma ISO 20000 ....................................................................
55
Captulo 9 Abordagem do Processo .......................................................................................
57
Para (no) Finalizar .............................................................................................................................
59
Referncias ..........................................................................................................................................
60
Ps-Graduao a Distncia
Sumrio
Apresentao
Caro aluno,
Bem-vindo ao estudo da disciplina Governana de Tecnologia da Informao.
Este o nosso Caderno de Estudos e Pesquisa, material elaborado com o objetivo de contribuir para a realizao e o
desenvolvimento de seus estudos, assim como para a ampliao de seus conhecimentos.
Para que voc se informe sobre o contedo a ser estudado nas prximas semanas, conhea os objetivos da disciplina, a
organizao dos temas e o nmero aproximado de horas de estudo que devem ser dedicadas a cada unidade.
A carga horria desta disciplina de 40 (quarenta) horas, cabendo a voc administrar o tempo conforme a sua
disponibilidade. Mas, lembre-se, h um prazo para a concluso da disciplina, incluindo a apresentao ao seu tutor das
atividades avaliativas indicadas.
Os contedos foram organizados em unidades de estudo, subdivididas em captulos, de forma didtica, objetiva e
coerente. Eles sero abordados por meio de textos bsicos, com questes para reflexo, que faro parte das atividades
avaliativas do curso; sero indicadas, tambm, fontes de consulta para aprofundar os estudos com leituras e pesquisas
complementares.
Desejamos a voc um trabalho proveitoso sobre os temas abordados nesta disciplina. Lembre-se de que, apesar de
distantes, podemos estar muito prximos.
A Coordenao
Organizao do Caderno de Estudos e Pesquisa
Apresentao: Mensagem da Coordenao.

Organizao da Disciplina: Apresentao dos objetivos e da carga horria das unidades.
Introduo: Contextualizao do estudo a ser desenvolvido por voc na disciplina, indicando a importncia desta para
sua formao acadmica.
cones utilizados no material didtico
Provocao: Pensamentos inseridos no material didtico para provocar a reflexo sobre sua prtica e
seus sentimentos ao desenvolver os estudos em cada disciplina.
Para refletir: Questes inseridas durante o estudo da disciplina, para estimul-lo a pensar a respeito
do assunto proposto. Registre sua viso, sem se preocupar com o contedo do texto. O importante
verificar seus conhecimentos, suas experincias e seus sentimentos. fundamental que voc reflita
sobre as questes propostas. Elas so o ponto de partida de nosso trabalho.
Textos para leitura complementar: Novos textos, trechos de textos referenciais, conceitos de
dicionrios, exemplos e sugestes, para lhe apresentar novas vises sobre o tema abordado no texto
bsico.
Sintetizando e enriquecendo nossas informaes: Espao para voc fazer uma sntese dos textos
e enriquec-los com sua contribuio pessoal.
Sugesto de leituras, filmes, sites e pesquisas: Aprofundamento das discusses.
Para (no) finalizar: Texto, ao final do Caderno, com a inteno de instig-lo a prosseguir com a
reflexo.
Referncias: Bibliografia consultada na elaborao da disciplina.
Praticando: Atividades sugeridas, no decorrer das leituras, com o objetivo pedaggico de fortalecer o
processo de aprendizagem.
Organizao da Disciplina
Ementa:
Conceitos relacionados Governana de Tecnologia da Informao e sua necessidade atual nas empresas; Conceitos
e aplicaes que tornam importantes a aplicao da Governana Corporativa nas Organizaes, sejam elas do ramo de
prestadoras de servios de Tecnologia da Informao ou empresas que utilizam a tecnologia como suporte aos seus
processos; As melhores prticas de Governana de Tecnologia da Informao; Metodologias e padres de governana
em Tecnologia da Informao; A norma ISO 20000.
Objetivos:
Apresentar as principais metodologias voltadas para a rea da Governana de Tecnologia da Informao.
Conhecer os procedimentos para um alinhamento entre as reas de Tecnologia da Informao e a estratgia
de negcios de uma empresa.
Apresentar os mecanismos para a implantao da Governana de Tecnologia da Informao.
Refletir sobre o Alinhamento Estratgico, a Governana de Tecnologia da Informao e o Desempenho das
Organizaes.
Identificar e apresentar as normas que interagem com a Governana de Tecnologia da Informao.
Unidade I Governana de TI e suas Melhores Prticas

Carga horria: 15 horas
Contedo
Conceitos Bsicos sobre Governana Corporativa e de TI
Tecnologia da Informao um Ativo da Organizao
Arqutipos da Governana de TI
Mecanismos para elaborao da Governana de TI
Captulo
1
2
3
4
Unidade II Metodologias e Padres
Contedo
Information Technology Infrastructure Library ITIL
Control Objectives for Information and Related Technology CobiT
BSS 7799 (ISO17799)
Captulo
5
6
7
Unidade III A Norma ISO 20000

Contedo
Conceituaes da Norma ISO 20000
Abordagem do Processo
Captulo
8
9
Introduo
O que no se pode medir, no se pode gerenciar.

Peter Drucker
A nfase dos gestores de Tecnologia da Informao, hoje, est direcionada ao desenvolvimento global da organizao,
enfocando sempre o negcio ou a atividade principal da organizao. Para uma boa gesto da Tecnologia da Informao,
recomenda-se uma gesto participativa, vinculada alta administrao e com trabalhos conjuntos com os clientes ou
usurios.
Como as informaes das empresas esto, na maioria, armazenadas em sistemas de informaes, em forma digital, o
setor de Tecnologia da Informao passou a desempenhar um papel fundamental na governana das organizaes. As
demandas por mais controle, a transparncia e a previsibilidade das organizaes tornaram ainda mais necessria a
Governana de Tecnologia da Informao TI. As origens dessas demandas datam do comeo dos anos 1990, quando
as questes relativas qualidade ganharam uma enorme importncia no cenrio mundial.
Nesse sentido, o primeiro momento do curso tem, como proposta, mostrar os principais conceitos e as aplicaes que
tornam importante a utilizao da Governana de Tecnologia da Informao nas organizaes; em seguida, percorreremos
as principais metodologias, os padres e as melhores prticas da Governana de Tecnologia da Informao, incluindo
ITIL, COBIT e ISO 17799.
Finalizando este Caderno, estudaremos a norma ISO 20000, destinada para a rea de servio. Tal norma se tem
mostrado importante na composio da Governana de Tecnologia da Informao, devido esse ltimo recurso nada mais
ser do que um conjunto de preciosos servios.
Unidade I
Governana de TI e
suas Melhores Prticas
Captulo 1 Conceitos Bsicos sobre Governana Corporativa e de TI
Se a empresa mudar apenas a tecnologia e continuar a realizar

as atividades da mesma forma como elas eram realizadas com a
tecnologia antiga, alm de no garantir o sucesso do investimento,
pode levar a empresa falncia.
Tadeu Cruz, 1998
No conseguimos definir ao certo quando a importncia da Tecnologia da Informao ficou clara para ns. Sabemos,
sim, que esse processo ocorreu de forma gradativa ao longo dos anos, envolvendo conversas com administradores
e diversos estudos de pesquisa, e ns ficamos convencidos de que a Governana de TI o mais importante fator de
gerao de valor de negcio de Tecnologia da Informao. Nossa certeza a de que a Governana de TI pode, em longo
prazo, produzir o paradoxo gerencial de incentivar e fomentar a engenhosidade de todas as pessoas da empresa e, ao
mesmo tempo, assegurar a observncia da viso e dos princpios gerais da empresa.
Um excelente exemplo de diretrizes para uma boa governana corporativa foi publicado, em 1999, pela Organizao e o
Desenvolvimento Econmico OCDE, chamado de Princpios de Governana Corporativa. Tais diretrizes definem a
governana corporativa como a criao de uma estrutura que determinasse os objetivos organizacionais e monitorasse
o desempenho para assegurar a concretizao desses objetivos. vlido lembrar que no existe um modelo nico de
boa governana corporativa. A seguir, veremos um diagrama elaborado pelo Center for Information Systems Research
CISR, da MIT Sloan School, que serve para associar as Governanas Corporativas e de TI.
Antes de entramos no conceito de Governana de TI, devemos tratar a questo mais ampla da governana corporativa
nas organizaes. A Governana Corporativa tornou-se um tema dominante nos negcios por ocasio dos escndalos
corporativos ocorridos em meados de 2002 Enron, Worldcom e Tyco, para citar apenas alguns. O interesse na
governana corporativa no novo, mas a gravidade dos impactos financeiros desses escndalos abalou a confiana
de investidores e criou uma preocupao com a habilidade e a determinao das empresas privadas de proteger seus
administradores, funcionrios, acionistas, parceiros, clientes e usurios. Uma boa governana corporativa importante
para os investidores profissionais. Grandes instituies atribuem governana corporativa o mesmo peso que aos
indicadores financeiros quando avaliam decises de investimento.
Governana de TI e suas Melhores Prticas
Unidade I
Figura 1 Associao entre as governanas corporativas e de TI
A parte superior do diagrama mostra os relacionamentos no conselho. A equipe executiva snior, como agente do
conselho, articula estratgias e comportamentos desejveis para cumprir as determinaes do conselho. A metade
inferior identifica os seis ativos principais por meio dos quais as empresas concretizam suas estratgias e geram valor
de negcio. As equipes executivas seniores criam mecanismos para governar a administrao e a utilizao de cada um
desses ativos, tanto independentemente quanto em conjunto. Os elementos essenciais de cada ativo so:
ativos humanos pessoas, habilidades, planos de carreira, treinamento, relatrios, competncias;
ativos financeiros dinheiro, investimentos, passivo, fluxo de caixa, contas a receber;
10
ativos fsicos prdios, fbricas, equipamentos, manuteno, segurana, utilizao;

ativos de propriedade intelectual expertise da organizao no desenvolvimento de produtos, prestao
de servios e processos devidamente patenteados, registrado ou embutido nas pessoas e nos sistemas da
empresa;
ativos de informao e TI dados digitalizados, informaes e conhecimentos sobre clientes, desempenho
de processos, finanas, sistemas de informao;
ativos de relacionamento relacionamentos dentro da empresa, bem como marca e reputao junto a
clientes, fornecedores, unidade de negcio, rgos reguladores, concorrentes, revendas autorizadas.
A governana dos principais ativos ocorre por meio de mecanismos organizacionais, tais como: estruturas, processos,
comits, procedimentos e auditorias. Alguns mecanismos so exclusivos de um dado ativo, como, por exemplo, o comit
de arquitetura de TI, e outros cruzam e integram vrios tipos de ativos, assegurando a sinergia entre esses ativos. A
Unidade I
maturidade na governana desses seis ativos principais varia, significativamente, na maioria das corporaes, com os
ativos financeiros e fsicos sendo tipicamente os mais bem-governados, e os ativos de informao figurando entre os piores.
Ainda analisando Fig 1, vemos que, na base do diagrama, encontram-se os mecanismos utilizados para governar cada um
dos seis ativos. Quando temos a empresa com mecanismos comuns para vrios ativos, obtemos um melhor desempenho.
Como exerccio de esclarecimento, esboce rapidamente uma lista

dos mecanismos utilizados em sua empresa para governar cada um
dos seis ativos.
No somente a criao de mecanismos de governana comuns entre os ativos aumentar a integrao, como um
nmero menor resultante de mecanismos os tornar mais fceis de comunicar e implantar. A educao da equipe de alta
gerncia sobre como os mecanismos de governana se combinam e atuam em favor da empresa uma tarefa essencial
e constante para que se tenha uma governana efetiva. Costuma-se afirmar que muitos benefcios tangveis esto
espera de uma Governana de TI melhor.
Governana Corporativa o sistema pelo qual, as sociedades so dirigidas e monitoradas, envolvendo
os relacionamentos entre acionistas/cotistas, conselho de administrao, diretoria, auditoria
independente e conselho fiscal. As boas prticas de Governana Corporativa tm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.
(Instituto Brasileiro de Governana Corporativa IBGC).
A definio do Instituto Brasileiro de Governana Corporativa IBGC, criado em 1994, no intuito de tornar-se
referncia em Governana Corporativa. uma entidade cultural de mbito nacional sem fins lucrativos, destinada a
colaborar com a qualidade da alta gesto das organizaes brasileiras.
Origem de uma boa Governana:

<http://www.ibgc.org.br>
Chief Executive Officer CEO: pessoa que exerce o cargo de diretor-executivo ou diretor-geral de uma
organizao ou empresa.
Chief Financial Officer CFO: pessoa que exerce o cargo de diretor-financeiro de uma empresa.
Chief Information Officer CIO: pessoa que exerce o cargo de diretor de Tecnologia da Informao de uma
empresa.
Stakeholders: pessoas que possuem algum tipo de envolvimento profissional ou pessoal com uma empresa
(administradores, funcionrios, acionistas, parceiros, clientes, usurios etc.).
Framework: expresso muito utilizada em Governana de TI, para definir qualquer atividade, processo, ao
e melhores prticas para se atingir um objetivo.
Aps ter apresentado e definido a Governana Corporativa, e antes de ingressarmos de fato na Governana de TI, veja,
a seguir, algumas definies importantes que so comuns nesse ambiente e que so importantes para o nosso curso.
11
Unidade I
Desses conceitos descritos, procure se aprofundar sobre os de um

CIO. Identifique as suas funes, seu poder de influncia em uma
empresa e a constituio da sua equipe subordinada.
Para governar TI, podemos aprender muito com uma boa governana financeira e corporativa. Por exemplo, o CFO
(diretor financeiro) no assina todos os cheques nem autoriza todos os pagamentos. Em vez disso, estabelece uma
governana financeira especificando quem pode tomar essas decises e como. Em seguida, examina a carteira de
investimentos da empresa e administra o fluxo de caixa e a exposio a riscos. Ele acompanha uma srie de indicadores
para administrar os ativos financeiros da empresa, intervindo somente quando houver problemas ou oportunidades
de melhorias no processo. Princpios similares aplicam-se a quem pode comprometer a empresa com um contrato ou
parceria. Toda essa analogia deve ser aplicada Governana de Tecnologia da Informao.
"Governana de TI: a especificao dos direitos decisrios e do framework de responsabilidades
para estimular comportamentos desejveis na utilizao da TI". (PETER WEILL e JEANNE W.
Ross,2004 Governana de TI, p. 8)
Nessa definio da Governana de TI, Perter Weill e Jeanne W. Ross tentam capturar sua simplicidade direitos
decisrios e responsabilidade e sua complexidade comportamentos desejveis que diferem de empresa para empresa.
A governana determina quem toma decises. A administrao o processo de tomar e implantar decises. Por exemplo,
a governana determina quem tem direito de decidir sobre quanto a empresa investir em TI. A administrao determina
a quantia efetivamente a ser investida num dado ano e as reas em que ocorrer o investimento.
Como exerccio, esboce rapidamente uma lista contendo os

nomes das pessoas que so responsveis pelas decises na sua
organizao.
12
A alta gerncia estabelece os direitos decisrios e as responsabilidades pela TI para estimular os comportamentos
desejveis na empresa. Se o comportamento desejvel envolver unidades de negcio independentes e empreendedoras, as
decises de investimento em TI cabero primariamente aos lderes dessas unidades. Em contraste, se o comportamento
desejvel envolve uma viso unificada da empresa por parte do cliente, com um nico ponto de contato, um modelo mais
centralizado de governana de investimentos em TI funcionar melhor.
Para termos uma Governana de TI eficaz, devemos dar tratamento a trs questes:
1. Quais decises devem ser tomadas para garantir a gesto e o uso eficazes de TI?
2. Quem deve tomar essas decises?
3. Como essas decises sero tomadas e monitoradas?
A seguir, veremos na tabela 1, Matriz de Arranjos de Governana, que representa as duas primeiras questes referentes
Governana de TI: quais decises devem ser tomadas e quem deve tom-las? Os ttulos das colunas listam cinco
decises de TI inter-relacionadas.
Unidade I
Princpios de TI esclarecendo o papel de negcio da TI.

Arquitetura de TI definindo os requisitos de integrao e padronizao.
Infraestutura de TI determinando servios compartilhados e de suporte.
Necessidade de aplicaes de negcio especificando a necessidade comercial de aplicaes de TI, compradas
ou desenvolvidas internamente.
Investimentos e priorizao de TI escolhendo quais iniciativas financiar e quanto gastar.
Essas cinco decises-chave esto inter-relacionadas e requerem vinculao para que haja uma governana eficaz
tipicamente fluindo da esquerda para a direita na tabela. Por exemplo, os princpios de TI motivam a arquitetura, que
leva infraestrutura. A infraestrutura habilita o desenvolvimento de aplicaes com base nas necessidades de negcio,
especificadas, frequentemente, pelos detentores dos processos comerciais. Finalmente, os investimentos em TI devem
ser motivados pelos princpios, pela arquitetura, pela infraestrutura e pelas necessidades de aplicaes. Sabemos que
na prtica uma ou mais pessoas so responsveis por tomar cada uma dessas decises. Tipicamente, muito mais
pessoas contribuem para o processo decisrio. A Governana de TI envolve a definio de quem ser responsvel por
tomar as decises ou contribuir para elas. Os ttulos das linhas da Tabela 1 listam um conjunto de arqutipos* para
especificar os direitos decisrios. Em Governana de TI, os grandes autores e pesquisadores do tema adotaram os
arqutipos polticos, embora exagerados a grande maioria dos administradores identificam-se com esses esteretipos.
Cada arqutipo identifica o tipo de pessoa envolvida em tomar uma deciso em TI.
Monarquia de negcio os altos gerentes.
Monarquia de TI os especialistas em TI.
Feudalismo cada unidade de negcio toma decises independentes.
Federalismo combinao entre o centro corporativo e as unidades de negcio, com ou sem envolvimento do
pessoal de TI.
Duoplio de TI o grupo de TI e algum grupo.
Anarquia tomada de decises individual ou por pequenos grupos de modo isolado.
Tabela 1 Matriz de Arranjos de Governana
Arqutico
Princpios de TI
Arquitetura
de TI
Estratgias de
Infraestrutura
de TI
Necessidades
de aplicaes
de negcio
Investimentios
em TI
Monarquia de negcio
Monarquia de TI
Feudalismo
Federalismo
Duoplio
Anarquia
No se sabe
Juntos, esses arqutipos descrevem todos os arranjos decisrios que j foram encontrados. A maioria das empresas
utiliza uma variedade de arqutipos para as cinco decises. O desafio no preenchimento dessa tabela (Tabela 1) est em
determinar quem deve ter a responsabilidade por tomar e contribuir com cada tipo de deciso de governana.
Deciso
* o primeiro modelo de alguma coisa. Modelo poltico de governana.
13
Unidade I
Se a Matriz de Arranjos de Governana (Tabela 1) organiza os tipos de decises e os arqutipos do processo decisrio,
a terceira questo como essas decises sero tomadas e monitoradas requer a formulao e a implantao de
mecanismos de governana, como comits, funes e processos formais.
Vimos que as empresas tomam cinco tipos de decises de TI, em vrios nveis organizacionais, empregando uma
variedade de mecanismos. Fica claro para ns a constatao de como as aes individuais podem agir contra, ao invs
de harmonizarem-se. A complexidade e dificuldade de explicar a Governana de TI uma das mais srias barreiras ao
seu aprimoramento. Um estudo feito pelo Center for Information Systems Research CISR constatou que o melhor
indicador de desempenho para Governana de TI a porcentagem de administradores em cargos de liderana capazes de
descrev-la corretamente. Algo que agrava os problemas de governana o fato de que a maioria dos altos executivos
no tem familiaridade com sua governana. Nesse estudo, constatou-se tambm que, em mdia, somente 38% dos
administradores em cargos de liderana nas empresas poderiam descrever com preciso sua Governana de TI. Em
empresas com desempenho de governana acima da mdia, 45% ou mais dos administradores conseguiam descrev-la
corretamente. Em umas poucas empresas de altssimo desempenho, 80% dos executivos seniores estavam familiarizados
com sua Governana de TI.
Qual a porcentagem de administradores em cargo de liderana que

sabem descrever qual a Governana de TI da sua empresa?
Para nos ajudar a entender, comunicar e sustentar uma governana eficaz, o CISR props um Framework de Governana
de TI aqui esboado na Fig 2. Esse Framework ilustra a harmonizao (setas horizontais) entre a estratgia e a organizao
da empresa, os arranjos de Governana de TI e as metas de desempenho do negcio. A estratgia da empresa, os
arranjos de governana e as metas de desempenho so postos em prticas, respectivamente, pela organizao da
TI e comportamentos desejveis, por mecanismos de governana e por mtricas. O Framework ilustra, tambm, a
necessidade de harmonizar a Governana de TI com a governana dos outros ativos principais.
14
Figura 2 Framework de Governana de TI
Unidade I
Uma Governana de TI eficaz requer uma quantidade significativa de tempo e de ateno da administrao. A pergunta
que voc deve estar se fazendo : A Governana de TI vale a pena? A dependncia crescente das empresas em relao
informao e a TI sugere que sim. Uma boa Governana de TI harmoniza decises sobre a administrao e a utilizao de
TI com comportamentos desejveis e objetivos do negcio. Sem estruturas de governana, cuidadosamente, projetadas
e implantadas, as empresas deixam essa harmonia ao acaso. H muitas razes para que a tomada de decises sobre TI
no sejam deixadas ao lu e, ento, requeira sempre uma boa governana.
15
Unidade I
Captulo 2 Tecnologia da Informao um Ativo da Organizao
Toda empresa precisa tomar cinco decises inter-relacionadas sobre Tecnologia da Informao: os princpios de TI; a
arquitetura de TI; a infraestrutura de TI; as necessidades de aplicaes do negcio; os investimentos e a priorizao de
TI. A Fig 3 organiza essas decises enfatizando suas interconexes crticas. A deciso referente aos princpios de TI fica
na parte superior do diagrama, uma vez que ela, por explicitar os objetivos empresariais da TI, estabelece diretrizes para
todas as outras decises. Se os princpios no estiverem claros, improvvel que as outras decises sejam aderidas de
maneira significativa. As decises sobre a arquitetura de TI convertem os princpios de TI em requisitos de integrao
e padronizao e, ento, traam um guia tcnico para prover as capacidades necessrias. As decises relativas aos
investimentos e priorizao da TI mobilizam recursos para converter princpios em sistemas.
Decises sobre os Princpios de TI
Declaraes de alto nvel sobre como a TI utilizada no negcio
Decises sobre a Infraestrutura
de TI
Decises sobre a Arquitetura de
TI
Organizao lgica de dados,
aplicaes e infra-estruturas,
definida a partir de um conjunto de
polticas, relacionamentos e opes
tcnicas adotadas para obter a
padronizao e a integrao de
tcnicas e de negcios desejadas.
Servios de TI, coordenados

de maneira centralizada e
compartilhados dos quais provm
a base para a capacidade de TI da
empresa.
Necessidade de Aplicaes de
Negcio
Especificao da necessidade
de negcio de aplicaes de
TI adquiridas no mercado ou
desenvolvidas internamente.
Decises sobre os Investimentos

e Priorizao de TI
Decises sobre quanto e onde
investir em TI, incluindo a aprovao
de projetos e as tcnicas de
justificao.
Figura 3 Principais Decises sobre a Governana de TI
16
Decises sobre infraestrutura e aplicaes podem fluir de cima para baixo dos princpios, da arquitetura e dos critrios
de investimento. Nesse caso, a infraestrutura gera as capacidades necessrias de TI e as aplicaes fazem uso
dessas capacidades. Com a mesma frequncia, necessidades e oportunidades de negcio identificam a necessidade de
aplicaes de TI, que surgem na base para gerar novos requisitos de infraestrutura. Por fim, as decises de investimento
selecionam e financiam as iniciativas de infraestrutura e aplicaes, que implantam uma arquitetura projetada para
incorporar os princpios de TI e em ltima instncia os princpios do negcio.
Vejamos, ento, as decises a serem tomadas no mbito da TI para sua utilizao eficaz. Essas decises tm de ser
vistas de maneira integrada.
Estabelecendo os Princpios de TI
Os princpios na rea de TI declaram sobre como esse recurso utilizado para auxiliar o negcio da organizao.
Portanto, se os negcios da empresa no estiverem claramente definidos, no conseguimos estabelecer os de TI. O CIO
deve ter acesso a essas informaes. Dessa forma, os princpios de TI so um conjunto relacionado de declaraes de
Unidade I
alto nvel sobre como a Tecnologia da Informao utilizada no negcio. Vejamos, a seguir, um exemplo de princpios
de negcio de uma organizao fabricante de papel e embalagens.
Estmulo das economias de mercado.
Padronizao de processos e tecnologias sempre que apropriado.
Ferramentas comuns e diversidade nos negcios.
Controle de custos e eficincia operacional.
Alinhamento e responsividade aos requisitos comerciais negociados.
A empresa formulou seus princpios de TI articulando suas expectativas de que a Tecnologia da Informao apoiasse
sua estratgia de negcio. Dessa forma, esses princpios de negcio levaram ao seguinte conjunto de princpios de TI
(metas da Governana de TI).
Custo Total de Propriedade TCO, mnimo com benchmark.
Integridade arquitetnica.
Infraestrutura consistente e flexvel.
Rpida implantao de novas aplicaes.
Valor e responsividade mensurados, aprimorados e comunicados.
O principal indicador de um conjunto efetivo de princpios de TI uma trilha clara de evidncias que conduza dos
princpios de negcio aos princpios de administrao de TI. Os princpios de TI podem, tambm, ser utilizados como
ferramenta para educar os executivos. Eles devem definir o comportamento desejvel tanto para profissionais quanto
para usurios de Tecnologia da Informao. Ento, resumidamente, os princpios de TI devem:
prover diretrizes para que a TI seja utilizada de modo a habilitar a estratgia de negcios da empresa;
fornecer informao para os executivos tomarem decises sobre investimentos em tecnologia;
definir o comportamento desejvel tanto para profissionais quanto para usurios dessa tecnologia;
padronizar a integrao de processos da empresa.
Ao mostrar como a TI d suporte aos princpios de negcio, os princpios de TI estabelecem implcita ou explicitamente os
requisitos de padronizao e integrao de processos numa empresa. A arquitetura de TI a organizao lgica dos dados,
aplicaes e infraestruturas, definida a partir de um conjunto de polticas, relacionamentos e opes tcnicas adotadas para
obter a padronizao e a integrao tcnicas de negcios desejadas. Por prover o direcionamento para a infraestrutura e
aplicaes, as decises arquitetnicas so cruciais para uma gesto e utilizao eficazes de Tecnologia da Informao.
Nessa rea, devemos pensar em como organizar, logicamente, as informaes e a infraestrutura com o objetivo de
apoiar os negcios da empresa. Para organizar as informaes, a padronizao dos dados fundamental, pois s assim
promoveremos uma definio unvoca e um conjunto nico de caractersticas a serem capturados da informao. A
centralizao dos dados uma grande soluo. As arquiteturas devem capturar a organizao lgica em polticas e
escolhas tcnicas. A maioria das escolhas tcnicas no precisa ser comunicada aos altos administradores. Elas so
formuladas em nveis intermedirios.
Criando uma Arquitetura de TI
17
Unidade I
Existe a necessidade de definir dados e infraestrutura que deem suporte a aplicaes mais sujeitas a mudanas. As
necessidades do negcio mudam, constantemente, por isso as empreses precisam dar flexibilidade a suas arquiteturas.
Desde que a empresa no mude sua misso bsica, a infraestrutura definida pela arquitetura de TI deve dar suporte a
suas aplicaes de negcios. A distino entre infraestrutura e aplicaes permite, assim, que as empresas estimulem
as economias de escala preservando flexibilidade para reagir a mudanas.
A habilidade de conceber e construir uma arquitetura baseada em componentes decorrer da experincia da empresa com
a especificao e a posterior implementao de padres tcnicos, de processos e de informaes. Algumas empresas
vm-se movendo rapidamente em direo a arquiteturas baseadas em componentes; outras mal comearam a jornada.
A sua empresa possui uma Arquitetura de TI?
Elaborando uma Infraestrutura de TI

J que estvamos falando sobre a infraestrutura, melhor descrever o que temos de levar em considerao. Ela
a base da capacidade de planejamento de TI, tanto no aspecto tcnico quanto nos recursos humanos. Para isso,
deve disponibilizar servios compartilhados e confiveis e ter a capacidade de ser utilizada por mltiplas plataformas
tecnolgicas.
Para se estabelecer uma infraestrutura que atenda s necessidades da empresa, quase sempre necessrio investimentos
de grande vulto. Investir pouco resulta em implantaes apressadas para cumprir prazos comerciais; em ilhas de automao
que atendem a necessidades pontuais, sem integrao alguma com o restante da empresa; e no compartilhamento restrito
de recursos informacionais. Com isso, o foco e o oportunismo das iniciativas de infraestrutura podem ter um impacto
significativo no desempenho da empresa. Na figura a seguir (Fig 4), vemos os vrios elementos da infraestrutura de TI.
18
Figura 4 Elementos da infraestrutura de TI
Unidade I
Normalmente, os servios a serem disponibilizados pela infraestrutura incluem:

servio de rede de comunicao de dados;
proviso e gerenciamento de equipamentos computacionais;
desenvolvimento de aplicaes informatizadas;
base de dados compartilhada;
criao e acesso a Intranet e Internet.
Isso pode ser feito com recursos internos ou de maneira terceirizada. A infraestrutura interna de uma empresa,
frequentemente, conecta-se a infraestruturas externas da indstria (como sistemas de pagamento bancrio) e a infraestruturas pblicas (como a Internet e as redes de telecomunicaes).
"A respeito da infraestrutura, sei que devemos descartar isto aqui e acrescentar aquilo ali todos os
anos. Voc pode desativar as coisas, mas no fim voc vai eventualmente acabar encurralado. Por
isso, tento disponibilizar fundos para renovar continuamente, o que no uma opo muito popular".
(KEN LACY, CIO da UPS)
Cada um dos servios de infraestrutura de TI pode situar-se no nvel corporativo (extensvel a toda a empresa) ou no
nvel das unidades de negcio. Muitas organizaes vm transferindo capacidades de infraestrutura das unidades de
negcios para a empresa como um todo, na busca de objetivos de negcio como economias de escala ou um ponto nico
de contato com o cliente. Determinar onde os servios locais de infraestrutura devem ser posicionados, de que modo
devem ser apreados, quando devem ser atualizados e se cabe ou no terceiriz-los so decises essenciais de infraestrutura. Possuir a infraestrutura correta significa prover com boa relao custo/benefcio que capacitem a empresa
em adotar rapidamente novas aplicaes de negcio.
Quais as vantagens e desvantagens de se gerenciar a infraestrutura de uma empresa, utilizando recursos internos ou servios
terceirizados? Tudo na vida tem pontos positivos e negativos.
Embora todas as outras ideias vistas anteriormente envolvam o valor de negcio da TI, so as decises referentes
s necessidades de negcios especficas que geram valor diretamente. A identificao da necessidade de negcios
de aplicaes de TI costuma ter dois objetivos conflitantes a criatividade e a disciplina. A criatividade consiste em
identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da TI e envolve a identificao de
aplicaes de negcio que deem suporte a objetivos de negcio estratgicos e facilitem experimentos de negcios. A
disciplina consiste na integridade arquitetnica assegurando que as aplicaes aproveitem e amplifiquem a arquitetura
de empresa, ao invs de solapar seus princpios. A disciplina envolve, tambm, foco, comprometendo os recursos
necessrios para concretizar metas de projetos e negcios. Descreveremos agora decises gerenciais que resultam em
aplicaes de negcio criativas e disciplinadas.
As empresas precisam de um fluxo constante de experimentos para identificar e aproveitar novas oportunidades de
mercado e evitar a obsolescncia. Alguns desses experimentos transformar-se-o em melhorias; outros fracassaro
Definindo as Necessidades de Aplicaes de Negcio
19
Unidade I
rapidamente. O fluxo de experimentos gera energia criativa e alerta continuamente os administradores quanto s
mudanas de condies de mercado, permitindo-lhes identificar o prximo grande negcio.
As empresas precisam identificar que experimentos podero ser aproveitados para buscar financiamento e avaliao
mais pormenorizada, de maneira que lhes sejam possvel sustentar o ciclo constante de ideias criativas e, tambm,
abandonar projetos malsucedidos antes de terem investidos grandes quantias de dinheiro.
Todos esses procedimentos seguem o ciclo PDCA. Voc o conhece?

Pesquise sobre o citado ciclo. Ele poder ser utilizado em vrias
situaes na sua vida.
Solues criativas podem gerar interessantes desafios tcnicos, sobretudo, quando as empresas compram pacotes
prontos dos fabricantes para atender s suas necessidades. As empresas bem-sucedidas tm consistentemente se
mostrado dispostas a sacrificar a funcionalidade em prol de sustentar a integridade arquitetnica.
A minha funo supervisionar a arquitetura e assegurar que ela evolua com o tempo para atingir
os resultados desejados. A condio implcita que sejam escolhidas aplicaes que se ajustem ao
contexto de nossa arquitetura. Se for uma aplicao obrigatria, encontre um que funcione com esta
arquitetura. Se no encontrar, ento conversaremos (Descrio do modelo empregado pelo CIO da
empresa Meadwestvaco).
Sustentar a integridade arquitetnica exige uma disciplinada coordenao de suas demandas com o portfolio de projetos
da empresa. Decises sobre necessidades de aplicaes de negcio requerem pensadores criativos e gerentes de projetos
disciplinados.
Decidindo sobre Investimentos e Priorizao de TI
A deciso de investimento em TI , frequentemente, a mais visvel e controversa das cinco decises-chave de TI. Alguns
projetos so aprovados, outros so repelidos e o restante passa pelo equivalente organizacional da animao suspensa,
com temida solicitao dos tomadores de deciso de refazer o plano de negcio ou prover mais informaes. As
empresas que obtm o valor superior de TI concentram seus investimentos em suas prioridades estratgicas, cientes da
distino entre capacidades de TI que precisamos ter e que seria bom se tivssemos.
20
Investir em TI deve ter o mesmo princpio de qualquer outro investimento: o retorno precisa ser decente, seno o negcio
quebra. As decises sobre os investimentos nesse recurso residem em trs pensamentos: quanto gastar, em que gastar
e como conciliar as necessidades dos vrios usurios. Para isso a governana de TI uma ferramenta imprescindvel.
Os retornos incertos de gastos com TI fazem com que muitos executivos se perguntem se esto gastando muito ou,
at mesmo, muito pouco. Eles recorrem muitas vezes a benchmarks da indstria como meios de determinar os nveis
apropriados de gastos, concentram-se no papel estratgico que a TI desempenha na organizao e estabelecem um nvel
de custeio para toda a empresa, que habilitar a tecnologia a atingir o seu objetivo.
A soluo para esse problema estabelecer os indicadores de sucesso em investimentos de TI. No existe uma frmula
ou indicadores padronizados. Cada CIO deve ter esses indicadores previamente aprovados. As melhores empresas com
retorno de investimentos em TI obedecem esses padres.
Unidade I
Outra soluo inteligente dar um aspecto de negcios aos investimentos de TI, e empresas de diversas reas acham
til considerar esses investimentos como um portfolio, assim como investidores individuais tm portfolios ou carteiras
de investimentos financeiros. Isso permite que os tomadores de deciso alinhem seus portfolios com a estratgia da
empresa e balanceiem riscos e retornos.
Os investimentos e a priorizao de TI pem o dinheiro e o pessoal da empresa para trabalhar. Se a alta gerncia no
esclareceu ou no comunicou a estratgia da empresa, ou se a estratgia muda frequentemente que no vale a pena
investir na estratgia de hoje, o processo de investimentos de TI vir abaixo. Nenhum framework ou anlise pode
substituir uma direo estratgica clara. Quando um comit de investimento compreende seus objetivos de negcio, ele
pode investir seu dinheiro em TI e gerar retornos significativos.
Verifique se existem essas prticas na sua organizao. Relacione

quais as existentes. Elas atendem aos requisitos vistos? Ela
eficaz? O que fazer para melhorar?
Como resumo e ponto de partida para a formulao da governana, criamos uma srie de perguntas representativas
de cada deciso de TI. Responder devidamente a essas e a questes similares o trabalho das pessoas incumbidas de
tomar decises segundo o Projeto de Governana.
21
Unidade I
Captulo 3 Arqutipos da Governana de TI
Vimos, no captulo anterior, todas as circunstncias que envolvem a TI em uma empresa. Com certeza, chegamos
concluso que esse poderoso recurso no pode mais ser visto como uma simples preocupao de comprar mais ou
menos computadores, se esses equipamentos devem ou no acessar a Internet. um ativo imprescindvel nos dias
atuais. Necessita de preocupao da alta gerncia, de um alto controle e coordenao, portanto, de uma Governana. O
propsito deste captulo oferecer a voc um conjunto de arqutipos e, consequentemente, de opes para os direitos
decisrios em TI. O captulo utiliza tais arqutipos para descrever como as organizaes tomam as decises sobre
Tecnologia da Informao.
Normalmente, utilizam-se arqutipos polticos (monarquia, feudalismo, federalismo, duoplio e anarquia) para descrever
as combinaes de pessoas que tm o direito decisrio ou contribuem para a tomada de decises de TI. Um desses seis
arqutipos pode descrever como as empresas tomam uma ou mais das cinco decises-chave de TI ou contribui com os
tomadores de deciso.
Tabela 2 Arqutipos de Governana de TI
Estilo
Monarquia de Negcio
Monarquia de TI
Feudalismo
Federalismo
Duoplio de TI
Anarquia
Quem tem direitos decisrios ou de contribuio?

Um grupo de executivos de negcios ou executivos individuais (CxOs). Inclui comits
de executivos seniores de negcios (podendo incluir o CIO). Exclui executivos de TI que
atuem independentemente.
Indivduos ou grupos de executivos de TI.
Lideres das unidades de negcio, detentores de processos-chave ou seus delegados.
Executivos do nvel de diretoria (c-level) e grupos de negcios; incluindo executivos de TI como
participantes adicionais. Equivalente atuao conjunta dos governos federal e estadual.
Executivos de TI e algum outro grupo (os CxOs ou os lderes de unidades de negcios ou
os lderes de processos).
Cada usurio individual.
Monarquia de Negcio
Os altos executivos de negcios tomam decises de TI que afetam a empresa toda. Tipicamente, as monarquias de
negcio aceitam contribuies de muitas fontes para as decises-chave.
22
Monarquia de TI
Os profissionais de Tecnologia da Informao tomam as decises de TI. As empresas implantam monarquias de TI de
maneiras diferentes, frequentemente, envolvendo profissionais de TI tanto de equipes corporativas quanto de unidades
de negcio.
Feudalismo
O modelo feudal baseado nas tradies da antiga monarquia, em que prncipes, princesas, ou os cavaleiros por eles
escolhidos, tomavam suas prprias decises, otimizando suas necessidades locais. No caso da Governana de TI, a
entidade feudal , tipicamente, a unidade de negcio, a regio ou a funo. De forma geral, o modelo feudal no se
Unidade I
mostra muito comum, pois a maioria das empresas tem buscado uma sinergia entre as unidades de negcio. Esse modelo
no facilita a tomada de decises da empresa como um todo.
Federalismo
O modelo decisrio federalista tem uma longa tradio nos governos. Arranjos federalistas tentam equilibrar as
responsabilidades e cobranas de mltiplos rgos do governo, como pas e estados. Define-se o modelo federalista
como a tomada de decises coordenada que envolve tanto o centro quanto as unidades de negcio. Os representantes
das unidades no modelo federalista podem ser os seus lderes ou os detentores de processos de negcio. Lderes de
TI em nvel corporativo e/ou das unidades de negcio podem, tambm,se envolver na governana federalista como
participantes adicionais.
O modelo federalista , sem dvida, o mais difcil arqutipo para a tomada de decises, pois os lderes da organizao tm
preocupaes diferentes das dos lderes das unidades de negcio. Os membros de uma empresa federalista representam
suas prprias responsabilidades exclusivas. Alm disso, os sistemas de incentivo levam os administradores a focarem,
constantemente, nos resultados da unidade de negcio, e no na empresa.
Nos modelos federalistas, as unidades de negcio maiores e mais poderosas, com frequncia, ganham mais ateno
e tm maior influncia sobre as decises. Consequentemente, as unidades menores esto sempre insatisfeitas e, por
vezes, separam-se da Unio para atender s prprias necessidades. As empresas que adotam estruturas de governana
federalista costumam fazer uso de equipes administrativas e comits executivos para resolver conflitos inerentes.
Duoplio de TI
O duoplio de TI um arranjo entre duas partes em que as decises representam o consenso bilateral entre executivos de
TI e algum outro grupo. Os executivos de TI podem ser um grupo central de TI ou uma equipe composta por organizaes
de TI centrais e das unidades de negcio. O outro grupo pode ser constitudo de CxOs, lderes das unidades de negcio
ou detentores de processos de negcios, ou, ainda, grupos dos principais usurios de sistemas. O duoplio difere do
modelo federalista no sentido de que o arranjo federalista tem sempre representao corporativa com local, ao passo
que o duoplio tem uma ou outra, mas nunca ambas, e inclui, invariavelmente, profissionais de TI.
Anarquia
Numa anarquia, indivduos ou pequenos grupos tomam suas prprias decises com base somente em suas necessidades
locais. Anarquias, formalmente sancionadas, so raras, mas existem, sendo adotadas nos casos em que se requer uma
resposta muito rpida a necessidades locais ou de clientes individuais.
A tabela, a seguir (Tabela 3), enumera as caractersticas distintivas dos diferentes arranjos de governana e como se
costuma classificar as empresas.
23
Unidade I
Tabela 3 Principais Participantes nos Arqutipos de Governana de TI

Executivos de Diretoria
(c-level)
Monarquia de Negcio
Monarquia de TI
Feudalismo
Federalismo
Duoplio de TI
TI corporativa e/ou das

Unidades de Negcio
Lderes das Unidades de

Negcio ou Detentores dos
Principais Processos de
Negcio
X
X
X
X
X
X
X
X
X
X
X
X
Anarquia
Segundo estudos do Center for Information Systems Research CISR, da MIT Sloan School, o padro mais comum
de governana permite colaboraes de base ampla, com direitos decisrios alocados a grupos que variam conforme
a deciso. No caso das trs decises de TI orientadas a negcio (princpios, necessidades de aplicaes de negcio e
investimentos), mais de 80% das empresas permitem a contribuio por meio de um modelo de governana federalista.
Comits, oramentos e processos interfuncionais apresentavam oportunidades de contribuio e feedback referentes
a tais decises. Estruturas federalistas tambm sustentam a contribuio para decises de TI mais tcnicas, mas as
abordagens das empresas em relao a aspectos tcnicos so mais variadas. Os duoplios so, tambm, uma abordagem
popular de contribuio para as decises tcnicas. A abordagem duopolista em matria de contribuio para decises
tcnicas tem objetivos similares aos da abordagem federalista, mas, ao passo que esta ltima abordagem envolve
tomadas as unidades de negcio, o duoplio emprega um conjunto de relacionamentos bilaterais entre a TI e as unidades
de negcio.
Alm de procurar contribuies internas para suas decises, muitas firmas tambm as procuram externamente.
Fornecedores, parceiros comerciais, consultores, associaes da indstria, universidades e outros grupos contribuem.
Em geral, no se recomenda a concesso de direitos decisrios a grupos externos em decises-chave de TI (com a
exceo de empresas sem fins lucrativos), como ocorre em alguns arranjos de terceirizao. Mas fontes externas podem
oferecer com frequncia contribuies valiosas.
24
Qual ou quais seriam os arqutipos mais comuns de governana

empregado nas empresas da sua regio?
Unidade I
Captulo 4 Mecanismos para Elaborao da Governana de TI
Existem duas coisas que melhor no vermos como so feitas

salsichas e leis.
Peter Weill e Jeanne W. Ross,2004 Governana de TI, p. 87
A sentena acima retirada do livro, Governana de TI, enfatiza que em ambos os casos de elaborao salsichas e
leis um produto bem-embalado resulta de processos caticos. Similarmente, a Governana de TI pode ser catica.
Ela fomenta debates, negociaes, discrdias construtivas, educao mtua e muitas vezes frustrao. O processo
desordenado, mas bons arranjos de governana habilitam indivduos que representam metas conflitantes a reconciliar
suas vises em benefcio de sua empresa.
As empresas desenvolvem seus arranjos de governana por meio de um conjunto de mecanismos de governana
estruturas, processos e comunicaes. Mecanismos bem-concebidos, bem-compreendidos e transparentes promovem
comportamentos desejveis em termos de TI. Por outro lado, se os mecanismos forem mal desenvolvidos, os arranjos
de governana no traro os resultados desejados. No captulo anterior vimos os arqutipos de governana que podem
ser implementados para cada deciso. Neste captulo, trataremos dos mecanismos de governana comuns e como eles
empregam os diferentes arqutipos.
Figura 5 Mecanismos Comuns de Governana
Na figura, a seguir, (Fig 5) observe quinze dos mecanismos mais comuns de Governana de TI. Tal pesquisa foi realizada
em 256 empresas em 23 pases.
25
Unidade I
Uma governana eficaz adota trs tipos diferentes de mecanismos:

Estruturas de tomadas de deciso Unidades e papis organizacionais responsveis por tomar decises
de TI, como comits, equipes executivas e gerentes de relacionamento entre negcios e TI;
Processos de alinhamento Processos formais para assegurar que os comportamentos cotidianos sejam
consistentes com as polticas de TI, e contribuam com as decises. Incluem processos de avaliao e proposta
de investimentos em TI, processos de excees de arquitetura, acordos de nvel de servio, cobrana reversa
e mtricas;
Abordagens de comunicao Comunicados, porta-vozes, canais e esforos de educao que disseminam
os princpios e as polticas da Governana de TI e os resultados dos processos decisrios em TI.
Estruturas de Tomadas de Deciso

Os mecanismos mais visveis da Governana de TI so as estruturas organizacionais que alocam responsabilidades
decisrias de acordo com os arqutipos pretendidos. Idealmente, toda empresa envolve lderes tanto de TI quanto
de negcios no processo de governana. As estruturas de tomadas de deciso so a abordagem natural para geral
comprometimento embora alguns executivos tenham notoriamente se livrado de suas responsabilidades pela
Governana de TI. Empresas com uma governana eficaz mesclam e combinam estruturas de tomadas de deciso para
implementar arqutipos predefinidos e atingir ao final suas metas organizacionais.
Processos de Alinhamento
As estruturas de tomadas de deciso so o primeiro passo na concepo da Governana de TI. Mas uma governana
eficaz uma questo tanto de aes quanto de decises. Os processos de alinhamento so tcnicas da administrao de
TI para assegurar o envolvimento geral na administrao e utilizao efetiva de Tecnologia da Informao. Os processos
de alinhamento devem levar todos a bordo, tanto contribuindo para as decises de governana quanto disseminando os
produtos das decises de TI. Os principais processos de alinhamento incluem o processo de aprovao de investimentos,
o processo de excees arquitetura, os acordos de nvel de servio, a cobrana reversa, o acompanhamento de
projetos e o rastreamento formal do valor de negcios gerado da TI.
26
O objetivo do processo de aprovao de investimentos em TI assegurar que os investimentos gerem retornos

significativos para a empresa em comparao com outras oportunidades alternativas de investimento. A maioria das
empresas formaliza seu processo de proposta de investimentos em TI para garantir que ideias criativas e prioridades
estratgicas sejam consideradas pelos tomadores de decises de investimentos. Muitas empresas usam modelos
padronizados de solicitao e aprovao de investimentos, procurando estimar mtricas como Return On Investment
ROI, o Valor Presente Lquido VLP e o risco de cada projeto. Sem modelos de investimento, os tomadores de
deciso tm dificuldade em comparar projetos e podem perder oportunidades de gerar valor, fazendo investimentos com
benefcios menos assegurados.
Embora as propostas padronizadas exponham os benefcios e os riscos relativos a cada projeto, elas so menos eficazes
para estabelecer de que modo um projeto proposto contribui para os objetivos estratgicos de uma empresa. A maioria
das empresas incumbe as unidades de negcio e as funes de estabelecer suas prioridades com base em seus prprios
objetivos. Comits de investimento determinam tipicamente o conjunto de projetos que, juntos, proporcionam os maiores
benefcios estratgicos empresa.
Ainda falando sobre os processos de alinhamento, sabemos que poucas empresas podem dar suporte a todas as
plataformas tcnicas que paream teis aos negcios. Os padres tecnolgicos so crticos para a eficincia de TI e dos
Unidade I
negcios. Mas excees ocasionais no apenas so apropriadas, como necessrias. A questo saber como identificar
a exceo ocasional. A resposta o processo de excees arquitetura.
com as excees que as empresas aprendem. As empresas adotam o processo de excees para atender a necessidades
de negcios especficas e determinar quando os padres existentes esto se tornando obsoletos. As excees servem
como vlvula de escape para reduzir presses organizacionais. Sem um processo vivel de excees, as unidades de
negcio ignoram os padres da empresa e implementam-nas sem nenhuma aprovao. Essa abordagem provoca tenses
organizacionais que se acumulam com o tempo medida que mais excees no autorizadas ocorrem. Pior ainda, as
excees no autorizadas privam a empresa da oportunidade de aprender.
Os comits de arquitetura costumam ser responsveis pelo estabelecimento de padres. Em muitos casos, o comit de
arquitetura assume tambm a responsabilidade por autorizar excees aos padres. Esses comits, entretanto, podem
facilmente se atolar em batalhas insignificantes, criando um gargalo para as implementaes de TI. Para evitar esse
dilema, a maioria das solicitaes de exceo de arquitetura deve ser resolvida antes de chegar ao comit de arquitetura.
Os processos de exceo mais bem-sucedidos resolvem a maioria das questes no nvel da equipe de projetos, passando
logo adiante quaisquer pedidos de exceo potencialmente estratgico. Uma abordagem pr um arquiteto de TI em
todas as equipes de projetos. Os arquitetos esclarecem padres e resolvem debates menores. Tambm podem ajudar
a equipe de projetos a elaborar seus argumentos para excees com valor. Em empresas em que a padronizao se
ajusta facilmente, por exemplo, nas empresas que enfatizam operaes de baixo custo, os pedidos de exceo so,
necessariamente, raros. Os arquitetos de projetos compreendem a expectativa de que as implementaes de sistemas
devem-se conformar aos padres.
Passemos agora para os Acordos de Nvel de Servio (Service Level Agreement SLAs). Estes, usados pela grande
maioria das empresas, enumeram os servios disponveis, os nveis alternativos de qualidade e respectivos custos.
Por meio de negociaes entre a unidade de servio de TI e as unidades de negcio, um SLA permite a articulao
das ofertas de servios de TI e de seus custos. Essas negociaes esclarecem os requisitos das unidades de negcio,
informando com isso as decises da governana sobre a infraestrutura, a arquitetura e as necessidades de aplicaes de
negcios. Os SLAs estimulam, frequentemente, comparaes com provedores externos. As comparaes devem resultar
na prestao de servios internos com boa relao de custo/benefcio ou na deciso de terceirizar alguns servios de
infraestrutura em ambos os casos com resultados desejveis.
Os SLAs obrigam as unidades de TI a pensar como provedores externos. Elas vendem seus servios e por isso devem
procurar, constantemente, novos meios de poupar dinheiro. O desafio do processo de SLA est em converter os requisitos
de negcio de nvel de servio em servios de Tecnologia da Informao. Os custos da TI resultam da mo de obra e
dos tempos de processamento, da capacidade de armazenamento e assim por diante. As unidades de negcio requerem
servios como processamento de faturas, acesso Web e respostas rpidas a consultas on-line. Cada vez mais as
unidades de TI vm traduzindo seus custos em encargos que os administradores de negcio conseguem compreender.
Um SLA que enumere os cursos de TI em termos tecnolgicos no ajudar as unidades de negcio a escolher entre os
nveis de servio de TI nem a utilizar os servios sabiamente. Tampouco ajudar os comits de servios de TI a conceber
servios compartilhados. O SLA tem valor quando a comunicao sobre as necessidades de negcio e servios facilita
decises que resultem em custos menores e melhor utilizao dos recursos de TI.
Os SLAs devem ajudar os administradores de negcios e de TI a fazer escolhas melhores escolhas sobre como
comprar, vender e aprear. SLAs bem-concebidos estimulam o profissionalismo de ambas as partes da cadeia de oferta
Os SLAs estimulam tambm as unidades de negcio a serem mais conscienciosas em suas solicitaes de TI. Tempos de
resposta, garantidos em fraes de segundos para transaes Web, custam tipicamente mais do que tempos de resposta
de 3 segundos. Similarmente, um tempo de resposta garantido em 30 minutos para uma estao de trabalho que sofra
panes mais caro do que um de 4 horas. Um representante de servios de clientes numa central de atendimento pode
justificar o custo extra de um tempo de resposta de 30 minutos mencionando a possibilidade de perda de receita. Um
assistente administrativo, no escritrio de contabilidade, provavelmente no poderia utilizar a mesma justificativa.
27
Unidade I
e demanda. Os resultados so melhores servios de Tecnologia da Informao e melhor compreenso, por parte tanto
dos negcios quanto da TI, sobre o valor de negcio gerado.
Ainda falando sobre Processos de Alinhamento, veremos agora a Cobrana Reversa. Esta um mecanismo contbil
para alocar os custos centrais da TI nas unidades de negcio. A princpio, ela no parece se associar s decises de
Governana de TO. No entanto, veremos que algumas empresas usam a cobrana reversa com bons resultados para
alinhar as decises sobre infraestrutura, necessidades de aplicaes de negcios e investimentos em TI com os objetivos
do negcio.
O propsito da Cobrana Reversa alocar custos de tal modo que os custos de TI das unidades de negcio reflitam o
uso de servios compartilhados e que a unidade de servios compartilhados ajuste ao mesmo tempo seus custos aos
negcios a que ela d suporte. A cobrana reversa pode funcionar juntamente com o SLA, como um mecanismo de
cobrana por servios prestados, ou pode ser uma alternativa ao SLA no caso de servios de TI para os quais no haja
nveis alternativos de servio. Como no caso dos SLAs, a administrao usualmente espera que a cobrana reversa
resulte num uso eficaz da TI. A maioria dos administradores reflete comportamentos baseados no mercado em resposta
cobrana reversa de TI, ajustando sua demanda de acordo com o valor que recebem e cortando as cobranas das
unidades de TI quando elas parecem fora de linha.
Passemos agora para outro tipo de Processo de Alinhamento o Acompanhamento de Projetos. Um passo crtico na
implementao da Governana de TI desenvolver a disciplina para acompanhar o progresso de projetos individuais de
TI. Boa parte das empresas dizem rastrear os recursos consumidos pelos projetos. As empresas usam uma variedade
de ferramentas para dar suporte ao acompanhamento dos projetos. Nas organizaes de melhor desempenho, o
acompanhamento apenas um dos elementos de uma metodologia padronizada de gesto de projetos. Algumas empresas
fazem uso do Modelo de Maturidade da Capacidade CMM, um processo altamente padronizado para certificar a gesto
organizacional de projetos. Outras empresas aplicam uma metodologia de gesto de projetos desenvolvida internamente.
No existem evidncias de que um tipo de mtrica, ou metodologia de gesto de projetos seja mais bem-sucedida do que
um outro tipo, mas qualquer tentativa de mensurar o progresso de implementaes e de identificar e corrigir problemas
rapidamente aumenta em muito a possibilidade de sucesso da implementao.
E, por fim, vejamos o Rastreamento Formal do Valor de Negcio. Grande parte do desafio de criar uma Governana de
TO eficaz decorre da dificuldade de estimar o valor da Tecnologia da Informao. Os tomadores de decises sobre TI
decidem tanto melhor quanto melhor compreendem o valor que a empresa aufere da TI. Rastrear formalmente o valor
de negcio da TI aumenta o aprendizado organizacional sobre o valor de iniciativas habilitadas pela Tecnologia da
Informao.
28
Rastrear inclui determinar se as expectativas de reduo de custo de um projeto ou de aumento de receita realmente se
materializaram. O processo de rastreamento de valor ajuda executivos tanto de negcios quanto de TI a compreender
as fontes e os obstculos para gerar valor a partir dos investimentos em TI. Com a prtica, ele tambm possibilita
estimativas mais realistas dos benefcios propostos de um sistema. Como os resultados dos projetos so difceis de
isolar particularmente quando os projetos so parte das metas de programas maiores um nmero crescente de
empresas vem formalizando objetivos intermedirios.
A Governana de TI envolve a concesso de poderes a todos os funcionrios da empresa. Os mecanismos de tomada de
decises concentram-se em trabalhar a estratgia do negcio e as implicaes para a TI. Os processos de alinhamento
permitem que decises estratgicas orientem aes cotidianas. Alm disso, esses processos permitem que experincias
do dia a dia com a TI proporcionem feedback ao processo estratgico.
Abordagens de Comunicao
Os mecanismos de comunicao destinam-se a difundir a palavra por toda a empresa sobre as decises e os processos
de Governana de TI e sobre os respectivos comportamentos desejveis. As empresas comunicam de vrias maneiras
Unidade I
seus mecanismos de governana. Quanto mais a administrao comunica formalmente a existncia de mecanismos de
governana, como esses mecanismos funcionam e quais os resultados esperados, mais eficaz ser a governana.
Neste captulo avaliamos trs tipos de mecanismos de governana de TI e identificamos os principais mecanismos
dentro de cada tipo. Cada mecanismo deve apresentar trs caractersticas.
Simples Mecanismos definem sem ambiguidade responsabilidades ou objetivos para cada pessoa ou grupo
especfico.
Transparente Mecanismos eficazes baseiam-se em processos formais. O funcionamento do mecanismo
deve ficar claro para todas as pessoas afetadas pelas decises de governana ou que queiram contest-la.
Adequado Mecanismos envolvem os indivduos em melhor condio de tomar cada deciso.
No entanto, mecanismos no funcionam isoladamente. O impacto de mecanismos de governana depende de interaes
mtuas entre eles. Observemos cinco princpios para conceber conjuntos eficazes de mecanismos.
Escolher mecanismos dos trs tipos Mecanismos de tomadas de deciso, de alinhamento e de comunicao
tm objetivos diferentes. Todos so importantes para uma governana eficaz.
Limitar as estruturas de tomadas de deciso A tomada de decises nas empresas no um fenmeno de
quanto mais, melhor. Organizaes complexas exigem mltiplas estruturas de tomadas de deciso, mas
quanto mais estruturas de tomadas de deciso, maiores sero as chances de contradies e discrepncias. As
responsabilidades pela tomada de decises devem ser disseminadas na empresa toda por meio de mecanismos
de alinhamento, e no de estruturas de tomadas de deciso.
Posicionar membros comuns nas estruturas de tomada de deciso A Governana de TI requer contribuies
srias em decises sobre necessidades de negcios estratgicas e capacidades tecnolgicas. Para assegurar
que essas perspectivas crticas influenciem todas as decises de Governana de TI pertinentes, os principais
rgos de tomadas de deciso precisam ter membros em comum ou mandatos claros. O modelo da Governana
de TI deve evitar descompassos entre as decises de negcios e as de TI.
Esclarecer a responsabilidade Mltiplos mecanismos podem inadvertidamente gerar confuses sobre quem
responsvel pelo o qu ou limitar a habilidade dos administradores de gerar os resultados pelos quais so
responsveis. O modelo de Governana de TI deve esclarecer os objetivos administrativos e suas mtricas.
Implementar mecanismos em mltiplos nveis na empresa Embora empresas diversificadas possam ter
requisitos limitados de integrao e padronizao, uma nica unidade de negcio talvez deseje processos
estreitamente integrados. Por isso, o modelo da Governana de TI no nvel da empresa reflete somente
uma camada da governana. A governana no nvel da empresa influencia decises no nvel das unidades
de negcio, mas estas precisam, frequentemente, de arranjos prprios de governana, com mecanismos
correspondentes. Uma boa governana numa firma com mltiplas unidades de negcio requer conexes entre
a governana geral e a das unidades de negcio. Mecanismos como comits de arquitetura e processos de
oramento de TI costumam proporcionar tais conexes.
29
Unidade II
Metodologias e Padres
Captulo 5 Information Technology Infrastructure Library ITIL
Os problemas significativos que enfrentamos no podem ser

resolvidos pelo mesmo nvel de pensamento que os criou.
Albert Einstein
Falaremos muito sobre processo neste captulo. Procure identificar

o que vem a ser um processo e a sua composio (fornecedores,
insumos, input, output e realimentao).
Controle, transparncia e previsibilidade passaram a ser agora ferramentas de gesto das organizaes. Como as
informaes esto, na maioria dos casos, no formato digital, a rea de TI passou a desempenhar um papel vital na
governana. A auditoria, em geral, trabalhava com as mtricas especficas de TI e comparava os resultados tanto no
mbito interno quanto externo da empresa. No entanto, representava pouco, pois era necessrio melhorar os servios
e processos, e os CIOs passaram a adotar o ITIL e as suas melhores prticas para os servios e processos de TI,
reduzindo, assim, os custos e melhorando a qualidade dos servios.
O ITIL fornece um mtodo comprovado para o planejamento de processos, papis e atividades comuns, com a referncia
apropriada de um para o outro e de como devem ser as linhas de comunicao entre eles. O ITIL considera que o
Gerenciamento de Servios da Tecnologia de Informao e Comunicao TIC (Information Technology Services
Management ITSM) constitudo de processos estreitamente relacionados e altamente integrados.
Um de seus propsitos alinhar a gesto da tecnologia com as necessidades de negcios, com foco integral na qualidade
dos servios de TIC prestados, assegurando os nveis de servios imprescindveis sustentao das operaes crticas.
Para atingir os objetivos do ITSM, os processos devem utilizar o trip pessoas, processos e produtos de forma eficaz,
eficiente e econmica. O ITIL define o que deve ser feito, ficando a cargo das organizaes a definio de como ser feito.
O ITIL o modelo de referncia para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi
criada pela Secretaria de Comrcio (Office of Government Commerce OGC) do governo ingls, a partir de pesquisas
realizadas por consultores, especialistas e doutores, para desenvolver as melhores prticas na gesto da rea de TI, em
empresas privadas e pblicas. Atualmente, tornou-se a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O
foco desse modelo descrever os processos necessrios para gerenciar a infraestrutura de TI eficiente e eficazmente
de modo a garantir os nveis de servio acordados com os clientes internos e externos.
31
Unidade II
Para isso, define os objetivos e as atividades, as entradas e as sadas de cada um dos processos que normalmente as
equipes de TI desenvolvem em uma organizao. Entretanto, o ITIL no d uma descrio especfica de como essas
atividades devem ser executadas, porque em cada organizao estas so diferentes, ou seja, no existe receita de bolo
pronta para voc implementar o ITIL. A nfase est em sugestes que foram provadas na prtica, mas, dependendo das
circunstncias, pode ser implementada de vrias formas. ITIL no um mtodo, ao invs disso, oferece um framework
(melhores prticas) para planejar os processos mais comuns, papis e atividades, indicando as ligaes entre elas e que
linhas de comunicao so necessrias.
importante registrar que o ITIL de domnio pblico e a utilizao dessas prticas podem ser empregadas na sua empresa.
Observe, a seguir, as principais caractersticas do modelo ITIL.
Modelo de referncia para processos de TI no proprietrio
Independncia de tecnologia e fornecedor
Modelo de referncia para a implementao de processos de TI
Padronizao de terminologias
Interdependncia de processos
Diretivas bsicas para implementao
Diretivas bsicas para funes e responsabilidades dentro de cada processo
Checklist testado e aprovado
O que fazer e o que no fazer
As melhores prticas so os melhores modelos de trabalho identificados em situaes reais considerando organizaes
em atividades similares. Uma melhor prtica significa que um modelo foi implementado, anteriormente, aps ter sido
determinada e comprovada a sua relevncia. A implantao de uma melhor prtica tudo aquilo relacionado a "no
reinveno da roda", mas capacidade de implementar em outras situaes similares, modelos e experincias que j se
mostraram eficientes.
A tcnica de implantao de uma melhor prtica baseada em ciclo de vida, cujo foco est sempre relacionado
excelncia do Gerenciamento de Servios, podendo ser aplicada a qualquer tempo e em qualquer circunstncia. O
objetivo das melhores prticas reduzir os custos de tecnologia e melhorar o desempenho e a performance dos ativos
da tecnologia e da rea de TI como um todo. Na sua ltima instncia, o ITIL fornece indicadores para benchmarks.
32
Todos os indicadores atuais so excelentes na sua esfera de competncia, mas nenhum deles leva o foco de TI para o
usurio. O grau ideal de interao de um usurio com tecnologia a relao homem versus lpis, ou seja, uma pessoa
treinada na fase de alfabetizao e a partir da ela capaz de utilizar qualquer lpis a vida inteira, pois o processo de
aprendizado de um novo tipo de lpis totalmente intuitivo.
Por que adotar o ITIL?
Unidade II
Para responder essa pergunta o primeiro passo o entendimento da viso da alta administrao sobre a tecnologia. A
seguir, temos as percepes mais comuns das gerncias de negcio sobre TI.
Proviso de servios inadequada.
Falta de comunicao e entendimento com os usurios.
Gastos excessivos com infraestrutura (sentimento de se tratar de uma parcela significativa nos gastos totais
do negcio).
Justificativas insuficientes ou pouco fundamentadas para os custos da proviso dos servios (dificuldade na
comprovao dos seus benefcios para o negcio).
Falta de sintonia entre mudanas na infraestrutura e os objetivos de negcio.
Entrega de projetos com atrasos e acima do oramento.
importante destacar que, em geral, os gestores do negcio do pouca importncia para a conquista da excelncia
operacional, pois na viso deles a otimizao dos recursos o mnimo que a rea de TI deveria realizar. Para os gestores do
negcio, a rea de TI deve oferecer uma taxa de retorno melhor do que simplesmente funcionar com eficincia e eficcia.
A adoo das melhores prticas de gerenciamento de servios ITIL enderea as principais questes em relao ao
posicionamento estratgico de TI na organizao, como excelncia operacional, otimizao do uso dos recursos,
previsibilidade, alinhamento com o negcio, entre outros. Seguem os principais desafios dos gestores de TI para
conquistar a credibilidade e a excelncia operacional.
Incrementar a efetividade dos servios.
Estender o ciclo de vida da tecnologia.
Remover gargalos.
Racionalizar a complexidade.
Assegurar a aderncia evoluo dos negcios.
As melhores prticas do ITIL surgiram para otimizar o uso dos recursos de TI e para a tecnologia caminhar alinhada aos
negcios, gerando benefcios importantes e relevantes. Em razo dos desafios, o mercado entende que os principais
objetivos de TI so estes.
Atuar com foco nos processos.
Atuar de forma preventiva e proativa.
Atuar com foco no cliente (usurio).
Apresentar solues integradas e de gerenciamento centralizado, mas com abrangncia distribuda.
Os desafios mostram que na viso do negcio os recursos de TI so subutilizados, complexos em excesso, e, em geral,
so barreiras pela falta de flexibilidade. O desafio mais comum e importante no momento o prazo de entrega dos
projetos de TI, que demandam, em geral, por seis ou nove meses de implantao madura (sem erros) em um cenrio no
qual as empresas trabalham com oportunidades de dois ou trs meses. O ciclo de vida da tecnologia , sem sombra de
dvida, o desafio dos gestores de TI mais cobrado pelo CFO, pois um ativo diretamente ligado produo depreciado
em aproximadamente 60 meses.
33
Unidade II
Apresentar demonstrao dos resultados obtidos de forma clara.

Estar permanentemente alinhada ao negcio.
Esses seis pontos esto presentes nos mais diversos tipos e tamanhos de negcios e, em linha geral, constituem as
expectativas da alta administrao sobre TI. Observe que os objetivos representam um forte equilbrio entre excelncia
operacional, otimizao dos custos, alinhamento com o negcio e agregao de valor. A adoo do ITIL visa enderear
esses seis objetivos em curto, mdio e longo prazo. As melhores prticas do ITIL tm as seguintes metas em curto prazo.
Aumentar a produtividade.
Centralizar controle.
Estender o ciclo de vida da tecnologia.
Remover gargalos.
Simplificar complexidade.
Os fatores motivacionais para adoo do ITIL podem ser classificados em trs grandes grupos: financeiro, qualidade e
competitividade. A seguir, as principais motivaes do ponto vista financeiro.
Reduo dos custos operacionais de TI.
Fortalecimento dos Controles e da Gesto dos ambientes de TI.
O ITIL tem como um dos seus principais pilares de sustentao a melhoria da qualidade de servios. A seguir, as
principais motivaes do aspecto qualidade.
Orientao de processos com significativa reduo nos tempos de execuo e distribuio de servios.
Diminuio gradativa da indisponibilidade dos recursos e sistemas de Tecnologia da Informao, causados por
falhas no planejamento das mudanas e implantaes em TI.
Elevao dos nveis de satisfao dos usurios internos e clientes com relao disponibilidade e qualidade
dos servios de TI.
34
O terceiro fator motivacional basicamente uma consequncia do sucesso dos dois anteriores. Com as melhores
prticas nas dimenses financeiras e de qualidade, natural que a competitividade da empresa esteja sendo melhorada.
Custos menores, maior disponibilidade, aumento do ciclo de vida, usurios com melhor atendimento, reduo de erros,
previsibilidade e constncia so os fatores que melhoram a competitividade da empresa pelo uso das melhores prticas
do gerenciamento de servios de TI.
Os objetivos das melhores prticas so audaciosos, porm bastante simples, e a simplicidade vem permitindo que o
mercado alcance resultados significativos.
O ITIL, na verdade, uma biblioteca. A biblioteca no uma propriedade privada, est disponvel para todos e tem sido
produzida utilizando-se os procedimentos certificados para o padro ISO-9001/BS5750. O ncleo dos livros do ITIL foi
revisado e publicado apenas como dois livros, um Suporte a Servios e outro Entrega de Servios. O quebra-cabea do
ITIL mostra os principais elementos localizados nos seus livros. Cada um desses elementos se relaciona entre si, e se
sobrepem em alguns tpicos.
Perspectiva do Negcio
Entrega do Servio
Suporte ao Servio
Unidade II
Gerenciamento da Segurana
Gerenciamento da Infraestrutura
Gerenciamento de Aplicaes
Planejamento da Implementao do Gerenciamento de Servios
Figura 6 Principais livros que compem a biblioteca ITIL

(baseado no livro Service Support da OGC Office of Government Commerce)
Esses sete mdulos constituem o corpo do ITIL. A seguir veremos uma descrio resumida do propsito de cada livro.
Suporte ao Servios
Relata como um cliente consegue acesso aos servios para suportar seus negcios. Nele so tratados os seguintes
assuntos:
Central de Servios;
Gerenciamento de Incidentes;
Gerenciamento de Problemas;
Gerenciamento da Configurao;
Gerenciamento de Mudanas;
Entrega de Servios
Descreve os servios que o cliente necessita, e o que necessrio para fornecer os servios. Este livro cobre os
seguintes assuntos:
Gerenciamento do Nvel de Servios;
Gerenciamento Financeiro para Servios de TI;
Gerenciamento da Capacidade;
Gerenciamento de Liberao;
35
Unidade II
Gerenciamento da Disponibilidade;
Gerenciamento da Continuidade dos Servios de TI;
Gerenciamento da Segurana (com referncia ao livro Gerenciamento da Segurana).
Gerenciamento da Infraestrutura ICT

Aborda todos os aspectos do Gerenciamento da Infraestrutura, como identificao dos requisitos do negcio, testes,
instalaes, entregas e otimizao das operaes normais dos componentes que fazem parte dos Servios de TI.
Planejamento para Implementao do Gerenciamento de Servios

Examina questes e tarefas envolvidas no planejamento, implementao e aperfeioamento dos processos do
Gerenciamento de Servios dentro de uma organizao. Tambm foca em questes relacionadas Cultura e Mudana
Organizacional.
Gerenciamento de Aplicaes
Descreve como gerenciar as aplicaes a partir das necessidades iniciais dos negcios, passando por todos os estgios
do ciclo de vida de uma aplicao, incluindo at a sua sada do ambiente de produo (quando o sistema aposentado).
Esse processo d nfase em assegurar que os projetos de TI e as estratgias estejam corretamente alinhados com o
ciclo de vida da aplicao, assegurando que o negcio consiga obter o retorno do valor investido.
Perspectiva de Negcio
Fornece um conselho e guia para ajudar o pessoal de TI a entender como eles podem contribuir para os objetivos do
negcio e como suas funes e servios podem estar mais bem alinhados e aproveitados para maximizar sua contribuio
para a organizao.
36
Detalha o processo de planejamento e gerenciamento a um nvel mais granularizado da segurana da informao e

Servios de TI, incluindo todos os aspectos associados com a reao da segurana dos incidentes. Tambm inclui uma
avaliao e gerenciamento dos riscos e vulnerabilidade, e implementao de custos justificveis para a implementao
de contrarrecursos (estratgia de segurana).
As aes de TI esto, nos dias de hoje, diretamente conectadas ao faturamento, vendas, crdito das empresas. Por
isso, podemos afirmar que os principais dispositivos do negcio a tecnologia. fato que a lucratividade das empresas
depende de fatores como alta disponibilidade, segurana e desempenho dos servios de TI, e justamente por esse
conjunto de necessidades que o tema maturidade do gerenciamento dos servios de TI ganhou fora e forma no mercado.
O processo tornou-se ainda mais complexo aps a terceirizao dos servios de TI de uma forma parcial ou total. Processo
um conjunto de atividades inter-relacionadas com um objetivo especfico. Possui entradas de dados, informaes
e produtos para, por meio da identificao dos recursos necessrios ao processo, transformar essas entradas nos
objetivos previstos.
Unidade II
A Central de Servios, um dos componentes do ITIL, tambm conhecida em ingls como Service-Desk, uma funo
dentro da TI que tem como objetivo ser o ponto nico de contato entre os usurios/clientes e o departamento de TI. A
proposta sugerida separar dentro das operaes de TI quem faz parte do suporte aos usurios de quem vai realizar
atividades de resoluo de problemas e desenvolvimento. Ter uma rea especfica para o suporte traz vantagens para os
usurios, propiciando um suporte com maior agilidade e qualidade, e para a equipe de TI mais eficincia, pois o tcnico
especialista acaba no sendo mais interrompido pelas chamadas diretas dos usurios. A Central de Servios no um
processo do ITIL, e sim uma funo. O Gerenciamento de Servios de TI est criado em torno da entrega de nveis de
servios estabelecidos aos usurios finais, e para isso necessrio ter uma rea com o foco em dar suporte aos usurios
medida que eles requerem ajuda para o uso dos servios de TI e monitorar o cumprimento dos nveis de servios
estabelecidos nos SLAs. O Gerenciamento de Nvel de Servios um habilitador de negcio primordial para essa funo.
Sendo um ponto nico de contato para o Servio de TI, a Central de Servio deve ter um vnculo com todos os processos
do ITIL. Com alguns processos esse vnculo mais claro do que com outros.
Gerenciamento da
Configurao
Gerenciamento de
Incidentes
Gerenciamento de
Liberao
Central de
Servios
Gerenciamento de
Mudanas
Gerenciamento do
Nvel de Servio
Figura 7 Integrao da Central de Servios com os Processos ITIL
Isso tambm permitir equipe da Central de Servios resolver rapidamente os incidentes buscando solues
relacionadas ao Item de Configurao ou ao problema relacionado. Em alguns casos, a Central de Servios realiza
mudanas pequenas e tem um vnculo com o Gerenciamento de Mudanas e o Gerenciamento de Liberaes. O vnculo
entre a Central de Servios e o Gerenciamento do Nvel de Servio pode ser ilustrado como o resultado da Central de
Servios monitorando os nveis de suporte e reportando se o servio de TI foi restaurado dentro dos limites definidos
nos Acordos de Nvel de Servios ANS. A Central de Servios reportar ao Gerenciamento do Nvel de Servios se os
servios no estiverem restaurados dentro do prazo e se procedimentos de escalonamento no estiverem corretamente
definidos para alcanar os prazos determinados.
O ITIL preocupa-se, basicamente, com a entrega e o suporte aos servios de forma apropriada e aderente aos requisitos
do negcio. o modelo de referncia para gerenciamento dos servios de TI mais aceito mundialmente. Em geral, os
servios de TI so fornecidos por meio da infraestrutura de hardware, software, procedimentos, documentao, base
de conhecimento, comunicaes e pessoas.
A Central de Servios , de fato, um aspecto operacional importante do processo do Gerenciamento de Incidentes, por
exemplo, controle de incidentes. Ela os registra e controla, relacionando-os aos Itens de Configurao. Se esse vnculo
for suportado por um software, teremos condies de futuramente fazer todo o rastreamento de problemas ocasionados
com determinado equipamento na infraestrutura.
37
Unidade II
O gerenciamento dos servios de TI trata dos servios e do gerenciamento da infraestrutura de TI. No mercado, tambm
temos os termos Entrega dos Servios de TI e Sistema de Gerenciamento da TI para descrever essas funes.
O Suporte aos Servios de TI e a Entrega dos Servios de TI descrevem os processos-chave para melhorar a qualidade
dos servios de TI.
Gerenciamento de Incidentes
Gerenciamento de Problemas
Gerenciamento de Configurao
Gerenciamento de Mudanas
Gerenciamento de Liberao
Gerenciamento de Disponibilidade
Gerenciamento de Continuidade
Gerenciamento de Capacidade
Gerenciamento de Nveis de Servio
Gerenciamento de Finanas
Vejamos, a seguir, cada um deles.
Visa restaurar os servios o mais rpido possvel com o mnimo de interrupo, minimizando os impactos negativos
nas reas de negcio. Suas aes no se assemelham as de qualquer projeto. um dos processos mais reativos, pois
entrar em atuao a partir dos incidentes levantados por usurios ou ferramentas de monitoramento. Entretanto, esse
processo vital para manter a agilidade dos servios de TI. importante considerar, tambm, que as informaes dos
incidentes levantadas nesse processo sero de grande importncia para o processo de Gerenciamento de Problemas.
Gerenciamento da Configurao
38
Por meio do armazenamento e gerenciamento de dados relacionados infraestrutura de TI, o processo de Gerenciamento
da Configurao d organizao um controle maior sobre todos os ativos de TI. Quanto mais dependentes dos sistemas
de TI as organizaes so, mais importante se torna o Gerenciamento da Configurao. , entretanto, necessrio manter
um registro de todos os Itens de Configurao ICs dentro da infraestrutura de TI. O Gerenciamento da Configurao
tem como objetivo fornecer um modelo lgico da infraestrutura de TI, identificando, controlando, mantendo e verificando
verses de todos os ICs.
Gerenciamento de Liberao
Processo que "protege" o ambiente de produo. A proteo vem em forma de procedimentos formais ou testes
extensivos relacionados a mudanas de software ou hardware que esto sendo propostas dentro do ambiente de
produo. Objetivos do processo de Gerenciamento de Liberao incluem:
Unidade II
gerenciar, distribuir e implementar itens de software e hardware aprovados;

prover o armazenamento fsico e seguro de itens de hardware e software no Depsito de Hardware Definitivo
(DHD) e na Biblioteca Definitiva de Software (BDS);
assegurar que apenas verses de software autorizadas e com processo de qualidade controlado sejam usados
nos ambientes de teste e produo.
Processo que tem como misso minimizar a interrupo nos servios de TI por meio da organizao dos recursos
para solucionar problemas de acordo com as necessidades de negcio, prevenindo a recorrncia deles e registrando
informaes que melhorem a maneira pela qual a organizao de TI trata os problemas, resultando em nveis mais altos
de disponibilidade e produtividade. importante que o Processo de Gerenciamento de Problemas venha acompanhado do
Gerenciamento de Mudanas, fazendo com que a correo dos erros seja previamente analisada em relao aos riscos.
Muitas vezes a correo de um erro acaba gerando mais incidentes e criando impacto para os usurios.
Gerenciamento da Disponibilidade
Processo que visa otimizar a capacidade da infraestrutura de TI, os servios e o suporte para prover, a custo efetivo,
um nvel de disponibilidade que permita ao negcio atender seus objetivos. Isso obtido mediante determinao dos
requerimentos de disponibilidade do negcio e anlise da capacidade da infraestrutura de TI para atender a esses
requerimentos. As lacunas entre requerimento e capacidade so preenchidas pelas alternativas disponveis e opes de
custos associados.
Processo que pode ser a causa dos incidentes se uma mudana no foi executada corretamente. Consequentemente
muito importante que o Gerenciamento de Incidentes saiba de todas as mudanas planejadas, assim poder relacionar
os incidentes transformao e notificar o processo de Gerenciamento de Mudanas, para que o processo de retrocesso
(back out) seja executado. De outra forma, alguns incidentes sero resolvidos por meio de uma alterao, no caso de um
equipamento defeituoso ser substitudo, por exemplo.
Processo de Gerenciamento dos recursos organizacionais, tcnicos e humanos que, logicamente ordenados, garantam
a manuteno dos servios que suportam os negcios da organizao, dentro de nveis de servio acordados, incluindo o
suporte mnimo necessrio para a continuidade das operaes no caso de uma interrupo. Esse processo inclui o ciclo
contnuo de avaliao de risco e adoo de medidas de contorno, reviso dos cenrios e planos de contingenciamento, bem
como garantia de aderncia s orientaes corporativas quanto ao estabelecimento de Planos de Continuidade de Negcios.
Gerenciamento de Capacidade
Processo de monitorao, anlise e planejamento do efetivo uso dos recursos computacionais, visando definir e estabelecer
uma metodologia apropriada para o acompanhamento e projeo da utilizao dos recursos computacionais, incluindo os
meios de transmisso de dados e a especificao das mtricas e condies timas de operao desses recursos.
Gerenciamento da Continuidade dos Servios
39
Unidade II
Gerenciamento dos Nveis de Servio

Processo de planejamento, coordenao, elaborao, monitorao e reporte dos Acordos de Nveis de Servio SLA e,
adicionalmente, as revises dos indicadores constantes dos acordos celebrados de forma a garantir que os requerimentos
de qualidade e custos esto mantidos e gradualmente melhorados. Um SLA deve prover a base para o gerenciamento do
relacionamento entre o provedor do servio e seu usurio.
Gerenciamento de Finanas
O objetivo do processo de Gerenciamento Financeiro para os Servios de TI em um departamento de TI interno deve ser
o de fornecer um custo efetivo para os gastos aplicados nos ativos de TI e os recursos usados para fornecer os servios
de TI. O foco principal desse processo o entendimento dos custos envolvidos na entrega de servios de TI, atribuindo
os custos para cada servio e cliente especfico. Essa conscincia dos custos melhora a qualidade de todas as decises
tomadas em relao aos gastos de TI. A cobrana dos custos do cliente opcional.
Relacionamento com o
Cliente de TI
Gerenciamento de Liberaes
Gerenciamento da Configurao
Ger. do Nvel de Servio
Gerenciamento da Capacidade
Gerenciamento Financeiro para

Servios de TI
Gerenciamento da Continuidade
dos Servios
Entrega de Servios
Suporte a Servios
Central de Servios
Ger. da Disponibilidade
Figura 8 Modelo da Metodologia ITIL
40
Neste momento, j sabemos o que o ITIL, como e porque ele implantado e a quem ele se destina. Para finalizar
este captulo, vamos a um caso prtico. Os seis grandes passos para uma implantao de sucesso desse modelo esto
listados na tabela a seguir.
Unidade II
Tabela 4 Etapas para implantao do modelo ITIL
PASSO 2
PASSO 3
PASSO 4
PASSO 5
PASSO 6
PASSO 1
Viso executiva sobre o ITIL e seus processos. Estudo de caso com

os profissionais da organizao sobre como esses processos podem
Workshop Executivo Estratgia auxiliar no alinhamento da estratgia de TI com a estratgia do
negcio, bem como sobre os elementos tpicos que compem uma
implementao.
Diagnstico das prticas atuais Levantamento das atuais prticas em uso na rea de Tecnologia da
em Tecnologia da Informao Informao, no que diz respeito Gesto de Servios.
Plano estratgico alinhando pessoas, processos e tecnologia,
Planejamento do Projeto
conectando esses elementos aos objetivos de negcios.
Implementao
Execuo do plano estratgico que foi definido.
Reviso dos resultados com a organizao garante que a rea de
Ps-Implementao
Tecnologia da Informao esteja alinhada com os objetivos de
negcios.
Programas de melhoria contnua, analisando resultados, aprimorando
Melhoria Contnua
as prticas implementadas e atualizando os processos segundo a
realidade dos negcios.
41
Unidade II
Captulo 6 Control Objectives for Information and Related Technology CobiT
O COBIT foi criado pelo Information Systems Audit and Control Association ISACA por meio do IT Governance
Institute, organizao independente que desenvolveu a metodologia considerada a base da governana tecnolgica.
um modelo utilizado, internacionalmente, como um instrumento (de fomento) da Governana de TI, contendo prticas e
tcnicas de controle e gerenciamento, a fim de auxiliar na preparao para auditorias, acompanhamento/monitoramento,
a avaliao dos processos de TI e, finalmente, auxiliar no alcance de metas na organizao.
Para isso, dizemos que o COBIT um framework de controle (melhores prticas) e uma base de conhecimento para
os processos de TI e seu gerenciamento, assegurando dessa maneira que os recursos de TI estaro alinhados com os
objetivos da organizao. No um padro definitivo, tem que ser adaptado para cada empresa. baseado na premissa
de que a TI precisa entregar a informao que a empresa necessita para atingir seus objetivos. O COBIT foi projetado
para utilizao por trs distintos pblicos:
administradores, para auxili-los na ponderao entre risco e investimento em controles num ambiente muitas
vezes imprevisvel como o de TI;
usurios, para certificarem-se da segurana e dos controles dos servios de TI fornecidos internamente ou
por terceiros;
auditores de sistemas, para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre
controles internos.
cada vez mais importante, para o sucesso e a sobrevivncia de uma organizao, o gerenciamento efetivo da informao
e da respectiva TI, no podendo desconsiderar a crescente e constante dependncia da informao e dos sistemas
que os fornece. Na mesma proporo que uma empresa e seus usurios e at mesmo um usurio domstico tem a
necessidade em obter informaes com uma maior agilidade, tambm cresce, na mesma proporo, e at em nveis mais
elevados, a fragilidade e vulnerabilidade em assegurar que as informaes obtidas no caiam em mos erradas e sejam
usadas de forma a prejudicar a empresa.
A misso do COBIT pesquisar, desenvolver e promover um conjunto de objetivos de controle geralmente aceitos sobre
tecnologia da informao, para uso cotidiano por administradores e auditores. O COBIT auxilia a associao entre os
riscos do negcio, as necessidades de controle e os aspectos tecnolgicos, propiciando boas prticas por meio de uma
matriz de domnios e processos estruturados, de forma lgica e gerencivel.
42
O objetivo geral do COBIT servir como um guia abrangente para usurios, auditores, gestores e donos de processos
de negcios que permita a Governana de TI. Para isso, o COBIT segue a seguinte linha de raciocnio: riscos de negcio,
necessidades de controles e necessidades tcnicas. Visando maximizar benefcios de TI, capitalizar em oportunidades
de TI e ganhar vantagens competitivas em TI.
A governana de TI, aliada ao COBIT, pode criar um plano para que a TI esteja alinhada a planejamento, organizao,
aquisio, implementao, entrega, suporte e monitoramento, sendo que estes esto relacionados a processos,
recursos, informaes e objetivos da empresa, em que o conselho administrativo dever estar orientado pelos valores
dos interessados.
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes
em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking
com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI.
As recomendaes de gerenciamento do COBIT, com orientao no modelo de maturidade em governana, auxiliam
Unidade II
os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. As diretrizes

de gerenciamento do COBIT focam a gerncia por desempenho usando os princpios do balanced scorecard. Seus
indicadores-chave identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os
objetivos dos negcios da organizao.
Para estruturar os processos de TI usando o framework do COBIT, necessrio avaliar os processos de TI existentes
na empresa, fazer uma anlise comparativa com os processos do COBIT e modificar o que for necessrio para atender
os objetivos de controles, fazendo uso de conceitos, metodologias e ferramentas disponveis no mercado.
Isso deve ser feito com base em uma metodologia para a modelagem de processos, caso contrrio, as representaes e
as formas de abordagens podem diferir muito entre as vrias reas em TI, dificultando a integrao nelas.
Existem vrias metodologias para modelagem de processos, ferramentas de Total Quality Management TQM, 6
Sigma, Design for 6 Sigma, Business Process Redesign BPR, Business Process Management BPM, Integrated
DEFinition Methods IDEF, e outras metodologias proprietrias de diversas consultorias de mercado. Independente da
metodologia adotada, os passos giram em torno destas aes.
Levantamento da situao atual: feito o mapeamento da situao atual com base em diagramas, mtricas
e formulrios em que so representadas as caractersticas dos processos vigentes.
Anlise e Diagnstico: realizada a anlise de conformidade em relao ao referencial escolhido com base
em requerimentos do negcio, restries do processo, comparao com outros processos, requerimentos dos
clientes e outras referncias.
Desenho da Situao Desejada: partindo-se da situao existente, feito o desenho do processo que contempla
os GAPs em relao ao referencial escolhido, respeitadas as restries de recursos e os direcionamentos
estratgicos.
Implementao: alteram-se polticas, normas, procedimentos, mecanismos, acordos de nveis de servios,
indicadores e demais estruturas, conforme o novo desenho do processo.
Monitoramento: so coletados e monitorados os indicadores conforme as faixas de conformidade acordadas,
atuando-se nos desvios e acompanhando as tendncias para manter o processo em um ciclo de melhoria
contnua.
Conforme a fase da modelagem dos processos de TI, a estrutura de controles do COBIT auxilia na estruturao do
levantamento, entendimento, acompanhamento da implementao e monitoramento dos processos implementados.
Esse desenvolvimento tem como caracterstica a alta produo de bens durveis e no durveis, assim como a agilidade
nos processamentos de dados em uma instituio financeira; a comodidade de fazer uma compra, fechar um contrato,
fazer um emprstimo tudo por meio do uso da Internet. Consequentemente, tambm cresce a indstria de roubo e
comercializao de informaes confidenciais adquiridas por hackers. Para isso, necessrio que a organizao tenha
a luz de metodologias e ferramentas que lhe auxiliem no combate contra os hackers e na segurana das informaes,
lembrando-se do tipo de informao que a organizao pretende proteger, contra quem e o quanto est disposta a
gastar, pois no vivel que uma empresa venha a gastar um milho de reais para proteger cem reais.
Muitas organizaes reconhecem os benefcios potenciais que a tecnologia pode propiciar. Contudo, somente as
organizaes de sucesso compreendem e gerenciam os riscos associados com a implementao de novas tecnologias.
cada vez mais importante, para o sucesso e sobrevivncia de uma organizao, o gerenciamento efetivo da informao
e da respectiva tecnologia de informao (TI), pois cada vez mais crescente as empresas que criam e desenvolvem
hardware e software.
43
Unidade II
O COBIT auxilia a associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
Propicia boas prticas por uma matriz de domnios e processos estruturados de forma lgica e gerencivel. Tais prticas
representam o consenso de especialistas, tendo sido pesquisadas e consolidadas pela Information Systems Audit and
Control Foundation ISACF (Fundao de Auditoria e Controle de Sistemas de Informao), com o intuito principal de
constituir-se em uma fonte educacional para profissionais de controle.
Foi desenvolvido como um padro geralmente aceito e aplicvel para boas prticas de controle e segurana de Tecnologia
de Informao, objetivando ser seu equivalente dos Princpios Contbeis Geralmente Aceitos.
A matriz de domnios e processos est composta por 34 macro-objetivos de controle, um para cada processo de TI,
agrupados em quatro domnios: planejamento e organizao, aquisio e implementao, fornecimento e suporte,
e monitorao. Tal estrutura cobre todos os aspectos da informao e da tecnologia que a suporta. Outrossim, a
cada um dos 34 macro-objetivos de controle esto associadas linhas mestras para auditoria ou garantia da qualidade,
possibilitando a reviso dos processos de TI contra os 318 objetivos detalhados de controle recomendados pelo COBIT.
O COBIT est organizado em quatro domnios para refletir um modelo para os processos de TI. Os domnios podem ser
caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantao da Governana Tecnolgica.
Planejamento e Organizao: define as questes estratgicas ligadas ao uso da TI em uma organizao;
trata de vrios processos, entre eles, definio da estratgia de TI, arquitetura da informao, direcionamento
tecnolgico, investimento, riscos, gerncia de projetos e da qualidade.
Aquisio e Implementao: define as questes de implementao da TI conforme as diretivas estratgicas
e de projeto predefinidos no Plano Estratgico de Informtica da empresa, tambm conhecido como o Plano
Diretor da Tecnologia da Informao PDTI. Possui uma srie de processos como, por exemplo, identificao
de solues automatizadas a serem aplicadas ou reutilizadas na corporao, aquisio e manuteno de
sistemas e de infraestrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalao e
gerncia de mudanas.
Entrega e Suporte: define as questes operacionais ligadas ao uso da TI para atendimento aos servios para
os clientes, manuteno e garantias ligadas a esses servios.
Monitorao: define as questes de auditoria e acompanhamento dos servios de TI, sob o ponto de vista
de validao da eficincia dos processos e da evoluo dos mesmos em termos de desempenho e automao.
Os processos desse domnio tratam, basicamente, de superviso das atividades dos outros processos;
adequaes realizadas na empresa para garantia de procedimentos operacionais; coleta e anlise de dados
operacionais e estratgicos para auditoria e para controle da organizao.
44
O momento desses domnios aps a ativao de um servio e sua entrega ao cliente, que pode operar ou utilizar
os servios da empresa para operao terceirizada. Os processos relativos a esse domnio tratam da definio dos
nveis de servio (Service Level Agreement SLA); gerncia de fornecedores integrados s atividades; garantias de
desempenho, continuidade e segurana de sistemas; treinamento de usurios; alocao de custos de servios; gerncia
de configurao; gerncia de dados, problemas e incidentes.
Alm dos quatro domnios principais que guiam o bom uso da tecnologia da informao na organizao, existe tambm a
questo de auditoria que permite verificar, por meio de relatrios de avaliao, o nvel de maturidade dos processos da
organizao. O mtodo de auditoria segue o Modelo de Maturidade da Capacidade CMM, que estabelece os seguintes nveis:
inexistente o processo de gerenciamento no foi implantado;
inicial o processo realizado sem organizao, de modo no planejado;
repetitivo o processo repetido de modo intuitivo, isto , depende mais das pessoas do que de um mtodo
estabelecido;
Unidade II
definido o processo realizado, documentado e comunicado na organizao;

gerenciado existem mtricas de desempenho das atividades, o processo monitorado e constantemente
avaliado;
otimizado as melhores prticas de mercado e automao so utilizadas para a melhoria contnua dos
processos.
O resultado do relatrio identifica o grau de evoluo dos processos na organizao que avaliada, de modo concreto,
com base em relatrios confiveis de auditoria e parmetros de mercado. O sumrio executivo do relatrio traz as
seguintes informaes: se existe um mtodo estabelecido para o processo; como definido e estabelecido; quais os
controles mnimos para a verificao do desempenho; como pode ser feita auditoria; quais as ferramentas utilizadas e o
que avaliar para sua melhoria. A partir de ento, a organizao define as metas, isto , os objetivos de controle a serem
atingidos.
Figura 9 Domnios do modelo COBIT
A informao de uma empresa gerada/modificada pelos recursos de TI. A informao requisito para o domnio de
Planejamento e Organizao PO (Planning and Organization) e seus processos. Os requisitos de sada do PO so
requisitos de entrada de informao para o domnio de Aquisio e Implementao AI (Acquisition and Implementation),
que, por sua vez, definem os requisitos de entrada para o domnio de Entrega e Suporte DS (Delivery and Support). O
domnio de Monitorao M (Monitoring) utiliza as informaes do DS nos seus processos e atividades relacionadas.
Os requisitos da informao so dados por: efetividade, eficincia, confidencialidade, integridade, disponibilidade,
conformidade e confiabilidade. Os recursos de TI so classificados como: pessoas, sistemas aplicativos, tecnologia,
infraestrutura e dados.
Vejamos, a seguir, de forma mais detalhada os componentes que formam o domnio do COBIT.
Os domnios do COBIT, apresentados na figura anterior (Fig 9) so integrados da seguinte forma.
45
Unidade II
Planejamento e Organizao PO
O componente Planejamento e Organizao PO composto por dez processos que sero detalhados a seguir.
PO1 Definir um Plano Estratgico de TI O planejamento estratgico requerido para gerenciar e direcionar todos os
recursos da TI em linha com as estratgias e prioridades do negcio. O plano estratgico deve aumentar a compreenso
dos stakeholders-chave em relao das oportunidades e dos limites da TI, avaliar o desempenho atual e esclarecer
o nvel de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portfolios e
executadas por meio dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas
e aceitas pelo negcio e da TI.
PO2 Definir a Arquitetura de Informao A funo dos sistemas de informao deve criar e atualizar regularmente
um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso da informao. Este processo
melhora a qualidade de decises feitas pelas gerncias e assegura que informaes confiveis e seguras so providas, e
isso habilita a racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias de negcio.
Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e a segurana dos dados e
melhorar a efetividade e o controle sobre o compartilhamento de informao por meio de aplicaes e entidades.
PO3 Determinar a Direo Tecnolgica A funo dos servios de informao deve determinar a direo tecnolgica
para suportar o negcio. Isso requer a criao de um plano da infraestrutura tecnolgica e um comit de arquitetura
que fixa e gerencia expectativas claras e realsticas: o que a tecnologia pode oferecer em termos de produtos, servios
e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistemas,
direo tecnolgica, planos de aquisio, padres, estratgias de migrao e contingncia.
PO4 Definir Processos de TI, Organizao e Relacionamento Sabe-se que uma organizao da TI precisa ser definida,
considerando os requerimentos para pessoas, habilidades, funes, responsabilidade, autoridade, papis e superviso.
Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram transparncia e
controle, como tambm envolvem os executivos seniores e gerentes de negcio. Um comit estratgico deve assegurar
uma viso geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determinar
a priorizao dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos
administrativos necessitam de ser implementadas para todas as funes, com ateno especfica para o controle, a
garantia de qualidade, o gerenciamento de riscos, a segurana de informao, a propriedade para dados e sistemas e a
segregao de direitos.
46
PO5 Gerenciar o Investimento em TI Estabelece e mantm um framework para gerenciar programas que habilitam
investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, processo formal de oramentos e
gerenciamento em relao aos oramentos. O processo deve favorecer os relacionamentos entre a TI e stakeholders do
negcio; habilitar o uso efetivo e eficiente dos recursos da TI; prover transparncia e responsabilidade nos custos totais
de propriedade; relao do benefcio para o negcio e retorno sobre investimentos que habilitam a TI.
PO6 Comunicar Metas e Diretivas Gerenciais A administrao deve desenvolver um framework de controle empresarial
da TI e definir e comunicar polticas. Um programa contnuo de comunicao deve ser implementado para articular
misso, objetivos de servio, polticas e procedimentos, aprovados e suportados pela administrao. A comunicao
suporta o atingimento dos objetivos da TI e assegura conscientizao e compreenso em relao do negcio e os riscos,
objetivos e a direo da TI.
PO7 Gerenciar Recursos Humanos Deve-se adquirir, manter e motivar a fora de trabalho competente para criar
e entregar servios da TI para o negcio. Isso atingido seguindo prticas definidas e acordadas que suportam o
recrutamento, treinamento, avaliao do desempenho, promoo e demisso.
PO8 Gerenciar Qualidade Um sistema de gerenciamento da qualidade deve ser desenvolvido, mantido e includo em
um processo de desenvolvimento e aquisio comprovado e padronizado. Isso habilitado por meio do planejamento,
Unidade II
implementao e manuteno do sistema de qualidade que provm requerimentos claros de procedimentos e polticas.
Requerimentos de qualidade devem ser determinados e comunicados com indicadores quantificveis e atingveis.
Melhorias contnuas so atingidas por intermdio de um monitoramento operacional. Gerenciamento da qualidade
essencial para assegurar que a TI entregue valor para o negcio, melhorias contnuas e transparncia para stakeholders.
PO9 Avaliar e Gerenciar Riscos O framework documenta um nvel de riscos da TI comum e acordado, estratgias
de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada
por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao de riscos devem ser
adotadas para minimizar riscos residuais a um nvel aceitvel.
PO10 Gerenciar Projetos Deve assegurar a correta priorizao e coordenao de todos os projetos. O framework
deve incluir um plano-mestre (portfolio), em que todos os projetos sero gerenciados. Essa abordagem reduz o risco de
custos no esperados e o cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios
finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam
investimentos em TI.
Daremos nfase agora ao componente de Aquisio e Implementao, adotado pelo modelo COBIT. Tal componente
formado por sete processos. Vejamos suas caractersticas.
Aquisio e Implementao AI
AI1 Identificar Solues Automatizadas A necessidade para novas aplicaes ou funes requer uma anlise antes
da aquisio ou criao, para assegurar que os requerimentos do negcio sejam satisfeitos numa abordagem efetiva
e eficiente. Esse processo deve definir as necessidades, considerando fontes alternativas, a reviso da viabilidade
tecnolgica e econmica, a execuo de anlise de risco e a anlise de custo/benefcio e a concluso de uma deciso final
de fazer ou comprar. Todos esses passos habilitam a organizao a minimizar os custos de adquirir e implementar
solues, enquanto asseguram que estes habilitam o negcio para atingir seus objetivos.
AI2 Adquirir e Manter Software Aplicativo As aplicaes devem estar disponveis e alinhadas com os requerimentos
de negcio. Esse processo envolve o desenho de aplicaes, a incluso apropriada de controles de aplicao, os
requerimentos de segurana, o atual desenvolvimento e a configurao, conforme os padres. Isso permite s
organizaes suportar, apropriadamente, as operaes de negcio com as corretas aplicaes automatizadas.
AI3 Adquirir e Manter Arquitetura Tecnolgica Cria-se o processo para aquisio, implementao e atualizao
da infraestrutura tecnolgica. Isso requer uma abordagem planejada para aquisio, manuteno e proteo da
infraestrutura tambm alinhadas com as estratgias tecnolgicas acordadas. Isso assegura que o suporte tecnolgico
operacional suporta as aplicaes de negcio.
AI5 Obter Recursos de TI Define e sanciona procedimentos de aquisio, seleo de fornecedores, realizao de
arranjos contratuais e a aquisio. Dessa forma, assegura-se que a organizao tem todos os recursos de TI requeridos
em tempo e de maneira efetiva em custo.
AI6 Gerenciar Mudanas Todas as mudanas, inclusive mudanas emergenciais e correes, relacionadas infraestrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciadas formalmente e de uma maneira
controlada. Mudanas precisam ser registradas, avaliadas e autorizadas antes de serem implementadas. Isso assegura
a mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.
AI4 Manter Operao e Uso Define que o conhecimento sobre novos sistemas necessita ser disponibilizado. Esse
processo requer a produo de documentao e manuais para usurios da TI e promove treinamento que assegura o uso
e a operao apropriados de aplicaes e o perfeito uso da infraestrutura.
47
Unidade II
AI7 Instalar e Certificar Solues e Mudanas Trata de testes apropriados em um ambiente dedicado com dados de
teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes, promoo atual para a
produo e revises ps-implementao. Isso assegura que sistemas operacionais esto alinhados com as expectativas
e resultados acordados.
Continuando o estudo do Modelo COBIT, daremos nfase agora ao componente de Entrega e Suporte DS, implementado
pelo modelo. Tal componente formado por treze processos.
Entrega e Suporte DS
DS1 Definir Nveis de Servios Prioriza-se a comunicao efetiva entre a gerncia da TI e os clientes de negcio,
em relao aos servios requeridos; habilitado por meio da documentao e do acordo de servios de TI e dos nveis
de servios. Esse processo tambm inclui o monitoramento e a comunicao em tempo para os stakeholders sobre o
cumprimento dos nveis de servios. Esse processo habilita o alinhamento entre os servios de TI e os requerimentos de
negcio associados.
DS2 Gerenciar Servios de Terceiros A necessidade de assegurar que servios terceirizados atendam os
requerimentos do negcio requer um processo efetivo de gesto. Esse processo efetuado com papis claramente
definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento
desses acordos para efetividade e conformidade.
A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo para rever,
periodicamente, o desempenho e a capacidade atual desses recursos.
DS3 Gerenciar Performance e Capacidade Inclui a previso das futuras necessidades baseada na carga de trabalho
e de contingncia.
DS4 Garantir Continuidade dos Servios Trata-se efetivamente da continuidade de servio, minimizando a
probabilidade e o impacto de interrupes maiores de servio sobre funes e processos de negcio.
DS5 Garantir Segurana dos Sistemas Mantm a integridade da informao e protege os ativos da TI. Esse
processo inclui estabelecer e manter papis e responsabilidades, polticas, padres e procedimentos da segurana de
TI. Gerenciamento da segurana tambm inclui realizar monitoramento de segurana, testes peridicos, e implementar
aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana protege
todos os ativos da TI, para minimizar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.
A necessidade para um justo e imparcial sistema de alocar custos para o negcio requer a medio exata de custos da TI.
48
DS6 Identificar e Alocar Custos Inclui a criao e operao de um sistema de captura, alocao e reporte dos custos
da TI para os usurios de servios. Um sistema justo de alocao habilita o negcio de fazer mais decises informadas
em relao do uso de servios da TI.
A educao efetiva de todos os usurios de sistemas de TI requer a identificao das necessidades de cada grupo de
usurios.
DS7 Educar e Treinar Usurios Inclui a definio e execuo de uma estratgia para um treinamento efetivo e
medio de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo
de erros de usurios, aumenta a produtividade e aumenta a conformidade com controles-chave como as medidas de
segurana de usurios.
Unidade II
DS8 Gerenciar Service Desk e Incidentes Implementa-se uma central de servios e um mtodo de gerenciamento de
incidentes. O benefcio para o negcio inclui um aumento de produtividade por meio da resoluo rpida das perguntas
dos usurios.
Assegurar a integridade da configurao de hardware e software requer o estabelecimento e manuteno de um preciso
e completo repositrio de configurao.
DS9 Gerenciar a Configurao Assegura o gerenciamento efetivo da configurao facilitando a disponibilidade maior
do sistema, minimizando assuntos de produo e resolvendo estes assuntos mais rapidamente.
DS10 Gerenciar Problemas Requer identificao e classificao de problemas, anlise da causa-raiz e resoluo
de problemas. O processo do gerenciamento de problemas inclui a identificao de recomendaes para melhorar a
manuteno de registros de problemas e reviso do status de aes corretivas. Um processo do gerenciamento de
problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.
DS11 Gerenciar Dados Trata-se da identificao de requerimentos para dados. O processo tambm inclui estabelecer
procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao. Gerenciamento efetivo de dados
ajuda assegurar a qualidade, a oportunidade e a disponibilidade de dados do negcio.
A proteo para equipamentos de computao e pessoal requer instalaes bem-desenhadas segundo as suas finalidades.
DS12 Gerenciar os Ambientes Fsicos Inclui definio dos requerimentos para um lugar fsico, seleo de instalaes
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e o acesso fsico. Gerenciamento
efetivo do ambiente fsico reduz interrupes do negcio devido a danos nos equipamentos de computao e no pessoal.
E, por fim, o processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e
a manuteno de equipamentos.
DS13 Gerenciar Operaes Inclui a definio de polticas e os procedimentos operacionais para um gerenciamento
efetivo da infraestrutura e a manuteno preventiva dos materiais de TI. Gerenciamento efetivo da operao ajuda
manter a integridade de dados e reduz atrasos no negcio e custos da operao da TI.
Para concluirmos os domnios do COBIT, veremos a seguir o quarto e ltimo componente do modelo: o componente
Monitorao e Avaliao ME.
Monitorao e Avaliao ME
A administrao geral deve estabelecer um framework global de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos.
ME2 Monitorar e Avaliar Controle Interno Inclui monitorao e reporte de excees de controle, resultados da autoavaliao e reviso de fornecedores. Um benefcio principal do controle interno de monitorao fornecer segurana
relacionada efetividade operacional e a conformidade com leis e regulamentos.
ME3 Assegurar Conformidade Regulatria Inclui definio de um auditor independente; tica profissional e padres;
planejamento; desempenho do trabalho de auditoria e relatrios de acompanhamento dessas atividades. O propsito
desse processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos em vigor.
ME1 Monitorar e Avaliar a Performance de TI Cria esse framework que deve estar integrado com o sistema de
gerenciamento de desempenho da companhia.
49
Unidade II
ME4 Fornecer Governana de TI Estabelece um framework efetivo de governana, incluindo a definio de estruturas
organizacionais, processos, liderana, papis e responsabilidades para assegurar que os investimentos em TI empresarial
estejam alinhados e entregues de acordo com as estratgias e objetivos empresariais.
Vimos neste captulo que o COBIT pontua o grau de Governana Tecnolgica numa organizao de 1 at 5, similar ao
Capability Maturity Model CMM-I. O primeiro passo seria levantar os domnios e o grau de utilizao das atividades
dos processos na organizao de forma satisfatria, para poder identificar qual o grau alcanado pela organizao. Esse
trabalho de levantamento feito com a utilizao de questionrios e, portanto, o investimento nestas atividades no
precisa ser grande, restringe-se, basicamente, ao tempo dispendido pelas pessoas envolvidas. Dessa forma, refora-se
o conceito de que o COBIT independe de novas tecnologias, pelo contrrio, realizado em paralelo implementao dos
sistemas corporativos de gerenciamento e administrao da organizao.
A principal vantagem da qualificao do uso da tecnologia a integrao da TI aos outros departamentos da organizao.
Isso no pode ser feito sem a quebra de barreiras internas e as mudanas de paradigma na organizao.
O resultado da auditoria da metodologia COBIT para avaliao do nvel de maturidade (grau dos processos) ajuda a rea
de TI a identificar o grau atual e a evoluir para melhorar os processos da organizao.
50
Unidade II
Captulo 7 BSS 7799 ISO 17799
A segurana da informao a proteo dos sistemas de informao

contra a negao de servio a usurios autorizados, assim como
contra a intruso e a modificao no autorizada de dados ou
informaes, armazenados, em processamento ou em trnsito,
abrangendo a segurana dos recursos humanos, da documentao
e do material, das reas e instalaes das comunicaes e
computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaas a seu desenvolvimento.
NBR no 17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999
Segurana a base para dar s empresas a possibilidade e a liberdade necessria para a criao de novas oportunidades
de negcio. evidente que os negcios esto cada vez mais dependentes das tecnologias e estas precisam estar de
tal forma a proporcionar confidencialidade, integridade e disponibilidade que, conforme a NBR no 17799, so os
princpios bsicos para garantir a segurana da informao. A confidencialidade assegura que a informao somente
pode ser acessada por pessoas explicitamente autorizadas. a proteo de sistemas de informao para impedir que
pessoas no autorizadas tenham acesso ao mesmo. O aspecto mais importante desse item garantir a identificao
e autenticao das partes envolvidas. J a disponibilidade certifica que a informao ou sistema de computador deve
estar disponvel no momento em que ela for necessria. A integridade assegura que a informao deva ser retornada em
sua forma original no momento em que foi armazenada. a proteo dos dados ou das informaes contra modificaes
intencionais ou acidentais no autorizadas.
Outros estudiosos defendem que, para uma informao ser considera segura, o sistema que o administra ainda deve
respeitar aos seguintes requisitos.
Autenticidade: garante que a informao ou o usurio dela autntico; atesta com exatido, a origem do dado
ou informao.
Legalidade: garante a legalidade (jurdica) da informao; aderncia de um sistema legislao; caracterstica

das informaes que possuem valor legal dentro de um processo de comunicao, em qual todos os ativos
esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou
internacional vigentes.
Privacidade: foge do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas
no privada. Uma informao privada deve ser vista/lida/alterada somente pelo seu dono. Garante, ainda, que a
informao no ser disponibilizada para outras pessoas (nesse caso atribudo o carter de confidencialidade
a informao); a capacidade de um usurio realizar aes em um sistema sem que seja identificado.
Auditoria: define a rastreabilidade dos diversos passos que um negcio ou processo realizou ou que uma
informao foi submetida, identificando os participantes, os locais e os horrios de cada etapa. Auditoria em
software significa uma parte da aplicao, ou conjunto de funes do sistema, que viabiliza uma auditoria.
No-repdio: definido que no possvel negar uma operao ou servio que modificou ou criou uma
informao, ou seja, no possvel negar o envio ou recepo de uma informao ou dado (no sentido de dizer
que no foi feito).
51
Unidade II
Consiste no exame do histrico dos eventos dentro de um sistema para determinar quando e onde ocorreu
uma violao de segurana.
Vale ressaltar que segurana no tecnologia. No possvel comprar um dispositivo que torne a sua empresa segura,
assim como no possvel comprar ou criar um software capaz de tornar seu computador seguro. Como trabalho,
a segurana tambm se constitui de um processo. Pode-se fazer uma analogia com o trabalho de uma analista de
sistemas, mas o trabalho de um profissional de segurana assim resumido.
Anlise do problema levando em considerao tudo que conhece.
Sntese de uma soluo para o problema a partir de sua anlise.
Avaliao da soluo e aprendizado dos aspectos que no corresponderam s expectativas.
Experimente perguntar ao executivo de uma empresa quais so os objetivos das equipes de segurana e, provavelmente,
receber respostas parecidas com so eles que nos mantm seguros l. Se pressionadas, muitas pessoas podero ir
um pouco adiante, descrevendo o lado da segurana fsica: no permitir a entrada de visitas sem autorizao, verificar
se esto trancadas as portas que devem permanecer trancadas e ajudar em qualquer emergncia. pouco provvel que
as mesmas pessoas compreendam para que existe a equipe de segurana dos computadores.
Na melhor das hipteses, provavelmente voc ouvir manter os hackers fora de nossa rede. Cabe equipe de segurana
da rede partir dessa descrio vaga e mostrar que seu trabalho mais amplo, at o ponto em que possa fixar prioridades
e merecer estar includo nos oramentos.
Se voc perguntar aos profissionais de segurana o que poder fazer de mais importante para proteger sua rede, eles
respondero, sem hesitar, que escrever uma boa poltica de segurana.
A Poltica de Segurana apenas a formalizao dos anseios da

empresa quanto proteo das informaes.
Emilio Nakamura. Segurana de Redes, p. 56
52
A poltica de segurana um mecanismo preventivo de proteo de dados e processos importantes de uma organizao,
que define um padro de segurana a ser seguido pelo corpo tcnico e gerencial, e pelos usurios internos ou externos.
Pode ser usada para definir as interfaces entre usurios, fornecedores e parceiros e para medir a qualidade e a segurana
dos sistemas atuais.
A International Organization for Standardization ISO uma organizao sediada em Genebra, na Sua, fundada em
1946. A sigla ISO foi originada da palavra isonomia. O propsito da ISO desenvolver e promover normas que possam
ser utilizadas igualmente, por todos os pases do mundo. Cerca de 111 pases integram essa importante organizao
internacional, especializada em padronizao, nos quais os membros so entidades normativas de mbito nacional. O
Brasil representado pela Associao Brasileira de Normas Tcnicas ABNT.
A ISO 17799 um conjunto de recomendaes voltadas para a rea de segurana nas empresas. um padro flexvel e
as suas recomendaes independem da tecnologia a ser adotada e no interfere nas medidas de segurana j existentes.
Essas duas caractersticas, a flexibilidade e, particularmente, a impreciso foram elaboradas de forma intencional, pois
quase impossvel criar um padro de segurana que funcione em todos os ambientes de TI. Ela simplesmente fornece
um conjunto de ideias que devem ser adaptadas s circunstncias de sua empresa. um padro que possui 11 sees
de controle segundo a ABNT NBR ISO/ IEC no 17799:2005 voltadas para a Tecnologia da Informao.
Unidade II
Poltica de Segurana da Informao

Prover uma orientao e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes.
Organizando a Segurana da Informao

Gerenciar a segurana da informao dentro da organizao, instalando, explorando e mantendo acordos de
confidencialidade, contato com autoridades em todos os nveis e identificando riscos e seus respectivos projetos de
mitigao.
Gesto de Ativos
Alcanar e manter a proteo adequada dos ativos da organizao, inventariando e classificando ativos e informaes.
Segurana em Recursos Humanos

Assegura que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os
seus papis; reduz o risco de roubo, fraude ou mau uso de recursos. Uma poltica de recrutamento, seleo e treinamento
de seus recursos humanos deve ser pensada neste item.
Segurana Fsica e do Ambiente

Previne o acesso fsico no autorizado, os danos e as interferncias com as instalaes e as informaes da organizao,
estabelecendo uma poltica transparente de controle fsico e lgico de acessos.
Gesto das Operaes e Comunicaes

Garante a operao segura e correta dos recursos de processamento da informao, a includos a gesto de mudanas,
capacidade, controle de redes, controle contra cdigos maliciosos, mensagens eletrnicas e comrcio eletrnico.
Controle de Acesso
Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

Estabelece a garantia de que a segurana parte integrante de sistemas de informao. Conscientizar os agentes
decisrios desta importncia.
Gesto de Incidentes e Segurana da Informao

Assegura que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam
comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Procura controlar o acesso informao, estabelecendo polticas e gerenciamento de acesso aos ativos de TI da
empresa, tais como: gerenciamento de privilgios, senhas de usurios e controle das redes de comunicao de dados.
53
Unidade II
Gesto da Continuidade do Negcio

Controla a ininterruptibilidade das atividades do negcio; protege os processos crticos contra efeitos de falhas ou
desastres significativos, bem como assegura a sua retomada em tempo hbil, se for o caso com aes que incluam a
segurana da informao no processo de gesto da continuidade de negcio.
Conformidade
Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao, sempre em conformidade com requisitos legais no que tange a registros
organizacionais, controles de criptografia e demais polticas de segurana.
O padro britnico Bristish Standard no 7799 BS 7799 um padro de segurana amplamente reconhecido. De fcil
compreenso e implementao, contm um grande nmero de requisitos de controle. A primeira parte o cdigo da
prtica para a segurana das informaes, contendo as dez sees e controles-chave para a criao da estrutura de
segurana das informaes.
A segunda parte a base para a certificao, contendo cem controles que foram detalhados e ajustados conforme os
objetivos e controles da primeira parte. Como vimos neste captulo, a BS no 7799 um padro organizado em 11 sees.
A BS no 7799 abrange a segurana, desde a definio e documentao das polticas de segurana at a conformidade
com as normas, regulamentaes e legislaes de proteo dos dados, passando pelos treinamentos em segurana,
relatrios dos incidentes de segurana, controle de vrus entre outros.
54
Unidade III
A Norma ISO 20000
S quando um saber se torna codificado que ele passa a contribuir

em larga escala para a sociedade.
Clemente Nbrega, 2004
Estudaremos nesta unidade mais uma norma ISO, mas desta vez voltada para a rea de servio. Normas de servios
so importantes na composio de uma Governana de TI, pois este ltimo recurso nada mais do que um conjunto de
preciosos servios.
Captulo 8 Conceituaes da Norma ISO 20000
Essa norma tem como escopo definir requisitos para o correto gerenciamento de uma empresa prestadora de servios de
TI, garantindo a entrega aos clientes de servios de qualidade. So requisitos da norma definio de polticas, objetivos,
procedimentos e processos de gerenciamento para assegurar a qualidade efetividade na prestao de servios de TI. Os
processos da ISO/IEC 20000 so os seguintes:
processos de planejamento e implementao;
processos de entrega de servios;
processos de relacionamento;
A ISO/IEC 20000 adota a metodologia conhecida como Plan-Do-Check-Act PDCA para os processos de planejamento
e implementao de servios, que consiste de quatro tarefas bsicas.
Plan planejar: estabelece os objetivos e processos necessrios para entrega dos servios com qualidade.
Do fazer: implementa os processos estabelecidos no plano.
Check avaliar ou checar: monitora e estabelece mtricas para os processos visando confirmar se eles esto
sendo executados com qualidade.
Act agir: toma aes que visam melhoria contnua dos processos e dos resultados gerados por estes.
processos de soluo, liberao e controle.
55
Decises sobre Lojas
Unidade III
A primeira atividade de processos de entrega de servios est na elaborao de acordos de nveis de servio que so
realizados entre as reas solicitantes e a rea de gesto de servios de TI. A exemplo do Service Delivery (Servio
de Entrega) do ITIL, citado em captulos anteriores, os processos de entrega de servios na ISO/IEC 20000 tratam
ainda das atividades de emisso e da distribuio de relatrios acerca da disponibilidade e continuidade de servios,
oramento e contabilidade de custos e gerenciamento da capacidade.
Os processos de relacionamento na ISO/IEC 20000 tratam do relacionamento entre o prestador de servios de TI e seus
clientes, inclusive a identificao das necessidades dos clientes e o gerenciamento de mudanas dessas necessidades.
Inclui ainda atendimento de reclamaes e processo de escalao de problemas urgentes, caso no sejam resolvidos
pelo processo comum. Tambm deve-se obter feedback do cliente por meio da medio do seu nvel de satisfao.
Os processos de soluo, liberao e controle na ISO/IEC 20000 tratam de: atividades de tratamento; incidentes e
problemas; gerenciamento de configuraes; gerenciamento de mudanas e de gerenciamento de liberaes.
vlido ressaltar que a ISO/IEC 20000 a primeira norma mundial, especificamente focada para o Gerenciamento
de Servios de TI. Ela no formaliza a incluso das prticas da ITIL, embora esteja descrito na norma um conjunto de
processos de gerenciamento que esto alinhados com os processos definidos dentro dos livros do ITIL.
O ITIL e o ISO 20000 so modelos independentes?
A certificao ISO/IEC 20000 fornece uma base para prover que uma organizao tenha implementado os processos de
gerenciamento de servios e utiliza-os de forma consistente dentro da organizao. O seu propsito promover a adoo de
um processo integrado para entregar servios que satisfaam os requisitos do negcio e do cliente. Para isso, ele introduz
uma cultura de servios e prov as metodologias para entregar servios que atendam aos requisitos de negcio definidos e
s prioridades de um "modo gerencivel. Alm disso, ele enfatiza processos para apoiar a qualidade real de fornecimento,
ajudando as organizaes a gerar receita ou a ter um custo efetivo via um gerenciamento de servio profissional.
Vejamos, a seguir, outras caractersticas de organizaes que adotam a norma ISO 20000 como modelo de Gesto de
Servios em Tecnologia da Informao.
Ajudar os provedores de servios a determinar uma conformidade com as melhores prticas.
56
Transformar departamentos focados em tecnologia, em departamentos focados em servios.

Melhorar a confiabilidade e disponibilidade dos sistemas.
Prover uma base para acordos em nvel de servios.
Fornecer o ganho em marketing e vantagem competitiva.
A ISO 20000 particularmente importante para organizaes de setores industriais em que a qualidade dos servios
de TI essencial para o sucesso empresarial. Tambm relevante para organizaes que fornecem servios geridos e
subcontratao de servios de TI ajudando a atender conformidades regulatrias.
Ela foi desenvolvida para estar alinhada com a famlia ISO 9001 & ISO/IEC 27001. Para as organizaes que no
procuram certificao, a norma pode ser utilizada como guia para melhorar os seus processos de TI e reduzir os custos.
Normalmente, o clima da equipe melhora ao trabalhar em um ambiente controlado pela norma ISO/IEC 20000.
Decises sobre Lojas
Unidade III
Captulo 9 Abordagem do Processo
A ISO/IEC 20000 promove a adoo de uma abordagem integrada de processos. Para uma organizao funcionar de
maneira eficaz, ela tem de identificar e gerenciar vrias atividades interligadas.
Abordagem de processo
Um processo um conjunto de atividades inter-relacionadas ou
interativas que usa recursos para transformar entradas em sadas.
A abordagem de processo identifica, sistematicamente, e gerencia

a interligao, combinao e interao de um sistema de processos
dentro de uma organizao.
A ISO/IEC 20000 est baseada em uma abordagem de processos

para gerenciamento de servios de TI.
Figura 10 Abordagem do processo da ISO 20000
Uma organizao deve demonstrar que ela tem controle do gerenciamento de cada um dos processos da ISO/IEC 20000.
Esse controle de gerenciamento de um processo consiste em:
conhecimento e controle das sadas;
conhecimento, uso e interpretao das sadas;
demonstrao de evidncia da responsabilidade pela funcionalidade do processo.
Existem 217 requisitos dentro da norma ISO/IEC 20000. A organizao precisa cobrir por inteiro a norma, ou seja, todos
os 217 requisitos.
Norma ISO 20000
Entrada
Atividade
Atividade
Atividade
Sair
Figura 11 Controle imposto pela norma ISO 20000
Desse modo a certificao na norma por parte das organizaes somente ser concedida para aquelas que possurem a
Gesto de Servios em Tecnologia da Informao GSTI. Tal certificao apenas tratar das operaes de GSTI dentro
da organizao.
Medir
57
Decises sobre Lojas
Unidade III
Assim, no se concede a certificao para os produtos e servios de consultoria oferecidos pelas organizaes.
Observe na fig 12 como a norma ISO 20000 se relaciona com os demais frameworks de Governana de Tecnologia da
Informao.
Guias
Governana Corporativa
DESEMPENHO:
Metas do negcio
CONFORMIDADE:
Basileia II, SOX etc
Balanced
Scorecard
COSO
Governana de TI
Sistemas de Gesto
Processos e Procedimentos
COBIT
ISO 9001:2000
ISO 27001
ISO 20000
Procedimentos de
Qualidade
Princpios de
Segurana
Operaes
Figura 12 Relao da Norma ISO 20000 com os demais frameworks de Governana
Esta norma poder ser comprada no site
58
<http://20000.standardsdirect.org/>
Para (no) Finalizar
Nesta disciplina, conhecemos as principais metodologias e normas que influenciam a Governana de TI de uma empresa.
Devemos ressaltar que esses aspectos apresentados no podem ser encarados como a soluo para todos os problemas
da empresa relacionadas com TI.
Tambm vale lembrar que os mtodos, particularmente o ITIL e o COBIT, so guias para a execuo das melhores
prticas de Governana de TI, mas cada organizao deve ter em mente que as circunstncias que a cercam so
diferentes e, em consequncia, a implementao deve levar isso em considerao. O que deu certo em uma empresa
pode no ser a sua soluo.
O que foi visto no um trilho, e sim uma trilha. No existe A soluo do problema, mas UMA soluo para o
problema. Nossos estudos no param por aqui. Devemos procurar implementar essas teorias nos nossos ambientes de
trabalho, pois, s ter a teoria sem aplic-la no dia a dia ser um grande desperdcio em nossas vidas.
Outra grande ideia integrar esses conhecimentos de Governana de TI s outras disciplinas que viro em seguida.
misso do Gestor de Tecnologia da Informao integrar conhecimentos em prol da TI de sua empresa.
59
Referncias
FERNANDES, Aguinaldo Aragon; ABREU, Wladimir Ferraz de. Implantando a Governana de TI. Brasport, 2006.
MANSUR, Ricardo. Governana de TI: Metodologias, Frameworks e Melhores Prticas. Brasport, 2007.
OLIVEIRA Djalma de Pinho Rebouas. Planejamento Estratgico: Conceitos de Metodologias Prticas. 14 ed. rev.
So Paulo: Atlas.
THOMPSON, A. Arthur; STRICKLAND A. J. Planejamento Estratgico Elaborao, Implementao e Execuo.
So Paulo: Pioneira, 2000.
WEILL, Peter; ROSS, Jeanne. Governana de TI. Tecnologia da Informao. M. Books, 2005.
Sites:
<http://www.ogc.gov.uk/>
<http://www.ibgc.org.br/>
<http://www.itil.org>
<http://www.itil.co.ok>
<http://www.pinkelephant.com>
<http://www.itsmf.com>
<http://20000.standardsdirect.org/>
60

Mod Governanca Ti v1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mod Governanca Ti v1

Uploaded by

Copyright:

Available Formats

Governana de

Governana de Tecnologia da Informao

Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao

Organizao do Caderno de Estudos e Pesquisa ...............................................................................

Organizao da Disciplina ..................................................................................................................

Unidade I Governana de TI e suas Melhores Prticas .................................................................

Captulo 1 Conceitos Bsicos sobre Governana Corporativa e de TI ......................................

Captulo 2 Tecnologia da Informao um Ativo da Organizao ..............................................

Captulo 3 Arqutipos da Governana de TI ...........................................................................

Captulo 4 Mecanismos para Elaborao da Governana de TI ...............................................

Unidade II Metodologias e Padres .................................................................................................

Captulo 5 Information Technology Infrastructure Library ITIL ...........................................

Captulo 6 Control Objectives for Information and Related Technology CobiT......................

Captulo 7 BSS 7799 (ISO17799) .........................................................................................

Unidade III A Norma ISO 20000 ......................................................................................................

Captulo 8 Conceituaes da Norma ISO 20000 ....................................................................

Captulo 9 Abordagem do Processo .......................................................................................

Para (no) Finalizar .............................................................................................................................

Governana de Tecnologia da Informao

Organizao do Caderno de Estudos e Pesquisa

Apresentao: Mensagem da Coordenao.

Sugesto de leituras, filmes, sites e pesquisas: Aprofundamento das discusses.

Referncias: Bibliografia consultada na elaborao da disciplina.

Unidade I Governana de TI e suas Melhores Prticas

Unidade II Metodologias e Padres

Governana de Tecnologia da Informao

Carga horria: 15 horas

Unidade III A Norma ISO 20000

O que no se pode medir, no se pode gerenciar.

Se a empresa mudar apenas a tecnologia e continuar a realizar

Governana de TI e suas Melhores Prticas

Figura 1 Associao entre as governanas corporativas e de TI

Governana de Tecnologia da Informao

ativos financeiros dinheiro, investimentos, passivo, fluxo de caixa, contas a receber;

ativos fsicos prdios, fbricas, equipamentos, manuteno, segurana, utilizao;

Governana de TI e suas Melhores Prticas

Como exerccio de esclarecimento, esboce rapidamente uma lista

Origem de uma boa Governana:

Governana de TI e suas Melhores Prticas

Desses conceitos descritos, procure se aprofundar sobre os de um

Governana de Tecnologia da Informao

Como exerccio, esboce rapidamente uma lista contendo os

Governana de TI e suas Melhores Prticas

Princpios de TI esclarecendo o papel de negcio da TI.

* o primeiro modelo de alguma coisa. Modelo poltico de governana.

Governana de TI e suas Melhores Prticas

Qual a porcentagem de administradores em cargo de liderana que

Governana de Tecnologia da Informao

Figura 2 Framework de Governana de TI

Governana de TI e suas Melhores Prticas

Governana de TI e suas Melhores Prticas

Captulo 2 Tecnologia da Informao um Ativo da Organizao

Servios de TI, coordenados

Decises sobre os Investimentos

Governana de Tecnologia da Informao

Figura 3 Principais Decises sobre a Governana de TI

Governana de TI e suas Melhores Prticas

Criando uma Arquitetura de TI

Governana de TI e suas Melhores Prticas

A sua empresa possui uma Arquitetura de TI?

Elaborando uma Infraestrutura de TI

Governana de Tecnologia da Informao

Figura 4 Elementos da infraestrutura de TI

Governana de TI e suas Melhores Prticas