GOVERNANÇA DE TI
O que é Governança de TI?
A premissa mais importante da Governança de TI é o alinhamento entre as diretrizes e objetivos estratégicos da organização com as ações de TI. A definição do professor da FGV Sr. João R. Peres demonstra este conceito de forma abrangente, atribuindo os papéis e as responsabilidades conforme abaixo:
“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TI aos negócios.”
Está definição deixa clara a importância da Governança de TI em organizações que almejam atender à crescente demanda por aumento de qualidade de produtos e processos, a alta competitividade do mercado globalizado e a busca por menores custos e maiores lucros.
Entenda como a Governança de TI pode ajudar a sua empresa
Para aumentar a sua competitividade no mercado e garantir os melhores processos dentro de sua empresa, certamente você conta com diversas ferramentas de Tecnologia da Informação. Elas são muito importantes na hora de gerir, controlar e garantir a qualidade de todos os seus produtos e serviços. Agora, imagine um conjunto de práticas que podem alinhar todos estes recursos, como softwares e sistemas, com os objetivos e as diretrizes de sua empresa?
Pois bem, esta é a Governança de TI. Criada com o objetivo de planejar e elaborar estratégias que possam dar vantagens competitivas às ferramentas de TI implantadas em uma empresa. Tais práticas prometem criar serviços absolutamente confiáveis e disponíveis para que você possa alcançar a excelência do seu negócio.
Ficou curioso para conhecer mais sobre a Governança de TI, as suas vantagens e como ela pode ser aplicada em sua empresa? Então não perca mais tempo entre em contato - contato@juheinakarina.com
Estrutura da Governança de TI
Para implantar a Governança de TI em sua empresa, é importante que você conheça todas as estruturas – em outras palavras, modelos de trabalho – que fornecem as métricas e o que deve ser feito para garantir a eficácia desta prática.
As principais estruturas da Governança de TI são:
COBIT (Control Objectives for Information and related Technology)
ITIL (Information Technology Infrastructure Library)
PmBOK (Project Management Body of Knowledge)
Cobit – Control Objectives for Information and related Technology
Este é o modelo de trabalho mais utilizado na Governança de TI e está na sua versão 5. Ele apresenta recursos que incluem sumário executivo, controles de objetivos, mapas de auditorias, indicadores de metas e performances e um guia com técnicas de gerenciamento. Suas práticas de gestão são recomendadas por especialistas da área e ele pode ser utilizado para testar e garantir a qualidade dos serviços de TI prestados, utilizando um sistema de métricas próprio.
ITIL – Information Technology Infrastructure Library
Esta é um estrutura que é voltada para o público e não para o proprietário. Nesse contexto, o ITIL define o conjunto de práticas para o gerenciamento dos serviços de TI por meio de “bibliotecas” que fazem parte de cada módulo de gestão. Dessa forma, diferentemente do Cobit, este é um modelo mais focado para os serviços de TI em si.
PmBOK – Project Management Body of Knowledge
Esta estrutura está voltada para o gerenciamento de projetos da área e melhorar o desenvolvimento e a atuação dos profissionais de TI. Portanto, todas as definições, conjuntos de ações e processos do PmBOK estão descritos em seu manual, que expõe as habilidades, ferramentas e técnicas necessárias para realizar a gestão de um projeto.
Como a Governança de TI pode ajudar a minha empresa?
Agora que você conhece um pouco mais sobre a Governança de TI, é necessário conhecer um pouco melhor sobre as suas vantagens e como ela pode ajudar a sua empresa. Basicamente, a implantação de suas práticas promove a segurança de toda a informação que circula no interior de seus sistemas e softwares, assim como garante a durabilidade e eficácia de todos os recursos de TI que estão em uma organização. Dessa forma, é possível:
-
Evitar que dados e informações sigilosas sobre a sua empresa sejam vazados, causando enormes danos aos seus negócios;
-
Garantir a automatização dos processos e das tarefas específicas, economizando, assim, tempo e dinheiro;
-
Assegurar a eficácia e facilitar a utilização das ferramentas e recursos de TI dentro de sua empresa, pois com a sua implantação, há menos riscos de bugs, paradas ou fatores que comprometam o seu funcionamento;
-
Melhorar e inovar os processos de gestão, marketing e vendas de seus negócios, tornando assim a sua empresa mais competitiva;
-
Antecipar os problemas e os riscos que podem prejudicar os seus negócios e, dessa forma, garantir mais precisão nas suas decisões.
Conhecer melhor todo o funcionamento da Governança de TI e as suas vantagens já é o primeiro passo para a sua implantação, a fim de garantir a melhoria de seus serviços e produtos. Se você se sentiu atraído pela ideia, não hesite em apostar e investir nela. Esta é a melhor forma de conquistar o sucesso do uso de TI em sua empresa.
Governança de TI: Segurança da Informação –
Normas ISO 27000
A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações têm mais valor do que os ativos físicos. Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 5 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.
Na família ISO 27000 temos duas normas que são as mais conhecidas:
-
ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.
-
ISO 27002: Código de práticas para Segurança da Informação.
A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:
-
O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
-
Implementar e operar controles para gerenciamento dos riscos
-
Monitorar o desempenho e a eficácia da política de segurança da informação.
-
Promover a melhoria contínua. Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:
-
Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.
-
Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.
-
Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.
-
Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.
A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.
-
Política da segurança da informação
-
Organizando a segurança da informação
-
Gestão de ativos
-
Segurança em recursos humanos
-
Segurança física do ambiente
-
Gestão das operações e comunicações
-
Controle de acesso
-
Aquisição, desenvolvimento e manutenção de sistemas de informação
-
Gestão de incidentes da segurança da informação
-
Gestão da continuidade do negócio
-
Conformidade
Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 5 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 5 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso a empresa tenha um Service Desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.