game.png

GOVERNANÇA DE TI

JK Transparente.png
O que é Governança de TI?
 

A premissa mais importante da Governança de TI é o alinhamento entre as diretrizes e objetivos estratégicos da organização com as ações de TI. A definição do professor da FGV Sr. João R. Peres demonstra este conceito de forma abrangente, atribuindo os papéis e as responsabilidades conforme abaixo:

“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TI aos negócios.”

Está definição deixa clara a importância da Governança de TI em organizações que almejam atender à crescente demanda por aumento de qualidade de produtos e processos, a alta competitividade do mercado globalizado e a busca por menores custos e maiores lucros.

Entenda como a Governança de TI pode ajudar a sua empresa
 

Para aumentar a sua competitividade no mercado e garantir os melhores processos dentro de sua empresa, certamente você conta com diversas ferramentas de Tecnologia da Informação. Elas são muito importantes na hora de gerir, controlar e garantir a qualidade de todos os seus produtos e serviços. Agora, imagine um conjunto de práticas que podem alinhar todos estes recursos, como softwares e sistemas, com os objetivos e as diretrizes de sua empresa?

Pois bem, esta é a Governança de TI. Criada com o objetivo de planejar e elaborar estratégias que possam dar vantagens competitivas às ferramentas de TI implantadas em uma empresa. Tais práticas prometem criar serviços absolutamente confiáveis e disponíveis para que você possa alcançar a excelência do seu negócio.

Ficou curioso para conhecer mais sobre a Governança de TI, as suas vantagens e como ela pode ser aplicada em sua empresa? Então não perca mais tempo entre em contato - contato@juheinakarina.com

Estrutura da Governança de TI
 

Para implantar a Governança de TI em sua empresa, é importante que você conheça todas as estruturas – em outras palavras, modelos de trabalho – que fornecem as métricas e o que deve ser feito para garantir a eficácia desta prática.

As principais estruturas da Governança de TI são:

COBIT (Control Objectives for Information and related Technology)

ITIL (Information Technology Infrastructure Library)

PmBOK (Project Management Body of Knowledge)

Cobit – Control Objectives for Information and related Technology


Este é o modelo de trabalho mais utilizado na Governança de TI e está na sua versão 5. Ele apresenta recursos que incluem sumário executivo, controles de objetivos, mapas de auditorias, indicadores de metas e performances e um guia com técnicas de gerenciamento. Suas práticas de gestão são recomendadas por especialistas da área e ele pode ser utilizado para testar e garantir a qualidade dos serviços de TI prestados, utilizando um sistema de métricas próprio.

ITIL Information Technology Infrastructure Library


Esta é um estrutura que é voltada para o público e não para o proprietário. Nesse contexto, o ITIL define o conjunto de práticas para o gerenciamento dos serviços de TI por meio de “bibliotecas” que fazem parte de cada módulo de gestão. Dessa forma, diferentemente do Cobit, este é um modelo mais focado para os serviços de TI em si.

PmBOK Project Management Body of Knowledge


Esta estrutura está voltada para o gerenciamento de projetos da área e melhorar o desenvolvimento e a atuação dos profissionais de TI. Portanto, todas as definições, conjuntos de ações e processos do PmBOK estão descritos em seu manual, que expõe as habilidades, ferramentas e técnicas necessárias para realizar a gestão de um projeto.

governanca-de-ti.png
Como a Governança de TI pode ajudar a minha empresa?
 

Agora que você conhece um pouco mais sobre a Governança de TI, é necessário conhecer um pouco melhor sobre as suas vantagens e como ela pode ajudar a sua empresa. Basicamente, a implantação de suas práticas promove a segurança de toda a informação que circula no interior de seus sistemas e softwares, assim como garante a durabilidade e eficácia de todos os recursos de TI que estão em uma organização. Dessa forma, é possível:

  • Evitar que dados e informações sigilosas sobre a sua empresa sejam vazados, causando enormes danos aos seus negócios;

  • Garantir a automatização dos processos e das tarefas específicas, economizando, assim, tempo e dinheiro;

  • Assegurar a eficácia e facilitar a utilização das ferramentas e recursos de TI dentro de sua empresa, pois com a sua implantação, há menos riscos de bugs, paradas ou fatores que comprometam o seu funcionamento;

  • Melhorar e inovar os processos de gestão, marketing e vendas de seus negócios, tornando assim a sua empresa mais competitiva;

  • Antecipar os problemas e os riscos que podem prejudicar os seus negócios e, dessa forma, garantir mais precisão nas suas decisões.

Conhecer melhor todo o funcionamento da Governança de TI e as suas vantagens já é o primeiro passo para a sua implantação, a fim de garantir a melhoria de seus serviços e produtos. Se você se sentiu atraído pela ideia, não hesite em apostar e investir nela. Esta é a melhor forma de conquistar o sucesso do uso de TI em sua empresa.

Governança de TI: Segurança da Informação –
Normas ISO 27000
 

A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações têm mais valor do que os ativos físicos. Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 5 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.

Na família ISO 27000 temos duas normas que são as mais conhecidas:

  • ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.

  • ISO 27002: Código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:

  • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.

  • Implementar e operar controles para gerenciamento dos riscos

  • Monitorar o desempenho e a eficácia da política de segurança da informação.

  • Promover a melhoria contínua. Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:

pdca2.png
  • Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.

  • Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.

  • Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.

  • Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.

A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.

  • Política da segurança da informação

  • Organizando a segurança da informação

  • Gestão de ativos

  • Segurança em recursos humanos

  • Segurança física do ambiente

  • Gestão das operações e comunicações

  • Controle de acesso

  • Aquisição, desenvolvimento e manutenção de sistemas de informação

  • Gestão de incidentes da segurança da informação

  • Gestão da continuidade do negócio

  • Conformidade

Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 5 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 5 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso a empresa tenha um Service Desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.