Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI Márcio Aurélio Ribeiro Moreira [email protected] http://si.lopesgazzani.com.br/docentes/marcio/ Introdução Márcio Moreira 3. COBIT – slide 2 Governança e Qualidade em Serviços de TI - GOV Governança É o ato de governar, direcionar, controlar, exercer poder Governança Corporativa Relaciona-se com: Tomadas de decisão Definição de expectativas Conceder poder Verificar desempenho Márcio Moreira 3. COBIT – slide 3 Governança de TI Governança e Qualidade em Serviços de TI - GOV Governança Corporativa Governança Corporativa e o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: Márcio Moreira 3. COBIT – slide 4 Governança e Qualidade em Serviços de TI - GOV Governança x Gestão de TI Governança de TI (COBIT) Gestão de TI (ITIL) Parte da Governança Corporativa focada nos sistemas de TI, desempenho e gerenciamento de riscos. Propósito: A implementação e o gerenciamento da qualidade dos serviços de TI de forma a atender às necessidades de negócio. Garantir que políticas e estratégia sejam realmente implementadas e que os processos requeridos estejam sendo corretamente seguidos, inclui definir papéis e responsabilidades, medir, relatar e tomar as ações para resolver quaisquer questões identificadas. Márcio Moreira 3. COBIT – slide 5 O gerenciamento de serviço de TI é feito pelos provedores de serviço de TI por meio da combinação adequada de pessoas, processo e tecnologia da informação. Governança e Qualidade em Serviços de TI - GOV Governança x Gestão de TI Gestão de TI: Fornecer serviços e produtos de TI de forma eficiente e eficaz, bem como na gestão das operações de TI Fazer as coisas de forma certa Promovido e gerenciado pela TI Governança de TI: Se preocupa com o desempenho dos negócios, transformando e posicionando a TI para alcançar os objetivos de negócio Fazer as coisas certas Precisa de patrocínio da alta administração e dos executivos Márcio Moreira 3. COBIT – slide 6 Governança e Qualidade em Serviços de TI - GOV Áreas de foco da Governança de TI 1. Alinhamento Estratégico •Alinhando TI com o negócio e fornecendo soluções colaborativas 2. Entrega de Valor •Executando a proposição de valor através do ciclo de entrega 3. Gestão de Riscos •Riscos de TI, impactos das mudanças, segurança, conformidade 4. Gestão de Recursos •Otimizando o desenvolvimento e uso de recursos disponíveis 5. Mensuração de Desempenho •Monitoramento dos recursos para ação corretiva Márcio Moreira 3. COBIT – slide 7 Governança e Qualidade em Serviços de TI - GOV COBIT Márcio Moreira 3. COBIT – slide 8 Governança e Qualidade em Serviços de TI - GOV O que é o CObIT? CObIT = Control Objectives for Information and Related Technology Pessoas Infraestrutura PROCESSOS Aplicativos Processos de TI DOMÍNIOS Informações Requisitos de Negócios ATIVIDADES Márcio Moreira 3. COBIT – slide 9 Governança e Qualidade em Serviços de TI - GOV O que é o COBIT? Desenvolvido pela ISACA (Information Systems Audit and Control Association): Início informal em 1967 com um grupo de auditores Em 1969 eles fundaram a EDP Auditors Association Em 1976 fundaram um instituto de pesquisas em governança de TI sem fins lucrativos, o ITGI (IT Governance Institute) Hoje tem + de 86 mil membros, em 160 países, com + de 175 capítulos Hoje o COBIT é um modelo do ITGI que é: Focado no negócio Orientado a processos de TI (34 processos) Baseado em controles Fornece indicadores Negócio Processos Controles Métricas Adotado mundialmente Márcio Moreira 3. COBIT – slide 10 Governança e Qualidade em Serviços de TI - GOV Onde encontrar e porque usar? Distribuído gratuitamente no site www.isaca.org Ajuda a mapear objetivos de negócio e relacioná-los com metas, processos e atividades de TI Fornece suporte a Gestão e à Governança de TI É um guia, não uma norma Como um modelo de controle pode ser usado em qualquer empresa, plataforma de TI e padrão de sistemas Márcio Moreira 3. COBIT – slide 11 Principais razões do uso: Alinhar a TI ao negócio Entregar soluções que atendam as necessidades reais Conseguir demonstrar retorno sobre investimentos Reduzir os custos Gerenciar a Segurança da Informação Negócio & TI Governança e Qualidade em Serviços de TI - GOV COBIT para Governar a TI Princípios Razões O board (alta administração) precisa estabelecer as metas e a direção para a organização Márcio Moreira 3. COBIT – slide 12 Governança e Qualidade em Serviços de TI - GOV Evolução do COBIT A Lei Sarbanes & Oxley dos USA deu grande impulso ao COBIT, tornando a Governança Corporativa e de TI obrigatórias para empresas com ações na Bolsa de Valores. No Brasil, a CVM foi pelo mesmo caminho. Márcio Moreira 3. COBIT – slide 13 Governança e Qualidade em Serviços de TI - GOV Conformidade – Desafios A Governança de TI deve buscar o equilíbrio entre as necessidades do estado, dos clientes e acionistas: Clientes & Acionistas: Entrega de valor Atingimento de metas de desempenho Geração de resultados Estado: Estado Clientes & Acionistas Controles Entrega de Valor Conformidade Atingimento de Metas Respeito às leis Resultados Controles Conformidade Respeito as leis Márcio Moreira 3. COBIT – slide 14 Governança e Qualidade em Serviços de TI - GOV Missão do ITGI & Foco do COBIT Missão do ITGI Foco do COBIT “Pesquisar, desenvolver, O COBIT foca mais em “o que publicar e promover um precisa ser alcançado” do que framework de controle para em “como alcançar”, isto é, mais Governança de TI que seja no controle do que na execução embasado, atualizado, Funciona como um guardainternacionalmente aceito chuva, fornecendo controle que para a adoção pelas mapeiam os principais controles organizações e usado no diade TI a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria” Márcio Moreira 3. COBIT – slide 15 Governança e Qualidade em Serviços de TI - GOV Componentes do COBIT Márcio Moreira 3. COBIT – slide 16 Governança e Qualidade em Serviços de TI - GOV Framework do COBIT Cubo do COBIT: PROCESSOS Aplicativos Processos de TI Pessoas DOMÍNIOS Infraestrutura Requisitos de Negócios Informações O cubo ao lado representa os componentes chaves da estrutura do COBIT e como eles são usados para entregar a informação que o negócio precisa para alcançar seus objetivos ATIVIDADES Márcio Moreira 3. COBIT – slide 17 Governança e Qualidade em Serviços de TI - GOV Requisitos de Negócio (Critérios de informação) Eficácia: Capacidade de alçar metas e resultados propostos Trata da informação que está sendo relevante e pertinente ao processo de negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil Eficiência: Quantidade de recursos necessários para a geração do resultado Diz respeito à provisão da informação através do uso otimizado (mais produtivo e econômico) dos recursos. Tem foco na otimização de custos Confiabilidade: A informação certa estará disponível para a gerência quando ela for necessária, isto gera confiança para a gerência operar e assumir suas responsabilidades de relatar aspectos de conformidade e finanças Márcio Moreira 3. COBIT – slide 18 Governança e Qualidade em Serviços de TI - GOV Requisitos de Negócio Conformidade: Trata do cumprimento das leis, de regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito Confidencialidade: Diz respeito à proteção da informação sigilosa contra a revelação não autorizada Integridade: Relaciona-se à exatidão e completude da informação bem como à sua validade, de acordo com os valores e as expectativas do negócio Disponibilidade: Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no futuro Tem foco na entrega de serviços Márcio Moreira 3. COBIT – slide 19 Governança e Qualidade em Serviços de TI - GOV Requisitos genéricos x Requisitos de Negócio Márcio Moreira 3. COBIT – slide 20 Governança e Qualidade em Serviços de TI - GOV Recursos de TI Aplicações: Sistemas automatizados e procedimentos manuais para processar informações Informações: Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação Infraestrutura: Hardware, sistemas operacionais, banco de dados, rede, multimídia, etc. Tudo que é necessário para o funcionamento das aplicações Pessoas: Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado Márcio Moreira 3. COBIT – slide 21 Governança e Qualidade em Serviços de TI - GOV Recursos de TI x Entrega de Serviços Eventos • • • • • Metas de Negócio Oportunidades de negócio Requisitos externos Regulamentos Riscos Márcio Moreira Objetivos de Negócio Recursos de TI • • • • Aplicações Informações Infraestrutura Pessoas 3. COBIT – slide 22 • • • • • • • Eficácia Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade Governança e Qualidade em Serviços de TI - GOV Domínios do COBIT Os domínios: Planejar e Organizar Adquirir e Implementar Mapeiam as áreas de responsabilidades tradicionais da TI: Planejar, construir, executar e medir Entregar e Suportar Monitorar e Avaliar Márcio Moreira 3. COBIT – slide 23 Representam o ciclo de vida da TI agrupamento natural de processos Processos são uma sequência lógica de atividades, com papéis e responsabilidades O COBIT 4.1 tem 34 processos Governança e Qualidade em Serviços de TI - GOV Domínio: Planejar e Organizar (PO) Objetivos: Escopo: Formular estratégias e táticas Identificar como TI pode melhor contribuir para atingir os objetivos do negócio Planejar, comunicar e gerenciar a realização da visão estratégica Implementar organizacionalmente e Negócio & TI tecnologicamente a Infraestrutura Márcio Moreira 3. COBIT – slide 24 Estão TI e Negócio estrategicamente alinhados? Está a organização obtendo o melhor uso de seus recursos? Qualquer pessoa na organização entende os objetivos de TI? Os riscos de TI são entendidos e adequadamente gerenciados? A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio? Governança e Qualidade em Serviços de TI - GOV Processos do Domínio PO Planejar e Organizar Márcio Moreira 3. COBIT – slide 25 Sigla Processo PO1 Definir um plano estratégico de TI PO2 Definir a arquitetura da informação PO3 Determinar o direcionamento tecnológico PO4 Definir processos de TI, a organização e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar metas e diretivas gerenciais PO7 Gerenciar os recursos humanos PO8 Gerenciar a qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos Governança e Qualidade em Serviços de TI - GOV Domínio: Adquirir e Implementar (AI) Objetivos Escopo: Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI Atualizar e manter os sistemas existentes Márcio Moreira 3. COBIT – slide 26 Estão os novos projetos aptos a entregar soluções que reúnem as necessidades do Negócio? Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos? Os novos sistemas trabalharão adequadamente quando implementados? As mudanças serão feitas sem afetar as operações atuais do Negócio? Governança e Qualidade em Serviços de TI - GOV Processos do Domínio AI Sigla Processo AI1 Identificar as soluções automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura de tecnologia AI4 Permitir operação e uso AI5 Adquirir os recursos de TI AI6 Gerenciar mudanças AI7 Instalar e validar soluções e mudanças Márcio Moreira Adquirir e Implementar 3. COBIT – slide 27 Governança e Qualidade em Serviços de TI - GOV Domínio: Entregar e Suportar (DS) Objetivos: Escopo: Entregar os serviços requeridos, incluindo o serviço de entrega Gerenciar segurança, continuidade, dados e facilidades operacionais Fornecer serviço de suporte estruturado aos usuários Márcio Moreira 3. COBIT – slide 28 Estão os serviços de TI alinhados com as prioridades de Negócio? Estão os custos otimizados? Está a força de trabalho apta a usar os sistemas de TI de forma produtiva e com segurança? São adequadas a confidencialidade, integridade e disponibilidade das informações? Governança e Qualidade em Serviços de TI - GOV Processos do Domínio DS Entregar e Suportar Márcio Moreira 3. COBIT – slide 29 Sigla Processo DS1 Definir e gerenciar níveis de serviço DS2 Gerenciar serviços de terceiros DS3 Gerenciar o desempenho e capacidade DS4 Garantir a continuidade dos serviços DS5 Garantir a segurança dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usuários DS8 Gerenciar central de serviços e incidentes DS9 Gerenciar a configuração DS10 Gerenciar os problemas DS11 Gerenciar os dados DS12 Gerenciar o ambiente físico DS13 Gerenciar as operações Governança e Qualidade em Serviços de TI - GOV Domínio: Monitorar e Avaliar (ME) Objetivos: Escopo: Gerenciar Performance Monitorar Controles Internos Manter conformidade com Agências Reguladoras Governar a TI Márcio Moreira 3. COBIT – slide 30 A performance de TI é mensurada para detectar problemas antes que eles aconteçam? O gerenciamento garante que os Controles Internos são efetivos e eficazes? Pode a disponibilidade de TI ser combinada com os objetivos do Negócio? São Riscos, Controles, Conformidades e Performance medidos e reportados? Governança e Qualidade em Serviços de TI - GOV Processos do Domínio ME Sigla Processo ME1 Monitorar e avaliar o desempenho da TI ME2 Monitorar e avaliar os controles internos ME3 Assegurar conformidade regulatória ME4 Fornecer Governança de TI Monitorar e Avaliar Márcio Moreira 3. COBIT – slide 31 Governança e Qualidade em Serviços de TI - GOV Processos – PO Márcio Moreira 3. COBIT – slide 32 Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Descrição: Necessário para alinhar e gerenciar os recursos de TI à estratégia de negócio, garantindo otimização do portfólio de serviços e projetos, explicitando as oportunidades e limitações da TI, avaliando e definindo o nível de investimento necessário em TI Objetivos de Negócio: 1º: 2º: Eficácia Eficiência Requisitos do Negócio: Sustentar ou estender a estratégia de negócio e os requisitos de governança e, ao mesmo tempo, ser transparente quanto aos benefícios, custos e riscos Foco: Incorporar TI e gerenciamento de negócio na tradução dos requisitos de negócio em ofertas de serviços e no desenvolvimento de estratégias para entregar estes serviços de maneira eficaz e transparente Márcio Moreira 3. COBIT – slide 33 Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Como Alcançar: Compromisso da Alta Direção e da Direção do Negócio no alinhamento do plano estratégico de TI com as necessidades atuais e futuras Entendimento da capacidade atual de TI Estabelecimento de um esquema de priorização de objetivos de negócio, que quantifique os requisitos de negócio Medições: % objetivos de TI que sustentam o plano estratégico de negócio % projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI Demora entre a atualização do plano estratégico de TI e os planos táticos Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 34 Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Objetivos de controle: Gerir o valor da TI Alinhar TI e negócio Avaliar a capacidade e o desempenho atuais Plano estratégico de TI Plano tático de TI Gerir o portfólio de TI Entradas e Saídas: Márcio Moreira 3. COBIT – slide 35 Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Tabela RACI: Funções: CEO (Chief Executive Officer) CIO (Chief Information Officer) Márcio Moreira 3. COBIT – slide 36 CFO (Chief Financial Officer) PMO (Projetc Management Officer) Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Objetivos e Métricas: Márcio Moreira 3. COBIT – slide 37 Governança e Qualidade em Serviços de TI - GOV PO1 Definir um Plano Estratégico de TI Níveis de Maturidade: 0 Inexistente: A direção não vê necessidade num plano estratégico de TI para o negócio 1 Inicial / Ad Hoc / Linguagem Comum: Os requisitos de TI são discutidos respondendo a necessidades de negócio 2 Repetível: Existe um plano de TI compartilhado eventualmente com a área de negócio, que é atualizado sob demanda, as decisões são tomadas projeto a projeto 3 Definido: Existe uma política dizendo como quando o plano estratégico de TI é feito e atualizado, o processo é conhecido e respeitado por todos os envolvidos 4 Gerenciado: A TI é gerenciada pelas métricas estabelecidas no plano estratégico de TI 5 Otimizado: A empresa só toma decisões estratégicas consultando os planos das diretorias, inclusive a de TI, estes planos são sistematicamente reavaliados contra benchmarking Márcio Moreira 3. COBIT – slide 38 Governança e Qualidade em Serviços de TI - GOV PO2 Definir a Arquitetura de Informação Descrição: Definir o modelo de informações necessários para suportar o negócio, isto inclui fazer um dicionário de dados corporativos (com: regras sintáticas, classificação e níveis de segurança), permitindo tomada de decisões e responsabilização Objetivos de Negócio: 1º: 2º: Eficiência e Integridade Eficácia e Confidencialidade Requisitos do Negócio: Agilidade para atender os requisitos fornecendo informações confiáveis e consistentes integrando aplicações nos processos de negócio Foco: Modelo de dados (domínio de negócio) Márcio Moreira 3. COBIT – slide 39 Governança e Qualidade em Serviços de TI - GOV PO2 Definir a Arquitetura de Informação Como Alcançar: Garantir a precisão da arquitetura de informação e do modelo de dados Estabelecer a propriedade dos dados Classificar a informação usando o esquema que foi combinado Medições: % de informações redundantes ou duplicados % de aplicações não conformes com a arquitetura de informação Frequência de atividades de validação dos dados Recursos de TI: Aplicações e informações Márcio Moreira 3. COBIT – slide 40 Governança e Qualidade em Serviços de TI - GOV PO3 Determinar as Diretrizes de Tecnologia Descrição: Os responsáveis pela TI determinam as diretrizes de TI que suportam o negócio, através de um plano de infra e um conselho de arquitetura que estabelece e gerencia os produtos, serviços e mecanismos de entrega da TI. Além do já citado, o plano deve conter: plano de aquisições, padrões, estratégias de migração e contingência. Isto permite respostas rápidas Objetivos de Negócio: 1º: Eficácia e Eficiência Requisitos do Negócio: Ter sistemas aplicativos, recursos e capacidades padronizados, integrados, estáveis, com boa relação custo-benefício, que atendam os requisitos atuais e futuros do negócio Foco: Plano de infra, arquitetura (serviços, aplicações e infra) e padrões Márcio Moreira 3. COBIT – slide 41 Governança e Qualidade em Serviços de TI - GOV PO3 Determinar as Diretrizes de Tecnologia Como Alcançar: Estabelecer um comitê para direcionar e verificar a arquitetura, requisitos, custos e riscos Definir padrões de infraestrutura tecnológica com base nos requisitos da arquitetura da informação Medições: Quantidade e tipo de desvios do plano de infraestrutura tecnológica Frequência de revisão/atualização do plano de infraestrutura tecnológica Quantidade de plataformas de tecnologia por área da organização Recursos de TI: Aplicações e infraestrutura Márcio Moreira 3. COBIT – slide 42 Governança e Qualidade em Serviços de TI - GOV PO4 Definir os Processos, Organização e Relacionamentos de TI Descrição: Definir o pessoal, papéis, responsabilidades, habilidades, funções, autoridade, rastreabilidade e supervisão necessários. A organização de TI deve ter processos que transfiram o conhecimento, assegurem o controle e o envolvimento dos executivos sênior (comitê estratégico). Outros comitês podem ser criados garantindo a participação das áreas de negócio Objetivos de Negócio: 1º: Eficácia e Eficiência Requisitos do Negócio: Agilidade em resposta à estratégia de negócio e, ao mesmo tempo, atender aos requisitos de Governança e fornecer pontos de contatos definidos e competentes Foco: Estruturas transparentes, flexíveis e responsivas, definindo processos Márcio Moreira 3. COBIT – slide 43 Governança e Qualidade em Serviços de TI - GOV PO4 Definir os Processos, Organização e Relacionamentos de TI Como Alcançar: Definição de uma estrutura de processos de TI Estabelecimento de conselhos e estruturas organizacionais apropriadas Definição de papéis e responsabilidades Medições: % de funções com posições e descrições de autoridade documentadas Número de unidades/processos de negócios não suportados pela TI, mas que deveriam ser suportados de acordo com a estratégia Número de atividades centrais de TI realizadas fora da organização de TI e que não são aprovadas ou submetidas aos padrões organizacionais de TI Recursos de TI: Pessoas Márcio Moreira 3. COBIT – slide 44 Governança e Qualidade em Serviços de TI - GOV PO5 Gerenciar o Investimento de TI Descrição: Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Confiabilidade Requisitos do Negócio: Melhorar continua e visivelmente a relação custo-benefício da TI e sua contribuição para a lucratividade do negócio com serviços integrados e padronizados que atendam às expectativas do usuário final Foco: Decidir o portfólio e investimentos em TI Márcio Moreira 3. COBIT – slide 45 Governança e Qualidade em Serviços de TI - GOV PO5 Gerenciar o Investimento de TI Como Alcançar: Previsão e alocação de orçamentos Definição do critério de investimento formal, usando: ROI (Return On Investment): Retorno sobre Investimento Período de recuperação de investimento NPV (Net Present Value): Valor Presente Líquido (VPL) Medição e avaliação do valor de negócio comparado à previsão Medições: % de redução do custo unitário dos serviços de TI entregues % de desvio do valor orçamentário previsto x realizado % dos gastos de TI expressos através de motivadores de valor de negócio: Exemplo: aumento de vendas/serviços devido ao aumento da conectividade Recursos de TI: Aplicações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 46 Governança e Qualidade em Serviços de TI - GOV PO6 Comunicar Metas e Diretrizes Gerenciais Descrição: A Direção deve desenvolver uma estrutura de controle de TI corporativo, incluindo políticas, objetivos e diretrizes A área de TI deve definir e comunicar políticas, missão, metas, etc. A comunicação apoia o alcance dos objetivos de TI e assegura que as pessoas tenham conhecimento e entendimento do negócio e riscos Objetivos de Negócio: 1º: 2º: Eficácia Conformidade Requisitos do Negócio: Manter as informações precisas e atualizadas nos serviços de TI atuais e futuros, bem como as responsabilidades e os riscos associados Foco: Fornecer políticas, diretrizes, procedimentos, etc. aprovados Márcio Moreira 3. COBIT – slide 47 Governança e Qualidade em Serviços de TI - GOV PO6 Comunicar Metas e Diretrizes Gerenciais Como Alcançar: Definição de uma estrutura de controle de TI Desenvolvimento e implementação de políticas de TI Imposição de políticas de TI Medições: Interrupções no negócio devido a interrupções em serviços de TI % de partes interessadas que entendem a estrutura corporativa de controle de TI % de partes interessadas que não estão em conformidade com a política Recursos de TI: Informações e pessoas Márcio Moreira 3. COBIT – slide 48 Governança e Qualidade em Serviços de TI - GOV PO7 Gerenciar os Recursos Humanos de TI Descrição: Adquirir, manter e motivar pessoas competentes para criar e entregar serviços de TI para o negócio. Isto requer práticas definidas e acordadas de recrutamento, treinamento, avaliação, promoção e desligamento Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentes da motivação e da competência dessas pessoas Objetivos de Negócio: 1º: Eficácia e Eficiência Requisitos do Negócio: Ter pessoas competentes e motivadas para criar e entregar serviços de TI Foco: Admitir, treinar e motivar o pessoal com planos de carreira claros, atribuir funções coerentes com as habilidades, estabelecer um processo de revisão, criar descrições de cargos e assegurar a consciência da dependência de indivíduos Márcio Moreira 3. COBIT – slide 49 Governança e Qualidade em Serviços de TI - GOV PO7 Gerenciar os Recursos Humanos de TI Como Alcançar: Revisão do desempenho do pessoal Admissão e treinamento do pessoal de TI para sustentarem os planos táticos de TI Mitigar o risco de dependência excessiva de recursos-chave Medições: Nível de satisfação das partes interessadas com competência de TI Rotatividade da equipe de TI % da equipe de TI certificado de acordo com as necessidades da função Recursos de TI: Pessoas Márcio Moreira 3. COBIT – slide 50 Governança e Qualidade em Serviços de TI - GOV PO8 Gerenciar a Qualidade Descrição: Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua padrões, processos, requisitos e indicadores de qualidade comprovados de desenvolvimento e aquisição A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados A gestão da qualidade é essencial para assegurar que a TI forneça valor para o negócio, melhore continuamente e seja transparente Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Integridade e Confidencialidade Requisitos do Negócio: Melhorar continuamente a qualidade dos serviços entregues pela TI Foco: Definir um Sistema de Gerenciamento da Qualidade (SGQ), monitorar e buscar a melhoria contínua Márcio Moreira 3. COBIT – slide 51 Governança e Qualidade em Serviços de TI - GOV PO8 Gerenciar a Qualidade Como Alcançar: Definição de práticas e padrões de qualidade Monitoração e revisão dos desempenhos interno e externo comparado às práticas e padrões de qualidade definidas Melhoria contínua do SGQ Medições: % de partes interessadas satisfeitas com a qualidade da TI (avaliado segundo a importância) % de processos de TI formalmente revisados pelo processo de garantia de qualidade periodicamente e que atingem metas e objetivos de qualidade % de processos que recebem revisões de garantia de qualidade (QA Quality Assurance) Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 52 Governança e Qualidade em Serviços de TI - GOV PO9 Avaliar e Gerenciar os Riscos de TI Descrição: Criar e manter uma estrutura de gestão de riscos (documentar e gerir os riscos) Qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado, analisado, avaliado e comunicado O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis Objetivos de Negócio: 1º: 2º: Confidencialidade, Integridade e Disponibilidade Eficácia, Eficiência, Conformidade e Confidencialidade Requisitos do Negócio: Analisar e comunicar os riscos de TI e seus possíveis impactos nos processos e objetivos de negócio Foco: Desenvolver uma estrutura de gestão de riscos integrada às estruturas corporativa e operacional de gestão, avaliação, mitigação e comunicação de riscos Márcio Moreira 3. COBIT – slide 53 Governança e Qualidade em Serviços de TI - GOV PO9 Avaliar e Gerenciar os Riscos de TI Como Alcançar: Garantia de que a gestão de riscos esteja completamente integrada aos processos gerenciais, interna e externamente, e seja aplicada Realização de avaliações de risco Recomendação e comunicação de planos de ação e mitigação dos riscos Medições: % de objetivos críticos de TI cobertos pela avaliação de risco % de riscos críticos de TI identificados que tenham planos de ação % dos planos de ação de gestão de risco aprovados para implementação Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 54 Governança e Qualidade em Serviços de TI - GOV PO10 Gerenciar Projetos Descrição: Estabelecer um programa e uma estrutura de gestão de projetos de TI (PMO) O PMO deve: Garantir a correta priorização e coordenação de todos os projetos Ter um plano mestre, atribuição de recursos, definição dos resultados a serem entregues, aprovação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio Objetivos de Negócio: 1º: Eficácia e Eficiência Requisitos do Negócio: Entregar resultados de projetos dentro do tempo, do orçamento e da qualidade acordados Foco: Aplicar aos projetos de TI um programa definido e uma abordagem de gestão de projetos que permitam a participação das partes interessadas e a monitoração do andamento e dos riscos do projeto Márcio Moreira 3. COBIT – slide 55 Governança e Qualidade em Serviços de TI - GOV PO10 Gerenciar Projetos Como Alcançar: Definição e implantação de programas, estruturas e abordagens de projeto Publicação de diretrizes de gestão de projeto Realização de planejamento de projeto para todo o portfólio de projetos Medições: % de projetos que atendem às expectativas das partes interessadas (prazo, orçamento e escopo – ponderados de acordo com a importância) % de projetos que foram revisados após a implementação % de projetos que seguem os padrões e as práticas de gerenciamento de projetos Recursos de TI: Aplicação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 56 Governança e Qualidade em Serviços de TI - GOV Processos – AI Márcio Moreira 3. COBIT – slide 57 Governança e Qualidade em Serviços de TI - GOV AI1 Identificar Soluções Automatizadas Descrição: A necessidade de uma nova aplicação ou função requer uma análise prévia à aquisição ou desenvolvimento, para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar” Objetivos de Negócio: 1º: 2º: Eficácia Eficiência Requisitos do Negócio: Traduzir as necessidades funcionais e de controle em soluções Foco: Identificar boas soluções técnicas economicamente viáveis Márcio Moreira 3. COBIT – slide 58 Governança e Qualidade em Serviços de TI - GOV AI1 Identificar Soluções Automatizadas Como Alcançar: Definição dos requisitos de negócio e técnicos Realização de estudos de viabilidade conforme definido nos padrões de desenvolvimento Aprovação (ou rejeição) de requisitos e resultados de estudos de viabilidade Medições: Quantidade de projetos onde os benefícios não foram alcançados devido a premissas incorretas de viabilidade % de estudos de viabilidade aceitos pelos respectivos proprietários de processos de negócios % de usuários satisfeitos com as funcionalidades entregues Recursos de TI: Aplicação e infraestrutura Márcio Moreira 3. COBIT – slide 59 Governança e Qualidade em Serviços de TI - GOV AI2 Adquirir e Manter Software Aplicativo Descrição: As aplicações devem ser disponibilizadas em alinhamento com os requisitos do negócio Este processo contempla o projeto das aplicações, a inclusão de controles e requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Integridade e Confiabilidade Requisitos do Negócio: Tornar disponíveis as aplicações em alinhamento com os requisitos do negócio, no prazo desejado e com um custo razoável Foco: Assegurar que exista um processo de desenvolvimento que garanta prazo e custo Márcio Moreira 3. COBIT – slide 60 Governança e Qualidade em Serviços de TI - GOV AI2 Adquirir e Manter Software Aplicativo Como Alcançar: Tradução dos requisitos de negócio nas especificações de projeto Adesão aos padrões de desenvolvimento em todas as modificações Segregação entre as atividades de desenvolvimento, teste e operação Medições: Quantidade de problemas (Incidentes) em produção por aplicação que causem períodos perceptíveis de indisponibilidade % de usuários satisfeitos com a funcionalidade oferecida Recursos de TI: Aplicação Márcio Moreira 3. COBIT – slide 61 Governança e Qualidade em Serviços de TI - GOV AI3 Adquirir e Manter Infraestrutura de Tecnologia Descrição: As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste Isso assegura um apoio tecnológico contínuo às aplicações de negócio Objetivos de Negócio: 1º: 2º: Eficiência Eficácia, Integridade e Disponibilidade Requisitos do Negócio: Adquirir e manter uma infraestrutura de TI integrada e padronizada Foco: Disponibilizar plataformas apropriadas às aplicações de negócio em alinhamento com a arquitetura de TI definida e os padrões tecnológicos Márcio Moreira 3. COBIT – slide 62 Governança e Qualidade em Serviços de TI - GOV AI3 Adquirir e Manter Infraestrutura de Tecnologia Como Alcançar: Preparação de um plano de aquisição tecnológica alinhado com o plano de infraestrutura tecnológica Planejamento da manutenção da infraestrutura Implementação de controles internos, medidas de segurança e de auditoria Medições: % das plataformas que não estejam alinhadas com os padrões definidos de tecnologia e arquitetura de TI Quantidade de processos críticos de negócio sustentados por infraestrutura obsoleta (ou próxima da obsolescência) Quantidade de componentes de infraestrutura que não contam mais com suporte (ou que tendem a não ter suporte num futuro próximo) Recursos de TI: Infraestrutura Márcio Moreira 3. COBIT – slide 63 Governança e Qualidade em Serviços de TI - GOV AI4 Habilitar Operação e Uso Descrição: O conhecimento sobre novos sistemas deve estar disponível na empresa Este processo requer: Elaboração de documentação e manuais para usuários e para a própria TI Promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e infraestrutura Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Assegurar a satisfação de usuários finais com as ofertas e os níveis de serviços e a integração das aplicações e soluções tecnológicas aos processos de negócio Foco: Fornecer manuais de usuário, manuais operacionais e materiais de treinamento eficazes para transferir o conhecimento necessário a operação e uso da aplicação Márcio Moreira 3. COBIT – slide 64 Governança e Qualidade em Serviços de TI - GOV AI4 Habilitar Operação e Uso Como Alcançar: Desenvolvimento e disponibilização de documentação Comunicação e treinamento de usuários, gestores de negócio, equipes de suporte e equipes de operação Produção de materiais de treinamento Medições: Quantidade de aplicações nas quais os procedimentos de TI estão integrados aos processos de negócio % de proprietários de negócio satisfeitos com os treinamentos e material de suporte das aplicações Quantidade de aplicações que dispõem de treinamento adequado de suporte operacional e de usuário Recursos de TI: Aplicação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 65 Governança e Qualidade em Serviços de TI - GOV AI5 Adquirir Recursos de TI Descrição: Adquirir recursos de TI (pessoas, hardware, software e serviços) Requer a definição e a aplicação de procedimentos de aquisição, seleção de fornecedores e negociações contratuais Assim assegura-se que a organização tenha todos os recursos de TI necessários a tempo e com boa relação custo-benefício Objetivos de Negócio: 1º: 2º: Eficiência Eficácia e Conformidade Requisitos do Negócio: Melhorar o custo-eficiência de TI e sua contribuição para a lucratividade do negócio Foco: Adquirir e manter habilidades de TI que respondam à estratégia de entrega e a uma infraestrutura de TI padronizada e integrada, reduzindo o risco de aquisição Márcio Moreira 3. COBIT – slide 66 Governança e Qualidade em Serviços de TI - GOV AI5 Adquirir Recursos de TI Como Alcançar: Obtenção de parecer profissional para aspectos legais e contratuais Definição de procedimentos e padrões de aquisição Aquisição de hardware, software e serviços requeridos em alinhamento com os procedimentos definidos Medições: Quantidade de discordâncias relacionadas aos contratos de aquisição Custo reduzido de compra % das principais partes interessadas satisfeitas com os fornecedores Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 67 Governança e Qualidade em Serviços de TI - GOV AI6 Gerenciar Mudanças Descrição: Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção devem ser formalmente gerenciadas de maneira controlada (registro, avaliação, autorização e revisão após a implementação) Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção Objetivos de Negócio: 1º: 2º: Eficácia, Eficiência, Integridade e Disponibilidade Confiabilidade Requisitos do Negócio: Atender aos requisitos de negócio em alinhamento com a estratégia da organização, reduzindo retrabalho e defeitos nas entregas Foco: Controlar a execução e os impactos de mudanças na infraestrutura e aplicações Márcio Moreira 3. COBIT – slide 68 Governança e Qualidade em Serviços de TI - GOV AI6 Gerenciar Mudanças Como Alcançar: Definição e comunicação de procedimentos de mudanças, incluindo mudanças emergenciais Avaliação, priorização e autorização de mudanças Acompanhamento de status e apresentação de relatório de mudanças Medições: Quantidade de paradas ou erros em dados devido a especificações inadequadas ou avaliações de impacto críticas incompletas Retrabalho de infraestrutura ou aplicação causado por mudanças inadequadas % de mudanças que seguem o processo formal de controle de mudanças Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 69 Governança e Qualidade em Serviços de TI - GOV AI7 Instalar e Homologar Soluções e Mudanças Descrição: Colocar as novas aplicações em operação após a conclusão do desenvolvimento Isto requer a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação Isso assegura que as aplicações estejam alinhados com as expectativas e os resultados acordados Objetivos de Negócio: 1º: 2º: Eficácia Eficiência, Integridade e Disponibilidade Requisitos do Negócio: As aplicações novas ou alteradas devem funcionar bem após a instalação Foco: Testes, planejamento, instalação e migração de aplicações Márcio Moreira 3. COBIT – slide 70 Governança e Qualidade em Serviços de TI - GOV AI7 Instalar e Homologar Soluções e Mudanças Como Alcançar: Estabelecimento de metodologia de testes Avaliação e aprovação dos resultados de testes pelos responsáveis pela gestão do negócio Realização de planejamento de releases para produção Realização de revisões após a implementação Medições: Tempo de indisponibilidade da aplicação ou quantidade de correções de dados devido a testes inadequados % de aplicações que na avaliação pós-implementação alcança os benefícios planejados originalmente % de projetos que tenham plano de testes documentado e aprovado Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 71 Governança e Qualidade em Serviços de TI - GOV Processos – DS Márcio Moreira 3. COBIT – slide 72 Governança e Qualidade em Serviços de TI - GOV DS1 Definir e Gerenciar Níveis de Serviço Descrição: A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os serviços necessários é possibilitada por um acordo definido e documentado, que aborda os serviços de TI e os níveis de serviço esperados Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio Foco: Identificar os requisitos de serviço, acordar os níveis de serviço e monitorar o atendimento desses níveis de serviço Márcio Moreira 3. COBIT – slide 73 Governança e Qualidade em Serviços de TI - GOV DS1 Definir e Gerenciar Níveis de Serviço Como Alcançar: Formalização de acordos de níveis de serviços internos e externos alinhados aos requisitos e com a capacidade de entrega Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios) Identificação e comunicação de requisitos de serviços novos e atualizados para o planejamento estratégico Medições: % de partes interessadas que entendem que os níveis de entrega de serviço estão de acordo com os níveis acordados Quantidade de serviços prestados inexistentes no catálogo Quantidade anual de reuniões formais de análise crítica de acordo de nível de serviço (SLA) com os representantes do negócio Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 74 Governança e Qualidade em Serviços de TI - GOV DS2 Gerenciar Serviços Terceirizados Descrição: A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negócio requer um processo efetivo de gestão da terceirização Esse processo é realizado definindo-se claramente os papéis, responsabilidades e expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Fornecer serviços terceirizados satisfatórios e transparentes em termos de benefícios, custos e riscos Foco: Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e assegurar o cumprimento dos acordos Márcio Moreira 3. COBIT – slide 75 Governança e Qualidade em Serviços de TI - GOV DS2 Gerenciar Serviços Terceirizados Como Alcançar: Identificação e categorização dos prestadores de serviços Identificação e redução dos riscos associados ao fornecedor Monitoração e medição do desempenho do fornecedor Medições: Quantidade de reclamações de usuários devido aos serviços contratados % de grandes fornecedores que atendam claramente aos requisitos e níveis de serviço definidos % de grandes fornecedores sujeitos a monitoramento Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 76 Governança e Qualidade em Serviços de TI - GOV DS3 Gerenciar o Desempenho e a Capacidade Descrição: Faz análises críticas periódicas do desempenho e da capacidade de TI Prevê as necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingência Garante que os recursos de TI, que suportam os requisitos do negócio, estejam sempre disponíveis Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Disponibilidade Requisitos do Negócio: Otimizar o desempenho da infraestrutura, dos recursos e das capacidades de TI em resposta às necessidades do negócio Foco: Cumprir os SLAs, minimizar as indisponibilidades e melhorar a capacidade e o desempenho Márcio Moreira 3. COBIT – slide 77 Governança e Qualidade em Serviços de TI - GOV DS3 Gerenciar o Desempenho e a Capacidade Como Alcançar: Planejamento e fornecimento de capacidade e disponibilidade de TI Monitoração e informe do desempenho dos sistemas Modelagem e previsão do desempenho dos sistemas Medições: Horas perdidas pelo usuário por mês devido a capacidade insuficiente % de picos onde a utilização desejada é excedida % de tempo de resposta em que os SLAs não são alcançados Recursos de TI: Aplicação e infraestrutura Márcio Moreira 3. COBIT – slide 78 Governança e Qualidade em Serviços de TI - GOV DS4 Assegurar a Continuidade dos Serviços Descrição: Desenvolvimento, manutenção e teste de um plano de continuidade de TI Armazenamento de cópias de segurança (backup) em instalações remotas (offsite) e realização de treinamentos periódicos do plano de continuidade Objetivos de Negócio: 1º: 2º: Eficácia e Disponibilidade Eficiência Requisitos do Negócio: Reduzir a probabilidade e o impacto de uma interrupção de serviços chaves de TI nas funções e processos críticos de negócio Foco: Gerar capacidade de recuperação de soluções automatizadas, fazer, manter e testar planos de continuidade do negócio Márcio Moreira 3. COBIT – slide 79 Governança e Qualidade em Serviços de TI - GOV DS4 Assegurar a Continuidade dos Serviços Como Alcançar: Desenvolvimento, manutenção e melhoria da contingência de TI Treinamento e teste de planos de contingência de TI Armazenamento em locais remotos (offsite) de cópias (backups) dos dados e dos planos de contingência Medições: Horas perdidas por usuários por mês devido inoperância não planejada de sistemas Quantidade de processos críticos de negócio dependentes da TI e não contemplados no plano de continuidade de TI Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 80 Governança e Qualidade em Serviços de TI - GOV DS5 Garantir a Segurança dos Sistemas Descrição: Para ter integridade das informações e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança Isto inclui: O estabelecimento e a manutenção de políticas, padrões, papéis, responsabilidades e procedimentos de segurança de TI Monitoramento, teste periódico e implementação de ações corretivas das deficiências ou dos incidentes de segurança Objetivos de Negócio: 1º: 2º: Confidencialidade e Integridade Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Proteger ativos e minimizar o impacto de vulnerabilidades e incidentes Foco: Definir políticas, padrões e procedimentos de segurança Monitorar, detectar, reportar e solucionar vulnerabilidades e incidentes de segurança Márcio Moreira 3. COBIT – slide 81 Governança e Qualidade em Serviços de TI - GOV DS5 Garantir a Segurança dos Sistemas Como Alcançar: Entendimento dos requisitos, vulnerabilidades e ameaças de segurança Gerenciamento padronizado das identidades e autorizações de usuários Testes periódicos de segurança Medições: Quantidade de incidentes que prejudicam a reputação pública da empresa Quantidade de sistemas que não atendem aos requisitos de segurança Quantidade de violações na segregação de funções Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 82 Governança e Qualidade em Serviços de TI - GOV DS6 Identificar e Alocar Custos Descrição: Avaliação precisa dos custos de TI e dos acordo com os usuários do negócio sobre uma alocação razoável dos custos de TI Envolve a construção e a operação de um sistema para capturar, alocar e reportar os custos de TI aos usuários dos serviços A alocação justa de custos permite à empresa tomar decisões mais embasadas sobre o uso dos serviços Objetivos de Negócio: 1º: Eficiência e Confiabilidade Requisitos do Negócio: Prover transparência e entendimento dos custos de TI e melhoria da relação custo-benefício através do uso bem informado dos serviços de TI Foco: Coleta completa e precisa dos custos de TI, alocação justa dos custos aceitos pelos usuários e um sistema de reporte oportuno do uso da TI e dos custos alocados Márcio Moreira 3. COBIT – slide 83 Governança e Qualidade em Serviços de TI - GOV DS6 Identificar e Alocar Custos Como Alcançar: Alinhar valores cobrados à qualidade e quantidade dos serviços fornecidos Construção e concordância de um modelo de custo completo Implementação de um sistema de cobrança conforme a política acordada Medições: % de faturas de serviços de TI aceitas/pagas pelo gestor de negócio % de variação entre orçamentos, previsões e custos reais % dos custos gerais de TI que são alocados de acordo com os modelos de custo combinados Recursos de TI: Aplicação, informação, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 84 Governança e Qualidade em Serviços de TI - GOV DS7 Educar e Treinar os Usuários Descrição: Identificação das necessidades de treinamento de usuários (finais e TI) Definição e a execução de uma estratégia eficaz de treinamento e medição dos resultados Isto aumenta o uso efetivo da TI através da redução dos erros de usuário, aumento da produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário) Objetivos de Negócio: 1º: 2º: Eficácia Eficiência Requisitos do Negócio: Uso efetivo e eficiente das aplicações e soluções tecnológicas, bem como conformidade do usuário com as políticas e os procedimentos Foco: Entender as necessidades de treinamento em TI, treina-los e medir os resultados Márcio Moreira 3. COBIT – slide 85 Governança e Qualidade em Serviços de TI - GOV DS7 Educar e Treinar os Usuários Como Alcançar: Estabelecimento de uma grade de treinamento Organização de treinamento Disponibilização de treinamento Monitoramento e relatório da eficácia do treinamento Medições: Quantidade de chamadas ao centro de atendimento devido à falta de treinamento dos usuários % de partes interessadas satisfeitas com o treinamento recebido Tempo entre a identificação da necessidade de treinamento e a realização Recursos de TI: Pessoas Márcio Moreira 3. COBIT – slide 86 Governança e Qualidade em Serviços de TI - GOV DS8 Gerenciar a Central de Serviço e os Incidentes Descrição: Implementação de uma central de serviços (Service Desk) bem projetada e implementada com capacitada para o tratamento de incidentes (registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução) Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários Complementarmente, as áreas de negócio podem tratar as causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos Objetivos de Negócio: 1º: Eficácia e Eficiência Requisitos do Negócio: Permitir o uso eficaz dos sistemas de TI através de análise e resolução de consultas, solicitações e incidentes Foco: Prover uma central de serviços profissional com respostas rápidas, procedimentos claros de escalonamento, análise de tendências e resolução Márcio Moreira 3. COBIT – slide 87 Governança e Qualidade em Serviços de TI - GOV DS8 Gerenciar a Central de Serviço e os Incidentes Como Alcançar: Instalação e operação de uma central de serviços (Service Desk) Monitoração e registro das tendências Definição clara de critérios e procedimentos de escalonamento Medições: Satisfação do usuário com o primeiro nível de atendimento % de incidentes resolvidos no tempo estipulado/aceitável Índice de desistência dos chamados Recursos de TI: Aplicações e pessoas Márcio Moreira 3. COBIT – slide 88 Governança e Qualidade em Serviços de TI - GOV DS9 Gerenciar a Configuração Descrição: Criação e manutenção de um repositório de configuração de TI Coleta inicial das informações de configuração, o estabelecimento de um perfil básico (baseline), a verificação e a auditoria das informações de configuração e a atualização constante do repositório de configuração A gestão de configuração melhora a disponibilidade do sistema, minimiza incidentes em produção e acelera a soluciona problemas Objetivos de Negócio: 1º: 2º: Eficácia Eficiência, Disponibilidade e Confiabilidade Requisitos do Negócio: Otimizar a infra, os recursos e a capacidades de TI e responder pelos ativos de TI Foco: Estabelecer e manter um repositório preciso e completo de atributos e perfis mínimos de configuração de ativos e comparar com a configuração atual deles Márcio Moreira 3. COBIT – slide 89 Governança e Qualidade em Serviços de TI - GOV DS9 Gerenciar a Configuração Como Alcançar: Estabelecimento de um repositório central de todos os itens de configuração Identificação e manutenção dos itens de configuração Revisão da integridade dos dados de configuração Medições: Quantidade de problemas de conformidade de negócio causados pela configuração imprópria dos recursos Quantidade de desvios identificados entre o repositório de configuração e as configurações reais dos ativos % de licenças adquiridas e não contabilizadas no repositório Recursos de TI: Aplicações, informações e infraestrutura Márcio Moreira 3. COBIT – slide 90 Governança e Qualidade em Serviços de TI - GOV DS10 Gerenciar Problemas Descrição: Identificação e classificação dos problemas, análise de causas-raiz e resolução Inclui a identificação de recomendações para melhoria, manutenção dos registros de problemas e revisão da situação das ações corretivas Este processo melhora os níveis de serviço, reduz os custos, aumenta a conveniência e a satisfação do cliente Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Disponibilidade Requisitos do Negócio: Garantir a satisfação dos usuários finais com a oferta e níveis de serviços Reduzir a entrega de serviços e soluções com problemas e retrabalhos Foco: registrar, rastrear, investigar a causa-raiz e resolver problemas importantes e definir as soluções para problemas operacionais Márcio Moreira 3. COBIT – slide 91 Governança e Qualidade em Serviços de TI - GOV DS10 Gerenciar Problemas Como Alcançar: Realização de análises da causa-raiz do problema reportado Análise das tendências Assumir a propriedade dos problemas e do progresso em sua resolução Medições: Quantidade de problemas recorrentes com impacto sobre os negócios % de problemas resolvidos dentro do período de tempo requerido Frequência dos reportes ou atualizações de problemas existentes, com base na severidade do problema Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 92 Governança e Qualidade em Serviços de TI - GOV DS11 Gerenciar os Dados Descrição: Identificação dos requisitos de dados, estabelecimento de procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança (backup), recuperação de dados e o descarte de mídias de forma adequada Melhora a qualidade, a rapidez e disponibilidade dos dados de negócio Objetivos de Negócio: 1º: Integridade e Confiabilidade Requisitos do Negócio: Otimizar o uso da informação e garantir que a informação esteja disponível quando requisitada Foco: Manter a completude, a precisão, a disponibilidade e a proteção dos dados Márcio Moreira 3. COBIT – slide 93 Governança e Qualidade em Serviços de TI - GOV DS11 Gerenciar os Dados Como Alcançar: Realização de cópia de segurança (backup) dos dados e testes de restauração Gerenciamento de armazenamento local e remoto dos dados (onsite e offsite) Descarte seguro de dados e equipamentos Medições: Satisfação do usuário com a disponibilidade dos dados % de restaurações de dados bem-sucedidas Volume de incidentes nos quais dados confidenciais foram recuperados com sucesso após descarte da mídia Recursos de TI: Informações Márcio Moreira 3. COBIT – slide 94 Governança e Qualidade em Serviços de TI - GOV DS12 Gerenciar o Ambiente Físico Descrição: Instalações físicas bem planejadas e gerenciadas, definição dos requisitos do local físico, a escolha de instalações apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos físicos Este processo reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas Objetivos de Negócio: 1º: Integridade e Disponibilidade Requisitos do Negócio: Proteger os ativos de TI e os dados do negócio Minimizar o risco de interrupção nos negócios Foco: Prover e manter um ambiente físico adequado que proteja os recursos de TI contra acesso indevido, danos ou roubo Márcio Moreira 3. COBIT – slide 95 Governança e Qualidade em Serviços de TI - GOV DS12 Gerenciar o Ambiente Físico Como Alcançar: Implementação de medidas de segurança física Seleção e gerenciamento de instalações físicas Medições: Tempo de indisponibilidade devido a incidentes no ambiente físico Quantidade de incidentes causados por falhas ou violação da segurança física Frequência das avaliações e revisões de riscos físicos Recursos de TI: Infraestrutura Márcio Moreira 3. COBIT – slide 96 Governança e Qualidade em Serviços de TI - GOV DS13 Gerenciar as Operações Descrição: Gestão eficaz do processamento de dados, manutenção de hardware, definição de políticas e procedimentos de operações para: Gestão eficaz do processamento agendado, proteção de resultados sigilosos, monitoramento de infraestrutura e manutenção preventiva de hardware O processo ajuda a manter a integridade dos dados e reduzir atrasos e custos de operação de TI Objetivos de Negócio: 1º: 2º: Eficácia e Eficiência Integridade e Disponibilidade Requisitos do Negócio: Manter a integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas Foco: Atingir os níveis de serviço operacionais para o processamento programado de dados, proteção das saídas de dados críticos, monitoramento e manutenção da infraestrutura Márcio Moreira 3. COBIT – slide 97 Governança e Qualidade em Serviços de TI - GOV DS13 Gerenciar as Operações Como Alcançar: Operação do ambiente de TI alinhado com os acordos de níveis de serviço e instruções definidas Manutenção da infraestrutura de TI Medições: Quantidade de níveis de serviço impactados por incidentes operacionais Quantidade de horas de paradas não programadas causadas por incidentes operacionais % de ativos de hardware incluídos na programação de manutenção preventiva Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 98 Governança e Qualidade em Serviços de TI - GOV Processos – ME Márcio Moreira 3. COBIT – slide 99 Governança e Qualidade em Serviços de TI - GOV ME1 Monitorar e Avaliar o Desempenho de TI Descrição: Definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados O monitoramento garante que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Transparência, entendimento de custos, benefícios, estratégia, políticas e níveis de serviços de TI, conformes com os requisitos de governança Foco: Monitorar e entregar relatórios sobre as métricas dos processos de TI Identificar e implementar ações de melhoria de desempenho Márcio Moreira 3. COBIT – slide 100 Governança e Qualidade em Serviços de TI - GOV ME1 Monitorar e Avaliar o Desempenho de TI Como Alcançar: Agrupamento e tradução dos relatórios de desempenho de processos para relatórios de gestão Análise crítica de desempenho frente a metas acordadas e a tomada de ações corretivas necessárias Medições: Satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho Quantidade de ações de melhoria resultantes das atividades de monitoramento % de processos críticos monitorados Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 101 Governança e Qualidade em Serviços de TI - GOV ME2 Monitorar e Avaliar os Controles Internos Descrição: Monitoramento e reporte das exceções de controle, dos resultados de auto avaliação e avaliação de terceiros Garante uma operação eficaz e eficiente e em conformidade com as leis e os regulamentos aplicáveis Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Garantir que os objetivos de TI sejam atingidos e assegurar conformidade com as leis e os regulamentos relacionados à TI Foco: Monitorar os processos de controle interno de atividades de TI e identificar ações de melhoria Márcio Moreira 3. COBIT – slide 102 Governança e Qualidade em Serviços de TI - GOV ME2 Monitorar e Avaliar os Controles Internos Como Alcançar: Definição de um sistema de controles internos integrado na estrutura de processos de TI Monitoramento e reporte sobre a eficácia dos controles internos de TI Reporte das exceções dos controles internos para que os gestores tomem as medidas necessárias Medições: Quantidade de falhas críticas nos controles internos Quantidade de ações de melhoria dos controles internos Quantidade e abrangência das auto avaliações dos controles internos Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 103 Governança e Qualidade em Serviços de TI - GOV ME3 Assegurar a Conformidade com Requisitos Externos Descrição: Estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais Identificar os requisitos de conformidade, otimizar e avaliar as respostas, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios Objetivos de Negócio: 1º: 2º: Conformidade Confiabilidade Requisitos do Negócio: Conformidade com leis, regulamentações e requisitos contratuais Foco: Identificar leis, regulamentações e contratos aplicáveis e o respectivo nível necessário de conformidade de TI e otimizar processos de TI para reduzir o risco de não-conformidade Márcio Moreira 3. COBIT – slide 104 Governança e Qualidade em Serviços de TI - GOV ME3 Assegurar a Conformidade com Requisitos Externos Como Alcançar: Identificação dos requisitos legais, regulatórios e contratuais relacionados Avaliação do impacto dos requisitos de conformidade Monitoramento e geração de relatórios sobre conformidade Medições: Custo da não-conformidade da TI, incluindo multas e penalidades Intervalo entre a identificação dos problemas de conformidade externa e sua resolução Frequência das revisões de conformidade Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 105 Governança e Qualidade em Serviços de TI - GOV ME4 Prover Governança de TI Descrição: Definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Requisitos do Negócio: Integrar a governança de TI aos objetivos de governança corporativa e ter conformidade com leis, regulamentações e contratos Foco: Preparar relatórios gerenciais sobre a estratégia, o desempenho e os riscos de TI e atender aos requisitos de governança em alinhamento com as diretrizes da Alta Direção Márcio Moreira 3. COBIT – slide 106 Governança e Qualidade em Serviços de TI - GOV ME4 Prover Governança de TI Como Alcançar: Estabelecimento de uma estrutura de governança de TI integrada à governança corporativa Auditoria independente do status da governança de TI Medições: Frequência dos relatórios gerenciais sobre TI para as partes interessadas (inclusive maturidade) Frequência dos relatórios de TI para a Alta Direção (inclusive maturidade) Frequência das revisões independentes da conformidade de TI Recursos de TI: Aplicações, informações, infraestrutura e pessoas Márcio Moreira 3. COBIT – slide 107 Governança e Qualidade em Serviços de TI - GOV Aplicação do COBIT Márcio Moreira 3. COBIT – slide 108 Governança e Qualidade em Serviços de TI - GOV O que as empresas querem? Aumentar o faturamento Aumentar a participação no mercado (mais clientes) Aumentar a satisfação dos clientes Mais produtividades Maior lucratividade Márcio Moreira 3. COBIT – slide 109 Menos custos Menos desperdício e retrabalho Menos riscos Menos problemas Reduzir o tempo de lançamento de produtos/serviços novos Governança e Qualidade em Serviços de TI - GOV Orientação do COBIT ao negócio Márcio Moreira 3. COBIT – slide 110 Governança e Qualidade em Serviços de TI - GOV Metas de TI x Processos COBIT Metas de TI Processos COBIT 1. Responder aos requisitos de negócio alinhados com a estratégia PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 2. Responder aos requisitos de governança definidos pelo conselho PO1 PO4 PO10 ME1 ME4 3. Garantir a satisfação dos usuários com a oferta e nível de serviço PO8 AI4 DS1 4. Otimizar o uso da informação PO2 DS11 5. Criar agilidade de TI PO2 PO4 PO7 6. Traduzir os requisitos de TI em boas soluções automatizadas AI1 AI2 AI6 7. Adquirir e manter aplicações integradas e padronizadas PO3 AI2 AI5 8. Adquirir e manter infraestrutura de TI integrada e padronizada AI3 9. Adquirir e manter habilidades de TI alinhadas à estratégia de TI PO7 AI5 10. Garantir satisfação mútua nas relações com terceiros DS2 11. Garantir integração das aplicações aos processos de negócio PO2 AI4 AI7 12. Garantir transparência e entendimento dos custos e benefícios PO5 PO6 DS1 Márcio Moreira 3. COBIT – slide 111 DS2 DS7 DS8 DS10 DS13 AI3 AI5 DS2 DS6 ME1 ME4 Governança e Qualidade em Serviços de TI - GOV Metas de TI x Processos COBIT Metas de TI Processos COBIT 13. Garantir desempenho e uso adequado das aplicações e da TI PO6 AI4 AI7 14. Prestar contas e proteger todos os ativos de TI PO9 DS5 DS9 DS12 ME2 15. Otimizar a infraestrutura, recursos e capacidades de TI PO8 AI4 AI6 AI7 DS10 16. Reduzir defeitos e retrabalhos nas entregas de TI PO8 AI4 AI6 AI7 DS10 DS7 DS8 17. Proteger o alcance (capacidade de atingi-los) dos objetivos de TI PO9 DS10 ME2 18. Criar transparência dos riscos e impactos de negócio para TI PO9 19. Garantir proteção contra acesso indevido a informações críticas PO6 DS5 DS11 DS12 20. Garantir confiança em transações automatizadas de negócio PO6 AI7 DS5 21. Garantir que a TI possa operar e se recuperar em caso de falhas PO6 AI7 DS3 22. Minimizar impactos de negócio em interrupções/mudanças de TI PO6 AI6 DS4 DS12 23. Garantir disponibilidade dos serviços de TI DS3 DS4 DS8 DS13 24. Melhorar o custo/benefício de TI e sua contribuição ao negócio PO5 DS6 Márcio Moreira 3. COBIT – slide 112 DS5 DS12 DS13 ME2 Governança e Qualidade em Serviços de TI - GOV Metas de TI x Processos COBIT Metas de TI Processos COBIT 25. Entregar projetos de TI no prazo, custo e qualidade combinados PO8 PO10 26. Manter a integridade das informações e infraestrutura de TI AI6 DS6 27. Garantir conformidade da TI a leis, regulamentos e contratos DS11 ME2 ME3 ME4 28. Garantir qualidade, eficiência e prontidão para mudança da TI PO6 DS2 ME1 ME4 Fonte: Apêndice I do COBIT 4.1 (página 170) Márcio Moreira 3. COBIT – slide 113 Governança e Qualidade em Serviços de TI - GOV Softwares de apoio ao COBIT Existem alguns softwares que podem ser utilizados para criação de painéis de indicadores (dashboard): www.e-decision.com.br www.softexpert.com.br www.datasec-soft.com www.methodware.co.nz www.metricus.com Márcio Moreira 3. COBIT – slide 114 Governança e Qualidade em Serviços de TI - GOV Produtos do ITGI que suportam o COBIT COBIT Quickstart IT Assurance Guide CObIT Online CObIT Security Baseline IT Governance Implementation Guide Val IT Márcio Moreira 3. COBIT – slide 115 Governança e Qualidade em Serviços de TI - GOV COBIT Quickstart É uma versão resumida dos recursos do COBIT Ela serve como ponto de partida para empresas que querem ter uma estrutura básica de governança de TI, priorizando os controles mais importantes Representa apenas 20% do conteúdo Márcio Moreira 3. COBIT – slide 116 Governança e Qualidade em Serviços de TI - GOV Certificação COBIT Márcio Moreira 3. COBIT – slide 117 Governança e Qualidade em Serviços de TI - GOV Público alvo O exame de certificação COBIT Foundation é aplicável para: Auditores de TI Gerentes de TI Profissionais na área de qualidade de TI Líderes de TI Gerentes de processos de TI A certificação COBIT Foundation garante que você tem conhecimento sobre o framework do COBIT no nível fundamentos Não há outros níveis de certificação para o COBIT A ISACA oferece outras certificações profissionais como: CISA, CISM, CGEIT, CRISC Márcio Moreira 3. COBIT – slide 118 Governança e Qualidade em Serviços de TI - GOV Exame de certificação A certificação é oferecida pela ISACA e ITGI Existe apenas o nível Fundamentos (Foundation) Não há pré-requisitos, qualquer profissional pode se inscrever no exame sem precisar comprovar experiência ou participação em treinamento oficial O exame é online (pode ser realizado em casa ou no trabalho) Disponível em vários idiomas, incluindo o Português Márcio Moreira 3. COBIT – slide 119 Governança e Qualidade em Serviços de TI - GOV Escopo do exame As questões do exame são distribuídas em 5 áreas do conhecimento: 15% 30% 30% 10% 15% Respondendo aos desafios da TI Estrutura do COBIT O que o COBIT fornece Aplicando o COBIT Produtos do COBIT e suporte da ISACA Observação: Necessários 28 pontos em 40 para aprovação (70%) Não existe pontuação mínima por área de conhecimento Márcio Moreira 3. COBIT – slide 120 Governança e Qualidade em Serviços de TI - GOV Tela do exame Márcio Moreira 3. COBIT – slide 121 Governança e Qualidade em Serviços de TI - GOV Resultado final Após finalizar o exame o candidato saberá na hora se foi aprovado ou não. Na tela de resultado é informado apenas o percentual de questões que o candidato acertou Qualquer problema com o recebimento do certificado, entre em contato com [email protected] Márcio Moreira 3. COBIT – slide 122 Governança e Qualidade em Serviços de TI - GOV Modelo de certificado impresso Márcio Moreira 3. COBIT – slide 123 Governança e Qualidade em Serviços de TI - GOV Obrigado! Márcio Moreira 3. COBIT – slide 124 Governança e Qualidade em Serviços de TI - GOV