UNIVERSIDADE NOVE DE JULHO
MBA em Gestão da Tecnologia da Informação e Internet
RÉMERSON LÚCIO DO NASCIMENTO
RECOMENDAÇÕES SOBRE O USO DA
VIRTUALIZAÇÃO DE RECURSOS DE TI,
UTILIZANDO O COBIT 4.1 COMO MODELO DE
GOVERNANÇA DE TI
São Paulo
2009
UNIVERSIDADE NOVE DE JULHO
MBA em Gestão da Tecnologia da Informação e Internet
RÉMERSON LÚCIO DO NASCIMENTO
RECOMENDAÇÕES SOBRE O USO DA
VIRTUALIZAÇÃO DE RECURSOS DE TI,
UTILIZANDO O COBIT 4.1 COMO MODELO DE
GOVERNANÇA DE TI
Monografia apresentada à Universidade Nove
de Julho do curso MBA em Gestão da
Tecnologia da Informação e Internet para a
obtenção do grau de Especialista em
Tecnologia.
Orientadora: Profa. Dra. Mônica Mancini
São Paulo
2009
FOLHA DE APROVAÇÃO
Nome do autor: Rémerson Lúcio do Nascimento
Título do trabalho: Recomendações sobre o uso da virtualização de recursos de TI,
utilizando o COBIT 4.1 como modelo de governança de TI.
Natureza: Monografia
Objetivo: Mostrar a importância do uso da virtualização de recursos de TI, utilizando
os processos do Framework COBIT4.1 como modelo de Governança de TI.
Nome da Instituição: Universidade Nove de Julho
Área de Concentração: Tecnologia
Data de Aprovação:
Membros da Banca:
AGRADECIMENTOS
Acredito que, a realização desse trabalho contribui para o aperfeiçoamento dos
profissionais da tecnologia da informação, que possuem a obrigação de manteremse constantemente em busca de atualização, visando novos conhecimentos sobre
modelos e tecnologias. E assim, garantir a boa gestão da TI, que está tão presente
em nosso cotidiano, mesmo que de forma virtual.
Agradeço a minha orientadora, Profa. Dra. Mônica Mancini, pelo interesse,
dedicação e profissionalismo dispensados aos seus orientandos.
Agradeço a, minha amada esposa, Laura pela compreensão e apoio
oferecidos, durante esse período.
Agradeço aos meus pais Geraldo e Creusa, por terem plantado em mim, a
sementinha da vontade de aprender, a qual já se transformou em árvore e oferece
mais este trabalho como fruto.
Agradeço a amiga Lívia, que através da revisão desse texto, proporcionou
formas mais claras e harmoniosas para expressar frases esquisitas, formadas por
números binários agrupados de 8 em 8.
Agradeço a Elaine, coordenadora de suporte do Banco Panamericano, pela
gentileza de contribuir com sua entrevista para esse trabalho, tornando possível
exemplificar a aplicabilidade desse estudo.
Agradeço ao Luis Fernando, gestor de TI da PRODAM, e amigo de longa data,
pela disponibilidade e contribuição para esse trabalho.
Agradeço pelo acolhimento e companheirismo dos amigos que fiz durante o
MBA: Cristerson, Diego, Francis, Luiz, Milton, Paulo, Marcelo e André.
Agradeço a todos, os grandes profissionais, que contribuíram com seus
trabalhos, para que esse estudo pudesse ser realizado. Os nomes e contribuições
estão relacionados em uma lista na parte final deste trabalho.
Agradeço, de forma especial. a Deus por conceder me capacidade para
concluir esse MBA, proporcionando-me a alegria de superar mais uma etapa na
minha vida acadêmica, profissional e pessoal.
“O nosso raciocínio cria problemas,
que o mesmo nível de raciocínio não consegue resolver.”
Albert Einstein
RESUMO
A tecnologia de virtualização e o Control Objectives for Information and related
Technology (COBIT), atualmente estão em destaque nas áreas de tecnologia da
informação (TI), levando empresas a adotá-los sem uma análise aprofundada dos
seus benefícios e riscos. Existem informações, principalmente propagandas,
divulgando que ambas são capazes de reduzir custos, alinhar TI ao negócio e
promover governança de TI. Embora as informações sejam verdadeiras, a adoção
desses recursos deve ser precedida por um planejamento que estruture a linha de
trabalho para o sucesso do projeto.
O objetivo principal deste trabalho é mostrar a importância do uso da
virtualização de recursos de TI, utilizando os processos do Framework COBIT 4.1
como modelo de governança de TI.
Os resultados deste estudo apontaram que a Governança de TI surgiu como
forma de alinhar TI ao negócio e tornar mais efetiva a governança corporativa. O
COBIT é um modelo que deve ser adaptado a cada negócio a fim de prover a
governança de TI, porém antes de adotá-lo, pode ser muito útil adotar ferramentas
mais específicas, que cubram as áreas foco do COBIT, como a Information
Technology Infrastructure Library (ITIL). A tecnologia de virtualização em TI, consiste
em usar um software de virtualização que emule um ambiente físico com todos os
seus componentes e funcionalidades originais. O uso dessa tecnologia, em especial
a virtualização de servidores ou datacenter virtual, é bastante recomendado, pois
contribui para o provimento da governança de TI. Para isso, ela deve ser
devidamente avaliada e incluída nas estratégias especificadas pelo COBIT, através
do domínio planejar e organizar. Existem exemplos de empresas que servem para
endossar os benefícios desses recursos, como a Vivo e os Correios no caso do
COBIT, o Grupo de Soluções em Alimentação (GRSA) e a Empresa de Tecnologia
da Informação e Comunicação do Município de São Paulo (PRODAM) no caso da
virtualização e o Banco Panamericano que usa ambos de forma integrada.
A importância e contribuição deste estudo apontam para um esclarecimento,
com bases acadêmicas, do que a virtualização pode fazer pela governança de TI
baseada no COBIT e também produzir um material que possa servir como subsidio
para empresas, profissionais, alunos e professores que tenham interesse no objetivo
desse trabalho.
Palavras-chaves: TI, COBIT, virtualização, governança, VMware, Hyper-V
ABSTRACT
The virtualization technology, and Control Objectives for Information and related
Technology (COBIT), are currently in focus in the information technology (IT), leading
companies to adopt them without a thorough analysis of its benefits and risks. There
is information, especially advertising, disclosing that both are able to reduce costs,
aligning IT to business and promoting governance of IT. Although the information is
true, the adoption of these resources must be preceded by a planning structure that
the line of work assure the success of the project.
The main objective of this work is to show the importance of the use of
virtualization of IT resources, using the COBIT Framework 4.1 processes as a model
for IT governance.
The results of this study showed that IT governance has emerged as a way to
align IT to business and make more effective corporate governance. The COBIT is a
model to be adapted to each business to provide the governance of IT, but before
you adopt it, can be quite useful tools more specific, covering the focus areas of
COBIT, as the Information Technology Infrastructure Library (ITIL). The virtualization
technology in IT is to use a virtualization software that emulates a physical
environment with all its components and original features. The use of this technology,
particularly in server virtualization and virtual datacenter, is quite recommended, it
contributes to the provision of IT governance. For this, it must be properly assessed
and included in the strategies specified by the COBIT through the domain plan and
organize. There are examples of companies that serve to endorse the benefits of
these resources, such as Vivo and Correios in the case of COBIT, the Grupo de
Soluções em Alimentação (GRSA) and Company of Information Technology and
Communication of the City of São Paulo (PRODAM) in case of virtualization and
Banco Panamericano that use both in an integrated manner.
The importance and contribution of this study suggest an explanation, based
academic, in that virtualization can do for IT governance based on COBIT and
produce a material that can serve as a subsidy for businesses, professionals,
students and teachers who are interested in objective of this work.
Keywords: IT, COBIT, virtualization, governance, VMware, Hyper-V
RELAÇÃO DE FIGURAS
FIGURA 1 - ÁREAS FOCO DA GOVERNANÇA DE TI ...........................................................19
FIGURA 2 - VISÃO GERAL DA ESTRUTURA DO COBIT .....................................................21
FIGURA 3 - PRINCIPIO BÁSICO DO COBIT ......................................................................23
FIGURA 4 - CUBO DO COBIT ........................................................................................23
FIGURA 5 – ARQUITETURA DE SISTEMA TRADICIONAL ......................................................43
FIGURA 6 – ARQUITETURA DE SISTEMA VIRTUALIZADO NO HARDWARE ..............................44
FIGURA 7 – ARQUITETURA DE SISTEMA VIRTUALIZADO NO SISTEMA OPERACIONAL .............45
FIGURA 8 – PRODUTOS E TECNOLOGIAS DE VIRTUALIZAÇÃO MICROSOFT .........................51
FIGURA 9 – DATACENTER VIRTUAL ................................................................................53
FIGURA 10 – VMWARE INFRASTRUCTURE ......................................................................54
FIGURA 11 – VMWARE ESX .........................................................................................55
FIGURA 12 – OS QUATRO DOMINIOS DO COBIT INTERRELACIONADOS ..............................61
FIGURA 13 – FLUXO DE TAREFAS ENTRE DOMINIOS DO COBIT - PO ................................62
FIGURA 14 – FLUXO DE TAREFAS ENTRE DOMINIOS DO COBIT - AI ..................................67
FIGURA 15 – FLUXO DE TAREFAS ENTRE DOMINIOS DO COBIT - DS ................................71
FIGURA 16 – FLUXO DE TAREFAS ENTRE DOMINIOS DO COBIT - ME ................................79
RELAÇÃO DE QUADROS
QUADRO 1 - RECURSOS DE TI – TANGÍVEIS ...................................................................42
QUADRO 2 – PRINCIPAIS FORNECEDORES DE SOFTWARES PARA VIRTUALIZAÇÃO...............48
QUADRO 3 – COMPARATIVO ENTRE VMWARE E MICROSOFT ...........................................59
QUADRO 4 – RESUMO DOS PROCESSOS RELEVANTES À VIRTUALIZAÇÃO ...........................82
QUADRO 5 – CASOS DE SUCESSO DE EMPRESAS QUE ADOTARAM O COBIT......................84
QUADRO 6 – CASOS DE SUCESSO DE EMPRESAS QUE USAM A VIRTUALIZAÇÃO ..................85
RELAÇÃO DE SIGLAS E ABREVIATURAS
ABNT - Associação Brasileira de Normas Técnicas
BSC - Balanced Scorecard
CDDL - Common Development and Distribution License
CMM - Capability Maturity Model
COBIT - Control Objectives for Information and related Technology
COSO - Committee of Sponsoring Organizations
CPU - Central Processing Unit
ERP - Enterprise Resource Planning
EUA - Estados Unidos da América
GPL - General Public License
IBCA - Instituto Brasileiro de Conselheiros de Administração
IBGC - Instituto Brasileiro de Governança Coorporativa
ISO - International Organization for Standardization
ITIL - Information Technology Infrastructure Library
OGC - The Office of Government Commerce
PMBOK - Project Management Body of Knowledge
PRINCE2 - PRojects IN Controlled Environments
RFP - Solicitação de Pedido de Proposta
SEI - Software Engineering Institute
SGQ - Sistema de Gerenciamento da Qualidade
SLA - Service Level Agreement
SOX - Sarbanes-Oxley Act
TCO - Total Cost of Ownership
TI - Tecnologia da Informação
USB - Universal Serial Bus
SUMÁRIO
INTRODUÇÃO .........................................................................................................11
CAPÍTULO 1 - O USO DO COBIT 4.1 COMO FERRAMENTA PARA
GOVERNANÇA DE TI .....................................................................16
1.1
GOVERNANÇA CORPORATIVA ...............................................................16
1.2
GOVERNANÇA DE TI.............................................................................18
1.2.1
FERRAMENTAS PARA GOVERNANÇA DE TI..............................................19
1.3
FRAMEWORK COBIT 4.1 .....................................................................21
1.3.1
DOMÍNIOS E PROCESSOS DO COBIT.....................................................25
1.3.2
MODELO DE MATURIDADE .....................................................................35
CAPÍTULO 2 - VIRTUALIZAÇÃO DE RECURSOS DE TI .......................................39
2.1
CONCEITOS DE VIRTUAL E VIRTUALIZAÇÃO .................................................... 39
2.2
RECURSOS DE TI E VIRTUALIZAÇÃO .............................................................. 41
2.3
VANTAGENS E DESVANTAGENS DA VIRTUALIZAÇÃO ........................................ 45
2.4
FORNECEDORES DE VIRTUALIZAÇÃO EM TI .................................................... 47
CAPÍTULO 3 - RECOMENDAÇÕES SOBRE O USO DA VIRTUALIZAÇÃO DE
RECURSOS DE TI, UTILIZANDO OS PROCESSOS DO COBIT
4.1 COMO MODELO DE GOVERNANÇA DE TI.............................61
3.1
INTER-RELACIONAMENTO ENTRE OS DOMÍNIOS DO COBIT 4.1.................61
3.2
VIRTUALIZAÇÃO NO DOMÍNIO PLANEJAMENTO E ORGANIZAÇÃO (PO)........62
3.3
VIRTUALIZAÇÃO NO DOMÍNIO AQUISIÇÃO E IMPLEMENTAÇÃO (AI) .............67
3.4
VIRTUALIZAÇÃO NO DOMÍNIO ENTREGA E SUPORTE (DS) ........................71
3.5
VIRTUALIZAÇÃO NO DOMÍNIO MONITORAÇÃO E AVALIAÇÃO (ME)..............79
3.6
EXEMPLOS DE EMPRESAS QUE USAM COBIT E VIRTUALIZAÇÃO ...............83
CONCLUSÕES E RECOMENDAÇÕES ..................................................................89
REFERÊNCIAS........................................................................................................94
11
INTRODUÇÃO
A introdução tem como objetivo apresentar o tema, intitulado “Recomendações
sobre o uso da virtualização de recursos de TI, utilizando o COBIT 4.1 como modelo
de governança de TI”, e as questões de pesquisa a serem analisadas neste estudo
são:
Panorama Geral
A tecnologia da informação (TI) sempre foi tão fecunda no que diz respeito a
criar siglas, termos e certificações quanto em gerar novas tecnologias. Atualmente
termos como governança de TI, Control Objectives for Information and related
Technology (COBIT) e tecnologias como virtualização, são presenças constantes em
ambientes corporativos onde se gera, vende, utiliza, ou se estuda tecnologia da
informação. Embora estejam sempre presentes, ainda são motivo de muitas dúvidas,
motivadas principalmente por informações contraditórias que são divulgadas o
tempo todo pelos departamentos de marketing dos fabricantes ou patrocinadores no
caso das certificações. Normalmente as duas informações estão corretas, cabe ao
consumidor efetuar uma análise de todos os pontos relevantes, antes de decidir-se
por uma ou por outra tecnologia. Isso parece bastante razoável e até lógico, porém
não é o que encontramos no mercado. O que encontramos são algumas empresas
iniciando a adoção de padrões de mercado e novas tecnologias sem efetuar nenhum
estudo mais sério e profundo sobre o assunto. Esse trabalho pretende contribuir com
informações relevantes e de bases acadêmicas para facilitar nesse processo de
avaliação da governança de TI, do COBIT e da virtualização.
A Governança de TI surgiu como forma de alinhar TI ao negócio e tornar mais
efetiva a governança corporativa. O COBIT é um modelo que deve der adaptado a
cada negócio a fim de prover a governança de TI, porém antes de adotá-lo, pode ser
muito útil adotar ferramentas mais específicas, que cubram as areas foco do COBIT,
como por exemplo a Information Technology Infrastructure Library (ITIL).
12
O mercado de tecnologias para virtualização tem a VMware como líder isolado
e bem atrás, a Microsoft em segundo lugar. A VMware possui o VMware
Infrastructure, um produto com tecnologia e recursos superiores ao Hyper-V da
Microsoft. Porém, vale a pena fazer uma análise mais aprofundada sobre o assunto.
Pois cada um tem suas vantagens e uma boa escolha deve basear-se em um estudo
com critérios bem objetivos.
Há empresas que estão adotando, ou já adotaram, o COBIT e utilizam a
virtualização, mas não necessariamente existe vínculo entre as motivos pelos quais
foram adotados. Normalmente a virtualização é usada para reduzir custos enquanto
o COBIT atende requisitos regulamentares. Porém, através desse estudo podemos
identificar como o COBIT e a virtualização podem ser complementares em direção a
governança de TI com redução de custos. Para tanto, são apresentadas algumas
recomendações sobre o uso da virtualização de recursos de TI através dos
processos do framework COBIT 4.1 como modelo de governança de TI.
São apresentados exemplos de empresas que adotaram o COBIT e de
empresas que utilizam a virtualização. Analisar esses casos de forma mais
detalhada é uma forma interessante de aprender sua utilidade através de casos
reais como a Vivo e os Correios no caso do COBIT, o Grupo de Soluções em
Alimentação (GRSA) e a Empresa de Tecnologia da Informação e Comunicação do
Município de São Paulo (PRODAM) no caso da virtualização e o Banco
Panamericano que usa ambos de forma integrada.
A justificativa da escolha do tema deve-se a importância cada vez maior de
alinhar a TI aos objetivos do negócio. Nesse caso, a adoção da governança de TI
tem incentivado a utilização da estrutura do COBIT, pois ela atende todos os
requisitos de governança corporativa especificados pelo COSO. Tão rápido quanto a
governança de TI a virtualização está sendo implantada nas empresas, motivada
principalmente pelos benefícios financeiros e ambientais, os quais são objetos de
estudos e projetos, porém seus benefícios também são úteis para governança de TI.
A
importância
e
contribuição
deste
estudo
apontam
para
um
esclarecimento, com bases acadêmicas, do que a virtualização pode fazer pela
13
governança de TI baseada no COBIT e também produzir um material que possa
servir como subsídio para empresas, profissionais, alunos e professores que tenham
interesse no objetivo desse trabalho.
Este estudo tem como objetivo principal mostrar a importância do uso da
virtualização de recursos de TI, utilizando os processos do Framework COBIT 4.1
como modelo de Governança de TI.
Os objetivos específicos desta monografia são:
1. Apresentar o COBIT 4.1 como ferramenta de governança de TI.
2. Definir o que é virtualização de recursos de TI.
3. Identificar como a virtualização de recursos de TI pode contribuir com a
Governança de TI, baseando-se nos processos do Framework COBIT 4.1.
Para atender a esses objetivos acima citados, este trabalho se propõe a
responder às seguintes questões de pesquisa:
1. O que é COBIT 4.1 como ferramenta de governança de TI?
2. O que é virtualização de recursos de TI?
3. Como a virtualização de recursos de TI pode contribuir com a Governança de TI,
baseando-se nos processos do Framework COBIT 4.1?
Para responder as questões acima formuladas, esta monografia foi dividida em
três capítulos, organizados da seguinte forma:
O primeiro capítulo tem como objetivo mostrar a Governança Corporativa, a
Governança da Tecnologia da Informação (TI) e o Control Objectives for Information
and related Technology (COBIT) como uma ferramenta para gestão de TI.
O segundo capítulo tem como objetivo buscar o conceito de virtual e
virtualização, definir virtualização dos recursos de TI e apresentar as duas principais
soluções oferecidas pelo mercado, o VMware e O Hyper-V.
14
O terceiro capítulo tem como objetivo apresentar recomendações sobre o uso
da tecnologia de virtualização dos recursos de TI, em especial a virtualização de
servidores ou datacenter virtual, identificando quais processos da estrutura do
COBIT, podem se beneficiar dessa tecnologia visando a melhoria dos níveis de
maturidade no uso do COBIT como ferramenta para prover a governança de TI.
E, no final, serão apresentadas as conclusões deste estudo e recomendações
para futuros trabalhos acadêmicos.
CAPÍTULO 1
Conceitos e Definições:
O uso do COBIT 4.1 como ferramenta para governança de TI
16
CAPÍTULO 1 - O USO DO COBIT 4.1 COMO FERRAMENTA PARA
GOVERNANÇA DE TI
Este capítulo tem como objetivo mostrar a Governança Corporativa, a
Governança da Tecnologia da Informação (TI) e o Control Objectives for Information
and related Technology (COBIT) como uma ferramenta para gestão de TI.
1.1
Governança Corporativa
Podemos afirmar a Governança Coorporativa teve suas origens em 1992, na
Inglaterra, com a publicação do Relatório Cadbury, e nos Estados Unidos da
América (EUA), com a divulgação pela General Motors de suas "Diretrizes de
Governança Corporativa". Já em 1994, segundo a pesquisa realizada pela California
Public Employees Retirement System (Calpers), mais da metade das 300 maiores
companhias americanas tinham seus próprios manuais de recomendações de
governança corporativa. Em 1995 foi fundado no Brasil o Instituto Brasileiro de
Conselheiros de Administração (IBCA), atual Instituto Brasileiro de Governança
Coorporativa (IBGC).
Segundo o IBGC (2009):
Governança corporativa é o sistema pelo qual as sociedades são dirigidas e
monitoradas, envolvendo os relacionamentos entre acionistas/cotistas,
conselho de administração, diretoria, auditoria independente e conselho
fiscal. As boas práticas de governança corporativa têm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir
para a sua perenidade.
Não existe um modelo fechado sobre a forma correta de aplicar as práticas de
governança corporativa nos diversos mercados mundiais, entretanto, podemos
afirmar que todos possuem como princípios a transparência, a prestação de contas,
a eqüidade e a responsabilidade corporativa.
A governança corporativa serve para tornar mais transparente o entendimento
entre os executivos, aqueles que controlam a empresa, o que os acionistas, aqueles
que são os verdadeiros donos da empresa. Isso através de um conjunto de
17
mecanismos como normas regulatórias e manuais de melhores práticas, tanto de
incentivos quanto de monitoramento, que visam reduzir os riscos de perdas
financeiras por abusos de poder, erros estratégicos ou fraudes.
As ferramentas que asseguram o controle da empresa sobre os executivos
são: o Conselho de Administração, a Auditoria Independente e o Conselho Fiscal.
No Brasil, devido a necessidade das empresas modernizarem sua gestão,
surgiram os conselheiros profissionais e independentes, que servem como resposta
a adequação às boas práticas de governança corporativa.
Apesar da crescente pressão por parte dos mercados para que as empresas
adotem as boas práticas de governança corporativa, no Brasil, o controle acionário
das empresas ainda é muito concentrado. Há um longo caminho a ser percorrido.
A falta de um bom sistema de governança corporativa, aliado a conselheiros
desqualificados e ineficientes, tem levado muitas empresas a fracassos decorrentes
de abuso de poder por parte dos acionistas majoritários sobre os minoritários e da
diretoria sobre os acionistas. Erros de estratégia e fraudes.
Empresas e países notaram a necessidade de incorporar a governança
corporativa como forma de atração e manutenção de investimentos aos seus
mercados. Além de possuírem sistemas regulatórios e leis de proteção aos
acionistas. Entre as normas regulatórias ou compliances, temos o Sarbanes-Oxley
Act (SOX), o Acordo da Basiléia II, a Resolução 3380 do Banco Central do Brasil.
Para atender essas normas, podemos destacar o Committee of Sponsoring
Organizations (COSO). Uma organização voluntária do setor privado, dedicado a
orientar entidades e executivos de gestão e governança, para a criação de uma
base global mais eficaz, eficiente e ética. Ele patrocina e divulga modelos e
orientações com base em profundas investigações e análise das melhores práticas.
18
1.2
Governança de TI
Muito da governança coorporativa depende dos controles e das informações
provenientes da Tecnologia da Informação (TI). Dessa forma torna-se necessário
que a TI também seja confiável. Foi criado em 1998, o IT Governance Institute
(ITGI). Uma organização de pesquisas e principal referência em governança de TI
da comunidade empresarial global.
De acordo com o ITGI (2009), governança de TI é responsabilidade do
conselho de administração e da diretoria executiva. É parte integrante da
governança coorporativa e consiste na liderança, nas estruturas organizacionais e
nos processos que assegurem que a organização da TI sustente e atenda as
estratégias e os objetivos da organização.
Segundo Fernandes e Abreu (2008), o principal objetivo da governança de TI é
alinhar TI aos requisitos do negócio. Esse alinhamento tem como base a
continuidade do negócio, o atendimento às estratégias do negócio e o atendimento a
marcos de regulação externos.
A governança de TI possui alguns focos para atingir esses objetivos. Segundo
o ITGI, as áreas foco da governança de TI são:
•
Alinhamento Estratégico: garantir o alinhamento entre TI plano de
negócios e operações.
•
Entrega de Valor: provar o valor intrínseco de TI assegurando que os
benefícios prometidos sejam alcançados e os custos otimizados.
•
Gerenciamento de Riscos: fornecer uma clara compreensão dos riscos
mais significativos para empresa, incorporar responsabilidades e definir
o apetite para riscos.
•
Gerenciamento de Recursos: melhorar o investimento e ter uma boa
gestão dos recursos de TI, como aplicações, informações, infra-estrutura
e pessoas.
•
Monitoramento de Performance: Implementar regras e estratégias para
medir o desempenho do setor de TI com base nas regras definidas,
19
utilizando tanto a própria contabilidade como outros métodos a exemplo
dos Scorecards.
Na Figura 1, podemos observar a Governança de TI ao centro, com as áreas
foco ao seu redor.
Figura 1 - Áreas Foco da Governança de TI
Fonte: ITGI (2007)
Com uma dependência cada vez maior das informações providas pelo setor de
tecnologia da informação das empresas, a governança de TI tem deixado de ser
uma vantagem competitiva para tornar-se um pré-requisito para a continuidade da
empresa.
Com a importância, os focos e os objetivos definidos, a governança de TI
precisa valer-se de modelos de melhores práticas, auditorias e outras ferramentas
para tornar-se funcional e não apenas, um documento de boas intenções.
1.2.1 Ferramentas para Governança de TI
Para colocarmos em prática a governança de TI, existem vários padrões de
mercado com esse objetivo, cada um com o seu órgão regulador e uma finalidade
20
específica dentro das operações de TI. Cada empresa poderia desenvolver seus
próprios modelos, ferramentas e padrões. Porém, essa não é uma prática viável por
envolver elevados custos em pesquisas, desenvolvimento e treinamento. É muito
mais prático, rápido, econômico e eficiente fazer parte de organizações que
gerenciem pesquisas, desenvolvimento e treinamentos por meio de empresas que
fazem esse trabalho e o compartilham com seus associados como o The Office of
Government Commerce (OGC), órgão mantenedor da Information Technology
Infrastructure Library (ITIL).
Entre os padrões mais conhecidos e usados pelo mercado atualmente
podemos destacar:
•
Information Technology Infrastructure Library (ITIL)
•
Control Objectives for Information and related Technology (COBIT)
•
International Organization for Standardization (ISO)
•
Project Management Body of Knowledge (PMBOK)
•
Balanced Scorecard (BSC)
•
Capability Maturity Model (CMM)
As principais características de um padrão de controle, incluem o foco no
negócio, ser orientado a processos, ser um padrão aceito, possuir uma linguagem
comum e atender a requisitos regulatórios.
Mantendo o foco desse trabalho, vamos nos ater ao COBIT. Pois esses
padrões de mercado podem ser auditados pela estrutura do COBIT, que está em
conformidade com o COSO que atende as regulamentações da Sarbanes-Oxley Act
(SOX).
A diferença entre o COSO e COBIT é que o primeiro genérico podendo ser
aplicado a qualquer atividade da empresa, enquanto o COBIT é especifico para área
de TI.
21
1.3
Framework COBIT 4.1
Figura 2 - Visão Geral da Estrutura do COBIT
Fonte: ITGI (2007)
22
O Control Objectives for Information and related Technology (COBIT),
traduzindo para o português: “Objetivos de Controle para Informações e Tecnologias
Relacionadas”, é internacionalmente aceito como um conjunto de boas práticas de
controle sobre informações, TI e riscos associados. Uma ferramenta utilizada para
implementar a governança de TI e melhorar os controles de TI, tornou-se um
instrumento utilizado por muitas empresas que visam atender regulamentações,
como a SOX, cuja aprovação em 2002 proporcionou, um aumento significativo na
adoção do COBIT pelas empresas nos EUA.
A Figura 2 nos proporciona uma visão geral da estrutura do COBIT.
O COBIT teve sua primeira edição em 1996 pela Information Systems Audit
and Control Association (ISACA), em 1998 foi criado o ITGI, pela própria ISACA,
para aprofundas as pesquisas em tecnologia da informação e gerenciar esse
conhecimento, incluindo a gestão do COBIT. Desde então o COBIT passou a ser
publicado pelo ITGI e apoiado pela ISACA. O COBIT teve mais três edições: 2.a
edição em 1998, 3.a edição em 2000 e 4.a edição em 2005. Teve ainda uma
atualização em 2007 lançando a versão 4.1.
A missão do COBIT, segundo o ITGI (2007) é:
Pesquisar, desenvolver, divulgar e promover uma mandatária, atualizada e
internacionalmente aceita estrutura de controle para governança de TI para
adoção por empresas e uso no dia-a-dia por gestores empresariais,
profissionais de TI e profissionais de segurança.
Segundo o ITGI (2007), o COBIT suporta a Governança de TI provendo uma
estrutura (framework) para assegurar que:
•
TI esteja alinhada ao negócio.
•
TI permita que o negócio funcione e maximize os resultados.
•
Os recursos de TI sejam utilizados de forma responsável.
•
Os riscos de TI sejam gerenciados de forma adequada.
O princípio básico do COBIT mostra que os requisitos do negócio direcionam
os investimentos e recursos que são usados pelos processos de TI para entregar as
23
informações empresariais que atendam aos requisitos do negócio, formando um
ciclo contínuo, representado na Figura 3.
Figura 3 - Principio básico do COBIT
Fonte: ITGI (2007)
O COBIT fornece uma estrutura de 114 atividades organizadas por 34
Processos de TI e agrupados em 4 domínios. Os quais o Departamento de TI utiliza
juntamente com os Recursos de TI com base nos Requisitos do Negócio, entendido
como Critérios de Informação, para entregar as Informações Empresariais. O Cubo
do COBIT, apresentado na Figura 4, nos proporciona uma visão integrada desses
componentes chaves.
Figura 4 - Cubo do COBIT
Fonte: ITGI (2007)
24
Critérios de Informação
São três os requisitos para os critérios de Informação: Qualidade, Segurança e
Fiduciário. Que são divididos em sete categorias, lembrando que as informações
precisam estar sempre em conformidade com os critérios definidos pelos requisitos
do negócio.
•
Eficácia: Alcançar as metas e resultados propostos.
•
Eficiência: Produzir o máximo de resultados com o mínimo de recursos.
•
Confiabilidade: Prover a informação apropriada.
•
Conformidade: Cumprir as leis e regulamentos aos quais a empresa está
sujeita.
•
Confidencialidade: Proteger a informações sigilosas.
•
Integridade: Prover a informação de forma exata, inteira e válida.
•
Disponibilidade: Garantir a disponibilidade da informação tanto agora
quanto no futuro.
Recursos de TI
Aplicações são os sistemas automatizados e procedimentos manuais para
processar informações.
Informações são os dados de todos os formulários de entrada, processados e
exibidos pelos sistemas de informação, podendo ser qualquer formulário que é
usado pelo negócio.
Infra-estrutura inclui hardware, sistemas operacionais, sistemas de banco de
dados, rede, multimídia, etc. Tudo que é necessário para o funcionamento das
aplicações.
Pessoas são os componentes da equipe necessária para planejar, organizar,
adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de
informação e serviços. Eles podem ser internos ou terceirizados.
25
Processos de TI
Os processos de TI são divididos em quatro domínios. Cada um desses possui
um conjunto de processos que são subdivididos em atividades para que os objetivos
do domínio sejam alcançados. Isso é algo muito importante visto que o COBIT é um
modelo orientado a processos. Dessa forma vamos listar e detalhar um pouco
melhor os processos de cada domínio do COBIT.
1.3.1 Domínios e Processos do COBIT
O funcionamento da estrutura do COBIT é baseado nos controles
estabelecidos para cada um dos 34 processos, agrupados em 4 domínios ou áreas,
a saber:
•
Domínio Planejamento e Organização
•
Domínio Aquisição e Implementação
•
Domínio Entrega e Suporte
•
Domínio Monitoração e Avaliação
Embora o COBIT apresente essa lista completa com 34 processos de TI, nem
todas as empresas terão necessidade de utilizar todos eles, que devem ser
selecionados e usados de acordo com as atividades e responsabilidades inerentes
as estratégias de cada negócio. Na estrutura do COBIT também existem
informações sobre modelos de maturidade para cada um desses processos.
Domínio (PO) Planejamento e Organização
Este domínio engloba as estratégias e táticas, diz respeito à identificação de
como a TI pode melhor contribuir para alcançar os objetivos do negócio através do
planejamento e da organização. Segundo o ITGI (2007), este domínio normalmente
é dirigido as seguintes questões gerenciais:
•
TI e o negócio estão alinhados estrategicamente?
•
A empresa esta usando seus recursos de forma otimizada?
26
•
Todos na empresa conhecem os objetivos da TI?
•
Os riscos da TI são conhecidos e gerenciados?
•
A qualidade dos sistemas de TI é adequada para as necessidades da
empresa?
A seguir, um resumo das atividades do domínio (PO) Planejamento e
Organização.
PO1 - Definir um plano estratégico de TI: O planejamento estratégico é
necessário para gerenciar e direcionar todos os recursos de TI alinhados com as
estratégias e prioridades do negócio. O plano estratégico deve aumentar a
compreensão dos stakeholders em relação das oportunidades e limites da TI, avaliar
o desempenho e deixar claro os níveis de investimentos necessários.
PO2 - Definir a arquitetura de informação: A função dos sistemas de
informação é criar e atualizar regularmente um modelo de informação para o negócio
e definir sistemas apropriados para otimizar o uso dessas informações.
PO3 - Determinar a direção tecnológica: A função dos serviços de informação é
determinar a direção tecnológica para suportar o negócio. Isso requer a criação de
um plano de infra-estrutura tecnológica e um comitê que determina e gerencia de
forma clara e realista as expectativas do que a tecnologia pode oferecer em termos
de produtos, serviços e mecanismos de entrega.
PO4 - Definir processos de TI, organização e relacionamentos: A organização
de TI precisa ser definida, considerando os requisitos de pessoas, habilidades,
funções, responsabilidades, autoridades, regras, responsabilidades e supervisão.
Esta organização deve estar dentro de um modelo de processos de TI que assegure
transparência e controle, além de envolver os principais executivos e gerentes de
negócio.
Processos,
políticas
e
procedimentos
administrativos
devem
ser
implementados para todas as funções, com atenção especial para controles,
garantia de qualidade, gerenciamento de riscos, segurança da informação,
propriedade de dados e sistemas, e separação de funções. Para assegurar tempo
27
hábil aos requisitos de negócio, TI deve estar envolvida nos processos de decisão
mais relevantes.
PO5 - Gerenciar os investimentos em TI: Estabelecer e manter um padrão para
gerenciar programas que tenham investimentos em TI e que abrangem custos,
benefícios, priorização no orçamento, um processo formal de orçamento e
gerenciamento em relação aos orçamentos. Consultar os stakeholders para
identificar e controlar os custos totais e benefícios no contexto do plano estratégico e
tático da TI e iniciar ações corretivas, quando necessárias.
PO6 - Comunicar metas e diretivas gerenciais: A administração deve
desenvolver uma estrutura de controle empresarial de TI, definir e comunicar suas
políticas. Um programa continuo de comunicação deve ser implementado para
articular a missão, objetivos de serviço, políticas e procedimentos, etc., aprovados e
apoiados pela administração. A comunicação assegura a realização dos objetivos de
TI e assegura conscientização e compreensão entre o negócio e os riscos da TI,
objetivos e direção. O processo deve assegurar a conformidade com leis e
regulamentos.
PO7 - Gerenciar recursos humanos: Em competente equipe de trabalho é
contratada e mantida para a criação e entrega dos serviços de TI para o negócio.
Isso é alcançado seguindo praticas definidas e acordadas que garantam o
recrutamento, treinamento, avaliação de desempenho, promoção e demissão. Esse
processo é critico, as pessoas são um importante trunfo, pois a governança e os
controles internos dependem muito da motivação e competência dos funcionários.
PO8 - Gerenciar qualidade: Um sistema de gerenciamento da qualidade (SGQ)
desenvolvido e mantido, no qual inclua a prover desenvolvimento, processos de
aquisição
e
padronizações.
Isso
é
alcançado
através
do
planejamento,
implementação e manutenção do SGQ provendo requisitos de qualidade claros,
procedimentos e políticas. Requisitos de qualidade devem ser determinados e
comunicados, com indicadores quantificáveis e atingíveis. Melhorias contínuas são
atingidas através do monitoramento, análise e agindo em caso de desvios e
comunicando os resultados para os stakeholders. O gerenciamento da qualidade é
28
essencial para assegurar que a TI está entregando valor ao negócio, melhorias
contínuas e transparência para os stakeholders.
PO9 - Avaliar e gerenciar riscos de TI: Criar e manter uma estrutura de
gerenciamento de riscos. A estrutura deve documentar um acordo comum sobre os
níveis de riscos da TI, estratégias de mitigação e riscos residuais. Qualquer impacto
potencial sobre as metas da organização, causada por eventos não planejados
devem ser identificados, analisados e avaliados. Estratégias de mitigação de riscos
devem ser adotadas para minimizar os riscos residuais para um nível aceitável. O
resultado da avaliação deve ser compreensível para os stakeholders e expresso em
termos financeiros, para permitir os stakeholders alinharem os riscos em um nível
aceitável de tolerância.
PO10 - Gerenciar projetos: Estabelecer um modelo de gerenciamento de
programas e projetos para gerenciar todos os projetos de TI. Este modelo deve
assegurar a correta priorização e coordenação de todos os projetos. O modelo deve
incluir um plano mestre, atribuição de recursos, definição de entregáveis,
aprovações pelos usuários, uma divisão em fases para as entregas, garantia de
qualidade, um plano formal de testes, testes e revisões pós-implementação após a
instalação para assegurar o gerenciamento de riscos e a entrega de valor para o
negócio.
Domínio (AI) Aquisição e Implementação
As soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas,
implementadas e mantidas de forma integrada aos processos do negócio. Segundo
o ITGI (2007), este domínio normalmente é dirigido as seguintes questões
gerenciais:
•
Novos projetos são capazes de oferecer soluções que atendam as
necessidades da empresa?
•
Novos projetos são capazes de serem entregues dentro do prazo e do
orçamento?
•
Novos
sistemas
implementados?
trabalharão
satisfatoriamente
depois
de
29
•
As mudanças serão executadas sem impactar as operações atuais?
A seguir, um resumo das atividades do domínio (AI) Aquisição e
Implementação.
AI1 - Identificar soluções automatizadas: A necessidade por uma nova
aplicação ou função requer análises antes da aquisição ou criação para assegurar
que os requisitos do negócio sejam satisfeitos de forma efetiva e eficiente. Este
processo cobre a definição das necessidades, consideração de alternativas, revisão
de viabilidades tecnológica e econômica, execução da análise de risco e custobeneficio e a conclusão da decisão final de adquirir ou criar. Todos estes passos
possibilitam a organização, tanto minimizar os custos de adquirir e implementar
soluções quanto asseguram que eles permitam ao negócio atingir seus objetivos.
AI2 - Adquirir e manter aplicativos de software: Aplicações devem estar
disponíveis e alinhadas com os requisitos do negócio. Este processo cobre o
desenho das aplicações, a inclusão apropriada dos requisitos de controle e
segurança, o desenvolvimento e configurações alinhadas aos padrões.
AI3 - Adquirir e manter a infra-estrutura tecnológica: A organizações deve ter
um processo para aquisição, implementação e atualização da infra-estrutura
tecnológica. Isso requer um planejamento alinhado com as estratégias tecnológicas
além de ambientes para desenvolvimento e testes.
AI4 - Permitir operação e uso: Conhecimentos sobre novos sistemas são
disponibilizados. Este processo requer a produção de documentação e manuais
para usuários e TI, prover treinamento para assegurar o apropriado uso e operação
das aplicações e infra-estrutura.
AI5 - Obter recursos de TI: Recursos de TI incluindo pessoas, hardware,
software e serviços precisam ser obtidos. Isso requer uma definição de
procedimentos para aquisições, a seleção de fornecedores e definição de termos
contratuais. Dessa maneira assegura-se que a organização tenha todos os recursos
necessários de TI, de forma eficiente em tempo e custo.
30
AI6 - Gerenciar mudanças: Todas as mudanças, incluindo manutenções de
emergência e correções relacionadas à infra-estrutura e aplicações dentro do
ambiente de produção, precisam ser gerenciadas de uma forma controlada. As
Mudanças
precisam
ser
registradas,
avaliados
e
autorizadas
antes
da
implementação e os resultados devem ser revisados logo em seguida. Isso assegura
a mitigação de riscos e impactos negativos sobre a estabilidade ou integridade do
ambientes de produção.
AI7 - Instalar e certificar soluções e mudanças: Novos sistemas precisam
operacionalizados após a conclusão do desenvolvimento. Isso requer testes
apropriados em um ambiente dedicado com uma base de dados relevante para
testes, definições de restauração e instruções de migração, planejamento de
liberação e implantação na produção, revisões pós-implementação. Isso assegura
que sistemas operacionais estarão alinhados com as expectativas e resultados
acordados.
Domínio (DS) Entrega e Suporte
Este domínio preocupa-se com a prestação de serviços, gestão da segurança e
continuidade, suporte aos usuários, gerenciamento de dados e instalações
operacionais.
Segundo o ITGI (2007), este domínio normalmente é dirigido as
seguintes questões gerenciais:
•
Os serviços de TI são entregues de acordo com as prioridades do
negócio?
•
Os custos de TI estão otimizados?
•
A força de trabalho é capaz de utilizar os sistemas de forma produtiva e
segura?
•
A segurança da informação é adequada quanto a confidencialidade,
integridade e disponibilidade?
A seguir, um resumo das atividades do domínio (DS) Entrega e Suporte.
31
DS1 - Definir e gerenciar níveis de serviço: Uma comunicação eficaz entre a
gerência de TI e os clientes do negócio, em relação aos serviços requeridos é
determinado através de um documento de serviços e níveis de serviços de TI. Este
processo também inclui o monitoramento e relatórios atualizados para os
stakeholders sobre o cumprimento dos níveis de serviços. Este processo permite o
alinhamento entre os serviços de TI o os requisitos relacionados ao negócio.
DS2 - Gerenciar serviços terceirizados: A necessidade de garantir que os
serviços prestados por terceiros atendam aos requisitos de negócio, requer um
efetivo processo de gestão de terceiros. Este processo é realizado através da
definição clara de papéis, responsabilidades e expectativas em acordos com
terceiros, bem como revisão e acompanhamento desses acordos. Uma gestão eficaz
dos serviços de terceiros minimiza os riscos associados à terceiros não qualificados.
DS3 - Gerenciar performance e capacidade: A necessidade de gerenciar o
desempenho e a capacidade dos recursos de TI requer um processo de revisão
periódico de desempenho e capacidade dos recursos da TI. Este processo inclui a
previsão de necessidades futuras baseada na carga de trabalho, armazenamento e
requisitos de contingência. Este processo assegura que os recursos de informação
que sustentam os requisitos do negócio estejam sempre disponíveis.
DS4 - Garantir continuidade dos serviços: A necessidade de prover serviços de
TI de forma contínua requer o desenvolvimento, manutenção e teste de planos de
continuidade de TI, utilizando backup de dados em outra localidade e realizar
treinamentos periódicos para o plano de continuidade. Um eficiente processo de
continuidade de serviço minimiza a probabilidade e o impacto de grandes
interrupções de serviço sobre as principais funções e processos de negócio.
DS5 - Garantir a segurança dos Sistemas: A necessidade de manter a
integridade das informações e proteger os bens de TI exige um processo de gestão
da segurança. Este processo inclui o estabelecimento e a manutenção da segurança
da TI com papéis e responsabilidades, políticas, normas e procedimentos. A gestão
de segurança inclui também monitorar a segurança, realizar testes periódicos e
implementar ações corretivas para as deficiências de segurança ou incidentes. A
32
gestão da segurança eficaz protege todos os ativos de TI a fim de minimizar o
impacto das vulnerabilidades e incidentes no negócio.
DS6 - Identificar e Alocar Custos: A necessidade por uma justa e eqüitativa
alocação dos custos de TI para o negócio requer medição precisa dos custos de TI e
de um acordo com os usuários para uma divisão justa. Este processo inclui a
construção e operação de um sistema para captar, alocar e relatar os custos de TI
para os usuários. Um sistema justo de distribuição permite ao negócio tomar
decisões mais orientadas em relação à utilização dos serviços de TI.
DS7 - Educar e treinar usuários: Educação eficaz de todos os usuários de TI,
incluindo o pessoal de TI, requer identificar as necessidades de treinamento para
cada grupo de usuários. Além de identificar as necessidades, este processo inclui a
definição e execução de uma estratégia para treinamento e avaliação de resultados.
Um programa eficaz de formação melhora a utilização da tecnologia pelos usuários
reduzindo erros, aumentando a produtividade e a conformidade com os principais
controles.
DS8 – Gerenciar service desk (central de serviços) e Incidentes: Resposta
rápidas e eficazes as consultas e problemas dos usuários de TI exigem uma central
de serviços e um processo de gestão incidentes bem concebidos e executados. Este
processo inclui a criação de uma central de serviços com a função de registrar
incidentes, tendências, análise das causas e resoluções. Os benefícios incluem o
aumento da produtividade das empresas através da rápida resolução as demandas
dos usuários.
DS9 - Gerenciar a configuração: Assegurar a integridade das configurações de
hardware e software requer o estabelecimento e a manutenção de um rigoroso e
completo repositório de dados da configuração. Este processo inclui a coleta de
informações da configuração inicial, que estabelece a linha base, verificação e
auditoria do repositório de informações da configuração e atualização do repositório
conforme necessário. Um sistema de gerenciamento de configuração eficaz
possibilita uma maior disponibilidade dos sistemas, minimiza problemas na produção
e os resolve mais rapidamente.
33
DS10 - Gerenciar problemas: Uma Gestão de problemas eficaz requer a
identificação e classificação dos problemas, análise das causas e a resolução dos
problemas. O processo de gestão de problemas inclui a formulação de
recomendações de melhorias, manutenção de registro dos problemas e avaliação
das ações corretivas. Um processo eficaz da gestão de problemas maximiza a
disponibilidade dos sistemas, melhora os níveis de serviço, reduz custos e melhora a
satisfação dos clientes.
DS11 - Gerenciar Dados: Uma gestão eficaz de dados exige identificar os
requisitos de dados. O processo de gerenciamento de dados também inclui a criação
de procedimentos eficazes para a biblioteca de medias, backup e recuperação de
dados e disponibilizar adequadamente as medias. A Gestão eficaz dos dados ajuda
garantir qualidade, oportunidade e disponibilidade dos dados para o negócio.
DS12 - Gerenciar os ambientes físicos: A proteção para equipamentos e
pessoal de informática requer instalações físicas bem concebidas e gerenciadas. O
processo de gestão do ambiente físico inclui a definição dos requisitos para o lugar
físico, escolha de instalações adequadas, conceber processos eficazes para
monitoração do ambiente e gestão do acesso físico. Uma gestão eficaz do ambiente
físico reduz interrupções nos negócios devido a danos nos equipamentos e pessoal
de informática.
DS13 - Gerenciar as operações: Processamento de dados completos e
precisos requer uma gestão eficaz dos processos de tratamento de dados e uma
cuidadosa manutenção do hardware. Este processo inclui a definição de políticas e
procedimentos para o funcionamento eficaz do gerenciamento da agenda de
processamento,
protegendo
processamentos
importantes,
acompanhar
a
performance da infra-estrutura e garantir a manutenção preventiva do hardware. A
gestão eficaz das operações ajuda a manter a integridade dos dados e reduzir os
atrasos nas operações e os custos operacionais de TI.
Domínio (ME) Monitoração e Avaliação
Todos os processos de TI precisam ser regularmente avaliados continuamente
pelas suas qualidades e cumprimento dos requisitos de controle. Este domínio visa o
34
desempenho da gestão, monitoramento de controles internos, conformidades
regulatórias e de governança. Segundo o ITGI (2007), este domínio normalmente é
dirigido as seguintes questões gerenciais:
•
O desempenho de TI é medido para detectar problemas antes que seja
muito tarde?
•
A gerência está segura que os controles internos são eficazes e
eficientes?
•
O desempenho de TI pode ser vinculado ao do negócio?
•
Os controles para confidencialidade, integridade e disponibilidade são
adequados para a segurança da informação?
A seguir, um resumo das atividades do domínio (ME) Monitoração e Avaliação.
ME1 - Monitorar e avaliar a performance de TI: A gestão eficaz do desempenho
de TI, requer um processo de acompanhamento. Este processo inclui a definição de
indicadores relevantes, sistemática e relatórios periódicos de performance, e ações
rápidas em caso de desvios. O acompanhamento é necessário para assegurar que
as coisas certas são feitas e estão alinhadas com as direções e políticas definidas.
ME2 - Monitorar e avaliar controles internos: Estabelecer um efetivo programa
de controle interno para TI requer processos de monitoração bem definidos. Estes
processos incluem a monitoração, relatórios para controle de exceções, resultados
de auto-avaliação e revisões de terceirizados. Um dos principais benefícios da
monitoração de controles internos é fornecer segurança relacionada à eficiência e
eficácia das operações e conformidade com leis e regulamentos.
ME3 - Garantir conformidade com requisitos externos: Uma fiscalização
eficiente requer o estabelecimento de um processo de revisão para garantir
conformidade com leis, regulamentos e exigências contratuais. Este processo inclui
identificar o requisitos de conformidade, otimização e avaliação da resposta, obtendo
segurança de que os requisitos foram cumpridos e, finalmente, integrando os
relatórios de conformidade de TI com o restante do negócio.
35
ME4 – Prover governança de TI: Estabelecer uma estrutura efetiva de
governança inclui definir estruturas organizacionais, processos, liderança, papeis e
responsabilidades para assegurar que os investimentos em TI estejam alinhados e
entregues de acordo com as estratégias e objetivos empresariais.
1.3.2 Modelo de maturidade
Os modelos de maturidade servem para auxiliar as empresas a saberem o que
seus pares, ou concorrentes, estão fazendo e como elas estão em relação a eles, se
estamos fazendo o bastante e identificar o que é necessário para alcançar um nível
adequado de gestão e de controle sobre os nossos processos de TI.
As empresas estão exigindo melhorias dos níveis de gestão e controle sobre a
infra-estrutura de TI. Embora isso seja uma coisa boa, elas precisam considerar o
custo-benefício dessas ações. Não é fácil obter uma respostas para esta pergunta. A
gestão de TI está constantemente à procura de benchmarking e ferramentas de
auto-avaliação. Através dos processos do COBIT a empresa terá as respostas de
benchmark em relação aos objetivos de controle e será capaz de identificar:
•
Uma medida relativa ao lugar onde a empresa está
•
Uma maneira eficiente para decidir onde ir
•
Uma ferramenta para medir o progresso em relação à meta
A maturidade dos modelos de gestão e controle sobre processos de TI podem
ser classificado a partir de um nível de maturidade de não-existentes (0) a otimizado
(5). Esta abordagem é derivada do modelo de maturidade da capacidade (CMM)
para desenvolvimento de software, definidas pelo Software Engineering Institute
(SEI). No COBIT está prevista uma definição genérica para escala de maturidade,
semelhante à CMM, mas interpretado de acordo com a natureza dos processos de
gestão de TI do COBIT. Um modelo específico é fornecido a partir desta escala
genérica para cada um dos 34 processos do COBIT, dessa forma a gestão pode
identificar. A seguir a lista com os estágios para níveis de maturidade de acordo com
o ITGI (2007):
36
0 - Inexistente. Não existe o reconhecimento da necessidade de controle
interno. Controle não é parte da cultura ou missão da organização. Há um
alto risco de controles deficientes e incidentes.
1 - Inicial. Existe algum reconhecimento da necessidade de controle interno. A
abordagem de risco e de controle é primaria e desorganizada, sem
comunicação ou acompanhamento. As deficiências não são identificadas.
Empregados não estão conscientes das suas responsabilidades.
2 - Repetitivo. Os controles existem mas não são documentados. Sua operação
é intuitiva e dependente de conhecimentos e motivações individuais. A
eficácia não é avaliada adequadamente. Existem muitos controles
deficientes que se não tratados adequadamente, o impacto pode ser
severo. Ações da gerência para resolver questões de controle não são
priorizadas ou consistentes. Os funcionários podem não ser conscientes
das suas responsabilidades.
3 - Definidos. Existem controles e estão devidamente documentados. A eficácia
operacional é avaliada periodicamente. Entretanto, o processo de
avaliação não está documentado. Embora a gestão seja capaz de lidar
com as questões de controle previsíveis, algumas lacunas de controle
persistem e os impactos podem ser graves. Os funcionários são
conscientes das suas responsabilidades de controle.
4 - Dirigido. Há um controle interno eficaz e os riscos da gestão do ambiente
são mensuráveis. Uma avaliação formal e documentada dos controles
ocorre
freqüentemente.
Muitos
controles
são
automatizados
e
periodicamente revistos. A gerência esta capacitada para detectar
problemas de controle, mas nem todas as questões são rotineiramente
identificadas. Há consistente identificação de fraqueza nos controles. Uma
tática limitada de uso da tecnologia é empregada para automatizar
controles.
37
5 - Otimizado. Um grande programa empresarial de controle de risco oferece
um controle contínuo e eficaz das questões para resolução riscos.
Controles internos e gestão de riscos são integrados com as práticas
empresariais, suportado com acompanhamentos automatizados em tempo
real com total responsabilidade pelo controle de monitoramento, pela
gestão de riscos e conformidade da execução. A avaliação do controle é
contínua baseado em auto-avaliação e na análise da causa raiz. Os
empregados estão ativamente envolvidos na melhoria dos controles.
Aqui concluímos as bases para o entendimento de conceitos e definições de
governança corporativa e governança de TI e apresentamos o uso do COBIT 4.1
como ferramenta para governança de TI. No próximo capítulo, serão apresentados
conceitos e definições de virtual e virtualização, as definições para recursos de TI e
os fornecedores de tecnologia para virtualização em TI.
CAPÍTULO 2
Conceitos e Definições:
Virtualização dos recursos de TI
39
CAPÍTULO 2 - VIRTUALIZAÇÃO DE RECURSOS DE TI
Este capítulo tem como objetivo buscar o conceito de virtual e virtualização,
definir virtualização dos recursos de TI e apresentar as duas principais soluções
oferecidas pelo mercado, o VMware e O Hyper-V.
2.1
Conceitos de virtual e virtualização
A definição de “virtual” segundo o Dicionário Aurélio (HOLANDA FERREIRA,
2004, p.819).
Virtual. adjetivo 1. Que existe como potência, mas não realmente. 2. Com
possibilidade de realizar-se. 3. informática. Diz-se daquilo que, por meios
eletrônicos, constitui representação ou simulação de algo real.
Nos dicionários, inglês Oxford (HORNBY, 2005, p.1704) e no francês Hachette,
(MÉVEL, 2004, p.1706) as definições para “virtual” e “virtuel” são muito parecidas
com a definição para “virtual” exposta pelo dicionário português Aurélio (HOLANDA
FERREIRA, 2004, p.819).
Podemos melhor compreender o virtual, não apenas analisando o significado
da palavra, mas estudando a sua origem e identificando o seu antônimo. Virtual vem
do latim virtus (virtude) e o seu antônimo, diferente do que muitos imaginam, não
seria real, pois o oposto de real é irreal. O oposto de virtual, seria então algo como
concreto, físico, tangível, algo com limites bem definidos. Muito diferente de virtual
que embora exista apenas como potência, ou simulação de algo concreto, não
possui limites, pois no mundo virtual tudo é possível, não existe a limitação do tempo
e do espaço.
Alguns filósofos franceses do século XX, como Jean Baudrillard, Paul Virilio,
Gilles Deleuze, Michel Serres e Pierre Lévy, este último nascido na Tunísia, já
tratavam do tema virtual em suas obras. Nesse trabalho vamos analisar apenas
Pierre Lévy, por ser o autor da obra “O que é Virtual” de 1996, a mais relevante para
o nosso trabalho que envolve tecnologia da informação.
40
Em sua obra “O que é Virtual”, Lévy (1996) nos dá o exemplo da árvore que
está virtualmente presente na semente, que conhece exatamente a forma da árvore
que deverá crescer. A árvore já existe em potência na pequena semente, mas não
no momento atual, a semente depende de uma atualização para se tornar uma
árvore.
No processo de virtualização, percorremos o caminho inverso da atualização,
ou seja tomamos algo concreto e atual e o transformamos em potência, virtus, algo
que existe como possibilidade, mas não com as mesmas configurações físicas,
temporais e espaciais do algo reduzido a potência. Levy (1996) apresenta o exemplo
da virtualização de uma empresa, na qual tradicionalmente cada empregado
ocuparia o seu posto de trabalho em um prédio pré-definido, mas com a
virtualização, a empresa se vale do tele-trabalho onde a presença física dos
empregados é substituída pela participação em redes de comunicações eletrônicas e
pelo uso de recursos e sistemas que favoreçam a cooperação. A virtualização do
trabalho.
Assim como a virtualização do trabalho, o crescimento do uso da Internet, sua
facilidade de acesso por dispositivos fixos e móveis e sua capacidade e velocidade
de transmissão de dados cada vez maior, tem proporcionado uma interação virtual
cada vez mais presente entre as pessoas. No próprio caso desse trabalho temos a
orientação virtual, que não substituiu a física, mas agregou qualidade ao processo.
Seguindo na linha da virtualização das relações humanas, não seria exagero
dizer que estamos numa era de intensa virtualização, algo explorado no cinema pelo
filme Tron, popularizado pelos vídeo games cada vez mais realistas e discutido por
Rob Shields. Criamos um mundo virtual onde reaprendemos novas formas de
interagir na sociedade. Acessamos a universidade virtual, nos preocupamos com os
vírus virtuais, participamos de comunidades virtuais, criamos o nosso espaço virtual,
arrumamos um(a) namorado(a) virtual, fazemos sexo virtual, trabalhamos em
empresas virtuais, compramos em lojas virtuais, visitamos museus e bibliotecas
virtuais. Todas são experiências reais, nada possuem de ireais, apenas não ocorrem
no tradicional tempo e espaço ao qual estávamos limitados a viver até poucos anos
atrás.
41
De acordo com Shields (2003) a realidade virtual é uma decorrência da
combinação de ambientes virtuais com tecnologias de virtualização, sendo que os
ambientes virtuais são a combinação de aspectos não interativos, como uma
imagem, com recursos de interatividade, como o telefone, por exemplo. As
tecnologias de virtualização envolvem a simulação da realidade, como as imagens
tridimensionais e comunicações mediadas por computador.
Com essa base teórica, fica mais fácil entendermos que virtual não quer dizer
falso, muito menos irreal, e sim algo que realmente existe e proporciona uma
experiência real como o seu similar tangível.
Usando essa definição com as novas tecnologias, podemos dizer que o virtual
é algo real com uma natureza intangível e pode torna-se tangível através do uso de
recursos tecnológicos tangíveis, como os computadores e intangíveis, como os
sistemas por eles processados. Proporcionando uma experiência real como os
simuladores de vôo para treinamento de pilotos, entre outros exemplos.
2.2
Recursos de TI e virtualização
Este tópico tem como objetivo conceituar o que são recursos de TI, quais
recursos podem ser virtualizados e como isso pode ser feito.
Revendo a lista dos recursos de TI apresentado pelo ITGI (2007) através
COBIT 4.1:
Temos as aplicações, que são os sistemas automatizados para receber e
processar as informações, e as informações, que são os dados processados e
exibidos pelos sistemas de informação, que pela própria natureza do software são
intangíveis, dessa forma podem ser classificados como virtuais.
Temos as pessoas, que são necessárias para operacionalizar o todo aparato
tecnológico físico e lógico da tecnologia da informação. Pessoas são bem tangíveis,
portanto não se enquadram no grupo de recursos que podem ser virtualizados,
42
embora a sua presença física possa ser substituída, em muitos casos, por uma
presença virtual através de acesso remoto aos recursos de TI.
Temos a infra-estrutura, que inclui redes, hardware e sistemas de base, como
sistemas operacionais, sistemas de banco de dados, etc. Tudo que é necessário
para o funcionamento das aplicações. No caso do hardware (numa tradução literal
do inglês: material duro) o próprio nome já indica algo tangível. Nesse grupo estão
inclusos servidores, desktops, e todo o equipamento de rede como switches e
roteadores.
Os sistemas possuem uma natureza intangível e dessa forma se classificam
como recursos virtuais. No caso das redes, não dos equipamentos de rede, estes
também possuem uma natureza intangível e se configuram como algo virtual.
Quadro 1 - Recursos de TI – Tangíveis
Cabos
Estação de trabalho
Impressora
Modem
Roteador
Servidor
Switch
Fonte: Elaboração própria (2009)
Dos recursos de TI apresentados, o que oferece maior potencial de
virtualização é o hardware, pois possui uma presença tangível. No Quadro 1 temos
alguns recursos tangíveis de TI usados pelos departamentos de TI para proverem
seus serviços. Por se tratarem de recursos tangíveis, todos apresentam potencial
para serem virtualizados. Se o item será ou não virtualizado, isso depende do
estágio de desenvolvimento das tecnologias de virtualização para o item em questão
e sua relação custo/ benefício.
A vitrualização dos cabos é uma realidade, cada vez mais presente, nas
corporações, com as conexões wireless, presente até mesmo nas residências com o
43
barateamento e polarização dos roteadores wi-fi. O soft modem, a versão virtual do
modem convencional já existe desde 1997. As estações de trabalho são
virtualizadas desde os anos 60 no ambiente VM/370 da IBM.
De acordo com Laureano (2006), o conceito de máquina virtual tem suas
origens no final dos anos de 1950, junto com a origem dos computadores e foram
desenvolvidas, inicialmente, para centralizar sistemas de computador utilizados pela
IBM no ambiente VM/370. Cada máquina virtual simulava uma réplica física do
computador tangível e os usuários tinham a ilusão de estarem tendo acesso
exclusivo ao sistema.
A tecnologia para máquinas virtuais e virtualização evoluiu muito desde as suas
origens. Hoje podemos virtualizar redes, estações de trabalho, roteadores, switches
e servidores entre outros.
Figura 5 – Arquitetura de sistema tradicional
Fonte: MARSHALL; REYNOLDS e MCCRORY (2006)
Na arquitetura dos sistemas tradicionais, como representado na Figura 5,
temos o hardware físico, composto por todos os componentes tangíveis como CPU,
memória, unidades de disco, interfaces de rede, etc. Sobre o hardware físico temos
o sistema operacional, que pode ser qualquer sistema operacional como Linux,
Solaris, Windows, etc., sobre o qual rodam os aplicativos de software como ERP,
editor de texto, planilha eletrônica, correio eletrônico, etc.
44
Na arquitetura dos sistemas virtualizados, como representado na Figura 6,
temos um hardware virtual que emula um hardware físico, com seus componentes e
funcionalidades originais, esse hardware virtual chamado de máquina virtual é criado
na camada de virtualização graças ao software de virtualização que cria as
máquinas virtuais na forma de arquivos em uma unidade de disco.
Máquina Virtual
App. App. App.
Máquina Virtual
App. App. App.
Sistema Operacional
Sistema Operacional
Hardware Virtual
Hardware Virtual
Camada de Virtualização
Hardware Físico
(CPU, Memória, Discos, Rede, etc.)
Figura 6 – Arquitetura de sistema virtualizado no hardware
Fonte: MARSHALL; REYNOLDS e MCCRORY (2006)
Existe uma outra arquitetura de sistemas virtualizados após a camada do
sistema operacional, como representado na Figura 7, onde temos um computador
completo e pronto para rodar os aplicativos. Nesse caso o software de virtualização,
roda sobre o sistema operacional como qualquer outro aplicativo faz. Tem a
vantagem de ser mais simples para ser implementado porém concorre com os
outros aplicativos pelos recursos do hardware e esta sujeito às instabilidades do
sistema operacional.
Segundo Gonçalves e Vahl Junior (2009), as propriedades da virtualização são:
•
O Isolamento, no qual o funcionamento de uma máquina virtual não
pode interferir em outra.
•
A inspeção, na qual um software monitor tem acesso e controle sobre
todas as informações e processos em execução nas máquinas virtuais.
45
•
A interposição, onde o monitor é capaz de enviar instruções para as
máquinas virtuais. A eficiência, que permite executar algumas instruções
diretamente no hardware.
•
Gerenciamento onde uma máquina virtual pode ser gerenciada
independente das demais.
•
A compatibilidade de software, na qual todo software escrito para uma
determinada plataforma é capaz de ser executado em uma máquina
virtual.
Máquina Virtual
App. App. App.
Máquina Virtual
App. App. App.
Sistema Operacional
Sistema Operacional
Hardware Virtual
Hardware Virtual
Camada de Virtualização
Sistema Operacional
(Linux, Solaris, Windows, etc.)
Hardware Físico
(CPU, Memória, Discos, Rede, etc.)
Figura 7 – Arquitetura de sistema virtualizado no sistema operacional
Fonte: MARSHALL; REYNOLDS e MCCRORY (2006)
2.3
Vantagens e desvantagens da virtualização
Vantagens de todo o tipo são divulgadas em favor da virtualização, as que mais
chamam a atenção são a relacionadas à redução de custos e TI verde, onde se
reduz o uso de energia nos datacenters e por conseqüência os custos de TI. Quanto
às vantagens, podemos citar:
•
Otimização no uso do hardware dos servidores. Segundo a VMware
(2009), a utilização média de recursos de hardware nos servidores, da
plataforma x86, é de 5% a 15% apenas e com o uso da virtualização
esse valor pode ser aumentado para até 80%.
46
•
Consolidação de servidores pois suporta diversos ambientes executando
em um único servidor físico mas isoladamente em máquinas virtuais
distintas.
•
Executar sistemas legados, através de máquinas virtuais, emulando o
sistema original para o qual o software foi escrito.
•
Prover um ambiente para testes e homologação de forma rápida, barata
e personalizável.
•
Aumentar
a
segurança
pois
as
máquinas
virtuais
executam
isoladamente umas das outras, possibilitando criarmos servidores
virtuais para cada tipo de aplicação.
•
Economia de espaço com a redução de servidores físicos que podem
chegar a 100/1 máquinas virtualizadas em um único servidor host
segundo a capacidade divulgada pela VMware (2009) para o seu
software de virtualização VMware ESX.
•
Economia de energia decorrente da redução na quantidade física de
servidores e na energia usada para refrigeração do ambiente.
•
Facilidade de gerenciamento dos servidores não só pela redução de
equipamentos,
mas
também
pela
utilização
dos
softwares
de
gerenciamento para o ambiente virtualizado e para as máquinas virtuais,
que proporcionam acuidade e economia de tempo.
As desvantagens são decorrentes, basicamente, dos custos de implantação, do
ambiente virtualizado, e da contratação e/ou treinamento de pessoal para operá-lo.
Sendo que até meados de 2006 tínhamos a limitação tecnológica dos processadores
que não estavam preparado para virtualização de forma nativa. Limitação essa que
esta sendo superada constantemente pelos dois principais fabricantes de
processadores, AMD e Intel, com o lançamento de processadores cada vez mais
preparados para a virtualização de forma nativa. Também temos a questão da
compatibilidade de alguns periféricos como conexões USB, interfaces de rede,
armazenamento. Para evitar surpresas, é bom checar a lista de compatibilidade dos
fabricantes de soluções para virtualização antes de sair comprando.
47
2.4
Fornecedores de virtualização em TI
Atualmente existem muitas empresas que oferecem soluções para virtualização
de recursos de TI, incluindo todos os grandes da área de tecnologia como IBM, HP,
Dell, VMware, Microsoft, Intel, AMD, Oracle, Sun e Citrix entre outros. Mas esse
recebe constantemente a adição de mais fornecedores e muitas alternativas de
hardware e software. No Quadro 2, temos uma amostra com as opções fornecidas
pelos principais fornecedores do mercado de software para virtualização.
Dos fornecedores listados no Quadro 2, os mais importantes no seguimento de
virtualização de servidores x86, servidores baseados em processadores Intel e AMD
com a arquitetura x86, são: VMware, Microsoft e Citrix.
A VMware fundada em 1998, disponibilizou seu software de virtualização em
1999, desde então, mantém a liderança do mercado e atualmente esta bem a frente
dos seus principais concorrentes diretos, Microsoft e Citrix (Xen). A Microsoft
disponibilizou seu software de virtualização em 2006 após adquirir a Connectix, uma
pequena e promissora empresa especializada em produtos para virtualização.
Desde então, tem investido nessa tecnologia para se tornar a líder de mercado e
atualmente ocupa o segundo lugar. A Xen disponibilizou seu software de
virtualização em 2003, em 2007 foi adquirida pela Citrix, líder de mercado na
virtualização de aplicações, assim o software da Xen ganhou mais destaque no
mercado. Porém, sua participação é pequena e a empresa ocupa a terceira posição
na liderança do mercado.
A maior fonte de informações sobre a divisão do mercado de virtualização é
fornecida pelo IDC, uma empresa americana de pesquisas e previsões sobre o
mercado sobre TI, em seu site na internet ela vende inúmeras pesquisas, inclusive
com as informações sobre a metodologia utilizada. Paralelamente algumas
empresas e publicações especializadas em TI divulgam dados dessas pesquisas.
48
Quadro 2 – Principais fornecedores de softwares para virtualização
FABRICANTE
AMD
Citrix Systems
NOME
SimNow
Xen
LICENÇA
AMD Proprietária
GPL
Hewlett-Packard
Integrity Virtual
Machines
Proprietária
Consolidação de Servidores e
Segurança
IBM
PowerVM
Proprietária
Qualquer uso
IBM
z/VM
Proprietária, cobrança única
de manutenção/suporte
Servidores Corporativos
IBM
z LPARs
Característica intrínseca de
mainframes System z
Servidores Corporativos
Microsoft
Hyper-V
Proprietária (gratuito com o
Windows Servidor 2008)
Todos
Microsoft
Virtual PC 2007
Proprietária (Gratuito desde
Jul 2006)
Hobby, Desenvolvimento, Estações
de trabalho
Microsoft
Virtual PC 7 for Mac
Proprietária
Hobby, Desenvolvimento, Estações
de trabalho
Microsoft
Virtual Server 2005
R2
Proprietária (Gratuito)
Servidor
Gratuito, Comercial
Consolidação de Servidores e
Segurança, desenvolvimento
Oracle Corporation Oracle VM
USO TIPICO
Desenvolvimento, Servidor
Parallels, Inc.
Parallels Desktop for
Mac
Proprietária
Hobby, Desenvolvimento, Testes,
Estações de trabalho
Parallels, Inc.
Parallels Workstation
Proprietária
Hobby, Desenvolvimento, Testes,
Estações de trabalho
CDDL
Negócios, Desenvolvimento,
Consolidação de Servidores,
Hospedagem, Separação de
serviços, Segurança, Isolamento
Sun Microsystems
Containers
Sun Microsystems
Logical Domains
Sun Microsystems
Sun xVM Server
GPL versão 3
Servidores Corporativos
Sun Microsystems
Sun xVM VirtualBox
GPL versão 2; A versão
completa com funções
empresariais é Proprietária
(Gratuito para uso pessoal,
educacional e avaliação)
Estações de trabalho, Consolidação
de Servidores, Continuidade de
Negócios, Hobby e
Desenvolvimento
VMware
VMware ESX Server
Proprietária
Consolidação de Servidores,
Continuidade de Negócios,
Desenvolvimento/Teste
VMware
VMware ESXi Server
Proprietária (Gratuito)
Consolidação de Servidores,
Continuidade de Negócios,
Desenvolvimento/Teste
VMware
VMware Fusion
Proprietária
Hobby, Desenvolvimento, Testes,
Estações de trabalho
VMware
VMware Server
Proprietária (Gratuito)
Consolidação de Servidores/
Desktops, Desenvolvimento/Teste
VMware
VMware Workstation
6.0
Proprietária
Profissional tecnico,
Desenvolvimento/Teste Avançado
VMware
VMware Player 2.0
Proprietária (Gratuito)
Profissional tecnico,
Desenvolvimento/Teste Avançado,
Treinamento, Usuário Final
Consolidação de Servidores,
Hospedagem, Separação de
serviços e Segurança
Fonte: Elaboração própria (2009), baseado em Wikipedia (2009)
49
Esses dados chegam ao público de formas interessantes, pois cada um aplica
os números da pesquisa de acordo com a sua conveniência. Existem números sobre
a participação geral no mercado, sobre a participação apenas de uma categoria de
produto, participação por faturamento, por novos negócios realizados, por numero
de usuários, por número de licenças, enfim, uma série de números que podem fazer
o leitor tirar conclusões erradas. Mas como verdadeiras, temos as seguintes
conclusões baseadas nos dados do IDC, publicados por Mears (2006),
Computerworld (2008), Brodkin (2008) E Perilli (2008):
•
As vendas de licenças de virtualização, no mundo todo, cresceram 53%
no segundo trimestre de 2008 em relação ao mesmo período de 2007.
•
No segundo trimestre de 2008, a VMware foi líder em receitas no
mercado de virtualização com 78% de participação, a Virtuozzo, da
Parallels, ficou em segundo lugar com 16% e a Microsoft apenas 1,1%
da renda total.
•
A VMware mantém sua liderança no mercado de virtualização x86, mas
a Microsoft está ganhando mercado com o Hyper-V.
•
No ranking dos vendedores de servidores com funções de virtualização
temos a HP com 34% do mercado, seguida pela Dell com 25% e IBM
com 16%.
•
A VMware possui 44% de participação no mercado por licenciamento
(somando ESX e Server) contra 23% da Microsoft (somando Hyper-V e
Virtual Server). Porém não está claro o quanto desse mercado é
representado por equipamentos em produção, teste, desenvolvimento.
•
O preço do Hyper-V da Microsoft é de 28 dólares por servidor e as
versões de alta qualidade do Hyper-V também são gratuitas para os
usuários do Windows Server 2008. Uma licença padrão para o VMware
ESX Server custa 3 mil dólares. Mesmo assim, a VMware possui uma
participação no mercado bem maior que a Microsoft. Tanto em
faturamento quanto por licenciamento.
O Gartner Group, outra empresa americana que também realiza pesquisas e
previsões sobre o mercado sobre TI, tem revelado previsões otimistas para o
50
mercado de virtualização e para a Microsoft em especial. Em sua primeira previsão
de 2009 diz que o mercado de softwares para virtualização deve crescer 43% em
2009 chegando a 2,7 bilhões de dólares contra 1,9 bilhões de dólares em 2008. As
receitas com servidores para virtualização crescerão 22,5% de 917 milhões de
dólares em 2008 para 1,1 bilhão de dólares em 2009. E o mais interessante, prevê
que a Microsoft irá superar a VMware na liderança do mercado em 2013. As
principais razões para o bom desempenho são a necessidade de reduzir o custo
total de propriedade (TCO) e a emissão de carbono.
A Microsoft possui uma gama de produtos de virtualização para soluções de
negócios, vide Figura 8, propõe uma estratégia para gerar maior eficiência,
flexibilidade e melhor relação custo-benefício por toda a organização como:
•
Provisionamento e Consolidação de Servidores
•
Implantação de Aplicações
•
Gerenciamento Centralizado e Baseado em Diretivas
•
Continuidade dos Negócios/ Recuperação de Desastre
•
Menor TCO, Maior ROI
•
Utilitário/ Computação Dinâmica
•
Teste e Desenvolvimento
•
Segurança
Segundo a Microsoft (2007), ela fornece um conjunto completo de tecnologias
que permitem a integração da infra-estrutura virtualizada, utilizando interfaces
familiares e consoles de gestão compartilhada, o que simplifica a gestão da infraestrutura. Ainda de acordo com a Microsoft (2007), seus principais produtos para
tecnologia de virtualização, Figura 8, são:
Windows Server 2008 Hyper-V: O software Hypervisor funciona diretamente
sobre a plataforma de hardware, abaixo do sistema operacional. Algumas das
capacidades do Hyper-V incluem suporte as tecnologias x86 e x64, ambiente multiprocessador, switch virtual integrado, migração de máquinas virtuais entre hosts com
o mínimo de downtime.
51
Figura 8 – Produtos e Tecnologias de Virtualização Microsoft
Fonte: Microsoft (2009)
Microsoft Virtual Server 2005 R2: Fornece um sistema operacional virtual que
facilita a consolidação da infra-estrutura, aplicações e demandas por servidores com
rápida implantação e provisionamento. Executa a maioria dos principais sistemas
operacionais x86 em uma máquina virtual. As máquinas virtuais utilizam o sistema
operacional Windows como hospedeiro, garantindo robustez, estabilidade e
compatibilidade de drivers.
Microsoft System Center, Virtual Machine Manager: Gerencia a configuração
dos servidores host e das máquinas virtuais, a criação de máquinas virtuais,
acompanhamento,
alterações,
recuperação
rápida,
auto-provisionamento
e
automatização.
Microsoft SoftGrid Application Virtualization: Virtualiza aplicações e as entrega
como serviços sob encomenda, replicação de serviço para os usuários das estações
de trabalho, simplifica as imagens das estações pela separação entre as aplicações
e a camada da imagem. Reduz o número de servidores necessários para prover os
serviços de terminal. Centraliza as permissões e o controle das aplicações, das suas
correções e atualizações.
52
Microsoft Virtual PC: Hospeda aplicações legadas. Hospeda aplicações nãocompatíveis com o sistema operacional da estação de trabalho.
Microsoft Terminal Services: Virtualiza a apresentação da estação de trabalho
inteira ou aplicações específicas. Fornece uma arquitetura para a consolidação de
aplicações e dados no data center, fornecendo acesso para usuários locais e
remotos.
Microsoft System Center, Operation Manager 2007: Fornece monitoramento e
relatórios do host e das máquinas virtuais hospedadas, incluindo a visualização do
status, diagramas, alertas, tarefas e desempenho. Identifica candidatos a conversão
para máquina virtual com base em requisitos de memória e processador.
Microsoft System Center Configuration Manager: Permite a migração
escalonada e gestão de necessidades futuras. Gerencia correções e atualizações no
host e nas máquinas virtuais.
Microsoft System Center, Data Protection Manager: Captura as alterações de
dados em tempo real e sincroniza em intervalos regulares para garantir que os
dados do Windows e a produtividade do usuário do estejam garantidos. Permite aos
administradores de TI e usuários finais recuperarem os dados em poucos minutos,
através do acesso a disco.
O principal produto de virtualização da Microsoft é o Hyper-V. A vantagem
entre ele e outros produtos à base de Hypervisor, como a plataforma VMware ESX
Server, segundo Desai (2007), está na forma como funcionam os controladores de
hardware. Com o Hyper-V os controladores são instalados no sistema operacional
do host, não na camada do Hypervisor. Isto permite vendedores e administradores
utilizem controladores que foram escritos para o servidor físico, não para o hardware
virtualizado.
Segundo a VMware (2009), ela oferece tecnologia destinada a reduzir
substancialmente os custos de TI, proporcionar mais flexibilidade na escolha de
sistemas operacionais e oferecer uma infra-estrutura de sistemas mais automatizada
53
e flexível capaz de atender às várias demandas empresariais. A VMware propõe o
“Virtual Datacenter OS” (Datacenter Virtual), na tradução para o português: “Sistema
Operacional para Datacenter Virtual” (Centro de dados virtual).
O principal produto da VMware é o VMware Infrastructure, capaz de oferecer
um datacenter virtual para ambientes de todos os tamanhos. O datacenter virtual
atende as necessidades de flexibilidade, velocidade, resistência e eficiência dos
clientes, transformando os dados em uma "nuvem interna" – um sistema elástico,
compartilhado, auto-gerido e auto-recuperável que pode associar nuvens de
computação externas, libertando a TI das limitações impostas por aplicativos que
rodam em equipamentos fixos. O datacenter virtual garante níveis adequados de
disponibilidade, escalabilidade e segurança para todos os aplicativos independentes
de hardware e localização.
Figura 9 – Datacenter Virtual
Fonte: VMware (2009)
O VMware Infrastructure, oferece o datacenter virtual, Figura 9, através de
quatro elementos essenciais:
•
Application vServices garantem os níveis adequados de disponibilidade,
escalabilidade e segurança para todos aplicativos, independente de
hardware e localização.
54
•
Infrastructure
vServices
resume,
agrega
e
aloca
servidores,
armazenamento e rede para o máximo de eficiência da infra-estrutura.
•
Cloud vServices associa a infra-estrutura com outras nuvens de infraestrutura de terceiros.
•
Management vServices permite gerenciar pró-ativamente o datacenter
virtual e as aplicações que rodam nele.
Figura 10 – VMware Infrastructure
Fonte: VMware (2008)
O VMware Infrastructure, Figura 10, segundo a VMware (2008), ele cria uma
infra-estrutura de TI auto-otimizável, reduz custos e melhora a flexibilidade de TI com
a consolidação de servidores, reduz o tempo de espera, melhora a confiabilidade da
continuidade do negócio e recuperação de desastres. Executar menos servidores e
dinamicamente pode desligar servidores fora de uso, criando um datacenter verde.
O VMware Infrastructure não está ligado a nenhum sistema operacional, deixando
aos clientes o caminho livre para escolha de qualquer sistema operacional e
55
softwares aplicativos. De acordo com a VMware (2009), seus principais
componentes são:
VMware ESX, Figura 11., é a base para a dinâmica e auto-otimizável infraestrutura de TI, ele provê a camada de virtualização que abstrai processador,
memória, armazenamento e recursos de rede em várias máquinas virtuais. Aumenta
a utilização do hardware e diminui drasticamente investimentos e custos
operacionais. Com avançados recursos de gestão, de alta disponibilidade e de
segurança; melhora os níveis de serviço, mesmo para as aplicações que requerem
mais recursos.
Figura 11 – VMware ESX
Fonte: VMware (2008)
VMware vStorage VMFS, Virtual Machine File System (VMFS) é um sistema de
arquivos cluster de alto desempenho que permite à múltiplas instalações do VMware
ESX acessar a mesma unidade de armazenamento da máquina virtual
simultaneamente. VMFS permite a virtualização baseada nos serviços da infraestrutura oferecida pelo VMware vCenter Server, VMware VMotion, VMware DRS e
VMware HA.
VMware Virtual Symmetric Multiprocessing (SMP) é uma tecnologia que
melhora o desempenho, permitindo que uma única máquina virtual utilize múltiplos
56
processadores físicos simultaneamente, também permite a virtualização da maioria
dos processadores, aplicações empresariais e bases de dados.
VMware Distributed Resource Scheduler (DRS) alinha os recursos disponíveis
com as prioridades empresariais pré-definidas enquanto racionaliza trabalho e
recursos em operações intensivas, inclui ainda o Distributed Power Management
(DPM), que equilibra as cargas para reduzir o consumo de energia no datacenter.
VMware vMotion é uma tecnologia que permite a migração de máquinas
virtuais, em tempo real, de um servidor físico para outro a fim de permitir a
manutenção dos ambientes de TI.
VMware Storage vMotion permite a migração de uma máquina virtual em
unidades de armazenamento compartilhadas para outras sem interrupção ou
interrupção das aplicações usuários.
VMware High Availability (HA) garante o custo efetivo das aplicações através
da disponibilidade independente de hardware e sistemas operacionais.
VMware vCenter Update Manager gerencia as correções e atualizações para
os servidores ESX físicos, bem como os sistemas operacionais hospedados,
assegurando conformidade e segurança a infra-estrutura de TI.
VMware Consolidated Backup oferece de uma maneira fácil, a centralização de
backup para máquinas virtuais. Permite que o backup do conteúdo da máquina
virtual seja centralizado no Servidor Microsoft Windows em lugar faze-lo diretamente
no servidor VMware ESX.
VMware vCenter Server provê o ponto central de administração e controle para
gestão, monitoração, provimento e migração de máquinas virtuais. É um
componente vital do ambiente VMware proporcionando acesso à um gerenciamento
centralizado, automação operacional, otimização dos recursos e alta disponibilidade
para o ambiente virtual. Estas funcionalidades dotam o ambiente de TI com níveis
sem precedentes para manutenção, eficiência e confiabilidade.
57
VMware Server vCenter oferece um conjunto de interfaces programáveis que
permite a integração com sistemas de gestão de terceiros, bem como o
desenvolvimento de sistemas personalizados.
A Figura 11 nos proporciona uma visão geral do VMware Infrastructure e a
distribuição dos componentes que o integram.
VMware Infrastructure e Windows Server 2008 Hyper-V são produtos
diferentes. Ambos estão no mercado com o mesmo propósito, permitir a criação de
uma infra-estrutura virtual de TI e uma comparação dos seus recursos se torna
inviável pois o produto da VMware é tecnologicamente superior ao da Microsoft,
conforme Quadro 3. A Microsoft entrou nesse mercado oferecendo um produto
gratuito, o Virtual PC, após adquirir uma pequena fabricante de software para
virtualização. A VMware tem a virtualização como propósito desde que foi criada,
antes mesmo da Microsoft investir em virtualização.
Nas comparações fornecidas pelos fabricantes, cada um tenta convencer o
consumidor que oferecem o melhor produto. Segundo a Microsoft (2008), em
material publicado no seu site, ela molda a pergunta, “Quais as principais diferenças
entre o Microsoft Hyper-V Server e o VMware 3i? Há algum recurso presente no
Hyper-V Server que o VMware 3i não tenha?”, de forma a poder apresentar
vantagens frente a concorrente e responde como um bom vendedor que “Tanto o
Microsoft Hyper-V Server quanto o VMware 3i são soluções de virtualização com um
único propósito. O Microsoft Hyper-V Server oferece capacidades adicionais que vão
além das do concorrente.”. E apresenta argumentos como:
•
Suporte a BitLocker. O Hyper-V Server tira vantagem da tecnologia
BitLocker para criptografar dados, de modo que mesmo se ele for
roubado ou se os discos rígidos forem removidos, os dados ainda
estarão seguros já que foram criptogrados. Isto é particularmente útil em
escritórios remotos ou ambientes onde a segurança física é um fator
preocupante.
58
•
Suporte a Live Backup. O Hyper-V Server inclui suporte a Serviço de
Cópia de Sombra de Volume para que o Live Backup de máquinas
virtuais em execução possa ser feito sem tempo de indisponibilidade.
•
Suporte flexível a hardware e servidor extensivo. O Microsoft Hyper-V
Server é compatível com uma ampla variedade de suporte a driver e
hardware de servidor para novos periféficos como 10 Gb/E.
Por outro lado, a VMware (2009), através de material divulgado em seu site,
apresenta uma lista mais consistente, com argumentação e exemplos. Os principais
pontos são:
•
Pequeno consumo de disco para o servidor host. 32MB x 2.6 Gb;
•
Independência de sistema operacional para o servidor host versus
necessidade do sistema operacional MS Windows 2008;
•
Controladores específicos para os dispositivos de harware versus
controladores genéricos do Windows;
•
Gerenciamento avançado de memória permitindo usar toda memória
física disponível versus carência do recurso;
•
Gerenciamento avançado de armazenamento através do VMware
vStorage versus carência do recurso;
•
Alta
escalabilidade
I/O
versus
estrangulamento
pelo
sistema
operacional;
•
Gerenciamento de recursos do servidor host versus carência do recurso;
•
Acréscimo de performance com AMD RVI, paginação de memória
extendida, 4-way vSMP universal, VMI paravirtualização versus 4-way
vSMP universal sob o Windows 2008;
•
Tecnologia para segurança virtual versus carência do recurso.
Analisando o material fornecido pelos fabricantes e os comparativos do
ITComparison Team (2008) e Veras (2009), chegamos a um quadro comparativo
entre VMware Infrastructure e Microsoft Windows Server 2008 Hyper-V, conforme
apresentado no Quadro 3.
59
Quadro 3 – Comparativo entre VMware e Microsoft
ITEM DE
COMPARAÇÃO
VMWARE INFRASTRUCTURE
HYPER-V
Custo do hypervisor
Existe um custo de
licenciamento.
Grátis, para quem comprar o
Windows Server 2008.
Custo do software de
gerenciamento
US$ 4 mil para hosts ilimitados.
US$ 1mil para cada host gerenciado.
Número de VM’s por
hosts com a mesma
configuração
As ferramentas DRS e DPM
dinamicamente gerenciam as
cargas do sistema, inclusive
desligando servidores fora de
uso.
A VMware consegue rodar mais
máquinas pois utiliza a memória
de forma muito mais eficiente.
Movimentação de
máquinas virtuais
entre hosts
O VMware VMotion permite
mover as VM’s sem interrupção
do serviço.
O Hyper V Quick Migration
apresenta interrupção do serviço.
Inerentes ao hardware do host.
Além do hardware do host, também
possuí as vulnerabilidades já
conhecidas do SO MS Windows,
como defeitos do software e maior
vulnerabilidade a vírus e invasões.
Adoção da TI Verde
Vulnerabilidades
Não possui.
Grande parte da memória do host é
usada pelo Windows 2008.
Fonte: Elaboração própria (2009) baseado em ITComparison Team (2008) e Veras (2009)
Nesse capítulo foram apresentadas as bases teóricas da virtualização dos
recursos de TI. No próximo capítulo será apresentado como a governança de TI
pode ser alcançada através do uso da virtualização dos recursos de TI.
CAPÍTULO 3
Recomendações sobre o uso da virtualização de recursos de
TI, utilizando os processos do COBIT 4.1 como modelo de
governança de TI
61
CAPÍTULO 3 - RECOMENDAÇÕES SOBRE O USO DA
VIRTUALIZAÇÃO DE RECURSOS DE TI, UTILIZANDO
OS PROCESSOS DO COBIT 4.1 COMO MODELO DE
GOVERNANÇA DE TI
Este capítulo tem como objetivo apresentar recomendações sobre o uso da
tecnologia de virtualização dos recursos de TI, em especial a virtualização de
servidores ou datacenter virtual, identificando quais processos da estrutura do
COBIT, podem se beneficiar dessa tecnologia visando a melhoria dos níveis de
maturidade no uso do COBIT como ferramenta para prover a governança de TI.
3.1
Inter-relacionamento entre os domínios do COBIT 4.1
Essas recomendações serão apresentadas para cada uma das atividades dos
trinta e quatro processos apresentados pelo COBIT, e incluindo a divisão e interrelacionamento de seus quatro domínios como apresentado na Figura 13, porém
cada empresa deve apenas usar aquilo que diz respeito ao seu negócio, como
recomenda o ITGI (2007).
Planejar e Organizar
Aquisição
e
Implementação
Entrega
e
Suporte
Monitorar e Avaliar
Figura 12 – Os quatro dominios do COBIT interrelacionados
Fonte: ITGI (2007)
Todos os domínios têm como objetivo, fundamentalmente, identificar como a TI
pode contribuir para atingir os objetivos do negócio, cada um de acordo com a sua
especialização, seja ela estratégica (Planejar e Organizar), operacional (Entrega e
Suporte), de integração (Aquisição de Implementação) ou de acompanhamento
(Monitorar e Avaliar).
62
3.2
Virtualização no domínio Planejamento e Organização (PO)
O domínio planejamento e organização, distribuído em doze processos,
engloba as táticas e estratégias para TI, é nele onde se planeja e organiza os
caminhos de TI dentro da empresa. É aqui que se define o que será adquirido e
implementado, iniciando-se o fluxo de tarefas entre os domínios do COBIT, como
representado na Figura 13.
Figura 13 – Fluxo de tarefas entre dominios do COBIT - PO
Fonte: Elaboração própria (2009)
PO1 - Definir um plano estratégico de TI.
Atividades:
-
Alinhar as metas do negócio com as metas de TI;
-
Identificar as dependências críticas e o desempenho atual;
Construir um plano estratégico de TI;
-
Construir planos táticos para TI;
-
Analisar a carteira de programas, gerenciar projetos e a carteira de
serviços;
Virtualização: A virtualização deve-ser incluída no plano estratégico da TI.
PO2 - Definir a arquitetura de informação
Atividades:
-
Criar e manter um modelo de informação corporativo;
63
-
Criar e manter um dicionário de dados corporativos;
-
Estabelecer e manter um esquema de classificação de dados;
-
Definir a propriedade dos dados com procedimentos e ferramentas para
serem classificados nos sistemas de informação;
-
Utilizar o modelo de informação, o dicionário de dados e o esquema de
classificação para planejar sistemas corporativos otimizados.
Virtualização: A virtualização da infra-estrutura não influencia nesse processo, pois este
trata da arquitetura da informação. Algo intangível, portanto virtual e não
pode ser virtualizado novamente.
PO3 - Determinar a direção tecnológica
Atividades:
Criar e manter um plano de infra-estrutura tecnológica;
Criar e manter os padrões de tecnologia;
Publicar os padrões de tecnologia;
Monitorar a evolução tecnológica;
-
Definir estratégias futuras para utilização de novas tecnologias.
Virtualização: A virtualização deve ser incluída no plano de infra-estrutura tecnológica,
ser incluída e publicada nos padrões de tecnologia e ter sua evolução
tecnológica monitorada.
PO4 - Definir processos de TI, organização e relacionamentos
Atividades:
-
Estabelecer uma estrutura organizacional de TI, incluindo comitês e
vínculos com as partes interessadas;
-
Desenhar uma estrutura de processos de TI;
-
Identificar proprietários dos sistemas;
-
Identificar proprietários dos dados;
-
Estabelecer e implementar papéis e responsabilidades em TI, incluindo
supervisão e segregação de funções;
64
Virtualização: A virtualização da infra-estrutura não influencia esse processo, pois este
trata da organização da TI e seus processos e relacionamentos.
Componentes que já possuem uma natureza virtual.
PO5 - Gerenciar os investimentos em TI.
Atividades:
-
Manter a carteira de programas;
-
Manter a carteira de projetos;
-
Manter a carteira de serviços;
Estabelecer e manter o processo orçamentário de TI;
Identificar, comunicar e monitorar os investimentos de TI e seu custobeneficio para o negócio.
Virtualização: A virtualização deve ter seu custo-benefício avaliado e mostrando-se
viável, deve ser incluída no orçamento de TI.
PO6 - Comunicar metas e diretivas gerenciais.
Atividades:
-
Estabelecer e manter uma estrutura de controle do ambiente de TI;
-
Desenvolver e manter políticas de TI;
-
Divulgar a estrutura de controle, objetivos e direções para TI.
Virtualização: A virtualização não influencia esse processo, pois este trata da
comunicação das diretivas e metas gerenciais. A comunicação possui uma
natureza virtual.
PO7 - Gerenciar recursos humanos.
Atividades:
Identificar competências em TI, descrição de funções, faixas salariais e
indicadores de desempenho pessoal;
65
-
Executar políticas e procedimentos de RH relevantes para TI (recrutar,
contratar, examinar, compensar, treinar, avaliar, promover e demitir).
Virtualização: A virtualização praticamente não influencia no processo PO7, pois este
trata das políticas de recursos humanos para TI. Porém, a virtualização
pode e deve ser incluída como uma das competências necessárias para
algumas funções de TI.
PO8 - Gerenciar qualidade.
Atividades:
-
Definir um sistema de gerenciamento da qualidade (SGQ);
-
Estabelecer e manter um SGQ;
-
Criar e divulgar padrões de normas de qualidade na organização;
-
Criar e gerir um plano de melhoria contínua da qualidade;
-
Medir, monitorar e analisar o cumprimento das metas de qualidade.
Virtualização: A virtualização não influencia diretamente processo PO8, pois este trata da
gestão da qualidade, mas o uso da virtualização pode melhorar a qualidade
dos serviços de TI, como será melhor apresentado no domínio entrega e
suporte (DS).
PO9 - Avaliar e gerenciar riscos de TI.
Atividades:
-
Determinar o alinhamento da gestão de risco;
-
Entender as estratégias relevantes aos objetivos do negócio;
-
Entender os processos relevantes aos objetivos do negócio;
-
Identificar objetivos internos de TI e estabelecer o contexto de risco;
-
Identificar eventos relacionados aos objetivos, alguns são orientados
para o negócio, outros são orientados para TI;
-
Avaliar riscos associados com eventos;
-
Avaliar e selecionar respostas aos riscos;
-
Priorizar e planejar o controle de atividades;
66
-
Aprovar e garantir financiamento dos planos de ação contra riscos;
-
Manter e monitorar um plano de ação contra riscos.
Virtualização: Embora a virtualização não aparece diretamente associada a nenhuma
atividade desse processo, ela se torna importante ao permitir criar
estruturas redundantes e ambientes de testes muito semelhante ao de
produção, além de possuir ferramentas, que se bem configuradas,
garantem automaticamente a continuidade do negócio e são de grande
valia para o sucesso da gestão de riscos.
PO10 - Gerenciar projetos.
Atividades:
-
Definir um modelo de gestão para investimentos em projetos de TI;
-
Estabelecer e manter um modelo de gestão de projetos de TI;
-
Estabelecer e manter um sistema de acompanhamento, avaliação e
gestão de projetos de TI;
-
Criar termos de abertura do projeto, cronogramas, planos de qualidade,
orçamentos e planos de comunicação e gestão de riscos;
-
Garantir a participação e o engajamento dos interessados no projeto;
-
Garantir o controle eficaz dos projetos e suas mudanças;
-
Definir e implementar segurança aos projetos e revisão de métodos.
Virtualização: A virtualização não influencia diretamente processo P10, pois este trata da
gestão de projetos, mas o uso da virtualização pode melhorar a agilidade na
entrega dos projetos de TI, visto que disponibilizar um servidor virtual para
um projeto é muito mais rápido do que passar por todo o processo de
compra, recebimento e instalações físicas e lógicas do equipamento. A
diferença no tempo de execução diminui de dias ou meses para minutos.
Resumindo, no domínio planejamento e organização (PO), a virtualização não
é requerida pela maioria das atividades dos processos, mas deve ser lembrada e
incluída no planejamento estratégico e orçamentário de TI, e como um dos requisitos
67
necessário durante a contração de pessoal para algumas funções de TI. Ser
estudada e explorada nos planos de ações contra riscos.
3.3
Virtualização no domínio Aquisição e Implementação (AI)
No domínio aquisição e implementação, distribuído por sete processos, as
estratégias definidas no domínio PO são adquiridas, homologadas, implantadas e
divulgadas. Dando-se seqüência ao fluxo de tarefas entre os domínios do COBIT,
conforme a Figura 14.
Figura 14 – Fluxo de tarefas entre dominios do COBIT - AI
Fonte: Elaboração própria (2009)
AI1 - Identificar soluções automatizadas
Atividades:
Definir requisitos de negócios funcionais e técnicos;
-
Estabelecer processos para integridade e fluidez dos requisitos;
-
Identificar, documentar e analisar processos de risco para o negócio;
-
Conduzir um estudo de viabilidade e avaliação do impacto, referente à
implementação dos requisitos propostos, para o negócio;
Avaliar os benefícios das soluções propostas para as operações de TI;
Avaliar os benefícios das soluções propostas para o negócio;
-
Desenvolver um processo de aprovação de requisições;
-
Aprovar e encerrar soluções propostas.
68
Virtualização: A virtualização é importante pois possuí ferramentas que automatizam
processos, tarefas e tomadas de decisões na operacionalização da infraestrutura. Essas ferramentas devem ser avaliadas quanto aos benefícios
que podem agregar a TI e ao negócio e serem definidas como um dos
requisitos técnicos para o negócio.
AI2 - Adquirir e manter aplicativos de software.
Atividades:
-
Traduzir os requisitos de negócio para um plano de especificações de
alto nível;
Preparar um plano detalhado e técnico de requisitos de aplicações de
software;
-
Especificar os controles da aplicação dentro do plano;
-
Personalizar
e
implementar
as
funcionalidades
automatizadas
adquiridas;
-
Desenvolver metodologias e processos formalizados para gerenciar o
processo de desenvolvimento de aplicações;
-
Criar um plano de garantia de qualidade de software para o projeto;
-
Rastrear e gerenciar requisitos de aplicações;
-
Desenvolver um plano para manutenção de software aplicativos.
Virtualização: A virtualização tem alguma importância. Aplicativos de software são
intangíveis, portanto, não podem ser virtualizados, porém eles podem ser
executados sobre a infra-estrutura virtual caso esta exista. É fundamental
verificar os pré-requisitos de sistema operacional (SO) e a viabilidade
dessas
aplicações
serem
executadas
em
máquinas
virtuais.
A
compatibilidade entre o SO requerido e a infra-estrutura virtual, formas e
valores de licenciamento, pois estes podem apresentar diferenças quando
são executados em máquinas virtuais.
AI3 - Adquirir e manter a infra-estrutura tecnológica.
Atividades:
-
Definir processo e procedimento de aquisição;
69
Discutir com os fornecedores sobre os requisitos de infra-estrutura
aprovados;
Definir estratégia e plano de manutenção da infra-estrutura;
Configurar os componentes da infra-estrutura.
Virtualização: A virtualização é importante. Torna as manutenções na infra-estrutura mais
rápidas e menos sujeitas a incidentes. Assim, como facilita a padronização
da configuração dos componentes da infra-estrutura, tornando o processo
mais ágil. Diante disso, é importante que seja incluída na discussão com os
fornecedores.
AI4 - Permitir operação e uso.
Atividades:
-
Desenvolver uma estratégia para operacionalizar a solução;
-
Desenvolver uma metodologia para transferência de conhecimentos;
-
Desenvolver manuais de procedimento para o usuário final;
-
Desenvolver documentação de apoio técnico para equipe de operações
e suporte;
Desenvolver e realizar treinamentos;
-
Avaliar os resultados dos treinamentos e melhorar a documentação
requerida.
Virtualização: A virtualização é importante. Os treinamentos podem ser desenvolvidos e
realizados em um ambiente virtualizado.
AI5 - Obter recursos de TI.
Atividades:
-
Desenvolver políticas e procedimentos de aquisições para TI, alinhados
com a política de aquisições da empresa;
-
Estabelecer e manter uma lista de fornecedores credenciados;
-
Avaliar e selecionar fornecedores através de um processo de solicitação
de pedido de proposta (RFP);
-
Desenvolver contratos que preservem os interesses da organização;
-
Efetuar compras em conformidade com os procedimentos estabelecidos;
70
Virtualização: A virtualização não está incluída em nenhuma atividade desse processo,
apenas será adquirida se estiver nas especificações de compra.
AI6 - Gerenciar mudanças.
Atividades:
-
Desenvolver e implementar um processo para registrar, avaliar e
priorizar as solicitações de mudanças;
-
Avaliar impactos e priorizar mudança baseadas nas necessidades do
negócio;
-
Assegurar que todas as mudanças emergenciais e críticas sigam o
processo de aprovação;
-
Autorizar mudanças;
-
Gerenciar e disseminar informações relevantes sobre as mudanças.
Virtualização: A virtualização não está incluída nas atividades desse processo, mas sua
tecnologia é de muita utilidade no momento de operacionalizar as
mudanças na infra-estrutura pois pode-se registrar um ponto de referência
para restaurar os servidores ao antigo estado, caso aconteça algo de errado
com a mudança, reduzindo-se a indisponibilidade dos sistemas.
AI7 - Instalar e certificar soluções e mudanças.
Atividades:
-
Construir e revisar planos de implementação;
-
Definir e revisar uma estratégia de testes com critérios de entrada e
saída, e uma metodologia operacional de testes;
-
Criar e manter um arquivo de requisitos técnicos e exemplos de testes,
para certificação de sistemas;
Executar um sistema para testes de conversão e integração em um
ambiente de testes;
Implementar um ambiente de testes e condutas finais para aprovação
dos testes;
-
Recomendar implantações para produção com base em critérios de
aprovação pré-acordados.
71
Virtualização: Um dos primeiros usos da virtualização, em ambientes x86, foi como
ambiente de testes e esse continua sendo o seu maior e não deve ser
abandonado.
Resumindo, no domínio aquisição e implementação, a virtualização é mais
importante para as atividades de identificação, aquisição, homologação, implantação
e manutenção da infra-estrutura. Caso seja adotada pela corporação, ela também
servirá de plataforma que suportará outras aquisições. Poderá ser usada para criar
ambientes de testes e treinamentos de forma mais eficaz, em termos de preço e
prazo e oferecer ainda, o benefício da redução de custos.
3.4
Virtualização no domínio Entrega e Suporte (DS)
No domínio entrega e suporte, distribuído por treze processos, as aquisições e
implementações do domínio AI, são operacionalizadas e entregues aos usuários da
forma como foi planejada no domínio PO. Dando-se seqüência ao fluxo de tarefas
entre os domínios do COBIT, conforme a Figura 15.
Figura 15 – Fluxo de tarefas entre dominios do COBIT - DS
Fonte: Elaboração própria (2009)
DS1 - Definir e gerenciar níveis de serviço.
Atividades:
-
Criar um modelo para definição dos serviços de TI;
72
-
Construir um catálogo de serviços de TI;
Definir acordos de nível de serviço (SLA) para serviços críticos de TI;
-
Definir acordos de nível operacional (OLA) que atendam aos SLA;
Monitorar e gerar relatórios de performance dos níveis de serviço;
-
Revisar SLA e contratos de apoio (UC);
-
Revisar e atualizar o catálogo de serviços de TI;
Criar um plano de melhoria de serviço.
Virtualização: O uso da virtualização é importante. Suas ferramentas podem contribuir na
melhoria dos níveis de serviço, facilitar a geração de relatórios
automatizados para verificá-los e deve ser levada em consideração nos
planos de melhoria de serviços.
DS2 - Gerenciar serviços terceirizados.
Atividades:
-
Identificar e categorizar as relações de serviço com terceiros;
-
Definir e documentar processos de gerenciamento de fornecedores;
-
Estabelecer políticas e procedimentos para avaliação e seleção de
fornecedores;
-
Identificar, avaliar e mitigar riscos de fornecedores;
-
Monitorar entrega de serviço dos fornecedores;
-
Avaliar metas de longo prazo nas relações de serviço com todos os
interessados.
Virtualização: A virtualização não tem relação com esse processo, pois ele trata das
relações com os prestadores de serviços terceirizados.
DS3 - Gerenciar performance e capacidade.
Atividades:
Estabelecer um processo planejado para análise de desempenho e
capacidade dos recursos de TI;
Revisar desempenho e capacidade dos atuais recursos de TI;
73
Realizar previsões de desempenho e capacidade dos recursos de TI;
Realizar análise das irregularidades para identificar recursos de TI
inadequados;
Realizar
planejamento
de
contingências
para
potenciais
indisponibilidades de recursos de TI;
Acompanhar continuamente e gerar relatórios de disponibilidade,
desempenho e capacidade dos recursos de TI.
Virtualização: A virtualização é muito importante. Performance e qualidade entre outros,
são objetivos da tecnologia de virtualização, que apoiada por algumas
ferramentas disponibilizadas a partir dessa tecnologia pode contribuir em
todas as atividades desse processo.
DS4 - Garantir continuidade dos serviços.
Atividades:
Desenvolver uma estrutura da continuidade de TI;
-
Conduzir uma análise de impacto nos negócios e uma avaliação de
riscos;
Desenvolver e manter planos da continuidade de TI;
-
Identificar e categorizar recursos de TI baseando-se em objetivos de
recuperação;
Definir e executar os controles e procedimentos para mudanças a fim de
garantir que o plano da continuidade de TI esteja atualizado;
Testar regularmente o plano da continuidade de IT;
-
Desenvolver um plano de ação com base nos resultados dos testes;
Planejar e conduzir treinamento da continuidade TI;
Planejar a recuperação e retomada dos serviços de TI;
Planejar e implementar copia de segurança e proteção;
-
Estabelecer procedimentos para realização de revisões após a retomada
de operações.
Virtualização: A virtualização é um muito útil no que diz respeito a continuidade dos
serviços, pois permite a criação de estruturas redundantes e processos
74
automatizados de restauração dos serviços. Deve ser bem explorada em
quase todas as atividades desse processo.
DS5 - Garantir a segurança dos sistemas.
Atividades:
Definir e manter um plano da segurança de TI;
-
Definir, estabelecer e operar uma conta para gerenciamento de
processos;
-
Monitorar incidentes de segurança reais e potenciais;
-
Periodicamente revisar e validar direitos e privilégios de acessos dos
usuários;
-
Estabelecer e manter procedimentos para manutenção e segurança de
chaves criptográficas;
-
Implantar e manter controles técnicos e de procedimentos para proteger
o fluxo de informações através das redes;
-
Realizar regularmente avaliações de vulnerabilidade.
Virtualização: Nesse processo, a virtualização deve estar presente no plano de
segurança de TI. Nos demais processos não existem ligações com essa
tecnologia.
DS6 - Identificar e alocar custos.
Atividades:
-
Mapear a infra-estrutura de TI, para que os serviços prestados suportem
os processos do negócio;
Identificar todos os custos de TI e representa-los através de custos
unitários para os serviços de TI;
Estabelecer e manter uma contabilidade de TI e um processo de
controle dos custos;
Estabelecer e manter políticas e procedimentos tarifários.
Virtualização: 75
A virtualização é importante. Através da tecnologia de virtualização e da
utilização dos relatórios proporcionados por algumas de suas ferramentas,
torna-se mais fácil, rápido e preciso identificar e alocar o consumo dos
recursos da infra-estrutura mantidos pelo setor de TI. Ao proporcionar uma
utilização mais racional de recursos, como a consolidação de servidores,
redução da demanda por espaço físico e energia elétrica, os custos tendem
a diminuírem.
DS7 - Educar e treinar os usuários.
Atividades:
-
Identificar e caracterizar as necessidades de treinamento dos usuários;
Construir um programa de treinamento;
Conduzir atividades de conscientização, educação e treinamento;
-
Realizar avaliação do treinamento;
Identificar e avaliar as melhores ferramentas e métodos para oferecer
treinamento;
Virtualização: A virtualização é muito útil nesse processo, permitindo a realização de
treinamentos em ambientes virtuais, próximos ou idênticos ao ambiente de
produção. Essa tecnologia permite efetuar essas cópias de forma simples e
rápida, sem prejudicá-lo.
DS8 - Gerenciar central de serviços e incidentes.
Atividades:
-
Criar uma classificação para gravidade e impacto, e uma escala de
procedimentos funcionais e hierárquicos;
-
Detectar e registrar incidentes, solicitações de serviço e pedidos de
informação;
-
Classificar, investigar e diagnosticar as consultas;
Resolver e fechar incidentes;
-
Informar usuários;
-
Produzir relatórios gerenciais.
76
Virtualização: A virtualização não é fundamental para as atividades desse processo, mas
pode ser muito útil para resolver alguns incidentes ligados a infra-estrutura.
DS9 - Gerenciar a configuração.
Atividades:
Desenvolver a gestão da configuração planejando procedimentos;
Coletar informações da configuração inicial e criar um repositório;
-
Verificar e auditar informações sobre a configuração, incluindo a
detecção de softwares não autorizados;
-
Atualizar o repositório da configuração.
Virtualização: A virtualização é útil para esse processo, juntamente com suas
ferramentas,
pode
ser
utiliza
para
coletar
informações
sobre
as
configurações, bem como detectar informações sobre alterações das
mesmas, principalmente no que tange ao ambiente virtual. Mas existem no
mercado aplicativos de software que realizam esse trabalho, como o SMS
da Microsoft, Tivoli da IBM entre outros.
DS10 - Gerenciar problemas.
Atividades:
-
Identificar e classificar os problemas;
Diagnosticar e analisar causa raiz;
-
Resolver problemas;
-
Revisar o status dos problemas;
-
Emitir recomendações de melhorias e emitir uma solicitação de
mudança (RFC);
-
Manter registros dos problemas.
Virtualização: A virtualização pode ser útil para identificar a origem de alguns problemas
relacionados à infra-estrutura, através da análise de relatórios com
informações sobre demanda, por recursos que não são atendidos
77
satisfatoriamente, como processador, memória e espaço em disco, entre
outras possíveis.
DS11 - Gerenciar dados.
Atividades:
-
Traduzir armazenamento de dados e requisitos de armazenamento para
procedimentos;
-
Definir, manter e implementar procedimentos para gerenciar a biblioteca
de mídias;
Definir, manter e implementar procedimentos para destruição segura de
mídias e equipamentos;
-
Fazer copia de segurança de dados de acordo com o esquema;
-
Definir, manter e implementar procedimentos para recuperação de
dados.
Virtualização: A virtualização não é fundamental nesse processo, pois este trata do
gerenciamento de dados, algo de natureza virtual. Porém na atividade que
trata da destruição segura de mídias e equipamentos, ela é útil. A
destruição de mídias e equipamentos é feita de forma rápida e segura para
a empresa e o meio ambiente, pois não existem partes físicas que
representem riscos a segurança dos dados ou gerem resíduos sólidos a
serem descartados.
DS12 - Gerenciar os ambientes físicos.
Atividades:
-
Definir o nível necessário de proteção física;
-
Selecionar e providenciar lugares para centro de dados, escritório, etc.;
-
Implementar ponderações para o ambiente físico;
-
Gerenciar o ambiente físico incluindo manutenção e vigilância. Emitir
relatórios pertinentes;
-
Definir e implementar procedimentos para autorização e manutenção do
acesso físico.
78
Virtualização: Nesse processo a virtualização contribui ao reduzir a necessidade de
espaço físico para equipamentos de TI, em especial para o centro de
dados. Por demandar menos refrigeração e menos energia elétrica.
DS13 - Gerenciar as operações.
Atividades:
-
Criar e modificar procedimentos operacionais, incluindo manuais, listas
de checagem, planejamento de turnos, entrega de documentação,
procedimentos, escalas, etc.;
Gerenciar horários e seqüências de trabalho;
Monitorar e resolver problemas de infra-estrutura e processamento;
-
Gerenciar e proteger saídas físicas, como papéis e mídias;
Aplicar correções ou alterações nos agendamentos e na infra-estrutura;
-
Implementar um processo de salvaguarda com dispositivos de
autenticação para evitar interferências, perdas e roubos;
Programar e realizar manutenções preventivas.
Virtualização: A virtualização é importante. Ela torna o gerenciamento das operações
mais fácil e produtivo, podendo ser utilizada em quase todos os processos.
Os horários e seqüências de trabalhos podem ser agendados com mais
flexibilidade, de forma automatizada, e sem interferir no funcionamento da
produção. Caso ocorra algum erro na aplicação das correções e alterações,
o processo pode ser rapidamente revertido, oferecendo flexibilidade para
programar e realizar manutenções preventivas. O monitoramento pode ser
feito através do software de gerenciamento da infra-estrutura virtual.
Resumindo, no domínio entrega e suporte, com exceção do processo de
gestão dos ambientes físicos, todos os demais podem se beneficiar com a adoção
da virtualização. Ela torna o trabalho da equipe de TI mais fácil, rápido e eficiente
através do uso da própria tecnologia e de suas ferramentas associadas, em seu
trabalho de suportar as operações do negócio oferecendo uma boa relação custobenefício. A virtualização não deve ser ignorada nesse domínio, sob pena do
79
negócio ficar defasado em termos de desempenho e competitividade frente à
concorrência.
3.5
Virtualização no domínio Monitoração e Avaliação (ME)
No domínio entrega e suporte, distribuído por quatro processos, todo trabalho
executado pelo domínio DS, é monitorado e avaliado para saber se estão atendendo
ao que foi especificado no domínio PO. O resultado desse trabalho é encaminhado
ao domínio PO e servirá como subsídio para determinar as novas táticas e
estratégias da corporação. Nesse ponto conclui-se a seqüência do fluxo de tarefas
entre os domínios do COBIT, porém ao mesmo tempo é gerado o material que
reiniciará o fluxo através do domínio PO, conforme a Figura 15.
Figura 16 – Fluxo de tarefas entre dominios do COBIT - ME
Fonte: Elaboração própria (2009)
ME1 - Monitorar e avaliar a performance de TI.
Atividades:
-
Estabelecer uma abordagem de monitoração;
-
Identificar e obter objetivos mensuráveis que suportem os objetivos do
negócio;
-
Criar fichas de desempenho;
-
Avaliar desempenho;
80
Fornecer relatórios de desempenho;
Identificar e monitorar desempenho e ações de melhoria.
Virtualização: A virtualização e suas ferramentas de apoio, em especial seu software de
gerenciamento, podem auxiliar a fornecer relatórios de desempenho e no
seu monitoramento.
ME2 - Monitorar e avaliar controles internos
Atividades:
-
Monitorar e controlar as atividades de controle interno de TI;
-
Monitorar o processo de auto-avaliação;
-
Monitorar o
desempenho
das
revisões,
auditorias
e
auditorias
independentes;
-
Monitorar o processo para obter garantias sobre os controles operados
por terceiros;
-
Monitorar o processo para identificar e avaliar exceções nos controles;
-
Monitorar o processo para identificar e sanar exceções de controles;
-
Fornecer relatórios para os principais interessados.
Virtualização: Nesse processo, a virtualização não é muito relevante pois ele trata
principalmente de avaliar a efetividade dos controles internos. Controles são
intangíveis, portanto não influenciados pela virtualização da infra-estrutura.
ME3 - Garantir conformidade com requisitos externos.
Atividades:
-
Definir e executar um processo para identificar políticas e requisitos
regulamentares, legais e contratuais;
-
Avaliar a conformidade das atividades de TI com as políticas, planos e
procedimentos de TI;
-
Fornecer relatórios das garantias de conformidade das atividades de TI
com as políticas, planos e procedimentos de TI;
81
-
Prover entradas para alinhar políticas, planos e procedimentos de TI em
resposta aos requisitos de conformidade;
-
Fornecer relatórios de requisitos regulamentares de TI de maneira
semelhante ao de outras funções empresariais.
Virtualização: A virtualização da infra-estrutura não influencia esse processo, pois trata
da conformidade com requisitos externos. Algo que possui natureza virtual.
ME4 - Prover governança de TI.
Atividades:
-
Estabelecer um executivo e um conselho para supervisão e facilitação
das atividades de TI;
-
Revisar, endossar, alinhar e comunicar, em relação à estratégia
empresarial, o desempenho, os recursos e a gestão de riscos de TI;
-
Obter
avaliação
independente
e
periódica
de
desempenho
e
conformidade com políticas, planos e procedimentos;
-
Resolver os apontamentos das avaliações independentes, e assegurar a
gestão de implementação das recomendações pré-acordadas;
-
Gerar um relatório de governança de TI.
Virtualização: A virtualização não é usada pelas atividades desse processo, mas se tiver
sido bem usada nos processos anteriores, principalmente no domínio DS, a
empresa terá mais chances de melhorar o seu nível de maturidade no
COBIT e de governança de TI.
Resumindo, no domínio monitorar e avaliar, a virtualização tem potencial para
ser usada nas atividades de fornecer relatórios de desempenho, identificar e
monitorar desempenho e ações de melhoria. Nesse domínio teremos o diagnostico
dos níveis de maturidade para cada processo e a utilidade da virtualização .
No Quadro 4, temos um resumo das informações sobre quais processos, de
cada domínio do COBIT 4.1, são relevantes à virtualização.
82
Quadro 4 – Resumo dos processos relevantes à virtualização
Dominio Planejamento e Organização (PO)
Processos
PO1 - Definir um plano estratégico de TI
PO2 - Definir a arquitetura de informação
PO3 - Determinar a direção tecnológica
PO4 - Definir processos de TI, organização e relacionamentos
PO5 - Gerenciar os investimentos em TI
PO6 - Comunicar metas e diretivas gerenciais
PO7 - Gerenciar recursos humanos
PO8 - Gerenciar qualidade
PO9 - Avaliar e gerenciar riscos de TI
PO10 - Gerenciar projetos
Domínio Aquisição e Implementação (AI)
Processos
AI1 - Identificar soluções automatizadas
AI2 - Adquirir e manter aplicativos de software
AI3 - Adquirir e manter a infra-estrutura tecnológica
AI4 - Permitir operação e uso.
AI5 - Obter recursos de TI
AI6 - Gerenciar mudanças
AI7 - Instalar e certificar soluções e mudanças
Domínio Entrega e Suporte (DS)
Processos
DS1 - Definir e gerenciar níveis de serviço
DS2 - Gerenciar serviços terceirizados
DS3 - Gerenciar performance e capacidade
DS4 - Garantir continuidade dos serviços
DS5 - Garantir a segurança dos sistemas
DS6 - Identificar e alocar custos
DS7 - Educar e treinar os usuários
DS8 - Gerenciar central de serviços e incidentes
DS9 - Gerenciar a configuração
DS10 - Gerenciar problemas
DS11 - Gerenciar dados
DS12 - Gerenciar os ambientes físicos.
DS13 - Gerenciar as operações
Domínio Monitoração e Avaliação (ME)
Processos
ME1 - Monitorar e avaliar a performance de TI
ME2 - Monitorar e avaliar controles internos
ME3 - Garantir conformidade com requisitos externos.
ME4 - Prover governança de TI
Fonte: Elaboração própria (2009)
Virtualização
Virtualização
Virtualização
Virtualização
83
3.6
Exemplos de empresas que usam COBIT e virtualização
A busca por exemplos de empresas que adotaram o COBIT e a virtualização
nos traz muitas empresas como resultado, porém, nem sempre vinculando a adoção
da virtualização com o uso do COBIT.
Empresas que adotaram o COBIT
Em sua matéria publicada pela Info CORPORATE, Terzian, (2008) apresenta
empresas brasileiras que adotaram o COBIT, incluindo suas motivações e
estratégias para tal.
Vivo – A Vivo, maior operadora de telefonia celular do país, optou pela adoção
do COBIT em 2004, para gerir melhor sua TI. Os maiores desafios a sua adoção,
foram culturais e para supera-los a Vivo investiu muito em treinamento.
Correios – Os Correios, uma empresa que entrega 32 milhões de cartas e
objetos por dia, o COBIT foi introduzido na empresa pela auditoria interna no ano
2000 e chegou a TI em 2003. Inicialmente a empresa passou por um minucioso
diagnóstico que detectou a necessidade de treinamento. Os benefícios pela adoção
do COBIT foram maior segurança da informação, pessoas mais focadas em
processos e uma visão sistêmica e integrada da TI.
Brascan - O Grupo Brascan Brasil, que atua nas áreas de mineração, energia,
engenharia e construção, começou a adoção do COBIT no final de 2004 e teve sua
implantação impulsionada pela Sarbanes-Oxley. A estratégia de implantação
envolveu a contratação de uma consultoria e o principal, dos benefícios gerados
pelo COBIT, é a transparência dos serviços prestados pela TI, assim como seus
objetivos e qualidade.
Existem muitos exemplos de empresas que adotaram o COBIT. A ISACA
(2009), mantenedora do COBIT, disponibiliza em seu site na Internet, vários estudos
84
de casos selecionados de organizações de vários ramos e países conforme exposto
no Quadro 5.
Quadro 5 – Casos de sucesso de empresas que adotaram o COBIT
EMPRESA
PAÍS
RAMO
Datasec
Dongbu HiTek
Jefferson Wells
The Manta Group
Sun Microsystems
Unisys Corporation
Blackboard Inc.
Curtin University of Technology
Adnoc Distributions
Central Bank of the Republic of Armenia
Pension Fennia
Kuwait Turk Participation Bank
Canadian Tire Financial Services, Ltd.
Prudential
Charles Schwab & Co.
Region of Peel
Bahrain Civil Service Bureau
Provincia de Mendoza
U.S. House of Representatives
Harley-Davidson
Tembec
Uruguai
USA
USA
Canadá
USA
USA
USA
Austrália
Emirados Árabes
Armênia
Finlândia
Turquia
Canadá
Hong Kong
USA
Canadá
Barein
Argentina
USA
USA
Canadá
Consultoria / TI
Consultoria / TI
Consultoria / TI
Consultoria / TI
Consultoria / TI
Consultoria / TI
Educação
Educação
Energia
Finanças e Seguros
Finanças e Seguros
Finanças e Seguros
Finanças e Seguros
Finanças e Seguros
Finanças e Seguros
Governo
Governo
Governo
Governo
Industria
Industria
ADOÇÃO
2003
2009
2007
2006
2005
2005
2007
2002
2008
2009
2008
2007
2007
2006
2002
2007
2007
2004
2002
2006
2006
Fonte: Elaboração própria (2009), baseado em ISACA (2009)
Empresas que utilizam a virtualização
No caso de usos da virtualização, LOPES (2008) apresenta quatro casos de
empresas brasileiras que utilizam a virtualização da infra-estrutura de TI:
•
Grupo de Soluções em Alimentação (GRSA) - Especializada em
serviços de alimentação;
•
Fundação CESP - Entidade de previdência privada da Companhia
Energética de São Paulo (CESP);
•
Empresa de Tecnologia da Informação e Comunicação do Município de
São Paulo (PRODAM) - Empresa de tecnologia da informação e
comunicação do Município de São Paulo.
85
Quadro 6 – Casos de sucesso de empresas que usam a virtualização
CASOS DE SUCESSO
WMware
Agricultural Bank of China, Guizhou Branch
Alstom
Atkins
Avaya
Boise Inc.
C2S, Bouygues Group, France
Cardinal Health
Cleveland Indians
First American Corporation
Food and Drug Administration (FDA)
George Washington University
Hindustan Petroleum Corporation Ltd
IBM
Indiana University, Kelly School of Business
ING Insurance Berhad
Interior Health Authority (IHA)
ISS Facility Services Australia Ltd
Johnson Controls
Kindred Healthcare
Mahindra & Mahindra Ltd
Mohawk Industries
Municipal Association Of Victoria
Nat IXIS
Nationwide Insurance
NEC Corporation
OhioHealth
Orica
Qualcomm
Religare Securities
SAP Japan
SunTrust Banks, Inc.
TRW Automotive
United States Army - III Corps
Microsoft
American Savings Bank
Avanade
Bouygues Construction
Cairo Oil Refinery Company
Caspian Pipeline Consortium
Central Bank of Brazil
Comune di Roma
Copa Airlines
Costco Wholesale Corporation
Dartmouth-Hitchcock Medical Center
Del Monte Foods
Gartmore
HP Finland
INA
Indiana University
Ingersoll Rand
Land O' Lakes
Leumi Card
Lionbridge
Microsoft IT
Raiffeisenbank Austria
Saint Raphael Healthcare System
Saxo Bank
Slough Borough Council
SOK Group
TALX
Telefonica O2 - Republica Tcheca
The SCOOTER Store
University Claude Bernard Lyon 1
University of Canberra
Volusia County Schools
Wipro Technologies
WorleyParsons
Fonte: Elaboração própria (2009), baseado em VMware (2009d) e Microsoft (2009a)
Analisando o texto de Lopes (2008), observa-se que as motivações para
adoção e os resultados obtidos com a virtualização da infra-estrutura nos três casos
foi principalmente a redução de custos e a melhoria dos serviços prestados:
•
Otimização do hardware
•
Otimização e economia no uso do espaço
•
Economia no uso de energia elétrica e para refrigeração
•
Agilidade para disponibilizar um servidor virtual
•
Redução dos períodos de indisponibilidade dos sistemas
86
•
Agilidade na expansão do negócio
•
Otimização da manutenção do hardware e redução de custos
•
Benefícios ambientais associados a redução no consumo de energia
elétrica e refrigeração
A VMware (2009d) disponibiliza em seu site na Internet mais de 300 casos de
sucesso de seus clientes. Por outro lado a Microsoft (2009a) também disponibiliza
em seu site na Internet mais de 80 casos de sucesso dos seus clientes de
virtualização que utilizam o Microsoft Windows Server 2008 Hyper-V. Vários desses
casos são da própria Microsoft. No Quadro 6 temos a relação de algumas grandes
empresas que constam nesses casos de sucesso.
Empresas que utilizam a virtualização vinculada ao COBIT
Banco Panamericano - O Banco Panamericano é uma instituição do grupo
Silvio Santos, focada em financiamento, empréstimo pessoal e consórcio. Tendo o
ambiente de tecnologia tornado-se cada vez mais complexo e dinâmico a ponto de
dificultar seu gerenciamento, percebeu-se a necessidade de estabelecer métricas e
indicadores para cada serviço de TI. O Banco Panamericano iniciou a adoção do
COBIT em março de 2005, através da contratação de uma consultoria. Estabeleceuse um comitê operacional que discute a implantação de cada objetivo de controle e
um comitê executivo que homologa sua implantação. A implantação tem uma
previsão de ser concluída em 2009. A expectativa é que as mudanças garantam um
melhor gerenciamento do negócio e traga benefícios como a disseminação da
cultura do controle para área de TI e o estabelecimento de indicadores, até então
inexistentes (TERZIAN, 2008).
De acordo com Ferreira (2009), após uma analise das necessidades da TI e
das opções disponíveis no mercado, relacionadas à tecnologia de virtualização, o
Banco optou pelo VMware Infrastructure 3.5. A adoção da virtualização foi motivada
pela necessidade melhorar a qualidade dos serviços prestados pelo departamento
de TI e reduzir gastos. Essa implantação impactou positivamente nos níveis de
maturidade de alguns processos do COBIT. Foram beneficiados praticamente todos
87
os processos do domínio entrega e suporte, onde também se utiliza o ITIL, com
destaque para a garantia da continuidade dos serviços. Os processos do domínio
planejamento e organização são usados gerenciar essa implantação. Até o
momento, a instituição está satisfeita com os resultados obtidos após as adoções do
COBIT e da virtualização.
Nesse capítulo foram apresentados os relacionamentos que podem ocorrer
entre a governança de TI, através do COBIT, e o uso da tecnologia de virtualização
da infra-estrutura de TI e alguns casos de empresas que adotaram essas práticas.
No próximo capítulo será apresentada as conclusões e recomendações que
surgiram a partir da execução desse trabalho.
Conclusões e
Recomendações
89
CONCLUSÕES E RECOMENDAÇÕES
Este capítulo tem por objetivo registrar as conclusões obtidas através deste
estudo, tecer considerações, sugerir recomendações finais e, por último, propor
futuras investigações nesta área do conhecimento. Antes, serão revistas as
questões de pesquisa deste trabalho:
1. O que é COBIT 4.1 como ferramenta de governança de TI?
2. O que é virtualização de recursos de TI?
3. Como a virtualização de recursos de TI pode contribuir com a Governança de TI,
baseando-se nos processos do Framework COBIT 4.1?
Em suma, esta pesquisa chegou às seguintes conclusões:
1º CONCLUSÃO: Governança da tecnologia da informação surgiu como forma de
alinhar TI ao negócio e tornar mais efetiva a governança corporativa. As áreas foco
da governança de TI, segundo o ITGI (2007) são:
•
Alinhamento estratégico;
•
Entrega de valor;
•
Gerenciamento de riscos;
•
Gerenciamento de recursos;
•
Monitoramento de performance.
O Control Objectives for Information and related Technology (COBIT) é um modelo
que pode der adaptado a cada negócio com a finalidade atingir as áreas-foco da
governança de TI. Porém antes de adotar o COBIT, pode ser muito útil iniciar a
governança de TI, adotando ferramentas mais específicas que cubram as áreas-foco
do COBIT, como o Information Technology Infrastructure Library (ITIL) e as normas
da International Organization for Standardization (ISO), entre outros, de acordo com
a necessidade de cada empresa.
90
2º CONCLUSÃO: Virtualização vem de virtual, e torna-se mais fácil compreender
seu significado identificando o seu antônimo, que diferente do que muitos poderiam
pensar, não seria real, cujo oposto é irreal. O oposto de virtual seria, algo como
concreto, físico ou tangível, porém real. A virtualização dos recursos de TI consiste
em usar um software de virtualização que emule um hardware físico com todos os
seus componentes e funcionalidades originais, a esse hardware virtual, no caso de
computadores, chamamos de máquina virtual.
3º CONCLUSÃO: O uso da tecnologia de virtualização dos recursos de TI, em
especial a virtualização de servidores ou datacenter virtual, é recomendável pois
pode contribuir para o provimento da governança de TI através da estrutura do
COBIT, principalmente em sua utilização nos processos do domínio entrega e
suporte. Para isso, ela deve ser incluída nas estratégias definidas no domínio
planejar e organizar, adquiridas no domínio aquisição e implementação. Os
resultados podem ser obtidos através das avaliações fornecidas pelo domínio
monitorar e avaliar. É possível encontrar casos de sucesso tanto para o COBIT
quanto para virtualização. Há empresas que utilizam a virtualização de forma
integrada aos processos do COBIT, como o Banco Panamericano. Há empresas que
adotam apenas o COBIT ou a virtualização.
91
RECOMENDAÇÕES
•
Adotar o COBIT como ferramenta de governança de TI: Realizar um
planejamento para adoção do COBIT como ferramenta de governança de TI, e
adaptá-lo às necessidades da empresa em questão.
•
Adotar a tecnologia de virtualização: Analisar as tecnologias de virtualização
disponíveis no mercado, antes de optar, e optar por mais de uma se for viável. É
importante levar em conta as necessidades da empresa.
•
Investir na capacitação dos recursos humanos: O investimento na
capacitação das pessoas é importante para que a empresa obtenha melhor
proveito dos modelos e tecnologias adotados.
FUTURAS PESQUISAS
À luz das conclusões deste trabalho, pode-se apontar para a direção de futuras
investigações, tais como :
•
Realizar um estudo envolvendo virtualização e ITIL: Visto que o domínio do
COBIT que mais se beneficia da virtualização é o de entrega e suporte
correspondente ao ITIL, seria interessante explorar melhor as possibilidades que
lá existem.
•
Identificar relacionamentos entre o COBIT e padrões de mercado: Sendo o
COBIT uma estrutura aberta e orientada a processos, que pode ser adaptada a
qualquer organização, seria útil identificarmos quais padrões de mercado
contribuem para quais domínios ou processos do COBIT, a fim de facilitar a
adoção do modelo. Dessa forma, haveria uma opção de iniciar a adoção do
COBIT de forma indireta, através dos modelos de mercado que estejam
alinhados ao seus processos.
92
•
Efetuar um estudo sobre as tecnologias de virtualização para área de TI: Os
temas virtual e virtualização são tão amplos que é preciso manter o foco bem
definido sobre o objetivo. As tecnologias de virtualização para a TI oferecem
tantas possibilidades que merecem estudos mais detalhados, pois o que se
encontra nesse sentido é, principalmente, o material disponibilizado pelos
fornecedores dessas tecnologias.
A LUZ DAS CONCLUSÕES
A virtualização, aparentemente um tema e uma tecnologia tão recente, data de
meados dos anos 50 com a IBM e seu ambiente VM/370 (Laureano, 2006) e a
oposição errônea que normalmente é feita entre virtual e real, sendo o correto virtual
em oposição a tangível enquanto real faz oposição a irreal. Ou seja, o virtual
também é real. Estes questionamentos se algo é virtual ou não, como servidor,
biblioteca, museu, treinamento, amigo(a), namorado(a), reunião, conferência, etc.
tendem a desaparecerem ao se incorporarem ao cotidiano. Assim como já corre com
a iluminação disponível nas residências. Ao comprar ou alugar uma casa na cidade,
ninguém pergunta se a luz será elétrica ou de lampião.
A disponibilidade e o avanço da tecnologia da virtualização, farão com que o
questionamento das empresas, em relação à virtualização, mude em poucos anos
de “Será que vamos usar?” para “Qual vamos usar?”.
Com a rápida adoção de novas tecnologias da informação pelas empresas, TI
torna-se cada vez maior e mais complexa. Não é por acaso que o COBIT está em
evidência. Ele tem se mostrado um modelo viável para gerir essa nova realidade e
alinhar a TI aos objetivos do negócio, inclusive tem ganhado importância com ao ser
adotado por empresas que precisam cumprir as exigências regulamentares do
Sarbanes-Oxley Act (SOX).
Referências
94
REFERÊNCIAS
Livros
BUYTAERT, Kris; DITTNER, Rogier. The Best Damn Server Virtualization Book
Period, Burlington - USA, Syngress Publishing, 2007.
DILTS, Robert. A estratégia da genialidade: como utilizar a programação
neurolinguística para entender a genialidade de Albert Einstein, São Paulo,
Summus, 1999.
FARIA, A. C. ; CUNHA, I. ; FELIPE. Y. X. Manual Prático para Elaboração de
Monografias. São Paulo: Editora Vozes, 2007.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
Governança de TI - da Estratégia à Gestão de Processos e Serviços, Rio de
Janeiro, Brasport, 2008.
HOLANDA FERREIRA, Aurélio Buarque de. Miniaurélio: O minidicionário da língua
portuguesa. Curitiba, Positivo, 2004.
HORNBY, A. S. Oxford advanced learner's dictionary 7th edition. Oxford, Oxford
University Press, 2005.
ITGI. COBIT 4.1 Framework, Control Objectives, Management Guidelines and
Maturity Models, USA, ITGI, 2007.
LAUREANO, Marcos. Máquinas Virtuais e Emuladores. São Paulo, Novatec, 2006.
LÉVY, Pierre. O que é virtual? Trad. Paulo Neves. São Paulo, Ed. 34, 1996.
MARSHALL, David; REYNOLDS, Wade A.; MCCRORY, Dave. Advanced server
virtualization. Boca Raton, Auerbach Publications, 2006.
MÉVEL, Jean-Pierre. (coord.). Dictionnaire Hachette edition 2005. Paris, Hachette
2004.
SCHEFFY, Clark. Virtualization for dummies – AMD special edition. Hoboken - USA,
Wiley, 2007.
SHIELDS, Rob. The Virtual (Key Ideas). London and New Yourk, Routledge, 2003.
Entrevistas
FERREIRA, Elaine Cristina. Uso da virtualização integrada ao COBIT no Banco
Panamericano; depoimento [fev. 2009]. Entrevistador: R.L. Nascimento. São
Paulo, 2009.
95
Revistas
LOPES, Fabiana. Virtualização: Como e para qual finalidade?. B2B Magazine, São
Paulo, v. 85, n. 7, p. 44-47, abr. 2008.
Webliografia
AMD. Mais eficiência na plataforma de virtualização, AMD, USA, 2009. Disponível
em: <http://www.amd.com/brpt/Processors/ProductInformation/0,,30_118_8796_14287,00.html> Acesso em:
22 fev. 2009.
BRODKIN, Jon. Microsoft diminui distância da VMware no mercado de virtualização.
IDG Now!, 2008. Disponível em:
<ttp://idgnow.uol.com.br/mercado/2008/10/17/microsoft-diminui-distancia-davmware-no-mercado-de-virtualizacao>. Acesso em: 24 fev. 2009.
COMPUTERWORLD, Preço do Hyper-V reduz o domínio da VMware em
virtualização. Computerworld, EUA, 2008. Disponível em:
<ttp://computerworld.uol.com.br/tecnologia/2008/10/20/preco-do-hyper-v-reduzo-dominio-da-vmware-em-virtualizacao>. Acesso em: 24 fev. 2009.
COSO. About us, COSO, USA, 2009. Disponível em:
<http://www.coso.org/aboutus.htm>. Acesso em: 20 jan. 2009.
DESAI, Anil. Inside Microsoft's Hyper-V Windows 2008 virtualization architecture
(formerly Viridian), USA, 2007. Disponível em:
<http://searchservervirtualization.techtarget.com/tip/0,289483,sid94_gci1282427,
00.html> Acesso em: 22 fev. 2009.
GONÇALVES, Danilo Brandão; VAHL JUNIOR, José Cláudio. White Paper Virtualização, Polis de Tecnologia, Campinas, 2009. Disponível em:
<http://www.sensedia.com/br/anexos/wp_virtualizacao.pdf> Acesso em: 22 fev.
2009.
IBGC. Código das Melhores Práticas de Governança Corporativa. IBGC, São Paulo,
2007. Disponível em:
<http://www.ibgc.org.br/Download.aspx?Ref=Codigos&CodCodigo =47>. Acesso
em: 19 jan. 2009.
IBGC. Governança Corporativa. IBGC, São Paulo, 2009. Disponível em:
<http://www.ibgc.org.br/ Secao.aspx?CodSecao=17>. Acesso em: 19 jan. 2009.
ISACA. COBIT Case Studies by Industry. ISACA, Rolling Meadows – USA, 2009.
Disponível em:
<http://www.isaca.org/Template.cfm?Section=COBIT6&CONTENTID=22129&TE
MPLATE=/ContentManagement/ContentDisplay.cfm>. Acesso em: 28 fev. 2009.
96
INTEL. Virtualization, Intel, USA, 2009. Disponível em:
<http://www.intel.com/technology/virtualization> Acesso em: 22 fev. 2009.
ITCOMPARISON TEAM. Microsoft Windows Hyper-V VS VMware Virtual
Infrastructure 3.5. ITComparison. IT Comparison, 2008. Disponível em:
<http://www.itcomparison.com/Virtualization/MShypervvsvi35/HyperVvsvmware3
5esx.htm>. Acesso em: 25 fev. 2009.
ITGI. Board Briefing on IT Governance 2. edition. ITGI, USA, 2003. Disponível em:
<http://www.itgi.org/AMTemplate.cfm?Section=Board_Briefing_on_IT_Governanc
e&Template=/ContentManagement/ContentDisplay.cfm&ContentID=39649>.
Acesso em: 20 jan. 2008.
MACHADO, Ronei. Virtualização - Fatos, boatos e previsões, ResellerWeb, 2008.
Disponível em: < http://www.resellerweb.com.br/noticias/index.asp?cod=50070>.
Acesso em: 24 fev. 2009.
MEARS, Jennifer. IDC: Virtualization market booming. Network World, USA, 2006.
Disponível em: <ttp://www.networkworld.com/news/2006/102506-idcvirtualization.html>. Acesso em: 24 fev. 2009.
MORAES, Marcos. Governança de TI e Gestão da Segurança da Informação. 2006.
Disponível em: <www.ms.senac.br/uploads/13223936.ppt>. Acesso em: 21 jan.
2009.
MICROSOFT. Microsoft Case Studies Web Site. Microsoft, USA, 2009a. Disponível
em: <http://www.microsoft.com/casestudies/default.aspx>. Acesso em: 28 fev.
2009.
MICROSOFT. Microsoft Hyper-V Server 2008 - Perguntas Frequentes. Microsoft,
USA, 2008. Disponível em: <http://www.microsoft.com/brasil/servidores/hyper-vserver/faq.mspx>. Acesso em: 25 fev. 2009.
MICROSOFT. Soluções para virtualização. Microsoft, USA, 2009b. Disponível em:
<http://www.microsoft.com/brasil/servidores/virtualizacao/solutions.mspx>.
Acesso em: 24 fev. 2009.
MICROSOFT. Virtualization from the Datacenter to the Desktop. Microsoft, USA,
2007. Disponível em:
<http://download.microsoft.com/download/0/A/C/0AC57003-473C-4F9A-84B08ADEF6ACE753/VirtualizationWhitepaper.pdf >. Acesso em: 24 fev. 2009.
PERILLI, Alessandro. Microsoft already took 23% of virtualization market says IDC UPDATED, . virtualization.info USA, 2008. Disponível em:
<http://www.virtualization.info/2008/10/microsoft-already-took-23-of.html>.
Acesso em: 24 fev. 2009.
97
TERZIAN, Françoise. Todo poder ao Cobit. Info CORPORATE, 2008. Disponível em:
<http://info.abril.com.br/corporate/aplicacoes-de-gestao/todo-poder-aocobit.shtml>. Acesso em: 28 fev. 2009.
VERAS, Manoel. VMware VI 3.x vs MS Windows Server 2008 HYPER-V. Blog
Datacenter 1.0, 2009. Disponível em:
<http://datacenter10.blogspot.com/2009/01/vmware-vi-3x-vs-ms-windows-server2008.html>. Acesso em: 25 fev. 2009.
VMWARE. BROCHURE - VMware Infrastructure 3, Datacenter Management and
Optimization Suite. VMware, USA, 2008. Disponível em:
<http://www.vmware.com/files/pdf/vi_brochure.pdf>. Acesso em: 25 fev. 2009.
VMWARE. Comparing ESXi and Microsoft Hyper-V. VMware, USA, 2009a.
Disponível em: <http://www.vmware.com/technology/whyvmware/robustfoundation.html#c98039>. Acesso em: 25 fev. 2009.
VMWARE. Comparison of the Essential Functionalities of a Hypervisor. VMware,
USA, 2009b. Disponível em:
<http://www.vmware.com/products/vi/esx/facts.html>. Acesso em: 25 fev. 2009.
VMWARE. Increase Server Utilization & Consolidate IT Hardware. VMware, USA,
2009c. Disponível em:
<http://www.vmware.com/solutions/consolidation/consolidate.html>. Acesso em:
22 fev. 2009.
VMWARE. VMware Success Stories. VMware, USA, 2009d. Disponível em:
<http://www.vmware.com/a/customers/search/product/1/VMware+Infrastructure+
3,+VI3/size/3/10,000++employees>. Acesso em: 28 fev. 2009.
WIKIPEDIA. Comparison of platform virtual machines. Wikipedia, USA, 2009.
Disponível em:
<http://en.wikipedia.org/wiki/Comparison_of_platform_virtual_machines>. Acesso
em: 23 fev. 2009.
Normas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6023: informação e
documentação: referências: elaboração. Rio de Janeiro, 2002.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6024: informação e
documentação: Numeração progressiva das seções de um documento escrito –
Apresentação. Rio de Janeiro, 2002.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6027: informação e
documentação: Sumário - Apresentação. Rio de Janeiro, 2002.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6028: informação e
documentação: Resumo - Apresentação. Rio de Janeiro, 2003.
98
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 10520: informação e
documentação: citações em documentos: apresentação. Rio de Janeiro, 2002.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 14724: informação e
documentação: trabalhos acadêmicos: apresentação. Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 15287: informação e
documentação: Projeto de Pesquisa. Rio de Janeiro, 2005.