O COBIT e a Governana de TI

O COBIT [ISACA 2000d] Control Objectives for Information and Related Technology tem por
misso explcita pesquisar, desenvolver, publicar e promover um conjunto atualizado de padres
internacionais de boas prticas referentes ao uso corporativo da TI para os gerentes e auditores
de tecnologia.
A metodologia COBIT foi criada pelo ISACA Information Systems Audit and Control Association
atravs do IT Governance Institute, organizao independente que desenvolveu a metodologia
considerada a base da governana tecnolgica. O COBIT funciona como uma entidade de
padronizao e estabelece mtodos documentados para nortear a rea de tecnologia das
empresas, incluindo qualidade de software, nveis de maturidade e segurana da informao. Os
documentos do COBIT definem Governana Tecnolgica como sendo uma estrutura de
relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir
objetivos corporativos, atravs da agregao de valor e risco controlado pelo uso da tecnologia da
informao e de seus processos.
Os domnios do COBIT, apresentados na figura 1, so integrados da seguinte forma: a
informao de uma empresa gerada/modificada pelos recursos de TI. A informao requisito
para o domnio de Planejamento e Organizao (PO Planning and Organization) e seus
processos. Os requisitos de sada do PO so requisitos de entrada de informao para o domnio
de Aquisio e Implementao (AI Acquisition and Implementation), que por sua vez, definem
os requisitos de entrada para o domnio de Entrega e Suporte (DS Delivery and Support).
Finalmente, o domnio de Monitorao (M Monitoring) utiliza as informaes do DS nos seus
processos e atividades relacionadas. A Tabela 1 apresenta todos os processos do domnio de
Entrega e Suporte mais o processo de Gerenciar Mudanas do domnio de Aquisio e
Implementao que esto na abrangncia do estudo de caso. Os requisitos da informao so
dados por: efetividade, eficincia, confidencialidade, integridade, disponibilidade, conformidade e
confiabilidade. Os recursos de TI so classificados como: pessoas, sistemas aplicativos,
tecnologia, infraestrutura e dados.
Tabela 1 Os Processos do COBIT.
Gerenciar Dados Trata dos aspectos de armazenamento, backup e recuperao de dados da
organizao e suporte aos outros processos de gerncia.
Gerenciar a Configurao Relaciona as configuraes dos componentes, dispositivos e
elementos da rede para o perfeito funcionamento dos sistemas (na iniciao, no encerramento e
nas mudanas).
Identificar e Alocar Custos Trata da medio do uso de recursos de sistemas e dispositivos
para prover dados de contabilizao para outros sistemas que suportam o negcio.
Gerenciar Desempenho e Capacidade Refere-se ao controle de limiares pr-definidos de
desempenho para evitar anormalidades de falhas nos dispositivos e componentes, tambm
controlando dados usados na evoluo ou reconfigurao da capacidade adequada de recursos
de sistemas e redes.
Gerenciar Infra-estrutura Predial Relaciona os aspectos de suporte predial para a infra-
estrutura de TI, como, por exemplo, cabeamento estruturado, refrigerao, energia, torres e
antenas.
Gerenciar Mudanas Trata das atividades de evoluo das redes e sistemas relacionadas ao
aumento da capacidade ou mudanas de verses, rearranjos de topologia. Traz aspectos como
aprovaes, responsabilidades, contingncias, plano de recuperao e comunicao das
mudanas.
Definir e Gerenciar Nveis de Servio Refere-se ao suporte de relatrios e informaes
estatsticas extradas dos sistemas para comprovar a qualidade de servio acordada com clientes
e com fornecedores atravs de contratos de nvel de servio.
Gerenciar Problemas e Incidentes Trata da identificao de eventos nos sistemas, seus
componentes e dispositivos de rede, correlao destes eventos, registro, avaliao das causas e
aes pr-ativas de preveno de incidentes.
Garantir Segurana de Sistemas Trata o aspecto da segurana definido na Poltica de
Segurana empresarial, podendo envolver servios e mecanismos de hardware e software para
os servios de controle de acesso, integridade de dados e comunicao, confidencialidade, no-
repudiao, disponibilidade de recursos e autenticao.
Assistir e Aconselhar Clientes Define a infra-estrutura e mtodos de Help Desk destinada ao
suporte dos clientes internos e externos organizao.
Gerenciar Servios de Terceiros Controle dos fornecedores e atividades relacionadas, de modo
integrado e dentro dos parmetros de qualidade e SLA, para a garantia da continuidade e entrega
do servio da organizao.
Garantir Continuidade dos Servios Disponibiliza fontes alternativas de recursos e
componentes de redes e sistemas atravs de processos ou de redundncia fsica.
Educar e Treinar Usurios Capacita e motiva os usurios dos sistemas no uso destes,
mantendo a qualificao alinhada aos padres do mercado de tecnologia.
Gerenciar Operaes Integra as atividades e processos de gerenciamento dos recursos
humanos e tecnolgicos de operaes, incluindo misso-crtica 24x7, servios a clientes, turnos
de trabalho, planejamento de atividades e relacionamento de novos projetos.
Os Processos do ITIL
O ITIL - Information Technology Infrastructure Library foi desenvolvido pelo governo britnico no
final da dcada de 1980 e provou que possui uma estrutura til em todos os setores tendo em
vista a sua adoo em vrias empresas de gerenciamento de servios. Em meados da dcada de
1990 o ITIL foi reconhecido mundialmente como um padro de facto para gerenciamento de
servios.
3.1 Estrutura do ITIL
O ITIL tem como foco principal, a operao e a gesto da infra-estrutura de tecnologia na
organizao, incluindo todos os assuntos que so importantes no fornecimento dos servios de
TI.
Nesse contexto, o ITIL considera que um servio de TI a descrio de um conjunto de recursos
de TI. Os servios de suporte do ITIL auxiliam no atendimento de uma ou mais necessidades do
cliente, apoiando, desta forma, aos seus objetivos de negcios.
O princpio bsico do ITIL o objeto de seu gerenciamento: a infra-estrutura de TI. O ITIL
descreve os processos que so necessrios para dar suporte utilizao e ao gerenciamento da
infra-estrutura de TI. Outro princpio fundamental do ITIL o fornecimento de qualidade de
servio aos clientes de TI com custos justificveis, isto , relacionar os custos dos servios de
tecnologia e como estes trazem valor estratgico ao negcio.
O interesse nesta rea deve-se ao fato de que, atravs de metodologias (processos)
padronizadas
de Gerenciamento do Ambiente de TI, possvel obter uma relao adequada entre custos e
nveis de servios prestados pela rea de TI.
A figura 2 apresenta os processos do ITIL subdivididos em: Gerenciamento de Aplicaes,
Gerenciamento de Servios e Gerenciamento de Infra-estrutura de Tecnologia de Comunicaes
e de Informao (TCI).
Os Processos de Entrega de Servios do ITIL.
PROCESSO DESCRIO
Gerenciamento de Capacidade
Permite que uma organizao gerencie seus recursos e preveja a necessidade de uma
capacidade adicional com antecedncia.
Gerenciamento de Finanas
Fornece o entendimento, monitorao e, se necessrio, recuperao de custos dos
servios de TI do usurio, permitindo, desta forma, que um balano mais eficiente possa
ser tirado entre custo e desempenho para cada nvel de negcio.
Gerenciamento de Disponibilidade
Assegura que os usurios tenham a disponibilidade de servio de TI necessria para
suportar seus negcios com um custo justificvel.
Gerenciamento de Nveis de Servio
Assegura e monitora um acordo para prestao de um timo nvel de servio entre
provedor e usurio tendo em vista que a execuo de um servio de qualidade requer
clareza na definio do servio e a existncia de acordos entre os fornecedores de
servios de TI e os clientes destes servios.
Gerenciamento de Continuidade dos Servios de TI
Planeja a recuperao de crises que necessitam que o trabalho seja executado em um
sistema alternativo estabelecendo um plano e descrevendo todas as medidas a serem
adotadas em casos de emergncia ou desastres.
Os Processos de Suporte de Servios do ITIL.
PROCESSO DESCRIO
Service Desk
o ponto central de contato para os clientes reportarem dificuldades, queixas e
questes. Pode servir de interface para outras atividades tais como, solicitaes de
mudana, contratos de manuteno, licenas de software, acordos de nveis de servio
e gerenciamento de configurao.
Gerenciamento de Incidentes
Tm por objetivo restaurar a operao normal do servio o mais rpido possvel e
garantir, desta forma, os melhores nveis de qualidade e disponibilidade do servio.
Gerenciamento de Problemas
Identifica e remove erros do ambiente de TI, atravs da anlise dos incidentes
registrados no gerenciamento de incidentes, a fim de garantir uma estabilidade mxima
dos servios de TI.
Gerenciamento de Configurao
Auxilia no gerenciamento do ambiente de TI atravs do registro de todos os seus itens
em um banco de dados efetuando um controle dos componentes da infra-estrutura de TI
utilizados na realizao dos servios de TI.
Gerenciamento de Mudanas
Trata da realizao de mudanas na infra-estrutura de TI de forma segura e organizada
atravs da implementao de procedimentos que passam pela avaliao do impacto da
mudana, autorizao e planejamento de sua implementao.
Gerenciamento de Verses
Assegura que apenas verses testadas e corretas do software autorizado sejam
disponibilizadas para a operao controlando, armazenando, distribuindo e
implementando software efetivamente e eficientemente.
Gerenciamento do nvel de servios
Os Nveis de Servios Aceitos, ou SLA (Service Level Agreement), so baseados na qualidade
dos servios entregues por TI; com isso, faz-se necessria a descrio de itens de qualidade e
critrios de cobrana/descontos constantes no contrato entre clientes e fornecedores. Os acordos
geralmente so estabelecidos por contratos entre empresas; todavia, h acordos para processos
internos e principalmente controlados por modelos de governana em TI. Estes nveis so
importantssimos para a continuidade de servios, produtos e processos relacionados com o tema
em questo. Para que os servios venham a ser cumpridos com presteza, as empresas adotam o
SLA como ferramenta para atingir as necessidades dos clientes, tais como: qualidade de servio,
critrios de cobrana, manuteno dos processos de atendimento e o devido recebimento de
relatrios referentes ao SLA contratado.
O SLA proporciona vantagens para as duas partes do contrato: tanto para quem recebe o servio,
pois tem a condio de controlar os padres de qualidade, quanto para quem o fornece, pois
pode realizar o monitoramento do acordo. Isso requer uma gesto eficaz de ambas as partes, por
isso so utilizados os mtodos de Gesto dos Nveis de Servio, conhecido como SLM Service
Level Management.
CAPABILITY MATURITY MODEL INTEGRATION (CMMI)
O Modelo de Maturidade e Capacidade, Capability Maturity Model (CMM), definido como a
aplicao das melhores prticas para avaliao de desenvolvimento de softwares. Este
descreve os principais elementos de um processo de desenvolvimento de software, assim como
os estgios de maturidade em que a empresa criadora realiza o seu ciclo de desenvolvimento. Os
modelos CMMI foram projetados para descrever nveis distintos de melhorias de processos. Na
representao em estgios, os nveis de maturidade oferecem a ordem recomendada para a
abordagem da melhoria de processos em estgios. Como ilustrado na figura 48, os nveis de
maturidade organizam as reas de processos. Nas reas de processos esto as metas genricas
e especficas, bem como as prticas genricas e especficas. As caractersticas comuns
organizam as prticas genricas.
Nveis de maturidade
O conceito de nvel de maturidade indica o controle de desempenho a partir da verificao de
disciplinas e os seus conjuntos. O nvel de maturidade uma etapa evolucionria definida da
melhoria de processos. Cada nvel de maturidade estabiliza uma parte importante dos processos
da organizao. No modelo CMMI, h cinco nveis de maturidade, cada um representando uma
camada da base da melhoria de processos, definidos pelos nmeros de 1 a 5. Estes so
descritos na tabela a seguir relacionada.
Nveis CMMIvel Nvel Descrio do nvel
1 Inicial Primeiro nvel para descrio dos
processos, geralmente caticos.
2 Gerenciado Mnimo de organizao dentro de
um processo estabelecido.
3 Definido Processos detalhados e bemcontrolados.
4 Gerenciado
quantitativamente
Controle de processo,
monitoramento de desempenho e
uso da estatstica.
5 Otimizado Melhoria constante com inovao
e rapidez na consolidao de
mudanas.
PASSOS DO CMMI
1. Inicial: neste nvel, os processos so improvisados e
geralmente no so seguidos. Estimativas so realizadas
sem nenhum planejamento. Compromissos de prazos e
custos no so cumpridos. Procedimentos e conhecimentos
pertencem s pessoas e no ao projeto.
2. Repetvel: aqui, as polticas e os procedimentos para
gerenciar o desenvolvimento de software esto definidos e
so obedecidos. O planejamento baseado em estimativas
e na experincia anterior de outros projetos. Os projetos
utilizam processos definidos, usados, disseminados,
documentados, medidos e fiscalizados com rotinas de
melhoria. Processos afetados so apenas os gerenciais.
3. Definido: os processos utilizados so estabelecidos e
padronizados em toda a organizao. Processos tcnicosPROJETOS DE TI
passam a ser considerados ao lado dos processos
gerenciais.
4. Gerenciado: nesta fase so estabelecidas metas quantitativas
para os processos e produtos, medidas de qualidade e
produtividade so coletadas em todos os projetos. A gesto
realizada com base em informaes quantitativas.
5. Otimizado: nesta fase a organizao utiliza a melhoria
contnua do processo identificando pontos fracos e
defeitos atravs de aes preventivas.
De acordo com o PMBOK, o gerenciamento de projetos
realizado por meio da aplicao e da integrao dos 42 processos
de gerenciamento de projetos agrupados logicamente em cinco
grupos:
iniciao;
planejamento;
execuo;idade I
monitoramento e Controle; e
encerramento.
Gerenciar um projeto tipicamente inclui a identificao
dos requerimentos (necessidades), avaliar as necessidades e
expectativas das partes interessadas no projeto (stackholder)
e equilibrar restries do projeto quanto ao escopo, qualidade,
cronograma, oramento, recursos e risco.
Para executar