Conteúdo deste artigo
Visão Geral
A informação pode ser vista hoje como um ativo das empresas. Informações sobre mercados, clientes, concorrentes, produtos, e muitos outros dados que devem ser bem geridos para terem uma serventia adequada para os gestores do negócio. Para que isso ocorra, é necessário seguir várias práticas de governança de TI.
O CobiT (Control Objectives for Information and related Technology) foi criado por especialistas da área, que reuniram nesse framework os seus conhecimentos sobre gestão de TI. É mantido pela ISACA (uma associação internacional).
Esse framework oferece um grande número de boas práticas para gerenciar a TI de uma empresa. Essas “práticas” são divididas em 4 grandes domínios:
- Planejar e Organizar
- Adquirir e Implementar
- Entregar e Dar Suporte
- Monitorar e Avaliar
Estes domínios por sua vez se dividem em outros 34 processos.
É focado muito mais no controle das tarefas do que na execução/operação. Para que os requerimentos de uma organização sejam atendidos pela TI, o CobiT tenta suprir esta necessidade através de quatro formas:
- Criando um link entre TI e os requerimentos do negócio
- Organizando as atividades de TI em um modelo de processo aceitável
- Identificando os recursos de TI que devem ser melhor aproveitados
- Definindo objetivos de controle de gestão
Os benefícios de se implementar o CobiT são muitos, entre eles: melhor alinhamento da TI com os objetivos da organização; uma visão compreensível do que a TI está fazendo; responsabilidades mais claras, baseadas no processo; aceitação por outras organizações e órgãos reguladores; é compreendido por todos os “stakeholders”, já que CobiT é bastante difundido; etc.
O Framework CobiT
O framework CobiT, como falado anteriormente, é dividido em 34 processos de 4 domínios principais.
- Planejar e organizar: aborda táticas e estratégias, identifica a melhor forma de como a TI irá ajudar no atingimento dos objetivos organizacionais. Responde às perguntas: a TI e as estratégias da empresa estão “alinhadas”? A organização está usando todo o potencial de seus recursos? Todos da organização compreendem os objetivos do TI? Os riscos de TI são entendidos e gerenciados? A qualidade dos sistemas de TI é adequado para a organização?
- Adquirir e implementar: as soluções de TI precisam ser desenvolvidas internamente ou compradas de fora, além de serem adequadamente implementadas para funcionarem em conjunto com todos os outros sistemas da organização.
- Entregar e dar suporte: este grupo de processos gerenciará a entrega de serviços de TI na organização, incluindo a segurança e continuidade, suporte à usuários, gerenciamento de dados e equipamentos, etc.
- Monitorar e Avaliar: todos os processos de TI precisam ser monitorados para conferir se estão atingindo os objetivos desejados pela organização.
Adquirir e Implementar
A atividade de adquirir e implementar é dividida em 7 processos:
1. Identificar soluções automatizadas
É necessário realizar uma análise para certificar que os requerimentos serão satisfeitos antes de criar ou adquirir um software para automaticação de processos. O processo aborda a definição das necessidades, soluções alternativas, viabilidade econômica e tecnológica, análise de risco e de custo-benefício, e uma decisão final de comprar ou desenvolver o próprio software.
2. Adquitir e manter aplicações de software
As aplicações devem estar disponíveis para atender às necessidades do negócio. Este processo aborda o design de aplicações, inclusão apropriada de controles e requerimentos de segurança, desenvolvimento e configuração de acordo com padrões. Isto permitirá às organizações suportar as operações de negócio corretamente por meio de aplicações automatizadas.
3. Adquirir e manter infraestrutura de tecnologia
Aborda o planejamento de aquisições, manutenção e proteção da infraestrutura alinhado com estratégias tecnológicas, além do provimento de ambientes de desenvolvimento e testes. Isto garantirá um suporte tecnológico para as aplicações de negócio.
4. Habilitar operações e uso
Novos sistemas instalados devem ser divulgados na organização. Por isso é necessário a produção de documentação e manuais para todos os usuários e a própria TI, além do treinamento para o uso adequado das aplicações e infraestrutura.
5. Encontrar recursos de TI
Os recursos de TI, como software, serviços, equipamentos e pessoas precisam ser encontrados. Esse processo irá auxiliar na seleção de fornecedores, criação de contratos de aquisição e a própria aquisição do produto. Isso garantirá que todos os recursos necessários estarão disponíveis quando necessário, em uma maneira eficiente de custos.
6. Gerenciamento de mudanças
Todas as alterações em softwares e procedimentos devem ser gerenciados, mesmo aqueles feitos às pressas em uma situação de emergência. Essas mudanças devem ser registradas, avaliadas e autorizadas antes da implementação, além de revisadas depois para saber se está de acordo com os resultados esperados. Esses cuidados irão diminuir considerávelmente a possibilidade de falhas e instabilidades nos sistemas de produção.
7. Instalar e credenciar soluções e mudanças
Novos sistemas precisam ser instalados após o desenvolvimento ser concluído. Isso requer um ambiente de testes apropriado. Isso certificará que os novos softwares estão de acordo com as expectativas e resultados esperados.
Entrega e Suporte
A atividade de Entrega e Suporte é separada em 13 processos.
1. Definir e gerenciar níveis de serviço
Devem ser criados e cumpridos os Acordos de Nível de Serviço – SLA, para manter os usuários cientes da disponibilidade dos serviços. O processo inclui o monitoramento e avisos aos “stakeholders” sobre o cumprimento dessas metas de entrega de serviço.
2. Gerenciar serviços de terceiros
É preciso definir os papéis, responsabilidades e expectativas acerca dos serviços prestados por terceiros, a fim de minimizar os riscos associados.
3. Gerenciar capacidade e performance
O processo deve periódicamente verificar a capacidade e performance dos sistemas em produção. Ainda deve fazer uma análise de “forecast”, ou seja, prever as necessidades futuras de recursos de TI. Isto garantirá um crescimento contínuo e sustentado da organização.
4. Garantir continuidade dos serviços
É preciso prover serviços contínuos de TI, e isso requer o desenvolvimento, manutenção e teste dos planos de continuidade, backup, etc. Esse processo minimiza os impactos de uma falha de algum serviço de TI, por exemplo.
5. Garantir segurança dos sistemas
O processo aborda a criação de procedimentos de segurança, responsabilidades, políticas de uso e padrões. Também inclui a tarefa de monitoramento e testes periódicos e implementação de ações corretivas para falhas identificadas ou incidentes. Isso minimizará o impacto de problemas relacionados à segurança.
6. Identificar e alocar custos
É preciso ter uma medida eficiente dos custos necessários para o setor de TI. Por isso esse processo visa tornar público aos usuários todos os custos de TI a fim de melhorar o uso geral dos recursos.
7. Treinamento de usuários
É preciso treinar todos os usuários dos serviços de TI, além dos próprios funcionários de TI. Definir e executar uma estratégia de treinamento eficiente, aferir os resultados. Um treinamento efetivo ocasionará na redução de erros dos usuários, aumentando a produtividade e observância com controles-chave como medidas de segurança de usuários.
8. Gerenciar a central de serviços e incidentes
Um serviço de suporte interno com respostas rápidas e eficientes necessita de um processo bem desenvolvido e executado. É preciso criar um serviço com registros, classificação dos incidentes, tendências e análises de causas, além da resolução. O benefício esperado é o aumento da produtividade por meio da resolução rápida de problemas. Também será possível descobrir as causas principais de problemas (como falta de treinamento).
9. Gerenciamento de configurações
É preciso garantir a integridade do hardware utilizado nos sistemas de produção. Para isso é preciso ter um gerenciamento completo das configurações dos equipamentos, a fim de minimizar problemas que podem ocorrer.
10. Gerenciamento de problemas
O processo prevê a identificação e classificação dos problemas reportados, análise de causa e resolução de problemas. Identificação e recomendações para melhoramento também é abordado. Um correto gerenciamento de problemas irá melhorar os níveis de serviços prestados, reduzir custos, além de aumentar a satisfação do usuário.
11. Gerenciamento de dados
O gerenciamento de dados será feito baseado nos requerimentos de dados da organização. É preciso ter um controle eficiente dos backups, recuperação de dados, descarte apropriado de mídias (simplesmente jogar um HD que não funciona no lixo é uma péssima ideia – alguém mais tarde poderia obter dados sensíveis ..)
12. Gerenciamento do ambiente físico
A segurança dos equipamentos e das pessoas requer instalações muito bem desenhadas e construídas. Esse processo inclui a definição das requisições para o ambiente, gerenciamento de acesso físico de pessoas, etc.
13. Gerenciamento de operações
O processamento de dados requer uma infraestrutura de hardware bem gerenciada. Definição de políticas e procedimentos para um gerenciamento efetivo de tarefas agendadas, proteção das saídas dos processos, monitoramento da infra-estrutura, e manutenção preventiva do hardware. Isso ajudará a manter a integridade dos dados, além de reduzir atrasos nos processos de negócio e custos de operação de TI.
Monitorar e Avaliar
Essa atividade é descrita em 4 processos:
1. Monitorar e avaliar a Performance de TI
O gerenciamento efetivo da performance de TI precisa de um processo proprio. São definidos indicadores de performance, um sistema de relatórios sistemáticos sobre performance. O monitoramento é necessário para garantir que as coisas serão feitas e estarão de acordo com as diretivas e políticas estabelecidas.
2. Monitorar e avaliar o controle interno
Esse processo aborda o monitoramento de exceções, resultados de auto-avaliações e revisões de terceiros. Um benefício desse processo será o provimento de garantias acerca da efetividade e eficiência das operações, além da observância das leis aplicavéis e entidades reguladoras.
3. Garantir a conformidade regulatória
É preciso o estabelecimento de um processo de revisão independente para garantir a conformidade com leis e orgaos reguladores.
4. Prover governança de TI
O estabelecimento de um framework de governança inclui a definição das estruturas organizacionais, processos, lideranças, papéis e responsabilidades para garantir que os investimentos da organização em TI estarão alinhados e entregues de acordo com as estratégias e objetivos.