Aula 4GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO

TI E AFINSCAÍKE DAMIÃO NASCIMENTO SILVA

Val IT, CMMI e ISO 27001 e 27002Vimos conceitos sobre a Governança de Tecnologia de Informação nas empresas, o alinhamento destes conceitos com o negócio e um framework, o COBIT. Mas, existem outros frameworks e modelos no mercado, por exemplo, para o processo de desenvolvimento de software que permite as empresas acompanharem o aumento da competitividade do mercado com processos bem definidos e alinhados.Um destes exemplos é o CMMI (Capability Maturity Model Integration) que versa sobre modelos de maturidade/capacidade dos processos da empresa. Veremos um pouco mais dele nesta unidade.Já a ISO 27001, por exemplo, é um padrão para a Gestão de Segurança da Informação e para a criação dos SGSI (Sistemas de Gerenciamento de Segurança da Informação). Segurança da Informação é outro aspecto relacionado aos diversos processos de TI que devem dar suporte ao negócio.Também falaremos sobre o conceito de valor atrelado à TI e ao negócio e como o Val IT o especifica.

O Val IT visa auxiliar os executivos em duas das quatro decisões fundamentais de TI:

- Estamos fazendo as coisas certas? (a questão estratégica)- Estamos conseguindo benefícios? (a questão de valor)

O COBIT, por outro lado, ajuda os executivos a responder as questões:

- Estamos fazendo de forma certa? (a questão da arquitetura)- Estamos conseguindo fazê-las bem? (a questão da entrega)

Face às exigências de ambientes de TI cada vez mais complexos, novas demandas de hardware e software e a rápida obsolescência destes, o IT Governance Institute (ITGI) iniciou o chamado Value of Information Technology (Val IT) para criar uma estrutura que auxilie gestores na avaliação, seleção, gestão e mensuração dos retornos sobre investimento (ROI) em Tecnologia da Informação. Na maior parte das vezes os executivos de negócio não conseguem visualizar esse retorno facilmente.

A primeira versão do Val IT foi publicada em 2006 e a versão Val IT 2.0 em 2008. O Val IT foi desenhado para se complementar ao Modelo do COBIT e fornecer um ciclo completo de Governança de TI integrando os processos do COBIT à visão do portfólio de investimentos do Val IT que fornece princípios, processos e práticas de apoio para compreensão das atividades relacionadas aos investimentos em TI.

O Relacionamento entre Val IT e COBIT pode ser visto da seguinte forma:

- Questão Estratégica:O investimento está alinhado com nossa visão;Está consistente com nossos princípios de negócio;Está contribuindo para nossos objetivos estratégicos;Está oferecendo valor, num custo razoável e em nível aceitável de risco.

- Questão de Valor:Temos um entendimento claro e compartilhado dos benefícios esperados;Temos elucidadas as responsabilidades pela realização dos benefícios;Temos métricas relevantes;Temos um processo efetivo de realização de benefícios.

- Questão de Arquitetura:O investimento está alinhado com nossa arquitetura;Está alinhado com outras iniciativas;Está consistente com nossos princípios de arquitetura.

- Questão Estratégica:Temos processos de gerenciamento efetivos de entrega e mudanças;Temos recursos de negócio e técnicos disponíveis para entregar;Temos as capacidades requeridas.

O COBIT 4.1 visa entregar serviços de TI de alta qualidade, utilizando as melhores práticas do mercado e contribuir para o processo de criação de valor. O Val IT avalia o resultado final para que empresas possam medir, monitorar e otimizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI.

O Conceito de ValorDefinir valor é complexo, específico ao contexto e dinâmico (ITGI, 2008). O resultado que se espera ao fazermos um investimento em TI é, em geral, financeiro. Mas pode ser uma combinação entre aspectos financeiros e aspectos não financeiros. Por exemplo, ter um servidor mais ágil e melhorar o tempo de resposta num processo de suporte podendo deixar o cliente mais satisfeito. Há um resultado financeiro indireto (satisfação do cliente). Mas, para alguns clientes isto não fará sentido algum (aqueles que não precisarem de suporte).Portanto, o conceito de valor relaciona-se ao atendimento de expectativas dos stakeholders e os recursos que serão necessários para isso.A gestão de valor precisa otimizar o valor da conciliação das diferenças de interesses entre os diferentes stakeholders e permitir que a empresa:- Defina e comunique claramente a sua visão do que constitui valor e para quem;- Selecione e execute investimentos;- Gerencie seus ativos e otimize valor com a utilização de recursos de forma econômica e nível de risco aceitável.

COBIT 5 e Val ITVal IT e Risk IT são frameworks criados pela ISACA para gerenciamento de entrega de valor e mitigação de riscos, respectivamente.Eles possuíam suas próprias especificações e processos. No COBIT 5 a ISACA fez a incorporação destes frameworks, visando tornar-se mais completa e integradora.

Como vimos na aula 3, um dos princípios do COBIT 5, o 3º Princípio, trata sobre a aplicação de um modelo único integrado. Assim, o COBIT 5 alinha-se com outros padrões recentes para ser usado como principal modelo integrador. Ele integra o conhecimento de outros modelos como Val IT, Risk IT, BMIS e ITAF.

CMMI

A história do CMMI tem seu início numa encomenda feita pelo DoD (Departamento de Defesa norte-americano) à Carnegie Mellon University (CMU), através do Software Engineering Institute (SEI). Esta encomenda era para a criação de um modelo de qualidade para o processo de engenharia de software. Em 1991 foi criado o Capability Maturity Model for Software (SW-CMM) (CMU/SEI, 2010; FERNANDES e ABREU, 2008).

O CMMI pode ser definido como um modelo para melhoria de processo que fornece às empresas os elementos para obtenção de processos eficazes e melhoria de desempenho.

O CMMI combinava três modelos: o Capability Maturity Model for Software (SW-CMM), o Systems Engineering Capability Model (SECM) e o Integrated Product Development Capability Maturity Model (IPD-CMM).

Atualmente, a versão 1.3, publicada em 2010, inclui melhorias significativas e refinamentos nos níveis de maturidade para aproximação de outros modelos.

A versão 1.3 do CMMI apresenta as abordagens de implementação por Estágios ou Contínua. Ambas estão num mesmo documento e reunidas em escopos chamados Constelação.

“Uma constelação é um conjunto de componentes CMMI utilizados para construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse.” (CMU/SEI 2010).

Atualmente, existem três constelações:

- CMMI para Desenvolvedores (CMMI-DEV): contém diretrizes para monitorar, mensurar e gerenciar processos de desenvolvimento;- CMMI para Serviços (CMMI-SVC): diretrizes para entrega de serviços dentro e fora das empresas;- CMMI para Aquisições (CMMI-ACQ): diretrizes para suporte às decisões relacionadas à aquisição de produtos e serviços.

O CMMI oferece duas opções para abordar a avaliação e melhoria dos processos:

- Representação contínua – A organização escolhe uma determinada área de processo (ou grupo de áreas de processo) e trabalha na melhoria desses processos;- Representação por estágios – Utiliza conjuntos predefinidos de áreas de processo para estabelecer um caminho de melhoria para uma organização.

O progresso da melhoria de um processo é verificado pelos níveis de capacidade e níveis de maturidade. Os níveis de capacidade aplicam-se a áreas de processo individuais e servem para melhorar de forma incremental processos de uma determinada área. Existem seis níveis (0 a 5) de capacidade. Os níveis de maturidade são aplicados a áreas de processos e auxiliam na previsão dos resultados em projetos futuros. Existem cinco níveis de maturidade (1 a 5).

CMMI - Abordagem de Implementação por Estágios

De forma geral, as organizações começam com processos caóticos e sem organização, num ambiente sem estabilidade e vão caminhando, progredindo disciplinarmente até adquirirem padrões de repetição de processos e conseguir chegar num nível onde há melhoria contínua dos mesmos.

Na abordagem de Implementação por Estágios o nível de maturidade é como um degrau de evolução na melhoria do processo organizacional da empresa e atende as áreas como um todo.

As características dos níveis de maturidade são:

Nível 5 – Otimizado: No nível de maturidade 5, uma organização melhora continuamente os seus processos com base num entendimento quantitativo das causas comuns de variações inerentes ao processo.

Nível 4 – Gerenciado Quantitativamente: No nível de maturidade 4, a organização e os projetos estabelecem objetivos quantitativos para qualidade e para desempenho de processo, utilizando-os como critérios na gestão de processos. Objetivos quantitativos baseiam-se nas necessidades dos clientes, dos usuários finais, da organização e dos responsáveis pela implementação de processos. A qualidade e o desempenho de processo são entendidos em termos estatísticos e gerenciados ao longo da vida dos processos.

Nível 3 – Definido: No nível de maturidade 3, os processos são bem caracterizados e entendidos, e são descritos em padrões, procedimentos, ferramentas e métodos. O conjunto de processos-padrão da organização, que é a base para o nível de maturidade 3, é estabelecido e melhorado ao longo do tempo.

Nível 2 – Gerenciado: No nível de maturidade 2, os projetos da organização têm a garantia de que os processos são planejados e executados de acordo com uma política; os projetos empregam pessoas experientes que possuem recursos adequados para produzir saídas controladas; envolvem partes interessadas relevantes; são monitorados, controlados e revisados; e são avaliados para verificar sua aderência em relação à descrição de processo.

Nível 1 – Inicial: No nível de maturidade 1, geralmente os processos são ad hoc e caóticos. Esse tipo de organização não fornece um ambiente estável para apoiar os processos. O sucesso depende da competência e do heroísmo das pessoas e não do uso dos processos comprovados.

CMMI - Abordagem de Implementação Contínua

Nessa abordagem, o CMMI permite que cada uma das áreas de processos sejam implementadas de forma evolutiva e independente.

As características dos níveis de capacidade são:

Nível 0 – Incompleto: Um “processo incompleto” é um processo que não é executado ou é executado parcialmente. Uma ou mais metas específicas da área de processo não são satisfeitas e não existem metas genéricas para este nível, já que não há razão para institucionalizar um processo executado parcialmente.

Nível 1 – Executado: Um processo de nível de capacidade 1 é caracterizado como um “processo executado”. É um processo que satisfaz às metas específicas da área de processo, apoiando e viabilizando o trabalho necessário para produzir os produtos de trabalho.

Nível 2 – Gerenciado: Um processo de nível de capacidade 2 é caracterizado como um “processo gerenciado”. É um processo executado (nível de capacidade 1) que dispõe de infraestrutura adequada para apoiar o processo; é planejado e executado de acordo com uma política; emprega pessoas experientes que possuem recursos adequados para produzir saídas controladas; envolve partes interessadas relevantes; é monitorado, controlado e revisado; e sua aderência em relação à descrição de processo é avaliada.

Nível 3 – Definido: Um processo de nível de capacidade 3 é caracterizado como um “processo definido”. É um processo gerenciado (nível de capacidade 2), adaptado a partir do conjunto de processos-padrão da organização de acordo com as diretrizes para adaptação da organização, e contribui com produtos de trabalho, medidas e outras informações de melhoria de processo para os ativos de processo da organização.

Áreas dos Processos CMMIDe acordo com a estrutura de inter-relacionamento funcional na visão de melhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto, Engenharia e Suporte:- Gestão de Processos: Contêm atividades transversais aos projetos, relacionadas à definição, ao planejamento, à implantação, à implementação, ao monitoramento, ao controle, à avaliação, à medição e à melhoria de processo.- Gestão de Projeto: Tratam das atividades de gestão relacionadas a planejamento, monitoramento e controle de projeto.- Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas disciplinas de Engenharia.- Suporte: visa auxiliar nos demais processos qualificando os processos com atividades ao longo dos projetos de desenvolvimento ou manutenção de produtos.

ISO 27001 e 27002A gestão Segurança da Informação e a Gestão da Tecnologia da Informação compreendem áreas complexas, com normas exigentes para tratar de aspectos específicos. Adotar um Sistema de Gestão de Segurança da Informação (SGSI) e de Gestão da Tecnologia da Informação fazem parte da gestão estratégica da Governança Corporativa. A implementação do SGSI e do GTI devem ser guiadas pelas suas necessidades e objetivos, requisitos de segurança e estrutura da organização.A ISO 27001 e 27002 oferece normas com reconhecimento e certificação internacional para o desenvolvimento da SGSI e da GTI. A Governança trata em linha gerais da direção, controle e monitoramento, e pode ser implantada em vários eixos, como: Governança Corporativa; Governança de Tecnologia da Informação; Governança de Segurança da Informação; Governança de Projetos; Governança de Indicadores.

Vamos trabalhar com os conceitos listados anteriormente, considerando que a Governança de Segurança da Informação e a Governança da Tecnologia da Informação, são eixos fundamentais para a gestão da Governança Corporativa.Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a Segurança da Informação?Criado em 1947, ISO é sigla para International Organization for Standardization – Organização Internacional para Normalização. Em língua francesa: "L'Organisation Internationale de Normalisation". Com sede em Genebra na Suíça, é uma entidade não governamental que congrega a padronização/normalização de 170 países.Tem como objetivo promover o desenvolvimento da normalização e atividades relacionadas com a intenção de facilitar o intercâmbio internacional de bens e serviços.

Os membros da ISO são os representantes das entidades oficiais de normalização nos respectivos países como, por exemplo, ANSI (American National Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut für Norman).

No Brasil, sua representante é ABNT, Associação Brasileira de Normas e Técnicas. Fundada em 1940, a ABNT é uma entidade privada, sem fins lucrativos, é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecnológico brasileiro. É membro fundador da ISO (International Organization for Standardization), da COPANT (Comissão Panamericana de Normas Técnicas) e da AMN (Associação MERCOSUL de Normalização).

No Brasil, quando uma empresa segue as normas e padrões indicados pela ISO/ABNT a empresa convoca uma auditoria e recebe a certificação ISO. As certificações ISO.

Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas:

ISO 9000 Gestão de Qualidade: em ambientes de produção;ISO 14000 - ISO 14064 Normas de Gestão do Ambiente: em ambientes de produção;ISO/IEC 17799 Tecnologia da Informação: código de conduta para a Gestão da Segurança da Informação;ISO/IEC 12207 Tecnologia da Informação: define processo de desenvolvimento de software;ISO 26000 Responsabilidade Social;ISO 50001 Gestão de Energia;ISO 31000 Gestão de Risco;ISO 22000 Gestão de Segurança Alimentar;ISO 27001 Gestão da Segurança da Informação;ISO 27002 Gestão da Tecnologia da Informação.

A ISO 27002 (anteriormente chamado ISO 17799) trata-se de um código de práticas para a Segurança da Informação. Nesses códigos estão detalhados centenas de controles específicos que aplicados protegem informações e ativos relacionados.Já a ISO 27001 trata-se de um padrão de especificações para Sistema de Gestão de Segurança da Informação, SGSI, em inglês ISMS - Information Security Management System. Foi publicado em 2005 pela Organização Internacional de Normalização. Suas especificações fornecem estrutura para auditorias e certificação na área Segurança da Informação.A versão mais atual da ISO 27001 foi instituída em 2013. Aplicadas as normas e solicitado o selo de certificação pelo ABNT (no Brasil) fica certificado que a empresa segue todas as exigências legais e padrões internacionais. Seu uso reduz custos e riscos gerados por problemas na Segurança da Informação, pois além de analisar a estrutura da segurança, também incorpora em seus pré-requisitos a preocupação com os riscos do negócio.

Ambas as normas destinam-se a todas as organizações, sejam elas comerciais, ou de serviços e auxilia na responsabilidade da Segurança da Informação.As ISO 27001 e ISO 27002 oferecem requisitos diferentes, mas ambas se complementam, a primeira cuida dos sistemas e recursos e a segunda dos controles de proteção.A Informação é um ativo estratégico essencial para as organizações e necessita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica e organizacional. Lidar com a Segurança da Informação implica em manter as informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity, Avaliability):- Confidencialidade: assegurar que a informação não seja divulgada (disclosed) a indivíduos ou grupos não autorizados;- Integridade: manter a informação, garantindo que essa não seja modificada por agentes desautorizados. Se houver autorização, os agentes devem apenas alterá-la de forma apropriada.- Disponibilidade: assegurar que a informação esteja sempre disponível (available) de forma ágil a todos os agentes autorizados.

A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa aula apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em outros modelos citados no material, aplicando o mais adequado nas situações necessárias.