governança de ti -...

Questões comentadas

Governança de TIpara concursos

Handbook de Questões de TI Comentadas para Concursos Volume questões de TI

Prefácio

Segundo o IT Governance Institute, Governança de TI é uma parte integral da GovernançaCorporativa e é formada pela liderança, estruturas organizacionais e processos que garantemque a TI sustente e melhore a estratégia das organizações, permitindo que elas alcancem seusobjetivos. Em termos práticos, a governança de TI engloba a adoção de padrões de mercado,como ITIL, Cobit, CMMI, BSC, entre outros.

Compreender estes padrões e ser capaz de implementá-los nas organizações públicas e priva-das tem se tornado um requisito básico para os pro�ssionais da área de TI. Por isso, em quasetodos concursos públicos na área de TI têm sido exigidos conhecimentos de ITIL, Cobit, entreoutros padrões de mercado.

Para suprir esta necessidade, o Grupo Handbook de TI preparou este volume, que traz paradezenas de questões sobre governança de TI comentadas em detalhe para você se preparar aindamelhor para as provas de seu interesse.

Bons estudos,

Grupo Handbook de TI

Página 1 de 67www.handbookdeti.com.br

www.handbookdeti.com.br


Direitos Autorais

Este material é registrado no Escritório de Direitos Autorais (EDA) da Fundação BibliotecaNacional. Todos os direitos autorais referentes a esta obra são reservados exclusivamente aosseus autores.

Os autores deste material não proíbem seu compartilhamento entre amigos e colegas próxi-mos de estudo. Contudo, a reprodução, parcial ou integral, e a disseminação deste material deforma indiscriminada através de qualquer meio, inclusive na Internet, extrapolam os limites dacolaboração. Essa prática desincentiva o lançamento de novos produtos e enfraquece a comuni-dade concurseira Handbook de TI.

A série Handbook de Questões de TI Comentadas para Concursos � Além do Gabarito é umaprodução independente e contamos com você para mantê-la sempre viva.

Grupo Handbook de TI




Canais de Comunicação

O Grupo Handbook de TI disponibiliza diversos canais de comunicação para os concurseirosde TI.

Loja Handbook de TI

Acesse a nossa loja virtual em http://www.handbookdeti.com.br

Serviço de Atendimento

Comunique-se diretamente conosco através do e-mail [email protected]

Twitter do Handbook de TI

Acompanhe de perto promoções e lançamentos de produtos pelo nosso Twitter http://twitter.com/handbookdeti


http://www.handbookdeti.com.br

[email protected]

http://twitter.com/handbookdeti

http://twitter.com/handbookdeti



1. Assuntos relacionados: Governança de TI, ITIL, BDGC, BSD, BRPM, Central de Ser-viços, Catálogo de Serviços,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 47

O administrador de uma rede deseja reiniciar (reboot) um determinado servidor. Segundoa ITIL (v2), onde o administrador pode consultar que serviços serão impactados com essamanutenção?

(a). Central de Serviços

(b). Catálogo de Serviços

(c). BDGC (Banco de Dados do Gerenciamento da Con�guração)

(d). BSD (Biblioteca de Software De�nitivo)

(e). BRPM (Base de Respostas a Problemas de Manutenção)

Solução:

(A) ERRADA

A Central de Serviços, também conhecida em inglês como Service-Desk (nome original),é uma função dentro da TI que tem como objetivo ser o ponto único de contato entre osusuários/clientes e o departamento de TI. A proposta é separar dentro das operações deTI quem faz parte do suporte aos usuários de quem vai realizar atividades de resolução deproblemas e desenvolvimento. Ter uma área especí�ca para o suporte traz vantagens paraos usuários (maior agilidade e qualidade) e para a equipe de TI (mais e�ciência). Isso ocorreporque os técnicos especialistas não são mais interrompidos por chamadas diretas dos usuá-rios e, por consequência, têm mais tempo para se dedicarem as suas funções.

(B) ERRADA

Catálogo de Serviço é um documento que contém todos os serviços fornecidos e tambéminformações sobre: descrição, níveis de serviço, custo, cliente e a pessoa/departamento res-ponsável pela manutenção. O conteúdo do Catálogo de Serviço varia de acordo com osrequisitos da organização de TI.

(C) CORRETA

O BDGC fornece informações sobre os ICs (Itens de Con�guração) e os relacionamentosdo tipo pai/�lho entre eles. Isso ajuda determinar a causa, a solução, o roteamento e opossível impacto de um incidente rastreando as falhas anteriores ao mesmo IC relacionado.Por exemplo, se um usuário não tiver acesso à Internet, veri�cando-se os relacionamen-tos do tipo pai/�lho daquele PC seria possível descobrir que um determinado hub utilizadopelo usuário para se conectar à rede (ligação pai com o PC) é um IC que deve ser investigado.

(D) ERRADA

A Biblioteca de Software De�nitiva (BSD), utilizada pelo Gerenciamento de Liberação,fornece um local de armazenamento físico de todos os itens de con�guração de software.




Os softwares vêm de diversas formas, tais como: códigos-fonte, pacotes, bibliotecas e exe-cutáveis. As diferentes versões do mesmo software são mantidas na BSD e, por meio deautorização e controles de qualidade, são usadas para construção e implementação das libe-rações.

(E) ERRADA

O assunto ITIL muitas vezes é tido como genérico demais por boa parte dos pro�ssionaisde TI. Em alguns momentos, o ITIL trata o gerenciamento de serviços em alto nível e, emcerta medida, de forma subjetiva. Isso se traduz, às vezes, em nomes e siglas �bonitas� paracoisas muito simples. Temos, por exemplo, a BSD (Biblioteca de Software De�nitiva) e oBDGC (Banco de Dados de Gerenciamento de Con�guiração). Embora, ao implementaro ITIL, uma organização tenha a liberdade de criar uma espécie de �Base de Respostas aProblemas de Manutenção�, essa não é uma das bases mencionadas na literatura o�cial doITIL. Conclusão: para estudar ITIL, é importante conhecer a terminologia o�cial para quenão se corra o risco de ser enganado por mais uma sigla interessante!




2. Assuntos relacionados: Governança de TI, ITIL,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 58

O processo ITIL (v2) responsável pela implementação das mudanças no ambiente de infra-estrutura de TI é o Gerenciamento de

(a). Mudança.

(b). Implantação.

(c). Redes

(d). Liberação

(e). Con�guração

Solução:

O ITIL (Information Technology Infrastructure Library) é uma biblioteca de melhores prá-ticas para gerenciamento de serviços de TI. Embora a questão fale do ITIL v2, os conceitosdos processos na versões 1, 2 e 3 são os mesmos. As mudanças da versão inicial até a versãomais atual apenas conduziram o ITIL de um foco mais operacional para um foco mais deprocessos, onde o gerenciamento do ciclo de vida dos serviços de TI é o centro das atenções.Portanto, o fato da questão mencionar a versão 2 não é tão relevante.

A questão tenta induzir os que não conhecem os nomes dos processos ao erro. Primei-ramente, os processos �Gerenciamento de Implantação� e �Gerenciamento de Redes� nãoexistem. Isso já elimina as alternativas B e C.

Já o processo Gerenciamento de Con�guração é o responsável por prover informações con-�áveis sobre as con�gurações e documentações relativas à infraestrutura de TI, de forma asuportar os demais processos de gerenciamento de serviços. É esse o processo responsávelpela construção e manutenção do BDGC (Banco de Dados de Gerenciamento de Con�gu-ração), considerado o coração do modelo de gerenciamento de serviços do ITIL. Lá estáarmazenado o estado atual da infraestrutura, com informações sobre os servidores, aplica-ções, responsáveis e também o inter-relacionamento entre todos os elementos do ambiente.

Por sua vez, o Gerenciamento de Mudanças é o processo que garante a aplicação de procedi-mentos padronizados a �m de lidar de forma e�ciente com todas as mudanças no ambienteoperacional, minimizando os impactos na qualidade dos serviços e prevenindo a ocorrênciade incidentes em decorrência das mudanças. Em resumo, é o processo responsável pelo pla-nejamento das mudanças.

Comumente, os iniciantes em ITIL tendem a achar que o Gerenciamento de Mudançasrealiza todas as atividades relativas às mudanças, inclusive a implementação. No entanto,os trabalhos do Gerenciamento de Mudanças se limitam ao planejamento e à validação dasmudanças, que são implementadas pelo processo de Gerenciamento de Liberação. Portanto,a resposta desta questão é a letra D.




3. Assuntos relacionados: ITIL, Gerenciamento de Incidentes, Governança de TI,Banca: FCCInstituição: TCE/CECargo: Analista de Controle Externo - Auditoria de Tecnologia da InformaçãoAno: 2008Questão: 89

No ITIL, a seqüência correta de eventos para descrever um incidente do ciclo de vida (incidentlifecycle) depois que ele ocorreu é

(a). Detection, Recovery, Repair, Restoration e Diagnosis.

(b). Detection, Diagnosis, Repair, Recovery e Restoration.

(c). Diagnosis, Detection, Recovery, Repair e Restoration.

(d). Detection, Diagnosis, Recovery, Repair e Restoration.

(e). Diagnosis, Detection, Recovery, Restoration e Repair.

Solução:

Segundo o ITIL, um incidente é todo evento que não faz parte da operação normal dosserviços de ATI, podendo causar uma interrupção ou redução na qualidade dos mesmos.

Gerenciar incidentes é garantir que estes eventos atípicos sejam solucionados o mais brevepossível, minimizando o impacto e garantindo que o atendimento dos níveis de serviços pré-estabelecidos entre TI e corporação.

O processo Gerenciamento de Incidentes da ITIL é dividido em sete partes principais, mos-tradas na Figura 1. Portanto, a resposta da questão é a alternativa B.

Figura 1: ciclo de vida do incidente.

1. Detecção do Incidente: todos os incidentes devem ser registrados em termos desintomas, dados de diagnóstico básico e informações sobre o item de con�guração eserviços afetados. Independente dos mecanismos com que os incidentes são registrados,o Service Desk deve receber alertas apropriados e manter controle total;

2. Classi�cação do Incidente: novos incidentes registrados devem ser analisados parase descobrir a razão do incidente. Incidentes também devem ser classi�cados e é nestesistema de classi�cação que se baseiam as ações posteriores de soluções;




3. Suporte Inicial: o usuário deve ser provido com os meios para continuar seu traba-lho o mais rápido possível, sendo necessário muitas vezes oferecer soluções paliativas(workarrounds) para os incidentes;

4. Investigação e Diagnóstico: todo o esforço deve ser feito para minimizar o impactodo incidente no negócio e encontrar uma solução de�nitiva para o incidente o maisrápido possível;

5. Resolução e Recuperação: ações no sentido de recuperar os níveis dos serviçosdevem ser conduzidas. O sistema de gerenciamento de incidentes deve permitir oregistro dos eventos e ações durante as atividades de solução e recuperação;

6. Conclusão do Incidente: o Service Desk é responsável por possuir e supervisionara resolução de todos os incidentes que aparecem, qualquer que seja a fonte inicial.Quando o incidente for resolvido, o Service Desk deve assegurar que o registro doincidente tenha sido completado e que a resolução tenha sido aceita pelo cliente;

7. Monitoramento e Comunicação do Incidente: procedimentos devem ser implan-tados para garantir que cada incidente individual seja resolvido dentro dos prazosacordados.




4. Assuntos relacionados: Governança de TI, ITIL, Gerenciamento de Serviços, ServiceStrategy, Service Design, Service Operation, Service Transition, Continual Service Improve-ment,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 35

Segundo o ITIL, o controle dos riscos de fracasso e rompimento do objetivo principal doGerenciamento de Serviços, que é garantir que os serviços de TI estejam alinhados com asnecessidades de negócio, é realizado no estágio

(a). Service Strategy.

(b). Service Design.

(c). Service Operation.

(d). Service Transition.

(e). Continual Service Improvement.

Solução:

ITIL (IT Infrastructure Lybrary) é uma biblioteca composta das melhores práticas para Ge-renciamento de Serviços de TI. Criada pelo Governo Britânico em 1980, tornou-se padrãode fato no mercado em 1990. Trata-se de uma biblioteca composta de 7 livros principais.Não se trata de uma metodologia e sim de um conjunto de melhores práticas adotadas emvárias empresas.

Podemos tratar a ITIL apenas como um consenso de como devem ser tratados os pro-cessos dentro de um departamento de TI. Os processos propostos são genéricos, podendoser utilizados por qualquer empresa, seja pública ou privada, de grande ou pequeno porte.Estes processos devem ser adotados e adaptados ao seu negócio, tenha em mente que nãoexiste receita de bolo pronta.

A ITIL oferece um framework comum para todas as atividades do departamento de TI,como a parte da provisão dos serviços, baseada na infra-estrutura de TI. Estas atividadessão divididas em processos, que fornecem um framework e�caz para um futuro Gerencia-mento de Serviços de TI aprimorado. Cada um destes processos cobre uma ou mais tarefasdo departamento de TI, tais como desenvolvimento de serviços, gerenciamento da infra-estrutura, fornecimento de serviços e suporte a serviços. São estes processos que propiciamo uso das melhores práticas, fazendo com que o departamento de TI possa adotá-las inde-pendente da estrutura da organização.

Em maio de 2007, foi lançada mundialmente a versão 3 da biblioteca ITIL como uma atu-alização completa da antiga versão 2, publicada na década de 90 do século passado. Estaversão é composta por cinco volumes:

• Estratégia do serviço (Service Strategy);

• Projeto de serviço (Service Design);

• Operação do serviço (Service Operation);

• Transição do serviço (Service Transition);




• Melhoria contínua do serviço (Continual Service Improvement).

A �m de resolver a presente questão, abordaremos alternativa por alternativa.

(A) ERRADA

O volume Service Strategy fornece orientação sobre como projetar, desenvolver e implemen-tar a gestão de serviços não apenas como uma capacidade organizacional, mas também comoum ativo estratégico. São fornecidas orientações sobre os princípios subjacentes à práticada gestão de serviço que são úteis para o desenvolvimento de políticas de gestão de servi-ços, diretrizes e procedimentos em todo o Ciclo de Vida do Serviço. Service Strategy é útilno contexto da Service Design, Service Transition, Service Operation, e Continual ServiceImprovement. Os tópicos abordados no Service Strategy incluem o desenvolvimento de mer-cados, interno e externo, bens, serviço de Catálogo, e implementação da estratégia atravésdo Ciclo de Vida do Serviço. Gestão Financeira, Serviço de Gerenciamento de Portfólio, De-senvolvimento Organizacional, e Risco de Estratégicas estão entre outros temas importantes.

As organizações usam esta orientação a �m de de�nir objetivos e expectativas de desempenhopara servir os clientes e o mercado, e para identi�car, selecionar e priorizar oportunidades.Service Strategy consiste em garantir que as organizações estão em uma posição para lidarcom os custos e riscos associados aos seus portifólios de serviços, e estão posicionadas nãoapenas para a e�cácia operacional, mas também para desempenho distinto. As decisões to-madas em relação a Service Strategy têm conseqüências de longo alcance, incluindo aquelescom efeito retardado.

Este volume de ITIL incentiva os leitores a parar de pensar sobre por que algo deve ser feitoantes pensando em como. Respostas para o primeiro tipo de questões são mais próximoao negócio do cliente. Service Strategy expande o âmbito da estrutura de ITIL além datradicional platéia de pro�ssionais de Gestão de Serviços de TI.

(B) ERRADA

O volume Service Design fornece orientação para a concepção e desenvolvimento de ser-viços e de processos de gestão de serviços. Abrange os princípios de design e métodos para aconversão de objetivos estratégicos em carteiras de portifólios e bens de serviços. O âmbitodo Service Design não se limita a novos serviços. Ele inclui as alterações e melhorias neces-sárias para aumentar ou manter o valor para clientes sobre o ciclo de vida dos serviços, acontinuidade da serviços, cumprimento dos níveis de serviço, e de conformidade às normas eregulamentos. Ele guia as organizações sobre como desenvolver capacidades de design paragestão de serviços.

(C) ERRADA

Este volume incorpora as práticas de gestão de operações de serviços. Inclui orientaçãosobre como alcançar a e�cácia e a e�ciência na entrega e suporte de serviços, de modo agarantir valor ao cliente e ao prestador de serviços. Os objetivos estratégicos são, em últimaanálise, realizados através de operações de serviço, tornando-se, portanto, numa capacidadecrítica. São fornecidas orientações sobre formas de manter estabilidade em operações deserviços, permitindo mudanças no design, escala, âmbito e níveis de serviço. Organizaçõessão providas com detalhadas orientações de processos, métodos e ferramentas para uso emduas perspectivas de controle: reativa e pró-ativa. Gestores e pro�ssionais são providos




com conhecimentos que lhes permitam tomar melhores decisões em áreas como a gestãoda disponibilidade dos serviços, controle de demanda, otimização da capacidade utilizada,agendamento de operações e resolução de problemas. A orientação é fornecida em apoio àsoperações através de novos modelos e arquiteturas, tais como serviços compartilhados, com-putação sob demanda, serviços web e o comércio eletrônico utilizando dispositivos móveis.

(D) CORRETA

O volume Service Transition fornece orientação para o desenvolvimento e melhoria de capa-cidades para transição de serviços novos e alterados em operações. Esta publicação forneceorientações sobre como as exigências da Service Strategy codi�cadas em Serviço Design sãoefetivamente realizadas no Service Operation enquanto identi�ca, gerencia e controla os ris-cos de fracasso e ruptura em todas as atividade de transição. A publicação combina práticasde Gerenciamento de Liberação, Programa de Gestão e Gerenciamento de Riscos e os colocano contexto da prática de gerenciamento de serviço. O volume fornece orientações sobrecomo gerenciar a complexidade relacionada a alterações de serviços e de processos de ges-tão de serviço, evitando indesejáveis conseqüências, além de permitir que a inovação ocorraparalelamente.

(E) ERRADA

Este volume fornece orientação instrumental na criação e manutenção de valor para osclientes através de um melhor design, introdução e operação dos serviços. Ele combina osprincípios, práticas e métodos de gestão de qualidade, Gestão de Mudanças e melhoria decapacidade. As organizações aprendem a realizar melhorias incrementais e em larga escalana qualidade do serviço, na e�ciência operacional e na continuidade dos negócios.




5. Assuntos relacionados: Governança de TI, ITIL, Gerenciamento de Serviços, ServiceStrategy, Service Design, Service Operation, Service Transition, Continual Service Improve-ment,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 37

Um processo de gerenciamento de serviços do ITIL que é realizado no estágio Service Strategydenomina-se

(a). Request Ful�lment.

(b). Service Measurement.

(c). Knowledge Management.

(d). Service Portfolio Management.

(e). Service Catalogue Management.

Solução:

O volume Service Strategy fornece orientação sobre como projetar, desenvolver e implemen-tar a gestão de serviços não apenas como uma capacidade organizacional, mas também comoum ativo estratégico. São fornecidas orientações sobre os princípios subjacentes à práticada gestão de serviço que são úteis para o desenvolvimento de políticas de gestão de serviços,diretrizes e procedimentos em todo o Ciclo de Vida do Serviço. Os tópicos abordados noService Strategy incluem o desenvolvimento de mercados, interno e externo, bens, serviço deCatálogo, e implementação da estratégia através do Ciclo de Vida do Serviço. Gestão Fi-nanceira, Serviço de Gerenciamento de Portfólio, Desenvolvimento Organizacional, e Riscode Estratégicas estão entre outros temas importantes.

Abordemos cada alternativa para resolver esta questão.

(A) ERRADA

O processo Request Ful�llment pertence ao estágio Service Operation. Uma solicitação deatendimento é uma solicitação de um usuário para informação ou recomendação, ou parauma mudança padrão, ou para o acesso a um serviço de TI. O propósito do Request Ful�ll-ment é o de permitir aos usuários solicitar e receber serviços padrão; prestar informaçõespara os usuários e clientes sobre os serviços e os procedimentos para obtê-los, e para ajudarcom informações gerais, reclamações e comentários. Todos os pedidos devem ser registradose monitorados. O processo deve incluir aprovação adequada antes de cumprir o pedido.

(B) ERRADA

Trata-se de um serviço pertencente ao estágio Continual Service Improvement, possuindocomo objetivos:

• validar decisões que tenham sido tomadas;

• direcionar atividades para o alcance de metas;

• fornecer evidências que justi�quem ações;




• sinalizar a necessidade de ações corretivas.

Uma organização, para alcançar plenamente os objetivos acima, precisa coletar três tipos demétricas de�nidas pelo Service Measurement :

• métrica de tecnologia: performance, disponibilidade, etc.;

• métricas de processos: fatores críticos de sucessos e seus KPI - Key Performance Indi-cators;

• métricas de serviços: resultados �nais dos serviços.

(C) ERRADA

Knowledge Management pertence ao Service Transition e tem como objetivo garantir quea pessoa certa tenha o conhecimento certo, no momento certo para entregar e suportar osserviços requeridos pelo negócio. Fornece meios para prover:

• serviços mais e�ciente com melhor qualidade;

• compreensão clara e comum do valor fornecido pelos serviços;

• informação relevante que está sempre disponível.

(D) CORRETA

Processo pertencente ao estágio Service Strategy. Service Portfolio Management envolvea gestão pró-ativa do investimento em todo o ciclo de vida do serviço, incluindo os serviçosno conceito, design e pipeline de transição.

Service Portfolio Management é um processo contínuo, que inclui:

• De�nição: garantir oportunidades de negócios, construir e atualizar portfólio;

• Análise: maximizar valor do portfólio, alinhar, priorizar e balancear produção/demanda;

• Aprovação: �nalizar portfólio proposto, autorizar serviços e recursos;

• Formalização: comunicar decisões, alocar recursos.

(E) ERRADA

O Service Catalogue Management, pertencente ao escopo do Service Design, provê umafonte centralizada de informações sobre os serviços de TI providos, garantindo que as áreasde negócios possam exibir uma imagem precisa e consistente dos serviços de TI disponíveis,seus detalhes e status. O propósito do Service Catalogue Management é fornecer uma fonteúnica e consistente de informações sobre todos os serviços acordados, e garantir que elasestejam amplamente disponíveis para aqueles que tenham permissão para acessá-las. Asinformações-chave dentro do processo de Service Catalogue Management estão contidas noService Catalogue.




6. Assuntos relacionados: Governança de TI, Plano de Continuidade de Negócios,Banca: FCCInstituição: TRT 16a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 33

Um Plano de Continuidade de Negócios deve conter procedimentos

(a). de emergência; operacionais alternativos e temporários; e de restauração, recupe-ração e retomada.

(b). de emergência; e de restauração, recuperação e retomada, apenas.

(c). de emergência, apenas.

(d). operacionais alternativos e temporários, apenas.

(e). de emergência; e operacionais alternativos e temporários, apenas.

Solução:

Um Plano de Continuidade de Negócios é um conjunto de ações estruturadas a seradotada pelas empresas para suportar problemas e situações adversas durante a ocorrênciade um desastre, visando diminuir ou mesmo eliminar riscos ou impacto.

De forma geral, um plano de continuidade deve conter um conjunto de atividades paraprevenção de desastre, ações a serem tomadas durante um desastre e processos de retorno asituação anterior ao desastre.

O plano de continuidade de negócios deve, preferencialmente, ser desenvolvido por equi-pes multidisciplinares, sob forte e adequada liderança, envolvendo todas as áreas de negócioa que o diz respeito. Além disso, deve ser atualizado sempre que necessário e testado perio-dicamente.

A recente norma BS 7799 e a norma brasileira NBR ISO/IEC 17799 consideram dez itenspara de�nir um ambiente seguro. Um destes itens é a recomendação de desenvolvimentode um plano de continuidade de negócios. Quando se fala em segurança, a área de TI ime-diatamente pensa em �rewalls, proxies, antivírus, senhas, política de segurança, deixandode lado as questões referentes aos PROCESSOS que dependem de TI e da velocidade desubstituição de um hardware dani�cado.

Basicamente, um Plano de Continuidade de Negócios (PCN) é um conjunto de três ou-tros planos

• Plano de Gerenciamento de Crises (PGC);

• Plano de Continuidade Operacional (PCO);

• Plano de Recuperação de Desastres (PRD).

Cada um destes planos é focado em uma determinada variável de risco, numa situação deameaça ao negócio da empresa (ou ambiente).

Por exemplo, O PGC é focado nas atividades que envolvem as respostas aos eventos, ouseja, como atuar em situações de emergência. Este documento tem o propósito de de�nir




as responsabilidades de cada membro das equipes envolvidas com o acionamento da contin-gência antes, durante e depois da ocorrência do incidente. Além disso, tem que de�nir osprocedimentos a serem executados pela mesma equipe no período de retorno à normalidade.O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico detratamento dado pelo plano.

Já o PCO é voltado para as atividades que garantam a realização dos processos, ou seja,como se deve agir enquanto os componentes que automatizam os processo não são repostos.Em outras palavras, de�ne uma operação alternativa e temporária para a execução dosprocessos das empresas. Tem o propósito de de�nir os procedimentos para contingencia-mento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo deindisponibilidade e, conseqüentemente, os impactos potenciais ao negócio. Orientar as açõesdiante da queda de uma conexão à Internet, exempli�cam os desa�os organizados pelo plano.

Finalizando, dizemos que o PRD é voltado para a substituição ou reposição de compo-nentes que venham a ser dani�cados. Tem o propósito de de�nir um plano de restauraçãoe recuperação e retomada das funcionalidades dos ativos afetados que suportam os pro-cessos de negócio, a �m de restabelecer o ambiente e as condições originais de operação, nomenor tempo possível.

Concluímos que um plano de continuidade de negócios deve ser bem completo e que ostrês planos citados acima que fazem parte dele são, na verdade, em outras palavras, osprocedimentos citados na alternativa A da questão em estudo.




7. Assuntos relacionados: Governança de TI, ITIL, Single Point of Contact,Banca: CesgranrioInstituição: BR DistribuidoraCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 21

Segundo o ITIL v2, o ponto único de contato (Single Point of Contact - SPOC) é caracte-rística da(o)

(a). Central de Serviços.

(b). Setor de Qualidade.

(c). Setor de Produção.

(d). Departamento de Redes.

(e). Departamento de Con�guração.

Solução:

Information Technology Infrastructure Library (ITIL) é uma biblioteca contendo um con-junto de processos para as melhores práticas de gestão para a área de TI. A premissa básicado ITIL é que os vários tipos de negócios são altamente dependentes dos serviços de TI, eseu objetivo é promover a e�cácia do uso dos serviços de TI nos negócios. Cada processodo ITIL está relacionado a uma parte especí�ca da gestão de serviços de TI, ou seja, é ummodelo de gestão baseado em processos.

O ITIL é composto por 7 livros, sendo que os principais são Service Support e ServiceDelivery, e estão divididos em disciplinas (processos). Os processos do Service Supportgarantem que os serviços de TI sejam fornecidos de maneira e�caz, e é composto pelosprocessos: Con�guration Managment, Incident Managment, Problem Management, Changemanagment, Service Desk e Release Mangment. Os processos do Service Delivery estãorelacionados a gestão dos serviços de TI, e inclui os seguintes processos: Service Level Ma-nagment, Capacity Managment, IT Service Continuity Managment,Availability Managment,Security Management e IT �nancial Management. Ao Service Support estão relacionadas àsatividades operacionais diárias de TI e o de suporte dos serviços de TI. Ao Service Deliveryestão os processos focados no planejamento ao longo prazo e otimização de serviços de TI.

O Single Point of Contact está relacionado à área de Service Support, pois representa umaoperação diária dos serviços de TI de atendimento aos clientes. Nas áreas do Service Suport,a que realiza o contato entre os clientes e o Gerenciamento de Serviços de TI é a ServiceDesk. Os vários tipos de central são Central de Atendimento (registra o atendimento e enca-minha para outras áreas); Central de Suporte (gerencia, coordena e resolve os incidentes); ea Central de Atendimento (além de tratar incidentes, problemas e dúvidas, também forneceinterface para outras atividades como contratos de manutenção, licenças de software, etc).

Conforme explicado anteriormente, a alternativa correta da questão é a letra A.




8. Assuntos relacionados: Governança de TI, ITIL, Gerenciamento de Incidentes,Banca: CesgranrioInstituição: BR DistribuidoraCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 22

O serviço de e-mail de uma empresa, que se baseia nas melhores práticas do ITIL v2 paragestão de seus serviços, está fora do ar, devido a uma falha no servidor. O processo deGerenciamento de Incidentes (ITIL) deve assegurar que

(a). todos os logs sejam analisados em detalhe, antes que se tome qualquer medida.

(b). nenhum problema ocorra mais nesse serviço.

(c). esse serviço seja restabelecido o mais breve possível.

(d). esse incidente não seja noti�cado ao CIO, a não ser que o cliente perceba a falha.

(e). a rede elétrica do servidor seja reiniciada, antes da restauração do serviço.

Solução:

Information Technology Infrastructure Library (ITIL) é uma biblioteca contendo um con-junto de processos para as melhores práticas de gestão para a área de TI. A premissa básicado ITIL é que os vários tipos de negócios são altamente dependentes dos serviços de TI, eseu objetivo é promover a e�cácia do uso dos serviços de TI nos negócios. Cada processodo ITIL está relacionado a uma parte especí�ca da gestão de serviços de TI, ou seja, é ummodelo de gestão baseado em processos.

O ITIL é composto por 7 livros, sendo que os principais são Service Support e ServiceDelivery, e estão divididos em disciplinas (processos). Os processos do Service Supportgarantem que os serviços de TI sejam fornecidos de maneira e�caz, e é composto pelosprocessos: Con�guration Managment, Incident Managment, Problem Management, Changemanagment, Service Desk e Release Mangment. Os processos do Service Delivery estãorelacionados a gestão dos serviços de TI, e inclui os seguintes processos: Service Level Ma-nagment, Capacity Managment, IT Service Continuity Managment,Availability Managment,Security Management e IT �nancial Management. Ao Service Support estão relacionadas àsatividades operacionais diárias de TI e o de suporte dos serviços de TI. Ao Service Deliveryestão os processos focados no planejamento ao longo prazo e otimização de serviços de TI.

O Gerenciamento de Incidentes (Incident Managment) é um processo da área do ServiceSupport e tem como principal objetivo restaurar o serviço de TI o mais rápido possível apósum incidente, minimizando o impacto no negócio e garantindo o melhor nível de serviço emtermos de qualidade e disponibilidade. Entende-se por incidente qualquer evento que não fazparte da operação padrão de um serviço, e que pode causar ou poderá causar uma interrup-ção ou uma redução na qualidade do serviço. É importante mencionar que o Gerenciamentode Incidentes trata o efeito e não a causa do incidente, que é tratado pelo processo Geren-ciamento de Problemas. A porta de entrada para o tratamento de incidentes é o Service Desk.

Conforme o enunciado da questão, o e-mail de uma empresa está fora do ar e o processo deGerenciamento de Incidentes tem que garantir o retorno do serviço de e-mail o mais rápidopossível. Então, a alternativa correta é a letra (C).




9. Assuntos relacionados: Governança de TI, ITIL, Gerenciamento de Mudanças, Geren-ciamento de Problemas, Gerenciamento de Incidentes, Gerenciamento de Nível de Serviço,Gerenciamento de Disponibilidade,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - SuporteAno: 2008Questão: 56

Um usuário reclama na Central de Serviços, com razão, que o servidor de arquivos de seudepartamento está fora do ar. O processo ITIL (v2) que assegura o restabelecimento maisbreve possível do serviço relacionado é o gerenciamento de

(a). mudanças.

(b). problemas.

(c). incidentes.

(d). nível de serviço.

(e). disponibilidade.

Solução:

A ITIL (Information Technology Infrastructure Library) é uma biblioteca composta das me-lhores práticas para Gerenciamento de Serviços de TI. Criada pelo governo britânico em1980, se tornou padrão de fato no mercado em 1990. Não se trata de uma metodologia e simde um conjunto de melhores práticas adotadas em várias empresas. A ITIL não oferece ummétodo de implementação, ao invés disto oferece uma framework para planejar os processosmais comuns, papéis e atividades, indicando as ligações entre elas e que linhas de comunica-ção são necessárias. Podemos tratar a ITIL apenas como um consenso de como devem sertratados os processos dentro de um departamento de TI.

Os processos propostos são genéricos, podendo ser utilizados por qualquer empresa, sejapública ou privada, de grande ou pequeno porte. Estes processos devem ser adotados eadaptados ao seu negócio, tenha em mente que não existe receita de bolo pronta. Aborda-remos os processos existentes em cada alternativa.

(A) ERRADA

Este processo tem como missão gerenciar todas as mudanças que possam causar impacto nahabilidade da área de TI em entregas de serviços, através de um processo única e centrali-zado de aprovação, programação e controle da mudança, para assegurar que a infraestruturade TI permaneça alinhada aos requisitos do negócio, com o menor risco possível.

O Processo de Gerenciamento de Mudanças é responsável por DECIDIR e COORDENARas Mudanças, não tem como objetivo executar a implementação das mudanças. A Imple-mentação será realizada por uma equipe técnica responsável pela área de mudança, como aárea de redes, sistemas, hardware. O processo de Gerenciamento de Mudança controlará asmudanças para que elas sejam implementadas de forma e�ciente e e�caz, no que se refereao custo com um mínimo de riscos para os serviços mantidos. Para que se possa fazer umaanálise de riscos adequada é importante o uso de uma Base de Gerenciamento da Con�gura-ção (BDGC), que forneça todos os serviços e recursos relacionados ao item de con�guração




que sofrerá a mudança.

(B) ERRADA

Este processo tem como missão minimizar a interrupção nos serviços de TI através da orga-nização dos recursos para solucionar problemas de acordo com as necessidades de negócio,prevenindo a recorrência dos mesmos e registrando informações que melhore a maneira pelaqual a organização de TI trata os problemas, resultando em níveis mais altos de disponibi-lidade e produtividade. Principais objetivos:

• minimizar os efeitos adversos nos negócios;

• tratar Incidentes e Problemas causados por erros na infraestrutura;

• prevenir pró-ativamente a ocorrência dos incidentes, problemas e erros;

• reduzir o número geral de incidentes de TI.

O processo é focado em encontrar relacionamentos entre os incidentes, problemas e errosconhecidos. Estas três áreas são chaves a compreender a �análise da causa raiz�. O princípiobásico está em começar com muitas possibilidades e ir estreitando até encontrar a causa raiz�nal. O processo de Gerenciamento de Problemas requer as seguintes entradas:

• registros de incidentes e detalhes sobre os incidentes;

• erros conhecidos;

• informação sobre os IC's (Item de Con�guração) a partir do BDCG;

• informação de outros processos (exemplo: Gerenciamento do Nível de Serviço provêinformação sobre os tempos a serem cumpridos, o Gerenciamento de Mudanças provêinformação sobre as mudanças recentes que podem ser parte do erro conhecido).

As saídas do processo são:

• RMD's (Requisições de Mudança) para começar o processo de mudança para resolveros erros conhecidos;

• informação gerencial;

• soluções de contorno;

• erros conhecidos;

• atualização dos registros de problemas e registro de problemas resolvidos caso o erroconhecido for resolvido.

(C) CORRETA

O processo de Gerenciamento de Incidentes tem como missão restaurar os serviços o maisrápido possível com o mínimo de interrupção, minimizando os impactos negativos nas áreasde negócio.

O processo de Gerenciamento de Incidentes tem como objetivos:

• resolver os incidentes o mais rápido possível, restabelecendo o serviço normal dentrodo prazo acordado nos ANS's (Acordos de Nível de Serviço);

• manter a comunicação dos status dos incidentes aos usuários;

• escalonar os incidentes para os grupos de atendimento para que seja cumprido o prazode resolução;




• fazer avaliação dos incidentes e suas possíveis causas, informando ao processo de Ge-renciamento de Problemas.

O escopo do gerenciamento de incidentes é muito amplo e pode incluir aspectos que afetemo serviço ao cliente, tais como:

• falha de hardware;

• erro de software

• solicitações de informações;

• solicitação de mudança de equipamento;

• troca de senha;

• novos funcionários;

• solicitação de suprimentos;

• problemas de desempenho.

Como todo processo, existe Entrada e Saídas. A entrada principal deste processo são osincidentes. Como mostrado acima, os incidentes podem vir de muitas fontes, como usuários,equipes de operações, redes ou ferramentas de monitoramento que identi�cam irregulari-dades nos serviços. Soluções de contornos podem ser buscadas a partir de uma Base deErros Conhecidos, ajudando a resolver o incidente mais rápido. A Base de Dados do Ge-renciamento da Con�guração (BDGC) auxiliará na identi�cação do item de con�guraçãorelacionado ao incidente, incidentes anteriores, mudanças já registradas, problemas abertos,e o possível impacto e itens relacionados ao incidente. Determinadas solicitações de usuáriospodem necessitar um Registro de Mudança, como por exemplo, uma nova regra de negócioou instalação de um novo componente.

(D) ERRADA

O processo de Gerenciamento do Nível de Serviço gerencia a qualidade dos Serviços emTI entregues conforme os acordos �rmados entre os usuários e o departamento de TI, cha-mados Acordos de Nível de Serviço (ANS). O objetivo do Gerenciamento do Nível de Serviçoé manter e melhorar a qualidade dos serviços através de um ciclo constante de acordos, mo-nitoração, relatórios e melhoria dos níveis atuais de serviços. Ele é estrategicamente focadono negócio, mantendo o alinhamento entre o negócio e a TI.

Para entender o processo de Gerenciamento do Nível de Serviço é necessário entender algunsconceitos básicos. Nós iremos explicá-los aqui para que o processo se torne mais fácil deentender:

• Requisitos de Nível de Serviços (RNS): este é um documento que contém todosos requisitos do cliente relacionados aos Serviços em TI, que de�ne a disponibilidade /desempenho que os clientes precisam para estes serviços. Este é o ponto inicial paratraçar os Acordos de Nível de Serviço;

• Especi�cações de Serviço: a organização de TI rascunha as Especi�cações dosServiços baseadas na RNS. Esta é uma transcrição dos requisitos do cliente de �como�a organização de TI irá fornecer estes serviços. Quais são as necessidades técnicas? Eleirá mostrar os relacionamentos entre os ANS's, fornecedores e a própria organização deTI;




• Acordo de Nível de Serviço (ANS): um ANS é um documento que de�ne níveisde serviços acordados entre o cliente e o provedor de serviços, exemplo entre TI e onegócio. Um ANS deve ser escrito em linguagem que o negócio entenda (clara, concisae livre de jargões). Um ANS não deve incluir diagramas de procedimentos detalhadospara outros processos ou conteúdo com informações técnicas que o negócio não iráentender;

• Contratos de Apoio (CA): com um fornecedor externo ou terceiro que está sendoenvolvido na entrega de Serviços em TI haverá um contrato que garanta que ele iráfornecer o serviço dentro de um certo tempo acordado, custo, nível, etc. A organizaçãode TI passa os requisitos do negócio para os fornecedores externos. Este documento teráre�exo dos níveis de serviços de�nido nos ANS's. Por exemplo, se um ANS apresentaum conserto de uma impressora em 5 dias, então o CA com o terceiro deverá darsuporte a esta necessidade (por exemplo, o conserto de impressora e o retorno para aorganização em 3 dias);

• Acordo de Nível Operacional (ANO): alguns Serviços em TI dependem de outroserviço que está sendo provido dentro da organização de TI. Por exemplo, um serviçopara fornecer um programa que é executado via rede depende da disponibilidade darede. Acordos sobre a disponibilidade da rede serão desenhados em um Acordo de NívelOperacional (ANO). Assim como a CA, estes �contratos� internos irão dar suporte aosANS's, porém com foco voltado para dentro da organização de TI.

(E) ERRADA

O objetivo do Gerenciamento da Disponibilidade é conseguir um mapeamento claro dosrequisitos do negócio relacionados com a disponibilidade dos Serviços em TI e otimizar acapacidade da infraestrutura para alinhar a estas necessidades. Uma entrada para isto é as-segurar a mais alta disponibilidade possível dos Serviços em TI para que o negócio consigaalcançar seus objetivos.

O Gerenciamento da Disponibilidade depende de muitas entradas para funcionar corre-tamente. Entre elas temos:

• os requisitos relacionados à disponibilidade do negócio;

• informação relacionada à con�abilidade, sustentabilidade, capacidade de recuperaçãoe o�ciosidade dos IC's;

• informação de outros processos, incidentes, problemas, ANS's e níveis de serviços al-cançados.

As saídas do processo são:

• recomendação relacionada à infraestrutura de TI para assegurar a resiliência da infra-estrutura de TI;

• relatórios sobre a disponibilidade dos serviços;

• procedimentos para assegurar a disponibilidade e recuperação de cada serviço em TInovo ou aperfeiçoado;

• planos para aperfeiçoar a Disponibilidade dos Serviços em TI.

Então, o processo que assegura o restabelecimento mais breve possível do serviço relacionadoé o Gerenciamento de Incidentes (a alternativa C está correta).




10. Assuntos relacionados: ITIL, Gerenciamento de Disponibilidade, Gerenciamento de Pro-blemas, Gerenciamento de Incidentes, Gerenciamento de Capacidade,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - SuporteAno: 2008Questão: 57

Em um curto período, 6 usuários reclamaram do tempo de resposta da Intranet corporativana Central de Serviços. O processo ITIL (v2) responsável por descobrir a causa dessasocorrências é o gerenciamento de

(a). disponibilidade.

(b). problemas.

(c). incidentes.

(d). desempenho.

(e). capacidade.

Solução:

ITIL (Information Technology Infrastructure Library) é o modelo de referência para geren-ciamento de processos de TI mais aceito mundialmente nos dias de hoje. Ela é um conjuntode boas práticas recomendadas a serem aplicadas na infraestrutura, operação e manutençãode serviços de TI. Ela foi desenvolvida no �nal dos anos 80 pela CCTA (Central Computerand Telecommunications Agency) e atualmente está sob custódia da OGC (O�ce for Go-vernment Commerce) da Inglaterra.

A ITIL busca promover gestão com foco no cliente e na qualidade dos serviços de TI. AITIL endereça estruturas de processos para a gestão de uma organização de TI apresen-tando um conjunto abrangente de processos e procedimentos gerenciais, organizados emdisciplinas, com os quais uma organização pode fazer sua gestão tática e operacional emvista de alcançar o alinhamento estratégico com os negócios. ITIL dá uma descrição deta-lhada sobre importantes práticas de IT com checklists, tarefas e procedimentos que qualquerorganização de IT pode customizar tendo em vista as suas necessidades.

A sua primeira versão, denominada ITIL original, durou de 1986 até 1999. Ao longo desua existência ela chegou a ser composta por 31 livros.

A sua segunda versão (ITIL v2) durou de 1999 até 2007. O foco principal dessa revisãofoi a consolidação das publicações anteriores em conjuntos lógicos que agrupam os proces-sos relacionados aos diferentes aspectos do gerenciamento de TI, aplicações e serviços. Oconjunto de Gerenciamento de Serviços de TI (Service Support e Service Delivery) é o maisconhecido e aplicado. Contudo, a biblioteca provê um conjunto de melhores práticas bemmais extenso, que alcança também o gerenciamento estratégico, de operações e até mesmo�nanceiro. Os oito livros da versão 2 do ITIL são:

• Grupo de Gerenciamento de Serviços de TI

1. Service Delivery - Entrega de Serviços2. Service Support - Suporte de Serviços

• Grupo de Guias Operacionais




3. ICT Infrastructure Management - Gerenciamento de Infraestrutura de TI e Comu-nicações

4. Security Management - Gerenciamento de Segurança5. The Business Perspective - A perspectiva do Negócio6. Application Management - Gerenciamento de Aplicações7. Software Asset Management - Gerenciamento de Recursos de Software

Visando auxiliar a implementação das melhores práticas, um novo livro foi publicado pos-teriormente.

8. Planning to Implement Service Management - Planejamento para a Implementaçãoda Gestão de Serviços

Em dezembro de 2005, a OGC anunciou nova revisão da biblioteca, denominada ITIL v3,que se tornou disponível em maio de 2007. Essa mais nova versão é composta por 5 livros:

1. Service Strategy - Estratégia de Serviços

2. Service Design - Desenho de Serviços

3. Service Transition - Transição de Serviços

4. Service Operation - Operação de Serviços

5. Continual Service Improvement - Melhoria Contínua de Serviços

Tendo em vista o que já foi explicado, é possível perceber que ITIL é um material bastanteextenso. Portanto, vamos nos ater ao necessário para resolver esta questão.

Como já foi mencionado, os dois principais livros da ITIL v2 são: Service Support e ServiceDelivery. Abaixo estão listas as suas disciplinas:

• Service Support - Suporte de Serviços

� Gerenciamento de Incidentes� Gerenciamento de Problemas� Gerenciamento de Con�guração� Gerenciamento de Mudanças� Gerenciamento de Liberações

• Service Delivery - Entrega de Serviços

� Gerenciamento de Nível de Serviços� Gerenciamento Financeiro para TI� Gerenciamento de Disponibilidade� Gerenciamento de Capacidade� Gerenciamento de Continuidade de Serviços

Veja que das cinco alternativas desta questão, quatro se referem a disciplinas explicitadasacima. Como ITIL não trata nenhuma disciplina sobre gerenciamento de desempenho, pode-mos eliminar a alternativa d. Segue uma síntese dos objetivos das outras quatro disciplinas.

a) Gerenciamento de Disponibilidade

O processo de gerenciamento de disponibilidade visa garantir que os serviços de TI esta-rão disponíveis sempre que os seus clientes necessitarem deles, de acordo com os níveis de




disponibilidade acordados. Dizemos que um serviço esta disponível quando o cliente o recebedentro das condições do acordo de nível de serviço. Portanto, esta não é a alternativa queprocuramos.

b) Gerenciamento de Problemas

O seu objetivo é eliminar erros na infraestrutura de TI, identi�cando e removendo a causaraiz, evitando assim, a recorrência de incidentes e problemas no ambiente operacional. Estaé, portanto, a alternativa que o candidato deve marcar.

c) Gerenciamento de Incidentes

O objetivo do processo de gerenciamento de incidentes é restaurar a operação normal deum serviço, minimizando o impacto para o negócio. É importante enfatizar que o gerencia-mento de incidentes trata o efeito, e não a causa. En�m, esta não é a alternativa correta.

e) Gerenciamento de Capacidade

O gerenciamento de capacidade visa garantir o atendimento das necessidades futuras donegócio, estabelecendo sempre um equilíbrio entre demanda e custos. A principal saídadesse processo é um documento chamado Plano de Capacidade. Nele são reportadas as pre-visões de carga, de hardware e software necessários, de custos e de outras recomendações.Como este gerenciamento não tem nenhum relacionamento com descoberta de causas deincidentes, esta alternativa está errada.




11. Assuntos relacionados: Governança de TI, ITIL, Projeto de Serviço, Gerenciamento deNível de Serviço,Banca: ESAFInstituição: Controladoria-Geral da União (CGU)Cargo: Analista de Finanças e Controle - Tecnologia da Informação / Desenvolvimento deSistemas de InformaçãoAno: 2008Questão: 14

Na ITIL, o processo de Gerenciamento do Nível de Serviço é a base para o gerenciamentodos serviços que a área de TI aprovisiona para a organização.

Assinale a opção que contém um subprocesso que pertence ao Gerenciamento do Nívelde Serviço.

(a). Monitoração do desempenho.

(b). Dimensionamento da aplicação.

(c). Planejamento do crescimento dos serviços.

(d). Projeção dos recursos.

(e). Garantia da existência de um plano de recuperação do serviço.

Solução:

Uma pesquisa realizada pela International Network Services concluiu que a ITIL é a abor-dagem mais utilizada no mundo para o Gerenciamento de Serviços de TI.

Quando tratamos de ITIL, estamos tratando de um abrangente e consistente conjunto demelhores práticas para a identi�cação de processos da área de TI e para o alinhamentodos seus serviços às necessidades da organização. Ela foi criada a partir da necessidade depadronizar os processos da área de TI e baseia-se na experiência de organizações privadas epúblicas de todo o mundo.

A ITIL surgiu no �nal da década de 1980 pela CCTA (Central Communications and TelecomAgency) e atual OGC11 (O�ce of Government Commerce). O objetivo inicial era discipli-nar e permitir a comparação entre as propostas dos diversos proponentes a prestadores deserviços de TI para o governo britânico.

Em sua versão inicial, a ITIL era composta de aproximadamente 40 livros e, por isso,era conhecida como biblioteca. A sua versão 2 foi completamente reorganizada e publicadaem 2002. Neste caso, as práticas foram reunidas em oito volumes. Já a ITIL versão 3 foipublicada em maio de 2007. A versão 3 é composta de cinco volumes:

• Estratégia do serviço (Service Strategy);

• Projeto de serviço (Service Design);

• Transição do serviço (Service Transition);

• Operação do serviço (Service Operation);

• Melhoria contínua do serviço (Continual Service Improvement).

O segundo livro 2 � Projeto de Serviço ou Desenho de Serviço � descreve planos e objetivose cria projetos e especi�cações para execução através da operação e transição dos serviços.




Na fase de Desenho de Serviço, é produzido o Pacote de Desenho de Serviço (Service DesignPackage � SDP) para cada serviço identi�cado, mudança de grande impacto, remoção de umserviço ou mudança em um pacote de Desenho de Serviço. Este pacote é passado para paraa próxima fase (Transição de Serviço). Todos os aspectos e seus requisitos são esmiuçadosatravés de todas as fases subsequentes do ciclo de vida do serviço.

O processo de Gerenciamento do Nível de Serviço e que consta no livro de Projeto deServiço na versão 3 é a base para o gerenciamento dos serviços que a área de TI aprovisionapara a organização. Ele deve assegurar que os serviços de TI, dentro dos níveis de serviçosacordados, serão entregues quando e onde as áreas usuárias o de�nirem.

O processo Gerenciamento do Nível de Serviço, na versão 2, pode ser divido nos seguin-tes subprocessos:

• Revisão dos serviços disponibilizados;

• Negociação com os clientes;

• Revisão dos contratos de serviços com fornecedores externos;

• Desenvolvimento e monitoração dos acordos de nível de serviço;

• Implementação das políticas e dos processos de melhoria contínua;

• Estabelecimento de prioridades;

• Planejamento do crescimento dos serviços;

• De�nição do custo dos serviços em conjunto com o gerenciamento �nanceiro e da formade ressarcimento destes custos.

Essas atividades e objetivos permanecem e são os mesmos nas versões 2 e 3, porém, naversão 3, as atividades de revisão do serviço fazem parte do livro de Melhoria Contínua doServiço. Podemos já ver no penúltimo item �Planejamento do crescimento dos serviços� quea alternativa (C) é a alternativa correta, não importando se consideramos a versão 2 ou 3do ITIL.

Vamos esboçar aqui uma visão dos processos (atividades e objetivos) da versão 3 por li-vro. Um aprofundamento de cada processo foge do escopo da resolução desta questão e,inclusive, recomendamos o aprofundamento. Entretanto, entendemos que é vital que o can-didato tenha uma visão ampla dos processos do ITIL versão para enfrentar um concurso,pois muitas questões são simples e diretas.

Estratégia de Serviço

• De�nir o mercado;

• Desenvolver as ofertas;

• Desenvolver ativos estratégicos;

• Preparar para execução;

• Gerenciamento de Portfólio de Serviço (GPS);

• Gerenciamento da Demanda;

• Gerenciamento Financeiro.




Projeto de Serviço

• Gerenciamento do Nível de Serviço (GNS);

• Gerenciamento de Catálogo de Serviço;

• Gerenciamento de Disponibilidade;

• Gerenciamento de Segurança da Informação (GSI);

• Gerenciamento de Fornecedor;

• Gerenciamento de Capacidade;

• Gerenciamento de Continuidade de Serviço de TI.

Transição de Serviço

• Gerenciamento de Mudança;

• Gerenciamento de Con�guração e de Ativo de Serviço (GCAS);

• Gerenciamento de Liberação e Implantação.

Operação de Serviço

• Gerenciamento de Incidente;

• Gerenciamento de Evento;

• Cumprimento de Requisição;

• Gerenciamento de Problema;

• Gerenciamento de Acesso.

Melhoria de Serviço Continuada

• 7 passos do processo de melhoria.

Para complementar, na Figura 2, um resumo interessante em forma de grá�co.




Figura 2: processos do ITIL v3.




12. Assuntos relacionados: ITIL, Central de Serviços,Banca: ESAFInstituição: Controladoria-Geral da União (CGU)Cargo: Analista de Finanças e Controle - Tecnologia da Informação / Desenvolvimento deSistemas de InformaçãoAno: 2008Questão: 15

Na ITIL, a Central de Serviços (Service Desk) é a principal interface operacional entre aárea de TI e os usuários dos seus serviços. Assinale a opção que representa uma tarefa daCentral de Serviços.

(a). Identi�car tendências de problemas.

(b). Controlar erros conhecidos.

(c). Revisar os principais problemas identi�cados.

(d). Gerenciar o trabalho das diversas equipes de suporte técnico.

(e). Produzir informações gerenciais, coletando medidas e calculando indicadores dedesempenho.

Solução:

A ITIL (Information Technology Infrastructure Library) é uma biblioteca constituída dasboas práticas de Gerenciamento de Serviços de TI. A estrutura da ITIL não apresenta umamaneira de implementação de serviços de TI, porém, disponibiliza os assuntos que são im-portantes para a execução/conclusão do mesmo. Para tanto, a ITIL fornece um modelo deplanejamento dos processos, papéis (ator) e atividades mostrando os relacionamentos entreos vários processos de uma organização. Os processos indicados pela ITIL são genéricospodendo ser empregados por vários tipos de empresas de TI, ou seja, não importa o tama-nho da empresa ou mesmo o tipo de serviço para aplicar a ITIL. Esses processos devem seradaptados ao estilo da empresa. A ITIL de�ne vários processos dentre eles a Central deServiços (Service Desk).

A Central de Serviços ou Service-Desk representa a única interface de comunicação en-tre os usuários e o a área de TI de uma organização. A proposta deste departamento éfornecer suporte para os usuários, ou seja, é receber todos os requerimentos de suporte ouserviço prestado pela área de TI. Desta forma, a Central de Serviço pode encaminhar oproblema para os técnicos especialistas que executaram o serviço solicitado, desta forma,os técnicos não perderiam tempo nas chamadas e também não seriam mais interrompidosdurante algum procedimento de suporte. Além disso, a Central de Serviços gera conheci-mento de TI a partir das solicitações e conclusões de serviços, a �m de, construir uma basede conhecimento que indicaram tendências e melhorias de qualidade dentro da área de TIcontribuindo para a valorização da organização.

Resumidamente a Central de Serviços incorpora uma série de atividades para a execução emelhoramento da empresa, são elas:

• Implementa interface de comunicação as chamadas e respostas aos requerimentos;

• Registros das propriedades das chamadas, priorização de acordo com o nível do re-querimento e acompanhamento do processo de desenvolvimento indicando o status eandamento das requisições;




• Construção e disponibilização de informações gerenciais, além, de propor melhorias dedeterminado serviço e treinamento de usuários;

• Monitoração completa do serviço desde conhecimento até a �nalização;

• Disponibilização de Indicadores de desempenho para gestão e suporte.

Como pode ser observado no resumo das principais atividades que a Central de Serviçoexecuta, podemos ver os registros das chamadas para utilizadas na construção de informaçõesgerenciais que serão usadas em processos de melhoria. Essas informações são essenciais noscálculos de indicadores de desempenho que são usados no processo de qualidade dos serviçosde TI. Logo, a questão correta é a letra E.




13. Assuntos relacionados: Governança de TI, COBIT,Banca: CESGRANRIOInstituição: PetrobrasCargo: Analista de Sistemas - Eng. de SoftwareAno: 2008Questão: 69

O COBIT 4.0, especi�cado pelo IT Governance Institute (ITGI), é um framework paragovernança de TI. Conforme de�nida pelo ITGI para fundamentação do COBIT 4.0, agovernança de TI

(a). é um subconjunto da Governança de Arquitetura (de Informações).

(b). é responsabilidade do departamento de Tecnologia da Informação ou setor equiva-lente da organização que se reporte diretamente à gerência executiva ou à direção.

(c). promove o alinhamento da TI com os objetivos e estratégias organizacionais, as-segurando que a TI sustente e estenda os mesmos.

(d). tem como áreas de foco: Medida de Performance, Gerenciamento de Recursos,Gerenciamento de Fornecedores, Gerenciamento de Riscos e Gerenciamento daComunicação.

(e). tem o objetivo primário de simpli�car a gestão de TI por parte dos executivos,que, em muitos casos, são oriundos de outras áreas de conhecimento, minimizandoa dependência de conhecimentos tecnológicos para a tomada de decisão em TI.

Solução:

(A) ERRADA

A Governança de Arquitetura é a prática e orientação pela qual os enteprise architectu-res são gerenciados e controlados em todo meio corporativo da empresa. O termo enteprisearchitecture é de�nido como a organização lógica para os processos empresariais e infra-estrutura de TI que re�etem na integração e padronização dos requisitos do modelo defuncionamento da empresa. As normas, tais como ITIL, COBIT ou CMMI têm foco naGovernança de TI, mas nenhuma delas realmente se referem a Governança de Arquitetura.

(B) ERRADA

Entende-se por Governança de TI como um conjunto de estruturas e processos que visamgarantir que a TI suporte e maximize os objetivos e as estratégias do negócio. A governançae o COBIT devem suportar os interesses dos stakeholders internos e externos de acordo comas necessidades especí�cas de cada um: os de dentro da empresa que têm interesse em gerarvalor a partir de investimentos de TI, os que prestam serviços de TI sejam eles internos (De-partamento de TI) ou externos (fornecedores); e os que controlam riscos e responsabilidades.Então, o COBIT deve ser utilizado como um amplo guia pela direção e pelos responsáveispelos processos de negócio da empresa, não restringindo apenas ao departamento de TI.

(C) CORRETA

O Control Objective for Information and related Technology (COBIT) é um framework quefornece as melhores práticas para gerenciamento de processos de TI, atendendo as neces-sidades de gestão de uma organização, tratando os riscos do negócio, as necessidades decontrole e as métricas de desempenho. Esse framework serve de suporte para implementar a




Governança de TI numa organização garantindo que: a TI esteja alinhada com o negócio; aTI permita o negócio e maximize os benefícios; os recursos de TI sejam usados com respon-sabilidade; e que os riscos de TI sejam gerenciados apropriadamente. Vale reforçar que oCOBIT não é um padrão de�nitivo. Ele serve como apoio para a implementação de contro-les na Governança de TI. Ele atua em dizer o �o que fazer� e não se preocupa em �como fazer�.

(D) ERRADA

O COBIT foca em duas áreas chaves: fornece informações necessárias para suportar osobjetivos e os requisitos do negócio; e trata as informações como sendo o resultado com-binado de aplicações e recursos de TI que precisam ser gerenciados por processos de TI.Para isso, o COBIT agrupa os processos de TI em quatro áreas ou domínios: Planejamentoe Organização; Aquisição e Implementação; Entrega e Suporte; e Monitoração e Avaliação.Cada uma dessas áreas de�ne os respectivos processos de TI.

(E) ERRADA

O COBIT foi criado com a característica principal de ser: focado no negócio, orientadoa processos, baseado em controles e direcionado a medições. Foi criado para ser utilizadonão apenas pelos fornecedores de serviço de TI, usuários e auditores, mas também, e maisimportante, como um amplo guia pela direção e os responsáveis pelos processos de negócioda empresa. O COBIT promove a organização das atividades de TI em torno dos processosde TI fornecendo um modelo para as organizações adotarem e adaptarem conforme neces-sário. Após os processos estarem de�nidos, eles podem ser alocados a indivíduos e gerentesque são responsáveis e deverão prestar conta por cada processo. Com essa estrutura, asatividades �cam mais fáceis de serem controladas e organizadas.




14. Assuntos relacionados: Governança de TI, COBIT,Banca: CESGRANRIOInstituição: PetrobrasCargo: Analista de Sistemas - Eng. de SoftwareAno: 2008Questão: 70

O COBIT 4.0 apresenta 34 processos de TI divididos por 4 áreas ou domínios. Cada processopossui um objetivo ou requisito de controle de alto nível e objetivos detalhados. Além disso,há objetivos de controle genéricos que os processos devem observar, que são identi�cadoscomo PCn, de �process control number�. NÃO corresponde a um dos objetivos de controlegenéricos do COBIT 4.0:

(a). atribuir um proprietário a cada processo, de forma que a responsabilidade sejaclara.

(b). de�nir cada processo de forma que seja repetível.

(c). estabelecer metas e objetivos claros para cada processo para uma execução e�caz.

(d). medir a performance de cada processo em relação às suas metas.

(e). estabelecer níveis de acordo de serviço (SLA) onde cabível para cada processo.

Solução:

Controles gerais são aqueles embutidos nos processos e serviços de TI, como: desenvolvi-mento de sistema, gerenciamento de mudanças, segurança, etc. Eles devem ser consideradosjuntos com os objetivos de controle detalhados para ter a visão completa dos requisitos decontrole.

(A) ERRADA

O controle geral que atribui um proprietário a cada processo, de forma que a responsa-bilidade seja clara é o PC1 � Process Owner (Proprietário do Processo).

(B) ERRADA

O controle geral que de�ne cada processo de forma que seja repetível é o PC2 - Repea-tability (Repetibilidade).

(C) ERRADA

O controle geral que estabelece metas e objetivos claros para cada processo para uma exe-cução e�caz é o PC3 � Goals and Objectives (Metas e Objetivos).

(D) ERRADA

O controle geral que mede o desempenho de cada processo em relação às suas metas éo PC5 � Process Perfomance (Desempenho do Processo).

(E) CORRETA

O COBIT não de�ne nenhum controle geral sobre SLA. O SLA é controlado no COBITpelo processo De�ne and manage service levels (De�ne e gerencia o nível de serviço) no




domínio Deliver and Support (Entrega e suporte).

Além dos quatro controles gerais citados, existem mais dois:

• PC4 � Roles and Responsibilities (Regras e Responsabilidades) � de�ne regras, pa-péis e responsabilidades não ambíguas para cada processo do COBIT para a execuçãoe�ciente;

• PC6 � Policy, Plans and Procedures (Políticas, Planos e Procedimentos) � documenta,revisa, mantém atualizado, aprova e comunica a todas as partes envolvidas qualquerpolítica, plano ou procedimento que direciona um processo do COBIT.




15. Assuntos relacionados: COBIT, Governança de TI,Banca: FCCInstituição: TCE/CECargo: Analista de Controle Externo - Auditoria de Tecnologia da InformaçãoAno: 2008Questão: 90

O COBIT, em seus fundamentos, de�ne quatro domínios dentro dos quais ele insere osprocessos de TI. No domínio de Planejamento e Organização está o processo

(a). Identi�car e alocar custos.

(b). Adquirir e manter arquitetura tecnológica.

(c). Desenvolver e manter procedimentos de TI.

(d). Avaliar e gerenciar riscos.

(e). De�nir níveis de serviços.

Solução:

O COBIT (Control Objectives for Information and related Technologies) é um frameworkde processos - independente de plataformas tecnológicas e do tipo de negócio - criado peloISACA (Information Systems Audit and Control Association) para dirigir a implementaçãode governança de TIC. A estrutura básica do COBIT é composta por quatro domínios, cadaum com seus processos.

• Planejar e Organizar

PO1 De�nir um Plano Estratégico de TI e Orientações;PO2 De�nir a Arquitetura de Informação;PO3 Determinar o Gerenciamento Tecnológico;PO4 De�nir os Processos de TI, Organização e Relacionamentos;PO5 Gerenciar o Investimento em TI;PO6 Comunicar os Objetivos de Gerenciamento e Orientar;PO7 Gerenciar os Recursos Humanos de TI;PO8 Gerenciar a Qualidade;PO9 Estimar e Gerenciar os Riscos de TI;PO10 Gerenciar Projetos.

• Adquirir e Implementar

AI1 Identi�car Soluções Automatizadas;AI2 Adquirir e Manter Software de Aplicação;AI3 Adquirir e Manter Infraestrutura de Tecnologia;AI4 Habilitar Operação e Uso;AI5 Obter Recursos de TI;AI6 Gerenciar Mudanças;AI7 Instalar e Credenciar Soluções e Mudanças.

• Entregar e Dar Suporte

DS1 De�nir e Gerenciar Níveis de Serviço;DS2 Gerenciar Serviços de Terceiros;DS3 Gerenciar Performance e Capacidade;




DS4 Assegurar Serviço Contínuo;DS5 Assegurar Segurança de Sistema;DS6 Identi�car e Alocar Recursos;DS7 Treinar Usuários;DS8 Gerenciar Serviços de Escritório e Incidentes;DS9 Gerenciar a Con�guração;DS10 Gerenciar Problemas;DS11 Gerenciar Dados;DS12 Gerenciar o Ambiente Físico;DS13 Gerenciar Operações.

• Monitorar e Avaliar

M1 Monitorar os processos;M2 Assegurar avaliação dos controles internos;M3 Obter avaliação independente;M4 Prover auditoria independente.

Dentre os processos apresentados na questão, o único que faz parte do domínio Planejare Organizar é o de �Avaliar e Gerenciar Riscos� (processo P09). Portanto, a resposta daquestão é a letra D.




16. Assuntos relacionados: Governança de TI, Auditoria de TI, COBIT,Banca: FCCInstituição: TCE/CECargo: Analista de Controle Externo - Auditoria de Tecnologia da InformaçãoAno: 2008Questão: 91

As Diretrizes de Auditoria (Audit Guidelines) do COBIT devem

(a). ser entendidas como uma ferramenta para a criação do plano geral de auditoriade TI.

(b). ser entendidas como uma ferramenta para ensinar as bases de auditoria de TI.

(c). habilitar os auditores para rever processos de TI especí�cos em relação aos obje-tivos de controle recomendados.

(d). evoluir conjuntamente com os objetivos de controle detalhados até se tornaremexaustivas e de�nitivas.

(e). explicar como o planejamento computadorizado, as avaliações e as ferramentas deanálise e documentação podem ser usados para apoiar e automatizar a auditoriade TI.

Solução:

O COBIT (Control Objectives for Information and related Technologies) é um frameworkde processos - independente de plataformas tecnológicas e do tipo de negócio - criado peloISACA (Information Systems Audit and Control Association) para dirigir a implementaçãode governança de TIC. Em alto nível, a estrutura básica do COBIT engloba quatro domíniosque são:

• Planejar e Organizar;

• Adquirir e Implementar;

• Entregar e Dar Suporte;

• Monitorar e Avaliar.

Cada um dos domínios do COBIT é composto por processos, que ao total somam 34. Cadaum dos processos, por sua vez, estão associados a objetivos de controle.

Não causa espanto a semelhança da estrutura do COBIT com a do ciclo PDCA (PlanDo Check Act). Na verdade, o COBIT pode se visto como uma aplicação do ciclo PDCA àgestão de TIC. O COBIT herda, portanto, os fundamentos básicos do PDCA, sendo o maisnotório deles, o fundamento da melhoria contínua.

Nesse contexto, tornam-se necessárias avaliações periódicas dos processos implementadosem cada um dos domínios, bem como dos objetivos de controle a eles associados. Taisrevisões tem como objetivo principal rever os processos de TI em relação aos objetivos decontrole recomendados. Para realizar tal tarefa, os auditores se baseiam nas Diretrizes deAuditoria (Audit Guidelines).

Mais recentemente, o Audit Guidelines foi descontinuado, e um novo livro chamado ITAssurance Guide foi publicado. O Assurance Guide traz ferramentas que permitem aosauditores acessarem os controles ligados aos objetivos de controle, desde o design até os




resultados. O objetivo �nal do IT Assurance Guide é ajudar os auditores a assegurar queos os objetivos de controles estão sendo atingidos como planejado.

Embora a ISACA não apresente o Assurance Guide como substituto do Audit Guidelines,muitos pessoas da área o enxergam dessa forma. Outro aspecto interessante com relação aesses livros é que nenhum deles faz parte do COBIT, sendo referenciados pelo ISACA apenascomo �publicações relacionadas�.




17. Assuntos relacionados: Governança de TI, COBIT, Requisitos de Negócio,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 33

A adequação às normas, leis e procedimentos é um requisito de qualidade denominado

(a). integridade.

(b). autenticidade.

(c). con�abilidade.

(d). con�dencialidade.

(e). conformidade.

Solução:

Esta questão encontra-se no âmbito de CobiT (Control Objectives for Information and rela-ted Technology), que é um guia para a gestão de TI recomendado pelo ISACF (InformationSystems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais comoum sumário executivo, um framework, controle de objetivos, mapas de auditoria, um con-junto de ferramentas de implementação e um guia com técnicas de gerenciamento, além defornecer métricas para avaliação de resultados e possuir a vantagem de ser independente dasplataformas de TI adotadas nas empresas.

Em Cobit, para satisfazer os objetivos de negócio, as informações precisam estar em con-formidade com os critérios chamados requisitos de negócio. Estes requisitos estão dividosem:

1. Requisitos de Qualidade;

2. Requisitos de Segurança;

3. Requisitos de Fiduciários.

Estes 3 requisitos � Qualidade, Segurança e Fiduciário � são, por sua vez, sub-divididos em7 critérios de informação:

• E�cácia (efetividade): é a capacidade de alçar metas e resultados propostos. Trata dainformação que está sendo relevante e pertinente ao processo de negócio, bem comoque esteja sendo entregue de um modo oportuno, correto, consistente e útil;

• E�ciência: capacidade de produzir o máximo nos resultados com o mínimo de recursos.Diz respeito à provisão da informação através do uso otimizado (mais produtivo eeconômico) dos recursos;

• Con�abilidade: relaciona-se à provisão de informação apropriada para a gerência operara entidade e para a gerência exercer suas responsabilidades de relatar aspectos deconformidade e �nanças (podemos descartar, assim, a alternativa C);

• Con�dencialidade: diz respeito à proteção da informação sigilosa contra a revelaçãonão autorizada (descartamos, assim, a alternativa D);

• Integridade: relaciona-se à exatidão e à inteireza da informação bem como à sua validezde acordo com os valores e expectativas do negócio (descartamos, assim, a alternativaA);




• Disponibilidade: relaciona-se à informação que está sendo disponibilizada quando re-querida pelo processo de negócio agora e no futuro. Também diz respeito à proteçãodos recursos necessários e às capacidades associadas;

• Conformidade: trata do cumprimento das leis, dos regulamentos e arranjos contratuaisaos quais o processo de negócio está sujeito (portanto, a alternativa E é a correta).

Note, também, que o requisito autenticidade, citado na alternativa B, não faz parte doescopo de requisitos de CobiT, o que a descarta imediatamente.




18. Assuntos relacionados: Governança de TI, COBIT, Princípios de Governança,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 38

O princípio básico de governança incorporado no COBIT que objetiva a perenidade da áreade TI e da organização é o princípio de

(a). equidade.

(b). transparência.

(c). alinhamento aos negócios.

(d). prestação de contas.

(e). responsabilidade corporativa.

Solução:

Saiba que os 4 (quatro) princípios de governança incorporados no CobiT são:

• Transparência: mais do que �a obrigação de informar�, a Administração deve cultivaro �desejo de informar�, sabendo que da boa comunicação interna e externa, particu-larmente quando espontânea, franca e rápida, resulta um clima de con�ança, tantointernamente, quanto nas relações da empresa com terceiros. A comunicação não deverestringir-se ao desempenho econômico-�nanceiro, mas deve contemplar também os de-mais fatores (inclusive intangíveis) que norteiam a ação empresarial e que conduzem àcriação de valor (descartamos, assim, a alternativa B);

• Eqüidade: caracteriza-se pelo tratamento justo e igualitário de todos os grupos mino-ritários, sejam do capital ou das demais �partes interessadas� (stakeholders), como co-laboradores, clientes, fornecedores ou credores. Atitudes ou políticas discriminatórias,sob qualquer pretexto, são totalmente inaceitáveis (descarta-se, assim, a alternativaA);

• Prestação de contas: os colaboradores têm a obrigação de prestar contas, fornecerrelatórios ou explicar suas ações sobre o uso de recursos que lhe são transmitidos. Osexecutivos prestam contas ao Conselho Administrativo os quais fornecem governança,direção e monitoração. Para cada um é essencial conhecer como suas ações contribuempara alcançar os objetivos da organização (alternativa D descartada);

• Responsabilidade Corporativa: conselheiros e executivos devem zelar pela pere-nidade das organizações (visão de longo prazo, sustentabilidade) e, portanto, devemincorporar considerações de ordem social e ambiental na de�nição dos negócios e ope-rações (alternativa E é a correta).

Lembre-se também que, pela Information Systems Audit and Control Association (2006),Alinhamento estratégico (ou Alinhamento aos negócios) é uma das 5 (cinco) áreas de focona governança de TI. As demais áreas são: Gerenciamento de riscos, Gerenciamento de re-curso, Mensuração de desempenho e Entrega de valor (descartamos, assim, a alternativa C).

O Alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio. A questãochave é veri�car se os investimentos da empresa em TI estão em harmonia com objetivosestratégicos da empresa e ainda está desenvolvendo capacidades necessárias para entregarvalor ao negócio. São objetivos estratégicos:




• Especi�car os objetivos;

• Desenvolver estratégias para alcançar os objetivos especi�cados;

• Desenhar planos de ações para implementar as estratégias.




19. Assuntos relacionados: Governança de TI, COBIT,Banca: FCC Domínios de Governança,Instituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 39

NÃO é um domínio de governança no framework do COBIT:

(a). monitoração.

(b). requisitos e processos.

(c). aquisição e implementação.

(d). planejamento e organização.

(e). entrega e suporte.

Solução:

O CobtiT está organizado em quatro domínios para re�etir um modelo para os processos deTI. Os domínios podem ser caracterizados pelos seus processos e pelas atividade executadasem cada fase de implantação da Governança Tecnológica. São eles:

• planejamento e organização: de�ne as questões estratégicas ligadas ao uso da TI emuma organização, trata de vários processos, entre eles, a de�nição da estratégia de TI,arquitetura da informação, direcionamento tecnológico, investimento, riscos, gerênciade projetos e da qualidade (descartamos, assim, a alternativa D);

• aquisição e implementação: de�ne as questões de implementação da TI conformeas diretivas estratégicas e de projeto pré-de�nidas no Plano Estratégico de Informáticada empresa, também conhecido como PDI (Plano Diretor de Informática). Possui umasérie de processos como, por exemplo, identi�cação de soluções automatizadas a seremaplicadas ou reutilizadas na corporação, aquisição e manutenção de sistemas de infra-estrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalação egerência de mudanças (alternativa C descartada);

• entrega e suporte: de�ne as questões operacionais ligadas ao uso da TI para aten-dimento aos serviços para os clientes, manutenção e garantias ligadas a estes serviços.O momento deste domínio é após a ativação de um serviço e sua entrega ao cliente,que pode operar ou utilizar os serviços da empresa para operação terceirizada. Os pro-cessos relativos a este domínio tratam da de�nição dos níveis de serviço (SLA � SeviceLevel Agreement); gerência de fornecedores integrados às atividades; garantias de de-sempenho, continuidade e segurança de sistemas; treinamento de usuários; alocação decustos de serviços; gerência de con�guração; gerência de dados, problemas e incidentes(alternativa E descartada);

• monitoração: de�ne as questões de auditoria e acompanhamento dos serviços de TI,sob o ponto de vista de validação da e�ciência dos processos e evolução dos mesmos emtermos de desempenho e automação. Os processos deste domínio tratam basicamenteda supervisão das atividades dos outros processos; adequações realizadas na empresapara garantia de procedimentos operacionais; coleta e análise de dados operacionaise estratégicos para auditoria e para controle da organização. (alternativa A tambémdescartada).

Por eliminação, chegamos à conclusão que requisitos e processos não é um domínio doCobiT. Assim, a alternativa B é a correta.




20. Assuntos relacionados: Governança de TI, COBIT, Diretrizes de Gerenciamento,Modelode Maturidade, CSF, KPI, KGI,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 40

As diretrizes gerenciais do COBIT para indicar onde um processo se encontra e onde sedeseja chegar estabelecem o uso da ferramenta denominada

(a). modelo de maturidade.

(b). fatores críticos de sucesso.

(c). objetivos de controle detalhados.

(d). indicadores-chaves de desempenho.

(e). indicadores-chaves de metas.

Solução:

As diretrizes gerenciais de CobiT fornecem a conexão vital entre o controle de TI e a go-vernança de TI. Elas são genéricas e orientadas a ação, orientam a gestão na obtenção deinformações do empreendimento e dos processos relacionados que estão sob controle, mo-nitoram a conquista dos objetivos organizacionais, monitoram e melhoram o desempenhode cada processo de TI, além de realizar a avaliação do desempenho organizacional. Elasajudam a fornecer respostas a questões típicas de gestão, tais como:

• Até que ponto devemos ir no controle de TI, e se este ponto é justi�cado pelo custo/benefício?

• Quais são os indicadores de bom desempenho?

• Quais são os fatores críticos de sucesso?

• Quais são os riscos de não alcançar os nossos objetivos?

• O que os demais fazem?

• Como medir e comparar?

A seguir, abordaremos cada diretriz de gerenciamento:

Modelos de Maturidade (Maturity Models)

Os modelos de maturidade são usados para se gerenciar e controlar os processos de TIbaseado em um método de avaliação da organização, para que se possa avaliar desde o nívelde não existência (0) até otimizado (5), isto é, onde se deseja chegar. O objetivo dessasavaliações é veri�car onde se encontram os problemas e de�nir as prioridades para melhora-mento. O propósito não é avaliar o nível de aderência aos objetivos de controle.

Esta abordagem foi derivada do modelo de maturidade que a Software Engineering Institute(SEI) de�niu para o desenvolvimento de software (Capability Maturity Model for Software� SW-CMM). A partir da aplicação destes níveis em cada um dos 34 processos do CobiT épossível mapear:

• O estado atual da organização � onde a organização está hoje;

• O estado atual da indústria (fazendo uma comparação da empresa com outras) � acomparação;




• O estado atual das normas internacionais � comparações adicionais;

• A estratégia da organização para melhoria � aonde a organização quer chegar.

O exposto acima já é su�ciente para a�rmar que a alternativa A está correta. Contudo,iremos nos aprofundar um pouco mais no Modelo de Maturidade.

A vantagem de uma abordagem de modelo de maturidade é que se torna relativamentefácil para a gerência localizar o status atual na escala e avaliar o que está envolvido casoum melhor desempenho seja requerido. A escala de zero a cinco é usada para mostrarcomo um processo pode evoluir da não existência de uma capacidade para uma capacidadeotimizada. Abaixo, apresentamos um modelo maturidade genérico:

• Nível 0 (Inexistente): completa falta de qualquer processo reconhecível, e a empresanem reconheceu que existe a necessidade de se gerenciar tal processo;

• Nível 1 (Inicial): existe evidência que a empresa reconheceu a necessidade de gerencia-mento do processo. Entretanto, não existem ainda processos padronizados, e somente,abordagens ad-hoc, aplicadas baseada nos indivíduos ou casos. No geral, a abordagemde gerenciamento está desorganizada;

• Nível 2 (Repetitivo): procedimentos similares são seguidos por diferentes pessoas paraa execução de uma tarefa. Não há treinamento formal ou procedimentos formalizadosde comunicação, e a responsabilidade é deixada para os indivíduos. Como existe grandedependência nas pessoas, erros são esperados;

• Nível 3 (De�nido): procedimentos são padronizados e documentados, e comunicadosatravés de treinamento. É deixado para as pessoas seguirem esses processos, tornandodifícil detectar os desvios. Neste nível, os procedimentos não são so�sticados, mas é aformalização de práticas existentes;

• Nível 4 (Gerenciado): possível monitorar e medir a concordância com os procedimen-tos e tomar ação quando os processos parecem não estar trabalhando efetivamente.Neste nível, os processos estão em constante melhoramento e provem boas práticas, noentanto, automação e ferramentas são usadas de forma limitada ou fragmentada;

• Nível 5 (Otimizado): processos estão de�nidos em nível de melhores práticas, basea-dos em resultados de melhoramento contínuo e modelagem de maturidade com outrasempresas, e a TI é usada de forma integrada para automatizar o �uxo de trabalho,provendo ferramentas para melhorar a qualidade e efetividade, tornando a empresarápida para adaptações.

Fatores críticos de sucesso (Critical Success Factors � CSFs)

Os fatores críticos de sucesso de�nem os desa�os mais importantes ou ações de gerenci-amento que devem ser adotadas para colocar sobre controle a gestão de TI. São de�nidas asações mais importantes do ponto de vista do que fazer a nível estratégico, técnico, organi-zacional e de processo. Por exemplo, CSFs incluem:

• Processos de TI são de�nidos e alinhados com a estratégia de TI e com os objetivos denegócio;

• São conhecidos os clientes do processo e suas expectativas;

• Os processos são escaláveis e seus recursos são geridos de forma adequada.

Portanto, a alternativa B está errada.




Indicadores de Meta (Key Goal Indicator � KGIs)

KGIs são medidas pré-de�nidas que indicam se um processo de TI alcançou o requisitodo negócio em termos de critérios de informação. Os KGIs para TI são os drivers de negócioque usualmente suportam as perspectivas �nanceiras e clientes. São as KGIs que, após o fatoocorrido, re�etem se a meta foi atingida e, usualmente, são expressas nos seguintes termos:

• Disponibilidade das informações necessárias para suportar as necessidades de negócios;

• Riscos de falta de integridade e con�dencialidade das informações;

• E�ciência nos custos dos processos e operações;

• Con�rmação de con�abilidade, efetividade e conformidade das informações.

São exemplos de KGIs:

• Aumento do Nível de entrega de serviço;

• Número de clientes e custo por cliente atendido;

• Disponibilidade dos sistemas e serviços;

• Ausência de integridade e riscos de con�dencialidade;

• Con�rmação da con�abilidade e e�cácia;

• Aderência ao custo de desenvolvimento e prazo;

• Custo-e�ciência do processo;

• Produtividade da equipe;

• Número de mudanças aplicadas na hora certa nos processos e sistemas;

• Aumento da produtividade.

Assim, a alternativa E está errada.

Indicadores de Desempenho (Key Performance Indicators � KPI)

Indicadores de Desempenho � são medidas pré-de�nidas que determinam quanto o pro-cesso de TI conseguiu atingir em relação aos objetivos. Os KPIs se referem às perspectivasdos processos e da inovação, são medidas que re�etem as tendências em termos de atingirou não a meta no futuro. Notadamente, as KPIs são medidas antes do fato e aplicadas emdiversos escopos, por exemplo:

• Financeiro

� Número de Clientes de TI;� Custo por Cliente de TI;� Custo-e�ciência do serviço de TI;� Entrega de valor de TI por funcionário;

• Cliente

� Nível de Entrega de Serviço;� Satisfação do cliente;� Número de novos clientes;� Número de novos canais de serviço;

• Aprendizado

� Produtividade da Equipe;




� Número de pessoas treinadas em uma nova tecnologia;� Valor entregue por funcionário;� Aumento da disponibilidade do conhecimento;

• Processo

� Disponibilidade do processo e do sistema;� Desenvolvimento dentro do prazo e no custo;� Tempos de respostas;� Quantidade de erros e retrabalho;

Portanto, a alternativa D está errada.

Vale reforçar que objetivos de controle detalhados não faz parte das diretrizes gerenciaisdo COBIT. Logo, a alternativa C também esta errada.




21. Assuntos relacionados: Governança de TI, Arquitetura Empresarial, Framework de Za-chman,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 63

Segundo o framework de Zachman, a missão de uma determinada empresa é suportada pelosprocessos pertencentes ao

(a). plano de objetivos e metas.

(b). plano de melhoria contínua.

(c). modelo de sistemas.

(d). modelo de tecnologia.

(e). modelo de negócios.

Solução:

O framework de Zachman é um framework que provê um meios formais e estruturados paraver e de�nir corporações. Portanto, é dito um framework de arquitetura corporativa, ouframework de arquitetura empresarial.

O framework consiste de uma matriz de classi�cação bidimensional baseada na intersec-ção de seis interrogações básicas (o quê, como, onde, quem, quando, e por que) com tiposdistintos de modelos. A matriz do framework Zachman é mostrada na Figura 3. O fra-mework tem origens na década de 80, tendo sido criado por John Zachman na IBM. Desdeentão, o framework já foi atualizado inúmeras vezes.

Figura 3: framework de Zachamn.

Comumente o framework de Zachman é citado como uma metologia, porém isto e um equí-voco. Formalmente, o framework de Zachman é uma ontologia, que é aplicada na práticacomo uma taxonomia para organizar os artefatos de uma arquitetura empresarial. Artefatospodem ser, por exemplo, diagramas, listas e modelos. Os modelo de negócio, de sistemas




e de tecnologia, apresentados nas alternativas da questão, são exemplos de modelos quecompõe a lista de artefatos do framework de Zachman.

Para alcançarmos a resposta da questão, primeiro precisamos compreender o conceito demissão empresarial. A missão é um enunciado que deve responder o que a organização sepropõe a fazer, devendo apresentar de forma concisa os propósitos e as responsabilidades dasua organização perante seus clientes. Em última instância, a missão deve elucidar tambémo porque da existência da empresa, citando o que ela faz e a quem ela atende.

A missão empresarial está diretamente relacionada ao negócio da empresa, sendo, portanto,um dos artefatos relacionados ao modelo de negócio. Com isso, a resposta da questão é aalternativa E.




22. Assuntos relacionados: Governança de TI, COBIT,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 64

NÃO é recomendado aplicar COBIT para

(a). quali�car a contratação de prestadores de serviços de TI.

(b). avaliar pontos fortes e fracos dos processos de TI.

(c). promover benchmarking.

(d). auditar os riscos operacionais de TI.

(e). gerenciar con�guração de ativos de rede.

Solução:

O CobiT (Control Objectives for Information and related Technology) é um guia para a ges-tão de TI recomendado pelo ISACA (Information Systems Audit and Control Foundation,www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um framework,controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação eum guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadaspelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecemmétricas para avaliação dos resultados. O CobiT independe das plataformas de TI adotadasnas empresas.

As melhores práticas do Cobit prometem auxiliar as companhias no processo de governançade TI. Ele tem a missão de garantir que os sistemas �nanceiros executem suas tarefas con-forme o pretendido sem dados fraudulentos ou ações que poderiam comprometer a qualidadede dados. Tal uso poderia ser relevante diante das exigências da lei �scal Sarbanes-Oxley,por exemplo. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantira criação de mecanismos de auditoria e segurança con�áveis nas empresas, incluindo aindaregras para a criação de comitês encarregados de supervisionar suas atividades e operações,de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que hajameios de identi�cá-las quando ocorrem, garantindo a transparência na gestão das empresas.

O CobiT está dividido em quatro domínios:

1. Planejamento e organização.

2. Aquisição e implementação.

3. Entrega e suporte.

4. Monitoração.

Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI, so-mando 34 processos:

Planejamento e Organização:

1. De�ne o plano estratégico de TI

2. De�ne a arquitetura da informação




3. Determina a direção tecnológica

4. De�ne a organização de TI e seus relacionamentos

5. Gerencia os investimento de TI

6. Gerencia a comunicação das direções de TI

7. Gerencia os recursos humanos

8. Assegura o alinhamento de TI com os requerimentos externos

9. Avalia os riscos

10. Gerencia os projetos

11. Gerencia a qualidade

Aquisição e implementação:

1. Identi�ca as soluções de automação

2. Adquire e mantém os softwares

3. Adquire e mantém a infra-estrutura tecnológica

4. Desenvolve e mantém os procedimentos

5. Instala e certi�ca softwares

6. Gerencia as mudanças

Entrega e suporte:

1. De�ne e mantém os acordos de níveis de serviços (SLA)

2. Gerencia os serviços de terceiros

3. Gerencia a performance e capacidade do ambiente

4. Assegura a continuidade dos serviços

5. Assegura a segurança dos serviços

6. Identi�ca e aloca custos

7. Treina os usuários

8. Assiste e aconselha os usuários

9. Gerencia a con�guração

10. Gerencia os problemas e incidentes

11. Gerencia os dados

12. Gerencia a infra-estrutura

13. Gerencia as operações

Monitoração:

1. Monitora os processos

2. Analisa a adequação dos controles internos

3. Provê auditorias independentes

4. Provê segurança independente




É importante ressaltar que o CobiT é orientado ao negócio e fornece informações detalhadaspara gerenciar processos baseados em objetivos de negócios. Por esta razão, o Cobit é ge-ralmente utilizado em conjunto com outros frameworks de melhores práticas, como o ITIL(Information Technology Infrastructure Library). Nesse caso, o CobiT é usado como ummecanismo de controle para garantir que os processos estão sendo seguidos e documentadose que podem ser auditados. Já o ITIL é um conjunto de melhores práticas e se preocupa como operacional, mais especi�camente com os serviços de gerenciamento de ativos e serviços deTI. Entre esses serviços, esta o de gerência de con�guração dos ativos de rede ou de qualqueroutro ativo de TI.

Portanto, a alternativa correta é a E, pois o CobiT é um guia que se concentra em téc-nicas de gerenciamento e auditoria que visam fornecer garantias de que os serviços de TIestão alinhados ao negócio. Já a parte operacional deve ser garantida com o auxílio de guiasde melhores práticas como o ITIL, de normas e padrões como aqueles editados pela ISO ede diversos outros mecanismos.

As outras alternativas podem ser encaixadas em determinados processos: quali�car a con-tratação de prestadores de serviços de TI (Gerencia os serviços de terceiros), avaliar pontosfortes e fracos dos processos de TI (Analisa a adequação dos controles internos), promo-ver benchmarking (Monitora os processos) e auditar os riscos operacionais de TI (Provêauditorias independentes).




23. Assuntos relacionados: Governança de TI, COBIT, Domínios de Governança,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 66

A diretoria de uma empresa reclama que os produtos entregues pela TI, apesar de cons-truídos rapidamente, não atendem às necessidades de seu negócio. Que domínio COBITcontém processos que podem contribuir para diminuir essa insatisfação, de�nindo um planoestratégico para TI?

(a). Entrega e Monitoração.

(b). Planejamento e Organização.

(c). Monitoração e Avaliação.

(d). Estratégia e Planejamento.

(e). Gerenciamento do Plano de Negócio.

Solução:

O CobiT está organizado em quatro domínios para re�etir um modelo para os processos deTI. Os domínios podem ser caracterizados pelos seus processos e pelas atividades executadasem cada fase de implantação da Governança Tecnológica. A seguir, descreveremos cadadomínio, além de citar os processos compreendidos pelos mesmos (ao todos são 34 processos):

1. Planejamento e organização: O domínio de Planejamento e Organização cobre ouso de informação e tecnologia e como isso pode ser usado para que a empresa atinjaseus objetivos e metas. Ele também salienta que a forma organizacional e a infra-estrutura da TI devem ser consideradas para que se atinjam resultados ótimos e paraque se gerem benefícios do seu uso. É composto por 10 processos:

• De�nir um Plano Estratégico de TI (já podemos concluir, aqui, que alternativa Bé a correta);

• De�nir a Arquitetura da Informação;• Determinar o Direcionamento Tecnológico;• De�nir os Processos, Organização e os Relacionamentos de TI;• Gerenciar o Investimento de TI;• Comunicar as Diretrizes e Expectativas da Diretoria;• Gerenciar os Recursos Humanos de TI;• Gerenciar a Qualidade;• Avaliar e Gerenciar os Riscos de TI;• Gerenciar Projetos;

2. Aquisição e implementação: Este domínio cobre os requisitos de TI, aquisição detecnologia, e implementação dele dentro dos processos de negócios da companhia. Essedomínio também foca o desenvolvimento do plano de manutenção que a companhiaadota para prolongar a vida do sistema de TI e seus componentes. É composto por 7processos:

• Identi�car Solução Automatizadas;• Adquirir e Manter Software Aplicativo;




• Adquirir e Manter Infraestrutura de Tecnologia;• Habilitar Operação e Uso;• Adquirir Recursos de TI;• Gerenciar Mudanças;• Instalar e Homologar Soluções e Mudanças;

3. Entrega e suporte: Este domínio foca em aspectos de entrega de tecnologia da infor-mação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assimcomo o suporte dos processos que habilitam a execução de forma e�ciente e efetiva.Esses processos de suporte também incluem questões de segurança e treinamento. Opresente domínio possui 13 processos:

• De�nir e Gerenciar Níveis de Serviços;• Gerenciar Serviços de Terceiros;• Gerenciar Capacidade e Desempenho;• Assegurar Continuidade de Serviços;• Assegurar a Segurança dos Serviços;• Identi�car e Alocar Custos;• Educar e Treinar os Usuários;• Gerenciar a Central de Serviço e os Incidentes;• Gerenciar a Con�guração;• Gerenciar os Problemas;• Gerenciar os Dados;• Gerenciar o Ambiente Físico;• Gerenciar as Operações;

4. Monitoração e avaliação: Este domínio lida com a estimativa estratégica das ne-cessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para oqual ele foi especi�cado e controla os requisitos para atender objetivos regulatórios.Ele também cobre as questões de estimativa independente da efetividade do sistemade TI e sua capacidade de atingir os objetivos de negócio, controlando os processosinternos da companhia através de auditores internos e externos (descartamos, assim, aalternativa C). Tal domínio possui 4 processos, são eles:

• Monitorar e Avaliar o Desempenho;• Monitorar e Avaliar os Controles Internos;• Assegurar a Conformidade com Requisitos Externos;• Prover a Governança de TI.

Não iremos nos ater às alternativas D e E, pois não são domínios do CobiT. Assim, concluí-mos que a resposta correta é a alternativa B.




24. Assuntos relacionados: Governança de TI, COBIT, Gerenciamento de Serviços de Ter-ceiros,Banca: CesgranrioInstituição: BR DistribuidoraCargo: Analista de Sistemas - DesenvolvimentoAno: 2008Questão: 24

No COBIT, �Gerenciar os serviços de terceiros� pertence a que domínio?

(a). Auditoria

(b). Recursos Humanos

(c). Aquisição e Contratos

(d). Planejamento e Organização

(e). Entrega e Suporte

Solução:

O Control Objective for Information and related Technology (COBIT) é um framework quefornece as melhores práticas para gerenciamento de processos de TI, atendendo as neces-sidades de gestão de uma organização, tratando os riscos do negócio, as necessidades decontrole e as métricas de desempenho. Esse framework serve de suporte para implementara Governança de TI numa organização garantindo que: a TI esteja alinhada com os negó-cios; a TI permita o negócio e maximize os benefícios; os recursos de TI sejam usados comresponsabilidade; e que os riscos de TI sejam gerenciados apropriadamente.

Entende-se por Governança de TI como um conjunto de estruturas e processos que visamgarantir que a TI suporte e maximize os objetivos e as estratégias do negócio.

O COBIT é divido em três componentes formando um cubo (Figura 4). Tais componentessão:

• Processos de TI (IT Process) - Domínio (Domains), Processos (Process) e Atividades(Activities))

• Recursos de TI (IT Resources) - Aplicações (Aplications), Informação (Information),Infra-estrutura (Infrastructure) e Pessoas (People)

• Critérios de Informação (Business Requeriments) - E�cácia (E�ectiveness), E�ciência(E�ciency), Con�dencialidade (Con�dentiality), Integridade (Integrity), Disponibili-dade (Availability), Conformidade (Compliance) e Con�abilidade (Reliability)).

Os processos estão agrupados em quatro domínios: Planejamento e Organização, Aquisiçãoe Implementação, Entrega e Suporte, e Monitoração e Avaliação. O domínio de Planeja-mento e Organização envolve os processos: De�nir um Plano Estratégico de TI; De�nira arquitetura de informação; Determinar a direção tecnológica; De�nir a organização e osrelacionamentos da TI; Gerenciar os investimentos da TI; Comunicar as metas e os dire-cionamentos gerenciais; Gerenciar os recursos humanos; Garantir a conformidade com osrequisitos externos; Avaliar os riscos; Gerenciar os projetos e Gerenciar a qualidade.

O domínio Aquisição e Implementação envolve os processos: Identi�car soluções auto-matizadas (soluções de TI); Prover e manter aplicações de software; Prover e manter ainfra-estrutura tecnológica; Habilitar Operação e Uso das soluções; Adquirir recursos de TI;




Figura 4: componente do COBIT.

Instalar e certi�car soluções mudanças e Gerenciar as mudanças.

O domínio Entrega e Suporte envolve os processos: De�nir e manter os níveis de serviço;Gerenciar os serviços de terceiros; Gerenciar o desempenho e a capacidade; Garantir o ser-viço ininterrupto; Garantir a segurança dos sistemas; Identi�car e alocar os custos; Treinaros usuários; Auxiliar e orientar os clientes; Gerenciar a con�guração; Gerenciar os problemase incidentes; Gerenciar os dados; Gerenciar as instalações físicas e Gerenciar as operações.

O domínio Monitoração e Avaliação envolve os processos: Monitorar e Avaliar os proces-sos; Monitorar e Avaliar o controle interno; Assegurar o cumprimento das regulamentaçõese Prover a Governança de TI.

Vale reforçar que o COBIT não é um padrão de�nitivo, ele serve como apoio para a im-plementação de controles na Governança de TI. Ele atua em dizer o �o que fazer� e não sepreocupa em �como fazer�. Já o ITIL foco em �como fazer�.

Conforme explicações anteriores, o processo Gerenciar Serviços de Terceiros faz parte dodomínio Entrega e Suporte. Então, a alternativa correta é a letra (E).




25. Assuntos relacionados: Governança de TI, Organizational Project Management MaturityModel (OPM3), CMMI, Gerenciamento Eletrônico de Documentos (GED), COBIT, PortaisCorporativos,Banca: ESAFInstituição: Agência Nacional de Águas (ANA)Cargo: Analista Administrativo - Tecnologia da Informação e Comunicação / Desenvolvi-mento de Sistemas e Administração de Banco de DadosAno: 2009Questão: 1

O_________ é empregado na governança de recursos de Tecnologia da Informação (TI).

Assinale a opção que completa corretamente a frase acima.

(a). OPM3

(b). CMMI

(c). GED

(d). COBIT

(e). Portal corporativo

Solução:

Entende-se por Governança de TI como um conjunto de estruturas e processos que visamgarantir que a TI suporte e maximize os objetivos e as estratégias do negócio. Assim, agovernança e o X (descobriremos quem é o X quando analisarmos as alternativas a seguir)devem suportar os interesses dos stakeholders internos e externos de acordo com as ne-cessidades especí�cas de cada um: os de dentro da empresa que têm interesse em gerarvalor a partir de investimentos de TI; os que prestam serviços de TI sejam eles internos (De-partamento de TI) ou externos (fornecedores); e os que controlam riscos e responsabilidades.

Bom, agora nós analisaremos cada alternativa.

(A) ERRADA

OPM3 (Organizational Project Management Maturity Model, em português Modelo deMaturidade em Gerenciamento de Projetos Organizacionais) fornece um mecanismo quepermite monitorar o progresso dos interesses estratégicos da organização através da execu-ção precisa e bem sucedida dos projetos. Em outras palavras, ele possibilita que a empresautilize a gestão de projetos para atingir suas metas nos prazos e dentro do orçamento.

Ao estudar o OPM3, você perceberá que ele é baseado no guia PMBOK (padrão global)e pode ser aplicado em organizações de diversos segmentos, tamanhos ou localizações geo-grá�cas. Notará também que o OPM3 desenvolve um ciclo continuado de aperfeiçoamentodo conhecimento, da avaliação e da melhoria de forma que, conforme você se move peloprocesso de melhoria, passa por uma mudança de pensamento que posicionará sua organiza-ção de modo a permitir que ela obtenha tanto ganhos imediatos como sucesso em longo prazo.

Você perceberá também que o OPM3 permite que as organizações avaliem seu nível dematuridade. No caso, existem 4 níveis (Padronizar, Medir, Controlar e Melhorar continu-amente) para cada domínio de análise: Projetos que é o domínio, digamos, mais �baixo�;




Programas, domínio �intermediário�; e Portfólios, representado o domínio mais �alto�.

Candidato, lembre-se que maturidade é o desenvolvimento de sistemas e processos que sãorepetitivos por natureza e garantem uma alta probabilidade de que cada um deles seja umsucesso. Observe que, em nenhum momento �zemos menção à Governança de TI, o que nosdá condição para descartar esta alternativa.

(B) ERRADA

O CMMI (Capability Maturity Model Integration) é uma metodologia criada pela SEI(Software Engineering Institute) com o objetivo de substituir as diversas CMMs (Capa-bility Maturity Model) desenvolvidas especi�camente para cada área de atuação, tais como:desenvolvimento de sistemas, engenharia de software, aquisição de software e desenvolvi-mento de processos. Apesar das CMMs serem úteis, elas são excessivamente diversi�cadase, por conta disso, foram consideradas problemáticas (redundância de conceitos, terminolo-gia incomum, inconsistências, etc.)

De forma geral, o objetivo maior do CMMI é prover um conjunto de boas práticas paramelhoria dos processos das organizações e a habilidade de gerenciar, desenvolver e manteros seus produtos (softwares). Essas práticas, já consideradas efetivas, são organizadas emuma estrutura que visa auxiliar a organização, em particular os gerentes de projetos, a es-tabelecer suas prioridades para a conquista de melhorias. Um guia para a implementaçãodessas melhorias também é fornecido pelo CMMI.

Candidato, você precisa saber as diferenças entre as formas de representação que o CMMIpossui, uma contínua e outra por estágios (a existência de duas representações visa a oferecer�exibilidade para as organizações poderem utilizar diferentes meios para obterem melhoriasde acordo com as suas realidades).

Enquanto que a representação contínua dá liberdade para as organizações utilizarem amelhor ordem entre as �melhorias� para que os objetivos de negócio sejam alcançados, arepresentação por estágios disponibiliza uma sequência pré-determinada para que as �me-lhorias� sejam obtidas. Essa sequência não pode ser desconsiderada pelas organizações quepretendem utilizar essa representação, pois cada estágio serve de base para o próximo.

Novamente, em nenhum momento �zemos menção à Governança de TI, o que nos per-mite eliminar esta alternativa.

(C) ERRADA

GED (Gerenciamento Eletrônico de Documentos) é uma tecnologia que provê um meiode facilmente gerar, controlar, armazenar, compartilhar e recuperar informações existentesem documentos. Os sistemas GED permitem que os usuários acessem os documentos deforma ágil e segura.

Como bem sabemos, os conhecimentos de uma empresa residem na massa de documen-tos que a mesma possui. É aqui que entra o GED, permitindo a preservação e a organizaçãodeste patrimônio, assegurando a informação necessária, na hora exata, para a pessoa certa.

Não é difícil intuir que, devido a sua capacidade de gerenciar documentos, a GED é uma




ferramenta indispensável para a Gestão do Conhecimento. Não é difícil concluir tambémque a alternativa está ERRADA.

(D) CORRETA

O Control Objective for Information and related Technology (COBIT) é um frameworkque fornece as melhores práticas para gerenciamento de processos de TI, atendendo as ne-cessidades de gestão de uma organização, tratando os riscos do negócio, as necessidades decontrole e as métricas de desempenho. Esse framework serve de suporte para implementara Governança de TI numa organização garantindo que: a TI esteja alinhada com o negócio;a TI permita o negócio e maximize os benefícios; os recursos de TI sejam usados com res-ponsabilidade; e que os riscos de TI sejam gerenciados apropriadamente.

Vale reforçar que o COBIT não é um padrão de�nitivo. Ele serve como apoio para a imple-mentação de controles na Governança de TI, ditando o �o que fazer� e não se preocupando�como fazer�.

O COBIT foca em duas áreas chaves: fornece informações necessárias para suportar osobjetivos e os requisitos do negócio; e trata as informações como sendo o resultado combi-nado de aplicações e recursos de TI que precisam ser gerenciados por processos de TI. Paraisso, o COBIT agrupa os processos de TI em quatro áreas ou domínios:

1. Planejamento e Organização;

2. Aquisição e Implementação;

3. Entrega e Suporte;

4. Monitoração e Avaliação.

Candidato, lembre-se disso: o COBIT deve ser utilizado como um amplo guia pela direçãoe pelos responsáveis pelos processos de negócio da empresa, não restringindo apenas ao de-partamento de TI!

Portanto, a alternativa está CORRETA.

(E) ERRADA

Os portais corporativos são, comumente, apresentados como uma evolução das intranets.No entanto, os portais também podem ser vistos como uma aplicação web que agrega con-teúdo, colaboração, conhecimento e aplicativos transacionais, todos em uma interface única.Exemplos de funcionalidades que os portais normalmente possuem são:

• busca e indexação;

• categorização de conteúdo;

• colaboração;

• personalização;

• comunidades;

• integração de sistemas;

• segurança.

A seguir, apresentamos alguns exemplos de portais corporativos (Candidato, decore o signi-�cado destas siglas!):




• B2B (Business to Business): transações de comércio entre empresas. Por exemplo,um banco transferindo recursos para;

• B2C (Business to Consumer): transações entre uma empresa e um consumidor.Por exemplo, portais da Submarino e da Lojas;

• C2C (Consumer to Consumer): transações entre consumidores, intermediadas nor-malmente por uma empresa. Por exemplo, o sites de leilão Ebay e Mercado Livre;

• B2G (Business to Governement): transações entre empresa e governo, como, porexemplo, licitações e compras de fornecedores;

• B2E (Business-to-Employee): portais que atendem aos empregados. Oferecemaos empregados uma interface única para que eles possam acompanhar as notícias daempresa, gerenciar seus dados pessoais, solicitar serviços, etc.

Portanto, nada relacionado à Governança de TI.




26. Assuntos relacionados: Governança de TI, COBIT, Atividades-Chaves,Banca: ESAFInstituição: Controladoria-Geral da União (CGU)Cargo: Analista de Finanças e Controle - Tecnologia da Informação / Desenvolvimento deSistemas de InformaçãoAno: 2008Questão: 1

O COBIT - Control Objectives for Information and related Technology fornece boas práticaspor meio de uma estrutura de domínio e processos e apresenta atividades de forma gerenciale lógica para a Governança de TI. O COBIT contém componentes interrelacionados, pro-vendo suporte para a governança, gerenciamento, controle e atendimento das necessidadesde diferentes organizações. O componente Atividades-Chaves do COBIT (versão 4.1) estárelacionado com

(a). Indicadores de Performance.

(b). Modelos de Maturidade.

(c). Controle de Objetivos.

(d). Responsabilidades e Contabilização.

(e). Controle de Práticas.

Solução:

O COBIT (do Inglês Control Objectives for Information and related Technology) de�ne umconjunto de boas práticas dirigido para a gerência da tecnologia da informação (TI) criadopelo ISACA (do Inglês Information Systems Audit and Control Association) e pelo ITGI(do Inglês Information Technology Governance Institute). Com a missão de pesquisar, de-senvolver, publicar e promover um modelo de controle para governança de TI atualizado einternacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-diapor gerentes de negócios, pro�ssionais de TI e pro�ssionais de avaliação, o COBIT provê agestores, auditores e usuários de TI com um conjunto de métricas, indicadores e boas prá-ticas para auxiliá-los nas maximização dos benefícios obtidos através do uso da tecnologiada informação.

O modelo COBIT pretende alcançar seus objetivos mantendo seu foco em negócios, ori-entado a processos, baseado em controles e orientado por medições.

Em sua estrutura, o COBIT cobre quatro domínios:

• Planejar e organizar, que consiste em:

� De�nir um plano estratégico de TI;� De�nir a arquitetura da informação;� Determinar as diretrizes de tecnologia;� De�nir os processos, a organização e os relacionamentos de TI;� Gerenciar o investimento de TI;� Comunicar metas e diretrizes gerenciais;� Gerenciar os recursos humanos de TI;� Gerenciar a qualidade;� Avaliar e gerenciar os riscos de TI;




� Gerenciar projetos.

• Adquirir e implantar, que consiste em:

� Identi�car soluções automatizadas;� Adquirir e manter software aplicativo;� Adquirir e manter infraestrutura de TI;� Habilitar operação e uso;� Adquirir recursos de TI;� Gerenciar mudanças;� Instalar e homologar soluções e mudanças.

• Entregar e suportar, que consiste em:

� De�nir e gerenciar níveis de serviços;� Gerenciar serviços terceirizados;� Gerenciar o desempenho e a capacidade;� Assegurar a Continuidade dos Serviços;� Garantir a Segurança dos Sistemas;� Identi�car e Alocar Custos;� Educar e Treinar os Usuários;� Gerenciar a Central de Serviço e os Incidentes;� Gerenciar a Con�guração;� Gerenciar Problemas;� Gerenciar os Dados;� Gerenciar o Ambiente Físico;� Gerenciar as Operações.

• Monitorar e avaliar, que consiste em:

� Monitorar e Avaliar o Desempenho de TI;� Monitorar e Avaliar os Controles Internos;� Assegurar a Conformidade com Requisitos Externos;� Prover Governança de TI.

Como exibido na Figura 5, as atividades-chaves do modelo COBIT são uma divisão dos ob-jetivos e processos de TI realizadas pela tabela de responsabilidade. Mais especi�camente,a de�nição das atividades-chaves e as entregas do processo fazem parte do controle de pro-cesso 4 (PC4) do modelo COBIT, que designa e comunica papéis e responsabilidades parauma efetiva e e�ciente execução das atividades-chaves e sua documentação, bem como aresponsabilização pelo processo e suas entregas.




Figura 5: disponível em http://www.isaca.org/Content/NavigationMenu/Members_and _Lea-ders1/COBIT6/Obtain_COBIT/cobit41_portuguese.pdf.

Sendo assim, as atividades-chaves estão relacionadas com as responsabilidades e contabili-zação do modelo COBIT, representadas pela alternativa d.

Descrição das outras Alternativas

a) Indicadores de desempenho:

Indicadores de desempenho, ou KPI (do Inglês Key Performance Indicators), represen-tam um conjundo de medidas que focam nos aspectos de desempenho organizacionalmais importantes para o sucesso de uma organização. Eles são usados em empresaspara aferir resultados e para basear as decisões dos gestores de acordo com os valorespreviamente de�nidos (pela organização).

b) Modelos de maturidade:

Modelos de maturidade podem ser descritos como uma coleção estruturada de ele-mentos que descrevem certos aspectos da maturidade de uma organização. Eles podemser usados para comparar diferentes organizações. No caso do CMM, predecessor doCMMI, por exemplo, a base de comparação de organizações são os processos de desen-volvimento de software.

c) Controle de objetivos:

Os objetivos de controle de TI �fornecem um conjunto completo de requisitos de alto




nível a serem considerados pelos executivos para um controle efetivo de cada processode TI�. No COBIT eles:

� São de�nições de ações gerenciais para aumentar o valor ou reduzir o risco; Con-sistem de políticas, procedimentos, práticas e estruturas organizacionais;

� São desenvolvidos para prover uma razoável garantia de que os objetivos de controleserão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos.

e) Controle de práticas:

O conceito de �controle de práticas� não é usado extensivamente na literatura im-possibilitando a atribuição de signi�cado a ele.

Fonte para elaboração da questão e para saber mais: COBIT 4.1 Português, disponível emhttp://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/cobit41_portuguese.pdf




27. Assuntos relacionados: Governança de TI, CobIT,Banca: ESAFInstituição: Superintendência de Seguros Privados (SUSEP)Cargo: Analista Técnico da SUSEP - Tecnologia da InformaçãoAno: 2010Questão: 8

As áreas foco da Governança de TI na visão do COBIT são:

(a). Alinhamento Estratégico, Agregação de Valor, Gerenciamento de Riscos, Geren-ciamento de Recursos e Medições de Desempenho.

(b). Alinhamento Estratégico, Medições de Perdas, Gerenciamento de Riscos, Geren-ciamento de Requisitos e Condições de Mercado.

(c). Planejamento Estratégico, Valores de Ativos, Gerenciamento de Pessoas, Agrega-ção de Componentes e Medições de Custos.

(d). Aquisições Estratégicas, Composição de Valor, Gerenciamento de Benefícios, Ge-renciamento de Recursos e Modi�cações de Desempenho.

(e). Alinhamento de Desempenho, Associação de Valores e Benefícios, Gerenciamentode Decisões, Gerenciamento de Perda de Recursos e Medições de Riscos.

Solução:

A Governança de TI surgiu da necessidade da avaliação do valor de TI, do gerenciamentodos riscos relacionados à TI e das crescentes necessidades de controle sobre as informações.Ela integra e institucionaliza boas práticas para garantir que a área de TI da organizaçãosuporte os objetivos de negócios.

Podemos dizer que, quando bem executada, ela habilita a organização a obter todas asvantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades eganhando em poder competitivo.

Mas, para que a Governança de TI seja bem executada é imprescindível que a organiza-ção satisfaça os requisitos de qualidade, guarda e segurança de suas informações, bem comode todos seus bens. Além de assegurar que a organização cumpra estes requisitos e atinjaseus objetivos, os executivos devem também entender o estágio atual de sua arquitetura deTI e decidir que governança e controles ela deve prover.

Muitas responsabilidades, você não acha?

Para facilitar a vida destes executivos, ditando o �o que fazer� e não se preocupando �comofazer�, surgiu o Control Objective for Information and related Technology (CobIT), um fra-mework que fornece as melhores práticas para gerenciamento de processos de TI, atendendoas necessidades de gestão de uma organização, tratando os riscos do negócio, as necessidadesde controle e as métricas de desempenho.

Esse framework serve de suporte à implementação da Governança de TI (Figura 6), provendouma metodologia que assegura as suas 5 (cinco) áreas focos:

• Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e deTI, de�nindo, mantendo e validando a proposta de valor de TI, alinhando as operaçõesde TI com as operações da organização;




• Entrega de valor (Agregação de Valor): é a execução da proposta de valor de ITatravés do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstosna estratégia da organização, concentrado-se em otimizar custos e provendo o valorintrínseco de TI;

• Gestão de recursos: refere-se à melhor utilização possível dos investimentos e oapropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infra-estrutura e pessoas;

• Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientesda corporação, um entendimento claro do apetite de risco da empresa e dos requeri-mentos de conformidade, transparência sobre os riscos signi�cantes para a organizaçãoe inserção do gerenciamento de riscos nas atividades da companhia;

• Medição de desempenho: acompanha e monitora a implementação da estratégia,término do projeto, uso dos recursos, processo de performance e entrega dos serviços,usando, por exemplo, �balanced scorecards� que traduzem as estratégias em ações paraatingir os objetivos, medidos através de processos contábeis convencionais.

São estas as áreas de foco que descrevem os tópicos que os executivos precisam atentar paradirecionar a TI dentro de suas organizações.

Concluímos, assim, que a alternativa A está CORRETA.

Figura 6: áreas de foco na Governança de TI.




Questão Resposta

1 C

2 D

3 B

4 D

5 D

6 A

7 A

8 C

9 C

10 B

11 C

12 E

13 C

14 E

15 D

16 C

17 E

18 E

19 B

20 A

21 E

22 E

23 B

24 D

25 D

26 D

27 A

Página 67 de 67 Handbook de TI Além do Gabarito

Índice Remissivo

Arquitetura Empresarial, 48Atividades-Chaves, 61Auditoria de TI, 37

BDGC, 4BRPM, 4BSD, 4

Catálogo de Serviços, 4Central de Serviços, 4, 29CMMI, 57COBIT, 31, 33, 35, 37, 39, 41, 43, 44, 50, 53,

55, 57, 61CobIT, 65Continual Service Improvement, 9, 12CSF, 44

Diretrizes de Gerenciamento, 44Domínios de Governança, 43, 53

Framework de Zachman, 48

Gerenciamento de Capacidade, 22Gerenciamento de Disponibilidade, 18, 22Gerenciamento de Incidentes, 7, 17, 18, 22Gerenciamento de Mudanças, 18Gerenciamento de Nível de Serviço, 18, 25Gerenciamento de Problemas, 18, 22Gerenciamento de Serviços, 9, 12Gerenciamento de Serviços de Terceiros, 55Gerenciamento Eletrônico de Documentos (GED),

57Governança de TI, 4, 6, 7, 9, 12, 14, 16�18, 25,

31, 33, 35, 37, 39, 41, 43, 44, 48, 50,53, 55, 57, 61, 65

ITIL, 4, 6, 7, 9, 12, 16�18, 22, 25, 29

KGI, 44KPI, 44

Modelo de Maturidade, 44

Organizational Project Management MaturityModel (OPM3), 57

Plano de Continuidade de Negócios, 14Portais Corporativos, 57Princípios de Governança, 41Projeto de Serviço, 25

Requisitos de Negócio, 39

Service Design, 9, 12Service Operation, 9, 12Service Strategy, 9, 12Service Transition, 9, 12Single Point of Contact, 16

68

governança de ti -...

Documents