governança em ti

52
1

Upload: fernando-galdino

Post on 11-Jun-2015

2.736 views

Category:

Technology


6 download

DESCRIPTION

Apresentação realizada para alunos da faculdade Veris em Campinas em outubro/2009

TRANSCRIPT

Page 1: Governança em TI

1

Page 2: Governança em TI

<Insert Picture Here>

Governança em TI

Fernando de Almeida Galdino, Sr Sales Consultant

[email protected] | http://blogs.oracle.com/galdino

outubro-2009

Page 3: Governança em TI

Agenda

• Governança, Risco e Conformidade

• Frameworks de governança

• Conclusão

3

Fornecer uma visão inicial sobre

governança e de alguns frameworks em uso no

mercado.

Page 4: Governança em TI

<Insert Picture Here>

G overnança

R isco

C onformidade

4

C onformidade

Page 5: Governança em TI

O que é Governança em TI?

• Governança em TI consiste de liderança, estruturas organizacionais e processos que garantem que a área de TI da empresa sustente e extenda as estratégias e objetivos organizacionais.

5

• Aspectos comuns:• Alinhamento com a área de negócios

• Conformidade com requisitos regulatórios

• Controlar custos de TI

• Melhorar tempo de entrega de projetos em TI

• Aumentar segurança da informação

Page 6: Governança em TI

Frameworks e recursos para TI

• TOGAF – The Open Group Architecture

• John Zachman Architectural Framework

• FEAF – Federal Enterprise Architectural Framework

• DODAF – Department of Defense Architectural Framework

6

Framework

• COBIT – Control Objectives for Information and Related Technology

• ITIL – IT Infrastructure Library

Page 7: Governança em TI

Restabelecendo confiançaAcionistas e consumidores demandam mais transparência e menos risco

CONSUMIDORES E EMPREGADOS

• Proteger informações pessoais• Menor risco em produtos e serviços• Responsabilidade social e ambiental

ACIONISTAS

• Níveis crescentes de atividades

Source: Mckinsey, 2007

O que eles querem…Uma pesquisa com consumidores globais mostra que a confiança em líderes de negócio caiu 28% em 2006, abaixo dos 36% no pico dos escandalos corporativos em 2002. Source: Mckinsey, 2007

7

• Níveis crescentes de atividades• Participar mais das votações sobre pagamentos dos executivos e seleção de

diretores

• Poder crescente de investidores individuais e fundos de investimento

DIRETORES

• Saber quais áreas requerem maior visibilidade devido a riscos diversos

Source: Economist, 2007

Source: Mckinsey, 2006

Page 8: Governança em TI

Prevenção custa menos

Source: Lord & Benoit, 2006

Performance de preço das ações de empresas em conformidade com

regras do SOX����28%

����26%

����6%Control weakness in 2004, but none

in 2005

No control weaknesses in 2004 -05

Reported control weakness 2004-05

Proteção da informação custa menos que perdas

Source: Gartner, 2005

Investimento em segurança

Custo de perda de dados

$6$90

8

Economia de acordo com investimentos em conformidades

Source: General Counsel Roundtable, 2006

Investimento em conformidade

Economia em menor responsabilidade legal $1

$5# of GRC projects

Ad hocApproach

PlatformApproach

Resources for innovation

Custo de oportunidade - GRC

Cost of GRC

Page 9: Governança em TI

70%

Papel de TI em reconstruir confiançaA necessidade de Governança em TI

Segurança

70%

The Ponemon Institute indica que

De todas as falhas de segurança foram devido ao pessoal

Estratégia

69% Conformidade

Maioria dos 400 diretores pesquisados reconhecem que a estratégia certa de TI é muito importante para:

Controle

“Mais que 80% dos grupos de TI podem ser incapazes de satisfazer muitas das leis e regulações, (…), que requerem mudanças em trilhas de auditoria e

Gartner avise que

9

Source: Ponemon Institute, 2005

pessoal interno

66%

57%

Satisfaçãodo cliente

Gerenciarriscos

Source: Corporate Board Member/ Deloitte Consulting, March 2007

2%2%Quando uma empresa anuncia um problema de segurança, ó preço da ação pode cair em

Source: Gartner, 2005

requerem mudanças em trilhas de auditoria e responsabilidade sobre itens de configuração de materiais.”

Page 10: Governança em TI

Governança em TI está amadurecendoDisciplina de governança em TI está em sua adolescência

“CEO e CIO em geral registram 20%

21%

26%

11%

Defined

Repeatable

Ad hoc

Non-existent

“Governança em TI ainda está muito associada com controle ou conformidade.”

10

“CEO e CIO em geral registram um baixo nível de maturidade em compreender a governança de TI em sua totalidade.”

Source: PWC, IT Governance Institute 2006

4%

14%

0% 5% 10% 15% 20% 25% 30%

Optimised

Managed

Page 11: Governança em TI

Governança de TI na práticaEmpresas enfatizam controle e conformidade

50% de 1.000 executivos pesquisados disseram que TI é a área mais desafiante para se objter conformidada com Sarbanes-Oxley 404.

42% dos colaboradores em TI acreditam que suas empresas não possuem as ferramentas de segurança ou controles internos necessários para prevenir, detectar e corrigir brechas de segurança nos dados. Source: Ponemon Institute, 2007

Gerenciamento IT GRC Proteção da

Source: KPMG 404 Institute, 2006

11

Gerenciamento de configuração e de mudanças

IT GRC Management

Proteção da informação na

prática

‘Falta de visão para fazer mudanças em aplicações’ e ‘Falta de entendimento das configurações principais das aplicação’ está entre as cinco principais fraquezas citadas.

Source: IT Service Management Forum, 2005

Page 12: Governança em TI

Alguns tópicos importantes quando

falamos de Governança em TI

• Proteção da informação

• Privacidade

• Controle de acesso aos sistemas

• Auditoria

• Relatórios

12

• Relatórios

• Infraestrutura

• Desenvolvimento de projetos

• Manutenção dos sistemas, ….

Page 13: Governança em TI

O desenvolvimento de sistemas é uma

grande preocupação

• Metodologias de desenvolvimento de sistemas• Oracle Unified Method• RUP (IBM)• OpenUP (Eclipse)• UP• XP

13

• XP• outras metodologias ágeis

• Metodologias para gerenciamento de projetos• Project Management – PMI• Scrum

• Maturidade no desenvolvimento de sistemas• CMMI

Page 14: Governança em TI

<Insert Picture Here>

COBIT

14

Page 15: Governança em TI

O que é COBIT?

COBIT

Contempla processos em TI, framework de controle e alinhamento com requisitos de negócios, com adição de guias de gerenciamento. COBIT tem sido usado como um

15

COBIT COBIT tem sido usado como um framework de gerenciamento provendo ferramentas de gerenciamento, tais como métricas e modelos de maturidade. A versão atual é COBIT 4.1, liberada em 2007.

Page 16: Governança em TI

Explicando melhor, o que é COBIT?

� Um framework de governança para TI

◦ Fortalece o espaço entre:

� Requisitos de controle

� Problemas técnicos

� Riscos de negócio

◦ Permite

16

◦ Permite

� Desenvolvimento de políticas claras

� Boa prática

◦ Ênfase em conformidade com objetivos regulatórios

◦ Obter maior valor da área de TI

◦ Alinhamento

◦ Simplifica implementação

Page 17: Governança em TI

Dentre os benefícios do COBIT, temos

responsabilidade e propriedade

• Uma vantagem do COBIT é termos a estrutura de responsabilidade para os subprocessos e seus passos.• Responsible

• Accountable

17

• Consulted

• Informed

Page 18: Governança em TI

Gerenciamento e alinhamento

18

Page 19: Governança em TI

Fronteiras entre controles gerais, de

negócio e de recursos

19

Page 20: Governança em TI

COBIT Cube

20

Page 21: Governança em TI

RACI ChartsPlan and Organize

Plan and OrganizeResponsible Accountable Consult Inform

PO1 Define a Strategic IT Plan and

direction X

PO2 Define the Information

Architecture X X

PO3 Determine Technological

Direction X X

Define the IT Processes, X

21

PO4 Define the IT Processes,

Organization and Relationships

PO5 Manage the IT Investment X

PO6 Communicate Management Aims

and Direction

X

PO7 Manage IT Human Resources X

PO8 Manage Quality X

PO9 Assess and Manage IT Risks X X

PO10 Manage Projects X

Page 22: Governança em TI

Acquire and implement

Acquire and Implement Responsible Accountable Consult Inform

AI1Identify Automated

SolutionsX X

AI2Acquire and Maintain Application Software

X X X

AI3Acquire and Maintain

X X X

22

AI3Acquire and Maintain

Technology InfrastructureX X X

AI4 Enable Operation and Use X X X

AI5 Procure IT Resources X X X

AI6 Manage Changes X

AI7Install and Accredit

Solutions and ChangesX

Page 23: Governança em TI

Deliver and support

Deliver and Support Responsible Accountable Consult Inform

DS1 Define and Manage Service Levels X X

DS2 Manage Third-party Services X X

DS3 Manage Performance and Capacity X X X

DS4 Ensure Continuous Service X X XDS5 Ensure Systems Security X X X

23

DS5 Ensure Systems Security X X X

DS6 Identify and Allocate Costs X

DS7 Educate and Train Users X

DS8 Manage Service Desk and Incidents X

DS9 Manage the Configuration XDS10 Manage Problems XDS11 Manage Data X

DS12 Manage the Physical Environment X X

DS13 Manage Operations X

Page 24: Governança em TI

Monitor and Evaluate IT Processes

Monitor and Evaluate IT Processes Responsible Accountable Consult Inform

ME1Monitor and Evaluate IT

ProcessesX X

ME2Monitor and Evaluate Internal

ControlX X

24

ME3 Ensure Regulatory Compliance X X

ME4 Provide IT Governance X

Page 25: Governança em TI

Nível de maturidade

25

P01 – Define a Strategic IT Plan and Direction

Page 26: Governança em TI

<Insert Picture Here>

ITIL

26

Page 27: Governança em TI

O que é ITIL?

ITIL v3

É a abordagem de gerenciamento de serviços em TI mais largamente aceita e adotada no mundo. Na versão atual, 27 processos detalhados organizados

27

ITIL v327 processos detalhados organizados em cinco processos de alto nível que levam a uma função: gerenciamento efetivo de serviços de TI.

Page 28: Governança em TI

• ITIL Stands for

• Information• Technology• Infrastructure• Library

De novo, o que é ITIL?

28

• Library• Desenvolvimento

• Década de 80• Desenvolvido como um framework• Iniciou como um guia para o governo da Inglaterra• Desenvolvido inicialmente para Gerenciamento de

Serviços de TI

Page 29: Governança em TI

A versão atual do ITIL é a v3

• ITIL V1• Não foi largamente utilizado• Desenvolvido pelo governo inglês

• ITIL V2• Largamente utilizado• Muito popular em grandes organizações

29

• Muito popular em grandes organizações• ITIL V3

• Liberado em maio-2007• Ciclo de vida muito recente• Mais estratégico na abordagem

Os próximos slides

referem-se ao ITIL v2

Page 30: Governança em TI

TI como serviço

Antes Agora

Mentalidade departamental Mentalidade de serviços

Atitude do empregado Atitude do fornecedor

Foco interno Foco no cliente

30

Foco interno Foco no cliente

Foco técnico Foco no cliente

Custo orçamentado Custo gerenciado

Tecnologia por tecnologia Tecnologia como um meio de obter vantagem competitiva

Atitude departamental Atitude tendo em vista o negócio

Page 31: Governança em TI

O framework ITIL

31

Page 32: Governança em TI

Gerenciamento de serviços

• Gerenciar a infraestrutura de serviços

• Método de gerenciar o serviço• Com qualidade• Custo

• Objetivos de negócio• Suportar requisitos de curto e longo prazo

32

• Gerenciamento de serviços• Medir• Controlar• Gerenciar

• Perspectiva de processo

Page 33: Governança em TI

Service Desk

• Um único ponto de contato para• Resolução de problemas

• Acompanhamento de requisições

• Disponibilidade de serviços

• Restauração

33

Page 34: Governança em TI

Service Support

• Incident Management

• Problem Management

• Configuration Management

• Change Management

• Release Management

34

• Release Management

Page 35: Governança em TI

Service Delivery

• Service Delivery é o framework que governa Service Support

• Service Delivery gerencia os seguintes aspectos:• Quais serviços?

• Quais níveis de serviço?

35

• Quais níveis de serviço?

• Quais níveis de disponibilidade?

• Qual o custo?

• Quais os níveis de capacidade?

Page 36: Governança em TI

<Insert Picture Here>

SOX

36

Page 37: Governança em TI

O que é SOX?

SOX

• Em decorrência dos escândalos financeiros em grandes companhias da lista Fortune 100 em 2001, o Congresso regulamentou o Sarbanes-Oxley Act of 2002, que regulamenta como companhias públicas devem relatar suas

37

SOXcompanhias públicas devem relatar suas finanças.

• Os requisitos do SOX não variam de acordo com o tamanho da companhia. Os desafios são os mesmos para todas as empresas.

Page 38: Governança em TI

Framework COSO

38COSO Internal Controls – Integrated Framework

Page 39: Governança em TI

<Insert Picture Here>

The Open Group

Architecture Framework

TOGAF

39

TOGAF

Page 40: Governança em TI

O que é TOGAF?

TOGAF

Objetiva o desenvolvimento de uma arquitetura corporativa através de métodos detalhados e ferramentas de suporte.

40

TOGAF e ferramentas de suporte. Desenvolvido por membros do The Open Group. TOGAF existe desde 1995, baseado na primeira versão do DODAF.

Page 41: Governança em TI

De novo, alinhamento é muito

importante

41

Page 42: Governança em TI

• The Open Group Architecture Framework

• Um framework arquitetural – um conjunto de métodos e ferramentas para desenvolver uma grande variedade de diferentes arquiteturas para TI

• Permite que usuários de TI

42

• Permite que usuários de TI• projetem,

• avaliem,

• construam a arquitetura certa para a organização,

• reduzam os custos de planejamento e projeto

• implementem arquiteturas baseadas em soluções de sistemas abertos

Page 43: Governança em TI

TOGAF Architecture Continuum

43

• Um comparativo com termos utilizados pela Oracle …

SOAReference

Architecture

SOAReference

Architecture

SOA SecurityArchitecture

SOA SecurityArchitecture

SOA InfrastructureArchitecture

SOA InfrastructureArchitecture

SOA Service LayersArchitecture

SOA Service LayersArchitecture

SOA ManagementSOA Management

e.g. SOA forTelecom

Architecture

fromTMF

e.g. SOA forTelecom

Architecture

fromTMF

e.g. SystemRationalisation

Architecturefor Vodafone

e.g. SystemRationalisation

Architecturefor Vodafone

Page 44: Governança em TI

TOGAF Technical Reference Model

• Exposição das capacidades de TI em uma API suportando a implementação de

44

aplicações

Page 45: Governança em TI

<Insert Picture Here>

Certificações disponíveis

45

Page 46: Governança em TI

Certificações disponíveis

• ITIL v3• Diversos recursos na web

• Não é difícil

• Pode ser útil para acelerar a carreira

• COBIT

46

• COBIT• Ter COBIT é um bônus

• É um pouco mais difícil que ITIL

Page 47: Governança em TI

<Insert Picture Here>

Oracle e Governança

47

Page 48: Governança em TI

Alguns desafios encontrados

• Ausência de ferramentas ou infraestrutura

• Proliferação de padrões• Conformidade a padrões• Relacionamento TI-Negócios• Múltiplos silos de

desenvolvimento

• Maturidade de padrões• Desorganização de serviços• Desorganização no registro• Gerenciamento de portfolio• “Right-Click Architecture”• Mudança de cultura• Gerenciamento de mudanças

48

• Ausência de melhores práticas• Atrito organizacional• Prioridades mal definidas• Decisões corporativas X LOB• Ausência de Roadmaps• Investimento• Modelos de custo• Ausência de abordagem

apropriada para serviços

• Gerenciamento de mudanças• Ausência de processos operacionais

apropriados• Ausência de habilidades e experiência• Propaganda x Realidade• Acompanhar e comunicar progresso• Imposição de políticas (automatizadas

ou manual)• Implementação frágil de sistemas

Page 49: Governança em TI

Oracle está no quadrante dos líderes

no Quadrante Mágico Gartner

49

Page 50: Governança em TI

Gerenciamento do ecossistema OracleAberto e extensível

MiddlewareMiddleware

Oracle Enterprise Manager Oracle Enterprise Manager

• Check Point Firewall

• Juniper Netscreen

Firewall

OperatingOperatingSystemsSystems

Virtual ServersVirtual Servers

• Oracle VM

• VMWare

• Oracle Fusion Mware.

NetworkNetworkApplicationsApplications

• Oracle Applications

• Oracle Beehive

• Oracle Comm & BRM

Se

rvic

e D

es

k C

on

ne

cto

rsS

erv

ice

De

sk

Co

nn

ec

tors

Re

me

dy, H

P, S

ieb

el, P

eo

ple

So

ftR

em

ed

y, H

P, S

ieb

el, P

eo

ple

So

ftE

ve

nt

Co

nn

ec

tors

Eve

nt

Co

nn

ec

tors

Mic

ros

oft

, H

P, IB

M

Mic

ros

oft

, H

P, IB

M

50

DatabasesDatabases

• Oracle Database• Oracle Exadata• Oracle TimesTen• IBM DB2 • MS SQL Server• MySQL• Sybase

StorageStorage

Firewall

• F5 BIG-IP

• Nortel Alteon Switch

• NetApp Filer

• EMC Celerra,

Clariion, Symmetrix

• Pillar Axiom

• Onaro SANScreen

SystemsSystems

ServersServers

• Dell PowerEdge

• Dell Change Auto.

• Oracle EnterpriseLinux

• All Unix

• Microsoft

• MVS

• Oracle WebLogic

• IBM WebSphere

• MS .NET

• MS BizTalk Server

• MS IIS

• MS Commerce Server

• MS ISA Server

• MS Active Directory

• JBoss AS

• IBM MQ Series

• Citrix Pres. Server

• Blue Lane PatchPoint

• Apache Tomcat

• Oracle Comm & BRM

• Microsoft Exchange

Se

rvic

e D

es

k C

on

ne

cto

rsS

erv

ice

De

sk

Co

nn

ec

tors

Re

me

dy, H

P, S

ieb

el, P

eo

ple

So

ftR

em

ed

y, H

P, S

ieb

el, P

eo

ple

So

ftE

ve

nt

Co

nn

ec

tors

Eve

nt

Co

nn

ec

tors

Mic

ros

oft

, H

P, IB

M

Mic

ros

oft

, H

P, IB

M

Page 51: Governança em TI

Empacotamento

DatabaseDatabaseControl*Control*

FusionFusionMiddleware Middleware

Control*Control*

GridGridControlControl

EnterpriseEnterpriseManagerManager

51

DatabaseDatabasePacksPacks

FusionFusionMiddlewareMiddleware

PacksPacks

DBDBPacksPacks

FMWFMWPacksPacks

AppsAppsPacksPacks

StandStandAloneAlonePacksPacks

PlugPlug--InsIns

* * -- Empacotado e entregue com Banco de Dados e Fusion Middleware respectivamenteEmpacotado e entregue com Banco de Dados e Fusion Middleware respectivamente

Page 52: Governança em TI

Saiba mais…

• Whitepapers • Webcasts• Buyers Guides• Analyst Reports• Case Studies

http://search.oracle.comgovernance

52

• Case Studies

• Podcasts

• Technical Information & Forums• http://www.oracle.com/technology/products