Académique Documents
Professionnel Documents
Culture Documents
CADERNO DE DEBATES N 10
Governana de TI
Braslia
Outubro de 2010
CADERNO DE DEBATES N 10
Governana de TI
Braslia
Outubro, 2010
Apresentao
Rodrigo Ortiz DAvila Assumpo
Presidente da Dataprev
Sumrio
06
08
12
18
20
26
Desafios e solues
Manuteno da qualidade e segurana de servios em tempos de mudana
Marco Antonio Gonalves da Silva
Diretor Tcnico do Departamento de Segurana e Controle Operacional de TI do
Tribunal de Justia de So Paulo
29
Desafios e solues
possvel demonstrar o retorno do gerenciamento de servios?
Adolpho Chacon
Consultor da Kalendae ITSM
Figura 2
As aes para implementao da governana corporativa envolvem pessoas e comportamentos, e pressupem quebras de paradigmas. importante trilhar o
caminho, independentemente da distncia a ser
percorrida. (Figura 2)
A governana de TI parte integrante da governana
corporativa e tem papel fundamental face crescente
dependncia que as organizaes tm da tecnologia,
para se posicionarem e progredirem em um mercado
cada vez mais competitivo. Sua misso direcionar os
esforos da rea de TI de modo a colocar os resultados
alcanados a servio das empresas, administrando os
riscos inerentes s decises tomadas e priorizando
Profissional com formao em Tecnologia em Processamento de Dados (1980),Gesto de Negcios e Tecnologia da Informao
(2004) e certificao Certificao ITIL Service Management (2008).
Est na rea de TI desde 1977 tendo atuado na maioria das atividades relacionadas rea: programao, desenvolvimento de
sistemas , suporte bsico, suporte a aplicaes e suporte a rede de telecomunicaes e gesto de TI.
Funcionria da Dataprev desde 1989, trabalha atualmente no Departamento de gesto dos servios e ambientes de TI.
Foi presidente da Frente Parlamentar Mista da Micro e Pequena Empresa no Congresso Nacional em 2007 e 2008.
Governana de TI 06
Governana de TI 07
Governana de TI 08
Figura 1
Governana de TI 09
Figura 2
Governana de TI 10
Figura 3
Figura 4
Governana de TI 11
Figura 1
Governana de TI 12
Quanto a parte dos nossos modelos e frameworks de TI. No topo, est o guardachuva COBIT (Control Objectives for Information and Related Technology) qualquer
ao que realizamos deve, de alguma forma, melhorar o nvel de maturidade de
algum processo do COBIT. Se quisermos implantar o ITIL (Information Technology
Infrastructure Library), precisaremos nos perguntar que processo do COBIT ser
melhorado.
Na gesto de riscos, usamos a norma 27005, e estamos nos esforando para ir da
verso 2 para a 3 do ITIL. Em segurana, temos como referncia a ISO 27001. J em
sistemas, temos uma metodologia de desenvolvimento chamada de PSPO (Processo
de Software Padro da Organizao).
Para a arquitetura de TI usamos o modelo do Zachman, baseado em aspectos e
perspectivas. Em verdade, fizemos uma adaptao e trabalhamos nos aspectos com
produo, rede, software, integrao e atendimento. J nas perspectivas definimos
as diretrizes, os modelos tecnolgicos, os modelos de sistema e os modelos de
gesto de cada aspecto. Em suma, desenvolvemos uma matriz em que esto
detalhados os aspectos e as perspectivas.
No nosso modelo tecnolgico podem ser usados sistemas operacionais livres, para
os sistemas de informao de misso no crtica. Nosso esforo no sentido de
manter a arquitetura consolidada e consistente; para no corrermos o risco de
mudana a cada semana em funo de uma ou outra tecnologia que acaba de
desembarcar.
Com a TI, h um complicador: se existe um risco novo, temos uma forma nova de
tratar esse risco? Esse aspecto nos preocupa nos Correios. Felizmente, h um novo
framework de gesto de risco na TI, o Risk IT.
Comeamos a discutir o COBIT em 2004, a partir da demanda de uma auditoria. Em
seguida, a alta administrao percebeu que o COBIT e a governana de TI eram
importantes para atingirmos os objetivos estratgicos. Um motivo a mais para
implantarmos governana de TI nos Correios foi o atendimento ao regulatrio. As
orientaes do TCU (Tribunal de Contas da Unio) constituem as melhores prticas
da rea, principalmente por usarem o COBIT para auditoria.
Entre as iniciativas de governana, certificamos 27 colaboradores com ITIL
Foundation e 31 com COBIT Foundation; contratamos um MBA de governana com a
UNB e 40 colaboradores foram treinados. Criamos uma comunidade de prtica de
governana para debat-la, um comit para discusso de priorizao de desenvolvimento de sistemas, outro de TI-Negcios, e nosso plano de sistemas. Mas o problema da priorizao de sistemas relativos a cada rea persiste.
Para tentar pacificar essa questo, criamos uma metodologia, e j implantamos
quatro gerncias e uma funo do ITIL: incidentes, mudanas, problemas e configurao. Porm, montar um CMDB (Configuration Management Database) atualizado e
completo, de toda a infraestrutura de TI, um imenso desafio.
Em nosso primeiro diagnstico de maturidade COBIT, em 2005, tivemos uma
maturidade igual ou superior da mdia das empresas internacionais do banco de
dados da Isaca (Information Systems Audit and Control Association).
Governana de TI 13
Figura 2
Figura 3
Governana de TI 14
DEBATE
Dataprev: A Dataprev como empresa, cujo cliente
principal o INSS, trabalha com sistemas que so
essencialmente on-line, tratando do atendimento do
segurado na ponta, nas agncias; qualquer incidente
em um dos nossos sistemas gera um transtorno
gigantesco.
Dataprev: Como a Petrobrs gerencia acidentes? Como
os Correios vem essa situao? E a postura do gestor
de TI frente ao negcio, como vista?
Petrobras: Um incidente deve sempre ser registrado na
ferramenta Mentor GSI. Em seguida, um workflow,
dependendo do incidente, leva processos para garantir
servios de Telecom e TI.
O gerenciamento de incidentes sempre submetido
auditoria. Toda nossa prestao de servios est
dentro do framework do ITIL. Ele est aderente at item
por item. E existe um controle maior em termos da viso
de excelncia e em termos de estatsticas mensais no
nosso acompanhamento de processos, na nossa
reunio de anlise crtica de processos e na reunio de
anlise estratgica, porque tanto o Basic Acard quanto
os processos tm seus indicadores acompanhados.
No se trata apenas de um incidente. Dentro dos
processos, temos um acumulo de incidentes, nota-se
na verdade que um problema, e no um incidente.
Ento, temos que resolver o problema, que a causa
dos incidentes.
Correios: A conversa entre TI e Negcio sempre
dificultada em funo do jargo hermtico que caracteriza a rea de TI. Os termos so muitos tcnicos e o
assunto, complexo. Por sua vez, a rea de negcios,
surpresa com as explicaes, responde superficial e
evasivamente, para mais tarde dizer que no era
exatamente isso que eu tinha em mente. Na universidade trabalhamos o assunto em competncias conversacionais.
Uma das solues seria ter uma equipe de analistas de
negcio intermediando TI e Negcio. Mas acabaria
sendo um analista de TI trazendo os vcios de profissional de TI. Existe uma iniciativa de termos uma equipe de
analistas de negcio hospedada nas reas clientes,
convivendo com a equipe, trocando ideias, fazendo
Governana de TI 15
atividade, se uma mudana de funcionalidade suportando o processo deve ocorrer, ou mesmo a criao de
um novo fluxo de atividades. Com os comits, a atuao feita de uma maneira bem mais estratgica,
orientando toda a atividade.
Comits podem, por exemplo, decidir pela introduo
de um nico sistema consolidado de SMS da companhia, como hoje temos sistemas isolados, o SMS no
necessitaria ainda de um sistema integrado. Essa
uma deciso que est sendo discutida no nvel do
comit e no no da comisso.
Com relao TIC, o comit tem um papel diferenciado,
porque aprova o versionamento dos ambientes integrados, ou seja, ele v o todo que preparado nas comisses, e o aprova em um nvel estratgico.
Outra questo que o comit analisa o custo tanto do
investimento quanto do custo total de propriedade de
cada investimento. Usualmente, os projetos tm um
custo de investimento associado, mas h tambm um
custo de manuteno. Ento, o comit avalia os
grandes projetos internos da TIC, por exemplo, a
migrao tcnica do ambiente SAP no decidida por
comisso, mas pela prpria TIC, que submete a questo ao comit de TIC. Questes internas so colocadas
no comit da gesto de TIC. Fundamentalmente,
existem o nvel estratgico e o ttico-operacional.
Dataprev: De que maneira o planejamento permeia os
colaboradores? O que feito para que os colaboradores estejam alinhados ao objetivo final? E como a
governana de TI est reconhecida na questo de SLA,
em cada uma das empresas?
Correios: Em cada nvel, h um responsvel que
responder pelo alcance, ou no, das metas. No caso
dos mapas estratgicos, para cada departamento
existe um plano de trabalho de responsabilidade do
chefe do departamento.
Partindo do plano de trabalho do departamento, chegase ao nvel da avaliao de desempenho do colaborador e das atividades do plano de trabalho do departamento que ele vai realizar. Assim, a qualquer momento
o colaborador sabe qual a importncia dessa atividade,
e o impacto no plano estratgico corporativo.
Por termos planejamento hierrquico, pode-se fazer
top-down ou bottom-up. Atravs do GCR (Gerenciamento de Controle e Resultado), possvel fazer o caminho
de volta e enxergar cada etapa a que o objetivo estrat-
DEBATE
Governana de TI 16
DEBATE
Governana de TI 17
1
Profissional com Bacharelado em Informtica (1999) pela Universidade Federal Fluminense (UFF), MBA em Gerenciamento de
Projetos pela FGV (2005) e Certificao ITIL Foundation V2 (2009).
Atua na rea de TI desde 1995. No perodo de 1995 a 2007 trabalhou na IBM Brasil em atividades de suporte tcnico, gerencia de
projetos na implantao de Outsourcing /Gesto de Servios de TI e como Gerente de Suporte a Banco de Dados/ Sistemas
Operacionais RJ.
Funcionria da Dataprev desde 2007, trabalha atualmente no Departamento de gesto dos servios e ambientes de TI como
Coordenadora da COPG (Coordenao do Programa de Gesto de Servios de TI).
Governana de TI 18
Governana de TI 19
Figura 1
Governana de TI 20
Figura 2
Governana de TI 21
Figura 3
Governana de TI 22
DEBATE
Correios: Vocs comearam com Disponibilidade, e
Incidente veio na segunda etapa. Vocs no sentiram
dificuldade por no ter incidente na primeira etapa?
Dataprev: Em verdade, o incidente j existia. Na
segunda etapa, foi feito na rea de incidente um
aprimoramento utilizando as melhores prticas do
mercado. Por exemplo, no temos uma central nica de
atendimento, porm caminhamos para que as centrais
existentes sejam atendidas de uma maneira nica.
Diretrizes de comunicao e de gerao de relatrios
de incidentes foram aprimoradas na segunda etapa.
No aprimoramento, trabalhamos primeiro a questo de
mudanas.
Correios: Por que no foi citado o SLM (Security Level
Management)?
Dataprev: Na verdade, existe o SLM, mas estvamos
em nveis de servio, focando nos resultados. Apesar
de no termos focalizado o gerenciamento em si,
existe, sim, o gerenciamento em nvel de servio feito
por uma rea especifica.
Correios: Assim vocs criam as bases da futura gerncia no nvel de servio.
Dataprev: Exatamente
Correios: A atualizao do BDGC (Banco de Dados de
Gerenciamento de Configurao) autorizada por
mudana. H alguma dificuldade em atualizar devido
mudana?
Dataprev: Em um processo de BDGC, a base da atualizao atravs da rea de mudana. Porm, sabemos
que mexer na cultura dizer o que estamos fazendo
quando desligamos uma mquina, por exemplo
uma mudana muito grande.
O processo de mudana no est atingindo todos os
lados, hoje, mas muitas outras organizaes do BDGC
acontecem a partir da requisio de mudanas,
atravs de uma anlise. H um trabalho muito forte no
sentido de tentar mapear as entradas dos itens de
configurao na empresa, de hardware a software,
para garantir que o que j povoamos no banco de
Governana de TI 23
DEBATE
Governana de TI 24
racionamento de energia. Por ter sido chefe de gabinete da presidncia, sabia que havia problemas na rea
de TI, quando fui para a empresa. Conversei com as
pessoas-chave da rea de TI, e, ainda que existissem
problemas de tecnologia, de infraestrutura, de sistemas, na camada cliente, o principal deles era na gesto
de pessoas.
Diagnstico feito, tirei os 3 gerentes de departamento,
porque os gerentes so responsveis pelo que acontece na rea. Contratei um consultor para me ajudar a
formar uma equipe verdadeira, que tivesse unidade,
viso em comum, para resgatar a confiana.
Antes de agir, ouvamos opinies, as pessoas diziam o
que achavam, e em muitas vezes a responsabilidade
dos problemas ia para quem se achava absolutamente
inocente. Houve, ento, um aumento do nvel de
conscincia em relao s atitudes, s decises; criouse uma empatia com o outro, porque tudo era colocado
com confiana e de forma bastante aberta, formando
um corpo.
A partir de ento, comeamos a trabalhar com os
nossos coordenadores de clula, que tinham uma
DEBATE
Governana de TI 25
Desafios e solues
Governana de TI 26
Desafios e solues
Marco Antonio Gonalves da Silva
Figura 1
Figura 2
Governana de TI 27
Desafios e solues
Marco Antonio Gonalves da Silva
Governana de TI 28
Desafios e solues
Governana de TI 29
Desafios e solues
Adolpho Chacon
Governana de TI 30
Desafios e solues
Adolpho Chacon
Implantamos um processo de
gerenciamento de mudanas, um
processo de gerenciamento de
incidentes, um de gerenciamento
de problemas. E as perguntas que
vamos responder para a governana so: quantos incidentes existem? H em e-mail? Qual o tempo
mdio de soluo? Quantos
problemas h em e-mail? Como
est o status da investigao?
Quantos erros j foram identificados? Quantas mudanas h em email?
Figura 1
Governana de TI 31
Desafios e solues
Adolpho Chacon
O ciclo PDCA vai fazer com que planejemos o prximo ciclo de gerenciamento de
mudana. Qual o objetivo? Aumentar o sucesso das mudanas em 20% e reduzir o
total de mudanas emergenciais em 10% em trs meses. Preparamos o processo,
executamos, medimos e corrigimos; fazemos o prximo ciclo, e assim sucessivamente.
proporo que o tempo passa, o que vai acontecendo? Comeamos a perceber o
valor para o negcio. Maturidade. A situao comea a melhorar. Ento, temos que
apurar e divulgar o resultado se no o mostrarmos, ningum o ver, e continuaremos a s ser percebidos quando h falha , e, em seguida, gerar os indicadores.
Houve um momento em que dissemos quele CIO que daramos, em prazo muito
curto, um resultado substancial trabalhando por meta e objetivo. Trs meses depois,
ele nos ligou dizendo que tnhamos feito muito por sua carreira, que havia mostrado o
resultado para o vice-presidente, que por sua vez disse que era tudo por que sempre
esperou e que sempre quis. Mas, de fato, o que ele queria? Informao para tomar
deciso. S isso.
Se resumssemos governana, uma boa definio seria: produzir informaes para a
tomada de deciso. O controle passa a ser estabelecido, para que possam dizer: se
est assim, vamos colocar gerenciamento de segurana da informao; vamos
aumentar o poder do gerenciamento de mudana; precisamos resolver mais rapidamente etc. E possam tambm definir, ou redefinir, as metas e mtricas.
Temos que produzir um ciclo de indicadores para poder melhorar; ento, como os
demonstramos? O que so exemplos de indicadores? O mesmo CIO de outrora nos
disse que precisava reduzir o custo operacional, aumentar a produtividade e ter mais
disponibilidade.
Hoje, ele diz que o sistema muitas vezes para, h muita manuteno e quebra. Ento,
precisamos aumentar a disponibilidade para indicar para o negcio a nodisponibilidade. Se a disponibilidade de 98%, os 2% indisponveis podem representar 20 paradas ao ms, e at US$ 2 milhes, afinal, temos que medir tambm pela
perspectiva financeira.
No nvel ttico, faremos, em processos, melhorias no gerenciamento do servio de TI.
Vamos apurar um conjunto de indicadores que mostraro como estamos agindo e
reagindo melhor quando determinadas situaes acontecem. Do outro lado, melhorias na atuao de um Service Desk, que era um problema relacionado a aumentar a
produtividade. O aumento da soluo no primeiro nvel de suporte significa que o
Service Desk melhorou. Por qu? Porque o objetivo do processo de gerenciamento de
incidentes restabelecer a operao normal do servio o mais rpido possvel.
Em gerenciamento de incidentes, medimos o tempo mdio de soluo; j em gerenciamento de problemas, a reduo da quantidade de problemas. Sendo que um
problema a causa desconhecida de um ou mais incidentes. Temos mil incidentes
por ms, e 30 situaes das quais no sabemos as causas, mas vamos investig-las.
Temos um problema que permite melhoria e correo. Se atingirmos os objetivos,
podemos gerar indicador do aperfeioamento do processo. E assim vem a maturidade, vem a governana.
O servidor ficou meia hora fora do ar e deixamos de vender cem seguros, por exemplo. O indicador financeiro apontou a perda potencial de trinta mil dinheiros. O que
estabelecemos para o prximo ms? A mesma mtrica por servio.
Governana de TI 32
Desafios e solues
Adolpho Chacon
Governana de TI 33
Desafios e solues
DEBATE
Dataprev: Com relao s auditorias feitas no ambiente
e as vulnerabilidades apresentadas, apesar de identificar o problema, gera-se uma carga de trabalho muitas
vezes descontrolada, expondo a organizao. Se mal
controlado, pode ser um problema muito grande a ser
administrado dentro da organizao. Como vocs
lidaram com essa situao?
TJ/SP: Estamos iniciando o processo de segurana da
informao, comeando pela poltica de segurana,
pelas normas, pela conscientizao dos usurios. Fora
isso, estamos em um processo de aquisio de ferramentas de segurana para podermos fazer a anlise da
nossa rede de computadores, fazer a anlise das
estaes de trabalho.
Existem vrias ferramentas de anlise de vulnerabilidades que faro acessos em, vamos supor, IPs, ranges
determinados de equipamentos para saber que tipo de
vulnerabilidade esse equipamento tem.
Uma ferramenta primordial seria o Active Directory, da
Microsoft, mas seria um servio de diretrio instalado
em cada estao de trabalho. E, na parte de gesto de
segurana, de verificao, seria o SOC (Security
Operation Center), que captura todas as informaes
que as ferramentas disponibilizam do nosso ambiente,
e, atravs de uma ferramenta de correlao de eventos, traduz e gera informaes sobre onde atuar ou
onde h um ponto de falha.
Governana de TI 34
Desafios e solues
DEBATE
Algo surge desses indicadores, e comeamos a perceber realmente aquela questo de eficincia, eficcia,
controle e conformidade.
Dataprev: Acho que estamos discutindo governana
com as pessoas erradas. Governana de TI no de TI,
governana do negcio. Deveramos ver os requisitos.
Quando estivermos avanando gerncia de servios,
comeando a alinhar a tecnologia no negcio, nossos
clientes vo ser gerentes de contrato, gerentes financeiros, diretoria de alto nvel que pensa estrategicamente.
Quais so os fatores crticos de sucesso? Em que
momento a tecnologia est tocando nesses fatores
crticos? Quais so as mtricas? Tenho um modelo que
calcula a perda financeira de uma mudana. Por
exemplo, ele me diz que estamos perdendo R$ 20 mil.
Estou na Dataprev, temos uma rea de infraestrutura e
outra de custos que disse: somos uma empresa
pblica, de tecnologia, no trabalhamos com fluxo de
caixa, que considerado no modelo. E levantou N
variveis que so as que esto hoje descoladas da
tecnologia. So eles que medem risco, que fazem
projeo.
Atualmente, estamos interagindo com o pessoal da
qualidade e do desenvolvimento, tocando em questes
de riscos tcnicos de desenvolvimento, mas temos
uma misso: nas prximas aes que envolvam
efetivamente governana, trazer pessoas para dar seu
posicionamento, tirar dvidas, dialogar.
Dataprev: Fica claro que, na verdade, a governana de
TI um processo, que avana de acordo com a cultura
da organizao. E sempre h por onde avanar.
Governana de TI 35
www.dataprev.gov.br
Dataprev
Ministrio da
Previdncia Social
Governo Federal