Cadastre-se

CADASTRO

Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.

Ao informar meus dados, eu concordo com a Política de Privacidade

ReCaptcha
Entrar
Escola Superior de Redes

Governança de TI

  • Privacidade e ética no uso de dados
    Governança de TI

    Por que uma empresa deve se preocupar com privacidade e ética no uso de dados e qual o papel do profissional de TI nesse cenário?

    Para os profissionais de TI, assuntos como gestão de riscos da informação, privacidade e ética no uso de dados não são novidade. Entretanto, com o desenvolvimento de outras pautas relevantes, como a da implementação da LGPD e a transformação digital acelerada,  principalmente em decorrência da pandemia, dominar esses conceitos passou a ser cada vez mais necessário nas carreiras da área, com significativo impacto na rotina das organizações. Empresas que possuem bases estruturadas de privacidade e ética de dados, tendo a tecnologia da informação como parceira, usufruem de uma série de benefícios em relação àquelas que não se preparam para o novo cenário digital, que conta, sobretudo, com usuários mais atentos a como os negócios utilizam suas informações. “Afinal, o que fazem com meus dados?”.  Além disso, com o aumento exponencial do mercado digital nos últimos anos e com a forte migração das transações e relações sociais/cotidianas para a nuvem, os cibercrimes também têm a oportunidade de expandir e se sofisticar. Segundo o Relatório de Defesa Digital da Microsoft, entre julho de 2022 e junho de 2023, os ciberataques atingiram 120 países, com a sintetização de cerca de 65 trilhões de sinais por dia. O estudo ainda aponta, em média, 4 mil ameaças de autenticação de identidade bloqueadas por segundo somente no último ano. Ou seja, privacidade, ética e adequação no uso de dados, além de campos em ascensão na TI, são a demanda do presente e do futuro dentro das empresas. Nessa perspectiva, o aprimoramento de tecnologias emergentes, tal qual a inteligência artificial (IA), junto com a especialização humana, surge como uma alternativa para enfrentar desafios cada vez mais complexos.  “A inteligência artificial será um componente crítico da defesa bem-sucedida. Nos próximos anos, a inovação na defesa cibernética baseada em IA ajudará a reverter a atual onda crescente de ataques cibernéticos”, ressalta Tom Burt, vice-presidente corporativo de segurança e confiança do cliente da Microsoft, na quarta edição do relatório anual citado anteriormente.  É importante destacar também que, embora a IA possa ser um mecanismo de auxílio ao combate do universo do cibercrime, todas as demais tecnologias carregam consigo dilemas éticos que devem ser observados com cautela.  Continue esta leitura conosco e descubra como se tornar um expert em privacidade, ética no uso de dados e segurança da informação.  Por que é importante que empresas e profissionais de TI se especializem em privacidade e ética no uso de dados? Ter um olhar cuidadoso para a privacidade e ética no uso das tecnologias, sobretudo as relacionadas com o tratamento de dados, é uma demanda urgente dos negócios.  As novas dinâmicas sociais, que se destacaram com a transformação digital acelerada pela pandemia de Covid-19, não só exigem um posicionamento das organizações diante do uso da cadeia de dados, como enfraquecem empreendimentos que combatem a aplicação de políticas de transparência em suas operações.  A partir de 2020 e da necessidade de distanciamento social, a digitalização das empresas e das transações cresceu de forma exponencial. De acordo com a 33ª edição da Pesquisa Anual sobre o Mercado Brasileiro de TI e Uso nas Empresas, divulgada pela FGV, por exemplo, a antecipação do processo de transformação digital por causa dos contornos da crise sanitária foi o equivalente ao esperado para o período de um a quatro anos. Na época, computadores, notebooks, tablets e smartphones superaram, somados, a expressiva marca de 447 milhões de unidades no país. Ou seja, a demanda por redes e soluções digitais cresceu. Com isso, foi preciso viabilizar novos modelos de negócios, einvestir em TI nas empresas representou uma das alternativas para fazer isso.  Diante de tantas mudanças, as empresas passaram a ser cada vez mais confrontadas com a demanda de adaptação a uma política de uso e tratamento de dados adequado. Afinal, eles apresentavam-se em quantidades inéditas e impressionantes.  Assim, ao optarem por caminhar com as transformações do contexto, priorizando processos, ações, planejamento estratégico e indicadores voltados para a ética, a transparência e a proteção de dados, as empresas gozam de inúmeras vantagens, como:  Além dos benefícios previamente mencionados, o reconhecimento e a ênfase na privacidade e ética na segurança da informação resultam na preservação de ativos valiosos dos negócios, tanto internos quanto externos, mitigando gastos com redução de danos e respostas a incidentes. Nesse contexto, torna-se indispensável contar com setores de TI altamente sistematizados e focados no contínuo desenvolvimento dos princípios de segurança da informação e em sua diferenciação entre privacidade e proteção de dados.  ❗Você também pode gostar – Cloud storage: o que é e qual sua importância para o cenário de dados atual? Qual a diferença prática entre privacidade, proteção de dados e segurança da informação? Ao nos aprofundarmos na essência da “privacidade, proteção de dados e segurança da informação”, é crucial que compreendamos como esses conceitos se entrelaçam e, ao mesmo tempo, se distinguem em práticas cotidianas da TI. A privacidade, como destacado anteriormente, associa-se aos direitos individuais em um mundo digital, tendo a LGPD (no Brasil) como sua lei guardiã. Imagine-a como a fronteira que permite aos usuários determinar quem pode acessar suas informações e como elas podem ser utilizadas. No contexto corporativo, respeitar a privacidade implica estabelecer políticas claras e transparentes, que informam aos usuários como suas informações serão tratadas. Enquanto isso, a proteção de dados materializa os princípios de privacidade, envolvendo a implementação de medidas técnicas e organizacionais para garantir a segurança dessas informações sensíveis. É o caso, por exemplo, da criptografia, de controles de acesso rigorosos e das políticas de retenção de dados, que refletem o compromisso com a integridade e a confidencialidade. Por fim, a segurança da informação assume o papel de um escudo que protege não apenas os dados, mas toda a infraestrutura digital, sendo, por isso, tão fundamental nas empresas. Ela abrange controles como firewall, detecção de intrusões e gestão de risco e continuidade, para garantir a constância operacional e a resistência a ataques que possam comprometer não apenas informações, mas o funcionamento da organização. O entendimento prático desses conceitos contribui para a construção de uma abordagem holística em TI.   Seja para fornecer suporte eficaz aos usuários em suas necessidades de privacidade e proteção de dados, seja para resguardar os ativos mais preciosos de uma empresa, o profissional de TI desempenha um papel estratégico, sendo o responsável por perfectibilizar as ações e políticas de proteção e por estruturar uma segurança da informação eficiente.  E como identificar a efetividade da segurança da informação de um negócio? É o que vamos destrinchar agora.   ❗Você também pode gostar – Governança corporativa: princípios e boas práticas para adotar em 2024.  O que é segurança da informação e para que serve? Detalhando o que conversamos anteriormente, “segurança da informação” refere-se ao conjunto de ferramentas e estratégias digitais que garantam a seguridade dos dados de uma empresa no mundo virtual. Portanto, são as maneiras ou ferramentas encontradas para minimizar os riscos de ameaças digitais, além de estratégias para garantir a plena vida dos dados de uma organização sem que estes sofram influências externas, como vírus, invasões e outras diferentes formas de ataques de cibercriminosos. Para isso, ou seja, para uma boa segurança da informação e um resguardo de dados eficiente, tais articulações se valem de alguns pilares essenciais, que você confere logo abaixo. 5 conceitos-chave da segurança da informação De acordo com a norma 27.022/2022, existem conceitos preponderantes da segurança da informação que articulam a proteção de dados e ativos. São eles:  1) Confidencialidade        Quando se fala em segurança da informação, é preciso pensar que ela está associada à confidencialidade como pilar desenvolvedor. De forma prática, é a garantia de que somente os agentes autorizados terão acesso aos dados institucionais. 2) Disponibilidade Significa dizer que os dados devem estar disponíveis de acordo com a necessidade. Sempre que ela existir, deve ser possível acessá-los. 3) Integridade A integridade pode ser compreendida como um tipo de certificação que assegura que uma informação, uma vez armazenada, não poderá sofrer nenhum tipo de alteração. É a garantia de que os dados não são corrompíveis.  4) AutenticidadeOutro pilar que envolve a segurança da informação é a capacidade de garantir que a informação é verdadeira. Assegurar que certa informação pertence a A ou a B e determinar uma autoria específica, provando que o objeto avaliado não tenha passado por alguma alteração indevida.  5) Não repúdio É a propriedade que garante a impossibilidade de negar a autoria em relação a uma transação feita anteriormente. Além desses, você pode conferir outros elementos-chave da segurança da informação na Cartilha de Segurança para Internet.  ❗Você também pode gostar – Previsões de cibersegurança: o que esperar no segundo semestre do ano e início de 2024? Como estruturar um projeto de segurança da informação adequado para empresas?  Existem várias maneiras de se implementar uma boa gestão de segurança da informação nas empresas e, assim, evitar ameaças e cibercrimes. Como exemplo, citamos uma rotina específica de atualização de softwares, além de backup contínuo e do uso de softwares de segurança. Ainda assim, a solução que melhor apresenta resultados para se esquivar de ameaças à segurança da informação e para desenvolver essa área, seja na empresa, seja na carreira, é a capacitação profissional. Estar inserido no universo digital e compreender como a segurança cibernética é importante para o sucesso da empresa é imprescindível, além disso, é necessário dominar a técnica e os princípios dos elementos que estruturam uma política estratégica de segurança da informação, privacidade e ética no uso de dados.  A Escola Superior de Redes, parceira do SANS, o principal instituto de cibersegurança do mundo, entende que esse é um dos alicerces mais importantes para a construção de um ambiente virtual seguro e para a formação de profissionais ainda mais qualificados. Por isso, desenvolveu uma trilha de treinamentos práticos para a área de segurança, com uma metodologia própria pensada na perspectiva de capacitar o aluno para agir preventivamente e tratar os incidentes quando não for possível evitá-los. Inscreva-se e prepare-se para assumir sua próxima vaga.

    04/04/2024
  • conceito de colagem de controle de qualidade padrao 3 scaled 1
    Governança de TI

    Governança corporativa: princípios e boas práticas para adotar em 2025

    “Governança corporativa é o sistema pelo qual as empresas e as demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e as demais partes interessadas.” Essa é a definição do termo pelo Instituto Brasileiro de Governança Corporativa (IBGC), responsável por desenvolver inúmeros estudos sobre a área.  Embora não seja um conceito tão recente para o mundo empresarial e as demais organizações, inclusive do setor público, passou a ter cada vez mais relevância à medida que a sociedade identificou a sustentabilidade e o propósito das organizações como pontos decisivos para o relacionamento e a conversão com os negócios.  Ligada diretamente à ideia da Agenda ESG (Environmental, Social e Governance), em que é representada pelo “G” da sigla, a governança corporativa tem o objetivo de tornar as empresas e organizações mais alinhadas a um objetivo comum que contemple o desenvolvimento de seus quatro princípios:  Em outras palavras, significa dizer que a governança é o conjunto de regras e princípios que empresas e organizações adotam para serem administradas de maneira justa, transparente e eficiente. Nesse sentido, mesmo que a compreensão da governança corporativa pareça teórica, colocá-la em prática é possível e é o que vamos mostrar aqui. Continue conosco para saber como.  Quais são os resultados de uma empresa e das demais organizações que adotam a governança corporativa?  Em uma análise geral, podemos dizer que o desejo de toda empresa e organização é se manter no mercado, além de entregar confiança em seus produtos e serviços, certo? Ou seja, ter longevidade.  Para isso, atualmente, além de priorizar a qualidade dos produtos ou serviços prestados e de sua operação, o negócio precisa se atentar ao valor que entrega para a sociedade e a comunidade a seu redor.  Se antes os consumidores de produtos e serviços pouco se inteiravam sobre a conduta de uma empresa ou organização, agora a lógica é diferente. Há mais informações do que nunca, disponíveis de uma maneira inédita – em todo lugar, a todo tempo.  Além disso, fornecedores e parceiros passaram a priorizar acordos com empresas e organizações que se preocupam com sua sustentabilidade e, consequentemente, com a sustentabilidade do ecossistema empreendedor do qual fazem parte.  É nessa realidade – de maior concorrência, clientes mais bem informados e parceiros e fornecedores preocupados de uma forma diferente com seus relacionamentos de negócio –  que a governança corporativa prospera e atua.  Podemos dizer, então, que, na prática, trata-se de uma forma de garantir a ética, a transparência e a segurança jurídica diante dos diversos públicos de uma organização. Ou seja, um guia, um manual de boas práticas para as empresas funcionarem bem e serem confiáveis.  Dessa forma, uma corporação que adota os princípios da governança gera valor a longo prazo para suas soluções e para sua história. Há ainda outros benefícios associados a ela, como:  Existem ainda outras vantagens de orientar uma empresa pelos princípios da governança, como a certeza de um processo de conformidade legal e regulatória, o que a torna extremamente necessária nos dias de hoje. Fique por dentro: um estudo realizado pela McKinsey e NielsenIQ analisou o desempenho de faturamento de produtos que alegam ser social e ambientalmente responsáveis. De acordo com o levantamento, 60% dos entrevistados disseram que pagariam mais por um produto com embalagem sustentável. Já em outra pesquisa da NielsenIQ, 78% dos consumidores (recorte dos EUA) disseram que um estilo de vida sustentável é importante para eles. 4 dicas para implementar uma agenda de governança corporativa no dia a dia de um negócio  Adotar a governança corporativa na prática requer um compromisso contínuo com princípios e atividades que promovam a transparência, a responsabilidade e o desempenho ético.  Separamos, a seguir, quatro exemplos de ações que podem ser incorporadas em qualquer negócio e no dia a dia das empresas. 1) Defina e comunique valores e princípios  Estabeleça valores e princípios éticos, além de claros, capazes de orientar o comportamento de todos na empresa.  Comunique esses valores de forma ampla e regular, de modo que todos os funcionários entendam a cultura organizacional e saibam como devem agir. É importante que esses valores estejam associados ao desenvolvimento não só da organização, como dos colaboradores e da comunidade. É necessário um propósito para que a empresa exista, e apenas gerar lucro não é um deles. 2) Crie estruturas de tomadas de decisão transparentes Pensar em formas de simplificar a transparência da empresa é uma excelente maneira de implementar a governança aos negócios. Alguns departamentos e estruturas podem atuar nessa frente.  3) Dedique-se ao princípio da prestação de contas e transparência Há diversas formas de fazer isso, como:  4) Promova a ética e a responsabilidade Como vimos, a governança corporativa dá destaque à condução ética que as empresas têm em seus diversos ramos de atuação. Por isso, uma das maneiras mais corretas de implementá-la na prática é por meio de ações voltadas para essa área. Pense em:  Leia mais: LGPD para a área de TI: como a lei impacta o setor? Como a governança se relaciona com a TI?  A tecnologia da informação é uma peça fundamental para permitir que as empresas desenvolvam práticas, atividades e rotinas mais sustentáveis, seguras, transparentes e rentáveis.  Há implicações da TI no apoio à governança corporativa em várias frentes, como na otimização de processos onerosos, com base na automação, inteligência artificial e machine learning, entre outras possibilidades advindas da transformação digital, para a melhoria da experiência de consumo de produtos, serviços e informações,  por meio do desenvolvimento de sistemas acessíveis, disponíveis e escaláveis.  Para que as organizações atinjam esse objetivo, ainda é imprescindível um departamento sólido de cibersegurança, responsável por proteger os dados do negócio e de seus principais agentes. Ou seja, a TI viabiliza a governança corporativa de diversas formas.  Por aqui, já abordamos os detalhamentos dessa relação em um blog post exclusivo.   Leia: 5 dicas para crescer na carreira de governança de TI Conclusão  A governança corporativa deixou de ser uma opção das empresas para se traduzir como uma necessidade imperativa no cenário de negócios atual. Nesse contexto, é a tecnologia da informação que viabiliza uma base sobre a qual a sustentabilidade, a segurança, a transparência e a rentabilidade podem ser aprimoradas Veja como esse tema é abordado no curso da ESR – “Governança de TI com Cobit 2019”. Inscreva-se e torne-se especialista na questão. 

    06/10/2023
  • Governança de TI
    Governança de TI

    5 dicas para crescer na carreira de governança de TI

    Se você chegou a este conteúdo com o objetivo de crescer na carreira de governança de TI é porque já domina o conceito por trás deste termo, certo?  Ainda assim, é válido lembrar que a governança de TI descreve a reunião de orientações, protocolos, diretrizes, competências e descrição de responsabilidades, tanto de gestores quanto de equipes operacionais, para a execução de processos e aplicações dos recursos da empresa.  O objetivo de um projeto de governança de TI bem estruturado é enxergar o negócio de forma holística, direcionando-o para decisões mais estratégicas e de melhor desempenho para todos os seus setores.  Para isso, na prática, o profissional designado para este setor é responsável por averiguar se determinada empresa segue as normas e as políticas de segurança, além de garantir que elas estejam conectadas com visão, missão e indicadores do negócio. Os dois principais modelos de governança de TI utilizados neste momento são a Norma ISO/IEC 38500 e o Cobit 2019. Também é importante, para qualquer colaborar de TI, compreender a distinção entre “Governança de TI” de “Gestão de TI” – o que você pode recordar por aqui no nosso conteúdo original “Guia prático para a Governança de TI”  A partir deste conhecimento sedimentado, estamos prontos para apresentar dicas para você crescer na carreira de governança de TI. Continue conosco! Como crescer na carreira de governança de TI em 5 passos. 1) Esteja sempre atento ao alinhamento estratégico e compliance A governança de TI tem que servir para alguns propósitos específicos, dentre eles auxiliar a empresa a alcançar seus objetivos e planejamentos estratégicos.  Para isso, como já abordamos em outro ponto deste artigo, a governança conecta-se com a otimização da aplicação de recursos, com a segurança da informação, gerenciamento de processos internos, bem como com o suporte para tomadas de decisões devidamente embasadas.  Dessa forma, uma das principais demandas requeridas ao profissional de governança de TI é que ele saiba como alinhar TI e empresa diante das demandas típicas do negócio.  O resultado desta primeira etapa de alinhamento entre TI e as necessidades da organização é encontra-se na formulação de um  Plano Diretor de TI, o qual deve abordar questões importantes, como:  Escopo de ações e procedimentos de segurança da informação; Identificação da demanda de esforços de recursos humanos e tecnológicos para se alcançar os objetivos do negócio; Infraestrutura de TI; Descrição detalhada das necessidades de aplicação; Gestão da demanda; Princípios e Arquitetura de TI; Verificação da necessidade de terceirização dos serviços de TI; Habilidades e competências necessárias para executar esses processos; Objetivos do planejamento.  2) Siga os 5 pilares da Governança de TI. A governança de TI se estabelece por meio de 5 áreas de atuação principais, as quais um bom profissional deve conhecer e dominar. São elas:  1) Alinhamento estratégico: é o que detalhamos no primeiro item deste subtítulo. As estratégias de Tecnologia da Informação devem se conectar aos valores, missão e visão do negócio, a fim de contribuir com o desenvolvimento e alcance dos objetivos da organização. Por isso, os processos deste setor devem ser formulados com estratégia e para um fim específico.  2) Geração de valor ou entrega de valor: este pilar relaciona-se à análise de caminhos e estratégias que levem à otimização de recursos de TI, para que esses ativos sejam empregados em uma menor quantidade obtendo-se o maior nível de resultados positivos possíveis. Também estabelece que a governança de TI precisa agregar ou facilitar a entrega de valores por outros processos da empresa impactando a entrega do cliente.  3) Gestão de riscos: sem que a infraestrutura de TI seja capaz de prever ameaças ou corrigir rotas para aquelas que conseguirem transpor o sistema, não há governança de TI. Portanto, um dos pilares desta área encontra-se em ter uma gestão de riscos eficiente, assim como uma metodologia de respostas a incidentes caso eles ocorram (linkar aqui o conteúdo sobre metodologia quando o mesmo for postado).  4) Gestão de recursos: a governança de TI deve ser capaz de manter, renovar e promover  a melhoria contínua dos recursos de TI. Em outras palavras, precisa estar sempre atenta aos ativos da tecnologia da informação da empresa.  5) Medição de resultados: como o nome indica, a governança de dados deve avaliar as ações que tiveram saldo positivo para a empresa e aquelas que precisam ser melhoradas. Portanto, os dados de hardware e softwares das empresas precisam ser analisados e servir de base para ações futuras.  3) Escolha um framework de governança de TI. Os frameworks são essenciais para auxiliar o processo e protocolos de auditoria de governança de TI. Em linhas gerais, eles são definidos por estruturas de controle que contam com boas práticas para garantir que a TI execute o alinhamento estratégico com a empresa. Dentre os principais modelos estão:  COSO (Committee of Sponsoring Organizations of the Treadway Commission) – utilizado para avaliar o sistema de controles de uma organização. Fornece uma estrutura para a gestão, conselho de confiança, partes interessadas externas e outros que interagem com o negócio para usar como um guia no desempenho de suas respectivas funções em relação ao controle interno.           >>>> Confira outras informações sobre esse framework aqui. COBIT (Control Objectives for Information and related Technology): O COBIT foi estabelecido pela ISACA, que significa Associação de Auditoria e Controle de Sistemas de Informação, e atualiza a estrutura para empresas modernas, abordando novas tendências, tecnologias e necessidades de segurança. A estrutura ainda funciona bem com outros frameworks de gerenciamento de TI, o que a torna uma ótima opção como uma estrutura guarda-chuva para unificar processos em uma organização inteira.           >>>> Confira outras informações sobre esse framework aqui. PMBOK (Project Management Body of Knowledge): auxilia a governança de TI no sentido de gerenciar projetos da área, com atenção aos marcos, prazos definidos para cada etapa além de analisar onde, quando e como determinada ação se reverterá em custo-benefício positivos para a empresa. ITIL (Information Technology Infrastructure Library): também contribui para o alinhamento estratégico estabelecendo uma série de boas práticas de gestão para TI.  4) Entenda o Mercado de Governança e busque atuar nas áreas com maior deficiência. Não é segredo que um profissional de TI precisa estar em movimento. Afinal, a tecnologia se transforma e se aperfeiçoa com velocidade.  Na área da governança de TI isso não é diferente. Um dos passos essenciais para crescer nessa carreira é compreendê-la como dependente da gestão de inovação do aprendizado contínuo.  Entender do mercado de governança, buscar por atualizações técnicas, cursos e treinamento é indispensável para dominar esta área.  Nesse sentido, a Escola Superior de Redes desenvolve uma trilha de conhecimento completa, composta por 28 cursos, com opções remotas e presenciais, para que você se aprofunde nesta temática. A área de Governança de TI da ESR/RNP visa a qualificação de excelência em governança de TI, para que o aluno se destaque no mercado e atenda às crescentes demandas das empresas por profissionais responsáveis por otimizarem a aplicação de recursos das organizações, reduzir seus custos e alinhar o departamento de TI com as estratégias do negócio.  Confira todos os cursos da trilha aqui!  5) Sempre utilize os mecanismos de governança relacionados à estrutura organizacional. A governança de TI deve ser aplicada tendo em vista as particularidades de cada empresa.  Por isso, a dica final para seguir carreira na governança de TI é conectar todas as etapas desta função com as necessidades e demandas das estruturas organizacionais particulares das empresas.  ——————————- Tem interesse em crescer na carreira de governança de TI? Comece sua próxima capacitação neste link! 

    10/11/2022
  • Gestão de continuidade de negócios
    Governança de TI

    Você sabe implementar uma Gestão de Continuidade de Negócios?

    Mexer com dados é compreender que eles são ativos valiosos e estão sujeitos às mais diversas ameaças. É nesse contexto que a gestão de continuidade de negócios está inserida, para garantir que, diante de um universo recheado de cibercrimes e da possibilidade das informações organizacionais em nuvem serem corrompidas, a empresa continue operando. A gestão de continuidade de negócios está inserida dentre as práticas do Plano de Continuidade de Negócios (PCN), que, embora pouco adotado pelas empresas, é uma das condutas mais completas para prevenção da estrutura de tecnologia da informação.  A exemplo da baixa incidência desta atividade, a KPMG realizou o estudo “Pesquisa de maturidade dos planos de continuidade de negócios no Brasil”, em 2021, identificando que 73% dos negócios do país não possuem uma gestão de continuidade adequada.  Ainda assim, é preciso destacá-la, pois, se falamos em prevenção, queremos dizer também rentabilidade! Uma vez que, em caso de incidentes com dados ou qualquer outra parte da estrutura de TI, a organização contará com alternativas para continuar produzindo, as chances de prejuízos financeiros, operacionais e de imagem são bem menores.  Neste artigo explicamos o que é gestão de continuidade de negócios e a sua importância para o dia a dia empresarial. Continue conosco.  O que é Gestão de Continuidade de Negócios  Como dissemos anteriormente, a gestão de continuidade de negócios é caracterizada pela reunião de práticas responsáveis pela recuperação ou continuidade das operações de uma empresa, em caso de interrupções dos negócios por ameaças ou imprevisibilidades.  Portanto, é o gerenciamento efetivo que analisa e mapeia os principais riscos das empresas, incluídos os da área de TI, e cria alternativas para que a instituição siga funcionando mesmo que eles se efetivem. Por meio de análises, treinamentos, auditorias, dentre outras atividades, a gestão de continuidade de negócios (GCN) reflete na maturidade de processos de uma empresa. A partir de sua implementação, há a compreensão por toda a empresa de que suas atividades internas e externas estão conectadas, bastando uma única falha em alguma dessas etapas para que danos sem precedentes ocorram.  Assim, a gestão de continuidade de negócios irá estabelecer uma estrutura pautada em muita estratégia para maturar a capacidade das empresas de agir em caso de riscos, criar métodos alternativos aplicados para suprir alguma ameaça, erro ou falha de um sistema ou dos bancos de dados, e para gerenciar do início ao fim uma possível interrupção de trabalho.  Para alcançar esse objetivo a gestão de continuidade de negócios é focada nos impactos de uma interrupção, mapeando quais são as ações cruciais de uma empresa e os tipos de riscos aos quais elas estão submetidas. No caso de TI a GCN objetiva encontrar esses aspectos na estrutura deste departamento. Portanto, o escopo básico de uma gestão de continuidade de negócios é: Por fim, é importante que uma boa gestão de continuidade do negócio tenha todas essas etapas devidamente detalhadas e associadas a um escopo de trabalho, com delimitação de objetivo e política do processo, além de uma simulação e um teste do projeto.  Complementando a visão acima, o documento “Gestão de Continuidade de Negócios”, da Global Technology Audit Guide (GTAG), ainda estabelece requisitos mais completos para a business continuity management (BCM). Confira:  Compromisso da Administração com o Programa de BCM Conduzir uma Avaliação de Riscos de BC e Mitigação de BC Conduzir uma Análise do Impacto Sobre o Negócio (BIA) Estabelecer a Recuperação de Desastres para a TI Definir Estratégias de Recuperação e Continuidade de Negócios Aplicar, Verificar e Manter Capacidades para o Programa de BCM É válido destacar ainda que a gestão de continuidade de negócios também deve ser personalizada para cada demanda e se adequar às diferentes ameaças detectadas ao longo do tempo. Benefícios de executar a Gestão de Continuidade de Negócios para a área de TI  Diante do que já conversamos até aqui, fica claro dizer que a gestão de continuidade de negócios reflete diretamente na manutenção da empresa no mercado.  A prática reduz os prejuízos ocasionados por ameaças à estrutura de TI e, com isso, poupa gastos adicionais, necessidade de uma equipe robusta de profissionais para resolver os problemas, além de mitigar a perda de informações importantes da empresa. Garantir uma gestão de continuidade de negócios é também:  Como posso dar início à gestão de continuidade da minha empresa agora?  A Escola Superior de Redes (ESR), referência em capacitação na área da tecnologia, promove o curso “Gestão de Continuidade de Negócios”, que irá te auxiliar nessa jornada. Como falamos anteriormente, a atividade de continuidade possibilita a redução de perdas financeiras, uma vez que o negócio continua atendendo às demandas dos seus clientes. Por isso, a sua implementação é tão urgente e necessária. Sabendo disso, a ESR elaborou um conteúdo programático de qualidade para que você faça isso o quanto antes. Mesclando teoria e atividades práticas, em uma abordagem das boas práticas existentes para a gestão da continuidade dos negócios (GCN), o curso permitirá ao aluno desenvolver análise de impacto nos negócios, definição de estratégias de continuidade e o desenvolvimento de planos de continuidade, restauração e recuperação.  Inscreva-se aqui!  

    26/09/2022
  • Gestão de riscos para segurança da informação
    Governança de TI

    Como fazer gestão de riscos de segurança da informação na empresa?

    Muito se fala sobre a necessidade da segurança da informação, mas quão preparado você se sente para executar a sua gestão de risco? Se esse ainda é um tópico sensível dentre as suas habilidades profissionais, este artigo pode representar uma mudança de chave.  Ao longo do texto vamos te mostrar, de forma prática, como executar a gestão de riscos de segurança da informação na sua empresa e garantir que ela não sofra desvantagens ou prejuízo. Fique conosco.  A importância da segurança da informação  Embora esse assunto pareça clichê, é sempre bom ratificar que a segurança da informação é uma das principais demandas da tecnologia dos últimos anos.  Afinal, não só a quantidade de conteúdo em rede cresce exponencialmente, como o entendimento do usuário sobre a nuvem tem amadurecido.  Além disso, o surgimento de legislações que padronizam o tratamento dos dados pessoais, bem como os sofisticados cibercrimes, que se espalham cada vez mais, complementam a equação que coloca a segurança da informação como um das áreas de atuação mais do que necessárias para o profissional de TI nos dias de hoje. Ou seja, o universo digital requer mais segurança e seus agentes estão mais conscientes dos seus limites e possibilidades.  Assegurar que a sua empresa tenha uma segurança da informação robusta é se desvencilhar de crises futuras.  Este cenário é comprovado por meio da pesquisa Global Digital Trust Insights Survey 2022, que identificou que o investimento em segurança cibernética está no radar de muitas organizações.  Segundo o estudo, 83% de empresas brasileiras informaram desejo por aumentar os gastos nessa área, sendo que:  36% dos negócios brasileiros que compuseram a pesquisa pensam em crescer seu orçamento, para essa área, entre 6 e 10%; Já 33% deles indicam um aporte de 15% ou mais.  Como executar uma gestão de riscos em segurança da informação? O termo “gestão de riscos” pode ser aplicado em diversas áreas dos negócios, pois todas elas necessitam de uma estratégia de recuperação em caso de incidentes.  É disso que se trata uma gestão de riscos – identificar, mapear e observar possíveis pontos falhos para um produto, serviço ou negócio e, diante disso, elaborar maneiras factíveis, rentáveis e de fácil execução para desviar a empresa desses obstáculos.  Na perspectiva da TI, a Gestão de Riscos (NBR 31.000) engloba ou tangencia não só a Gestão da Segurança da Informação (NBR 27.001, NBR 27.002, NBR 27.005 e NBR 27.701), como a Gestão de TI e a Gestão da Continuidade do Negócio (NBR 22.301 e ABNT NBR ISO 22.313).  Observa-se neste contexto a importância do entendimento acerca das normas e suas atualizações.  A exemplo disso, a 27002:2022 possui diversas transformações comparada a 27002:13, como você pode observar respectivamente abaixo:  27002:2022 – relaciona-se com: Segurança da informação, cibersegurança e proteção de privacidade – Informações controles de segurança. 27002:2013 – relaciona-se com: Tecnologia da informação – Segurança técnicas – Código de prática para controles de segurança da informação Neste link você fica por dentro das principais atualizações e modificações vistas nas normatizações, em um webinar original ESR.. Para executar uma boa gestão de risco, seja em qualquer de suas temáticas elencadas acima, você deve dominar também o que cada norma prevê.  Dando enfoque para a segurança da informação, existem ainda algumas especificidades importantes dentro deste cenário que devem fazer parte da sua rotina de gestão de risco.  Um deles é que  enquanto a norma NBR 31.000 trata-se de uma visão geral de risco, incluída a visão corporativa, a norma NBR 27.005 apresenta-se como uma “especialização” do risco para o contexto de segurança da informação. Confira os demais pontos: 1) Entendimento sobre o que é gestão de riscos para segurança da informação  Nesse contexto, a gestão de risco é parte integrante da dimensão do processo corporativo de segurança da informação e serve para prever a ocorrência de ameaças que sejam capazes de interferir no bom funcionamento e utilização dos recursos de informação das empresas.  Dessa forma, o principal objetivo da gestão de risco da segurança da informação é permitir que a organização desempenhe seu planejamento e objetivos sem que que os perigos encontrados na rede os atinjam.  Tudo isso tendo um postulado teórico bem desenvolvido. 2) Atenção para as normas  O profissional de TI responsável pela gestão de risco da segurança da informação deve redobrar a atenção para a Norma ABNT NBR ISO/IEC 27005:2019 – Tecnologia de segurança – Técnicas de segurança – Gestão de riscos em segurança da informação. Ela contém os principais pontos a serem observados nessa prática, além de conceitos e estruturas fundamentais para o conhecimento desta área.  3) Profissionais capacitados  Por se tratar de uma área tão essencial, a gestão de risco da segurança da informação requer um time de execução qualificado e que saiba exatamente o que está fazendo.  Para isso, é importante – caso você seja o líder da equipe, garantir que os envolvidos estejam cientes de todas as etapas desse processo.  Além disso, uma das formas mais assertivas de assegurar a capacitação do time é por meio de treinamentos referência no mercado, como é o caso da ESR. No curso Gestão de Riscos de Segurança da Informação e Privacidade (EaD), da Escola Superior de Redes, os integrantes participam de 40 horas de atividades, com 10 encontros online, para desenvolverem a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações.  Há também o aprendizado sobre como identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e sobre como aplicar a metodologia de gestão e análise de riscos da norma NBR 27005 nas organizações. O calendário de turmas está sempre atualizado e você já pode se inscrever na próxima aqui!  4) Estruturação do processo de gestão de riscos  Como todo segmento do negócio, a gestão de risco da segurança da informação requer planejamento.  Identifique quais serão os conceitos adotados na organização e como eles irão se relacionar com a dimensão de gestão de risco.  Este desenho servirá de base estática para as demais funções dessa atividade.  É nesta etapa que você e sua equipe precisam entender qual modelo de gestão utilizar, para que haja resultados práticos na análise de riscos e ameaças cibernéticas.  Embora não exista uma única forma de desenvolver esse processo, alguns pontos devem fazer parte daquela que vocês irão escolher.  É necessário um método que consiga avaliar, conhecer e fazer a classificação do maior número de riscos possíveis, oferecendo além desse mapa, condições para elaboração de plano de ação e de comunicação, junto a um diagnóstico da situação. 5) Avaliações constantes Para detectar ameaças à gestão de risco da segurança da informação, é preciso contar com ciclos de observação e avaliação das vulnerabilidades.  Essa avaliação irá fazer um recorte do momento exato em que foi realizada, sendo necessário repetir esse processo para a construção de um cenário mais completo e abrangente da Dimensão Gestão de Riscos de Segurança da Informação.  Nesse sentido é preciso estipular um calendário preciso que contemple as observações e avaliações periódicas.  6) O momento da prática Após a definição da periodicidade das avaliações, as equipes devem recorrer a ferramentas completas para executá-las, como um dispositivo de escaneamento de vulnerabilidade, auditoria, parâmetros dados por normas oficiais tal qual a ISO, pentest, etc.  Nesta etapa também é fundamental escolher as empresas parceiras e os fornecedores certos.  O importante é não ficar refém de soluções que não atendam às necessidades da empresa, nem se conectem ao propósito da organização.  7) A documentação é uma peça-chave Como toda análise, a gestão de riscos da segurança da informação demanda que tudo seja documentado e tenha relatórios de cada etapa do processo.  Dessa forma será mais fácil cumprir uma das premissas dessa atividade – a integração entre departamentos e o convencimento dos gestores sobre alguma prática necessária para contornar um risco ou falha.  Somente com relatórios otimizados e eficientes será possível elevar o entendimento da gestão de riscos da segurança da informação para toda empresa, impactando diretamente no resultado da atividade. 8) O passo final  Após todos esses processos, a gestão de risco da segurança da informação implica na elaboração de duas práticas:  as que visam minimizar os erros e falhas até então encontradas; ou, planos de ação para o futuro – que devem ser conduzidos de forma a impedir que cenários parecidos voltem a ocorrer na empresa.  Além disso, a gestão de riscos da segurança da informação é responsável por enxergar pontos de melhoria e oportunidades de aproveitamento das organizações em relação ao tratamento da informação no seu dia a dia.  Somente com a boa implementação dessa área é que as empresas passam a atuar de forma preventiva em detrimento ao comportamento típico do “apagar o fogo” gerado por algum problema.  __________________________________ Desenvolva o seu conhecimento sobre gestão de riscos para segurança da informação junto com a ESR.  Inscreva-se na próxima turma do curso prático sobre o assunto, aqui!  

    22/07/2022
  • LGPD para TI
    Governança de TI

    LGPD para a área de TI: como a lei impacta o setor?

    Ainda tem dúvidas sobre como a LGPD funciona na rotina de TI? Este conteúdo vai te ajudar!  A Lei Geral de Proteção de Dados (Lei n. 13.709, de 14 de agosto de 2018) já está em vigor há algum tempo e com seus ciclos de fiscalização em curso.  A adequação às demandas da norma afasta as possibilidades de sanções, inclusive financeiras, e reflete em um relacionamento mais transparente entre empresas e clientes.  Pensar estrategicamente na LGPD é um dos desafios de qualquer profissional de marketing e da tecnologia da informação.  Afinal, em um contexto de crescimento de cibercrimes e de um amadurecimento da mentalidade dos clientes frente à informação e ao que encontram na rede, o consentimento no uso de dados, bem como a autonomia para a revogação dessa ação por parte do usuário, ou ainda, o fortalecimento de ferramentas de segurança de rede, são ações indispensáveis para toda e qualquer organização.  Ao longo deste artigo você irá acompanhar os principais destaques do tema LGPD para a TI.  O que é LGPD  Como funcionam os ciclos de fiscalização da LGPD  Quais são as penalidades da não adequação à LGPD  Como a área de TI pode garantir adequação à LGPD O que é a LGPD? Este é um assunto batido para quase todo o meio empreendedor. Não é de hoje que muito se fala na necessidade dos negócios adaptarem seus canais digitais aos dispositivos da Lei Geral de Proteção de Dados.  A Lei 13709, como dispõe em seu Art 1º, tem o objetivo de ordenar o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Para isso, organiza uma série de critérios que devem ser seguidos para que a nuvem seja mais segura, dê autonomia para os usuários a respeito do uso ou não de seus dados, e eduque empresas e demais sujeitos atuantes na rede a criarem conteúdo, produtos e serviços digitais com mais responsabilidade.  Quais são os objetivos da LGPD? Além de assegurar as relações mencionadas acima, a LGPD tem como um de seus principais propósitos contornar o panorama de crescentes crimes cibernéticos no Brasil, funcionando como um programa de conformidade.  Desde janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD), que recentemente se tornou uma autarquia especial – ganhando maior autonomia, por meio de resolução publicada no Diário da União, executa o primeiro ciclo de fiscalização da LGPD, que tem o objetivo de conferir se as empresas se adequaram aos dispositivos da lei.  Os negócios que não cumpriram com as propostas estabelecidas estão suscetíveis a diversas penalidades.  Tamanha a importância dessa adaptação, em um acórdão de junho de 2022 (Nº 1384/2022) o TCU (Tribunal de Contas da União) elenca uma série de recomendações para que o governo federal também esteja alinhado à LGPD e garanta a segurança de dados dos cidadãos com dados pessoais coletados e utilizados pela Administração Pública Federal..  A medida foi elaborada após a realização de uma auditoria da conformidade estatal neste quesito. De acordo com os indicadores do processo, relatado pelo ministro Augusto Nardes, dos 382 órgãos observados, 76,7% não estão dentro dos conformes legais.  Outros dados apurados pelo TCU mostram que o cenário requer atenção:  17,8% dos órgãos estudados estão no nível inexpressivo quanto à adaptação à LGPD; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado. Isso significa dizer que há alto risco à privacidade dos dados.  É necessário, portanto, um esforço tanto nas esferas públicas quanto nas privadas para uma alteração deste contexto.   Penalidades da não adequação à LGPD Todas as partes envolvidas na coleta, interpretação, análise e tratamento de dados precisam se adequar à LGPD, sejam elas empresas, órgãos governamentais ou plataformas. Com isso, a norma pretende afastar os “dados” do uso ilícito e controverso. Por meio do ciclo de fiscalização, pretende-se: Observar a conformidade dos agentes; Considerar o risco regulatório;  Adotar ações compatíveis com o risco;  Prevenir práticas irregulares e fomentar a cultura de proteção desses dados Caso seja identificado o descumprimento do que versa a norma, as penalidades variam como indicado abaixo: Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.  Multa diária também com o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.  Advertência sobre não conformidade e indicação de prazo para correção da infração. Bloqueio dos dados pessoais relacionados ao ato de infração até a sua regulamentação. Eliminação dos dados pessoais a que se refere a infração. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Além disso, um dos maiores impactos da não adoção da LGPD está relacionado à imagem da organização.  Um vazamento de dados pessoais, na maior parte das vezes, expõe a empresa, uma vez que ela precisa informar aos aos titulares de dados (seus clientes) sobre o ocorrido.  O contingente financeiro necessário para um controle de danos, ou a chamada resposta ao incidente, também é maior nos casos em que não há conformidade com a LGPD. Ou seja, de forma geral, a iniciativa dos ciclos de fiscalização + penalidades visa instituir uma cultura orgânica de preocupação institucional com o uso de dados.  É um estímulo à consciência de proteção de dados pessoais, formalizando a necessidade de uma atuação responsiva nesse contexto, com direcionamento de ações que sejam proporcionais ao risco identificado e à postura dos agentes regulados. 5 Vantagens de garantir a adequação à LGPD   Como falamos anteriormente, não há mais tempo para procrastinar! O período de adaptação da Lei Geral de Proteção de Dados foi extenso e 2022 é o ano de mostrar que houve adequação ao que foi proposto.  Algumas vantagens de participar ativamente desse processo são:  Não sofrer sanções econômicas durante a avaliação do ciclo de fiscalização; Não sofrer prejuízos relacionados aos dados coletados, uma vez que a lei estabelece que a ANPD tem o poder de bloquear ou até eliminar os dados pessoais tratados por uma empresa; Construir uma comunicação mais transparente com o seu cliente, que por sua vez já está mais antenado nas relações digitais e passa a ter esse valor como premissa para estabelecer fidelidade; Concretizar a reputação da empresa. Ao descumprir o proposto pela fiscalização, a instituição poderá sofrer danos de imagem, uma vez que serão conhecidas por não estarem em sintonia com o que é disposto em lei. A credibilidade da organização pode ser abalada. Contribuir para um ambiente digital mais seguro. A ideia é que as grandes corporações passem a exigir dos seus parceiros comerciais a adequação à LGPD e assim por diante.  A LGPD na TI Outro motivo pelo qual a LGPD é considerada uma estratégia para as empresas é a garantia de maior segurança digital para clientes e também para as próprias marcas, que passam a estar menos suscetíveis a ataques cibernéticos. Isso ocorre uma vez que essa adequação, associada ao mapeamento interno das empresas, possibilita que, em caso de incidentes como esses dos crimes digitais, haja reação imediata.  Os profissionais de TI precisam compreender os limites e possibilidades dos dados pessoais (nome e e-mail, por exemplo) e dos dados chamados de sensíveis (os que envolvem etnia, religião, dados genéticos, entre outros).  A partir disso, elaborar estratégias, sites e dispositivos digitais pautados, principalmente, no poder de consentimento de uso desses dados. É nesse contexto que os modelos de ações first party ganham ainda mais destaque em detrimento às articulação third party.  Por isso, é preciso dominar como executar o desenvolvimento web tendo em vista essas especificidades.  Outro ponto que requer bastante atenção da área de TI em relação à LGPD é no que tange o armazenamento de dados.  Ou seja, maior cautela nessas práticas e no gerenciamento de riscos para prevenir/prever instabilidades e falhas na segurança da informação. Dessa forma, faz parte do escopo de trabalho deste departamento o desenvolvimento de soluções que otimizem as coletas e tratamentos de dados, em conformidade com a legislação. Há ainda a formalização da figura do Data Protection Officer (DPO), que embora não precise ser direcionada a um agente de TI, normalmente o é. Este cargo deve garantir a proteção de dados dos usuários.  Desafios para área de TI frente à LGPD 1) Capacitação  Por ser uma regulamentação relativamente recente, muitos profissionais de TI ainda possuem conhecimento defasado sobre os termos e dispositivos da norma.  Investir em capacitação nesse sentido é o principal passo para alicerçar todas as demais estratégias de segurança da informação. A ESR promove o curso “LGPD para Todos“, que incentiva o entendimento da Lei Geral da Proteção de Dados no dia a dia. Este é o único curso do mercado que foca na metodologia brasileira de adequação à LGPD (Ministério da Economia), consolidando diversos guias acerca das temáticas. 2) Constante atualização  Os times e gestores de TI precisam ter em mente que a adequação à LGPD é uma tarefa constante do departamento.  Por isso, é preciso pensar no tempo, recursos (operacionais e humanos) necessários para garantir essa logística e a execução de rotinas complexas.  3) Segurança e consulta de dados A governança de dados passa a demandar acesso prático e rápido de dados aos seus titulares, sem deixar de lado a segurança que o ambiente digital precisa proporcionar no desenrolar dessa operação.  Dessa forma, a governança de dados, práticas, protocolos e rotinas que atuem nessa direção constituem-se como desafios importantes da TI em relação à LGPD. 4) Cloud Computing As tecnologias de computação em nuvem agora demandam segurança redobrada, possibilidade de visibilidade e rastreabilidade de dados.  Fazer a verificação da nuvem deve ser um dos compromissos do time de TI.  ————————————————— A adequação à LGPD requer o envolvimento de diversos setores das empresas, sobretudo, da área de TI.  Com os ciclos de fiscalização ativos, essa adaptação demanda de forma urgente profissionais capacitados para a sua execução.  Quer atuar nesta área? Confira a ementa do curso “LGPD para todos” e se torne especialista no assunto junto com a ESR. 

    08/07/2022
  • Modelos de Governança de TI
    Governança de TI

    Governança de TI: o que está por trás dos modelos Cobit e Norma 38500?

    Uma governança corporativa de TI bem planejada, implementada e executada significa mais controle do ambiente tecnológico, propiciando mais assertividade na tomada de decisão e apoio às iniciativas de negócio  nas empresas.  Por isso, torna-se necessário para todas as empresas, sejam elas do setor público ou privado, o conhecimento de normas, como a ISO 38500 e frameworks, e o Cobit. A governança de TI é diferente do gerenciamento puro e simples e requer que os dirigentes, juntamente com a equipe de TI, desenvolvam habilidades, competências e responsabilidades capazes de guiar as ações das organizações para um controle de processos, aplicação otimizada de recursos, suporte para tomadas de decisão mais assertivas, além da segurança da informação.  De forma resumida e recapitulando, a Governança de TI será responsável por averiguar se determinada empresa segue as normas e as políticas, além de garantir que elas estejam conectadas com visão, missão e indicadores do negócio. Portanto, é importante que o profissional de TI e os dirigentes da empresa pensem de forma holística, com ênfase ao negócio como um todo.  É necessário vislumbrar uma TI dentro de um contexto maior. Para isso, vamos falar abaixo sobre os dois principais modelos de Governança de TI.  O que é a Norma ISO/IEC 38500 A Norma 38500 é direcionada aos dirigentes e gerentes de uma empresa com o objetivo de fornecer uma estrutura de princípios para que esses profissionais possam usar na avaliação, direção e monitoramento do uso da Tecnologia da Informação de uma empresa. É o modelo de governança de TI que gira em torno de três áreas de conhecimento primordialmente: conceitos e definições iniciais, princípios e modelo de governança. Dessa forma, a Norma oferece princípios para orientar os dirigentes das organizações sobre o uso eficaz (a TI cumpre o seu papel, atinge os resultados desejados?), eficiente (cumpre seu papel usando recursos da melhor maneira possível?) e aceitável da TI (atende as expectativas das partes interessadas respeitando a eficiência e aceitabilidade?).  Ao atender as expectativas das partes interessadas espera-se as seguintes consequências: minimização de custos e maximização dos resultados, garantia da inovação de produtos com sustentabilidade, aumento do retorno sobre o investimento em TI e setor aderente às leis e regulamentos aplicáveis.  O modelo pode ser aplicado em diversos negócios, de variados tamanhos. Princípios da Norma 38500 Seus 6 princípios registrados no site da Associação Brasileira de Normas Técnicas (ABNT) são: Objetivos da Norma:  Como utilizar a Norma? A Norma estabelece que os dirigentes direcionem a TI por meio de três tarefas:  O que é o Cobit 2019?  O Cobit 2019 é um framework de governança corporativa de TI e um dos modelos mais populares para auxiliar empresas a alcançarem seus objetivos da área de TI. Abrangente, o Cobit 2019 tem o objetivo de gerar valor pro negócio baseado na seguinte relação:  Um dos principais diferenciais do modelo e o motivo pelo qual ele serve tão bem à governança, é o fato de oferecer uma orientação total da organização, abarcando todas as áreas responsáveis pelas funções de TI de uma organização, conectando tudo isso aos interesses internos e externos relacionados à Tecnologia da Informação. O Cobit 2019, assim como o anterior, pode ser aplicado em todos os tipos de negócio.  Princípios do Cobit 2019 O Cobit utiliza 5 princípios básicos para garantir a governança de TI Objetivos do Cobit  O conhecimento acerca dos dois modelos de governança de TI é importante para qualquer profissional desse segmento. Afinal, o cenário atual leva em consideração novas perspectivas acerca da importância da experiência do usuário, bem como o surgimento de legislações para o meio digital e também os crescentes riscos de cibercrimes.Mesmo que as duas normas sejam populares, o Cobit 2019 sai na frente, como um dos mais completos, abrangentes e solicitados no mercado de trabalho.  Para utilizá-lo, além do conhecimento teórico é necessário testar a prática e conferir as últimas atualizações disponíveis no mercado sobre o tema.  A ESR ministra um curso de Governança de TI com COBIT 2019 (EaD), com 06 encontros online que têm o objetivo de fornecer uma visão ampla sobre a governança, processos e estratégias de TI nas organizações, através da análise dos impactos desta área em franca ascendência nos negócios. Ao final do curso o aluno estará apto para a tomada de decisões a respeito do uso eficaz dos recursos de TI, considerando o planejamento, gestão e controle dos processos de TI. >>>>Descubra outras características do curso aqui! 

    15/06/2022
  • Plano Diretor de TI
    Governança de TI

    Plano Diretor de TI (PDTI): entenda o que é e quais são os seus benefícios

    O  Plano Diretor de Tecnologia da Informação (PDTI) é um documento que detalha os processos de TI que uma organização usa para gerenciar suas operações. Ou seja, ele serve como um guia para a tomada de decisões relacionadas aos processos integrados e permite que se priorize e se implementem tarefas de acordo com as estratégias previamente formuladas. Além dessa função de gestão, o PDTI também orienta as organizações no que tange a formulação de estratégia de TI de tais empresas de uma forma mais assertiva. Como resultado direto dessa combinação, está o sucesso do negócio, em especial, após o aprimoramento do digital e a decisão mais efetiva de se investir em treinamentos e desenvolvimento de TI, além de suas áreas correlatas.  De modo simplificado, o plano descreve áreas nas quais a tecnologia da informação pode contribuir, evidenciando as vantagens competitivas da corporação ao fazer o melhor uso dos recursos das tecnologias disponíveis. Nesse contexto, na busca por uma administração que preze pela melhor gestão dos recursos e maior qualidade na prestação de serviços, torna-se essencial a realização de um bom planejamento de TI, que viabilize e potencialize a melhoria contínua da performance organizacional. Em um recorte numérico, o setor de tecnologia da informação mostra-se em crescimento constante. No segundo trimestre de 2021, o mercado registrou faturamento de mais de U$300 milhões, o que representa um crescimento de 13,5% em relação aos meses de abril, maio e junho do ano passado. Os dados fazem parte do estudo Enterprise Infrastructure Q2 2021, realizado pela IDC Brasil, que avalia o desempenho do mercado de soluções de armazenamento, servidores e networking do país. Entre os setores estudados pela IDC Brasil, destaca-se o de armazenamento, que cresceu 11,1% graças a grandes projetos sonhados anteriormente e finalizados no segundo trimestre. Outra área que cresceu dois dígitos – alta de 28,5% em relação ao 2º trimestre de 2020 – foi a de networking, sendo que o segmento de redes de acesso foi o que mais avançou, enfatizando a busca das empresas por soluções que ajudem a suportar uma densidade maior de dispositivos conectados dentro do modelo de trabalho híbrido e remoto.  Esses dados ajudam a compreender a importância de olhar com esmero para as novas tecnologias digitais que embarcam na realidade de todos os negócios e áreas de atuação.  Componentes de um PDTI Destacadas as principais características de um Plano Diretor de TI é preciso enfatizar ainda alguns componentes que são essenciais e devem estar no PDTI de sua empresa. O plano diretor de TI deve descrever: Ações que planejem, de forma escalonada, alcançar os objetivos de negócio da organização. Normalmente, o primeiro passo é começar a revisar o plano estratégico da empresa, o que ajuda a identificar as áreas em que o uso da tecnologia pode melhorar as operações. Análises dos seus pontos fortes, fracos, as oportunidades e as ameaças que o negócio apresenta com o objetivo de identificar fatores internos e externos que podem afetar a capacidade da TI de contribuir para o sucesso da organização. Esse processo também ajudará a analisar onde o departamento de TI está naquele momento e o que ele deseja alcançar. Caso essa área ainda não exista dentro da empresa, será o momento de entender onde ela se encaixa diante das divisões já existentes. Finalmente, é importante que o PDTI seja claro sobre seus objetivos finais. Assim, é essencial a presença de uma lista, que o departamento de TI considere prioridade, com investimentos em tecnologia que irão contribuir com o sucesso da organização. Ademais, o plano deve incluir avaliações do orçamento atual de TI da empresa e alocar recursos e responsabilidades específicas do projeto para atender a esses objetivos. Em resumo, elaborar um PDTI é pensar na história e desenvolvimento do negócio com estratégias digitais que serão importantes indicadores na geração de resultados e lucratividade das empresas.   Segundo o Gartner, a modernização e aderência da maioria dos setores ao digital exige que os líderes de TI pensem de forma diferente sobre o planejamento estratégico.  No cenário atual de constantes mudanças, o PDTI é uma importante ferramenta de apoio à tomada de decisão para o gestor, habilitando-o a agir de forma proativa e preventiva, contra as ameaças, e a favor das oportunidades. O PDTI é normalmente feito com projeção de 2 ou 3 anos, dependendo dos planos de crescimento das outras áreas da empresa, e vai te auxiliar a listar e otimizar suas necessidades. Afinal, toda organização deve, além de definir suas atribuições, ter clareza sobre o rumo a seguir. Para isso, é indispensável explicitar quais objetivos a organização deseja atingir a curto, médio e longo prazo. Como elaborar um Plano Diretor de TI Esclarecida a importância e relevância de se possuir um PDTI em sua empresa, é hora de começar o investimento nessa área! A dica é capacitar os profissionais que irão elaborar o plano, uma vez que, bem desenvolvido e formulado, ele poderá definir orçamentos e rumos importantes para a instituição.  > O curso da ESR é o que você precisa nesse momento para atender a essa demanda! <  A capacitação, assinada pela Escola Superior de Redes, apresenta conhecimentos essenciais, de forma prática, para o desenvolvimento de um plano diretor de tecnologia da informação (PDTI).  Ou seja, atua a partir das informações do planejamento e da gestão de TI nas organizações, a fim de proporcionar aos interessados uma visão estratégica bem definida.  Durante o desenvolvimento aborda-se a metodologia necessária para que haja um alinhamento entre as estratégias e ações da TI, com as estratégias organizacionais.  Como já foi exposto, o PDTI é o instrumento que permite nortear e acompanhar a atuação da área de TI, definindo direcionamentos calculados e um plano de ação específico para implantá-los.  Por isso, o foco do curso está no desenvolvimento de competências práticas, a partir do alinhamento teórico de boas ideias para o desenvolvimento do PDTI, com as diretrizes da estratégia de TI. Dentro do programa do curso o cliente irá compreender todas as principais fases de preparação do plano diretor de TI, como:  Fase de Preparação; Fase de Diagnóstico: Conhecendo a Realidade da TI; Fase de Diagnóstico: Avaliando os Recursos de TI; Fase de Planejamento: Definindo Metas e Ações; Fase de Planejamento: Terminando o PDTI. Ficou interessado e quer ver na prática como implementar um Plano Diretor de Tecnologia da Informação? Conheça outras características do curso da ESR, aqui!  Referências: Página do curso de PDTI na ESR: https://esr.rnp.br/cursos/elaboracao-de-pdti-ead https://www.portnet.com.br/o-que-e-pdti-plano-diretor-de-tecnologia-da-informacao https://www.profissionaisti.com.br/o-que-e-pdti-plano-diretor-de-tecnologia-da-informacao https://fj.com.br/o-que-e-pdti-e-para-que-serve

    23/12/2021
  • Time de TI
    Governança de TI

    Como desenvolver competências de liderança para equipes de TI

    Nos dias de hoje, uma gestão de TI eficiente é pautada em oferecer mais que uma infraestrutura e aplicativos de tecnologia da informação que permitem e conduzem a estratégia e as metas do negócio. Isso porque, em muitas empresas, a tecnologia precisa ser o coração do negócio, por isso, o gestor de TI deve ter um lugar no conselho com uma influência tão alta quanto qualquer outro líder. Afinal, qualquer grande organização gostaria de se beneficiar de um líder em TI que pode aproveitar ao máximo os avanços técnicos do setor ao mesmo tempo que motiva pessoas dentro e fora do departamento. Pensando nessa questão, preparamos esse artigo para compartilhar a vocês quais são as competências profissionais de TI necessárias para que você faça uma liderança de equipes de TI eficiente. Boa leitura! O que é gestão de TI? A gestão de TI se concentra em garantir as condições necessárias para que os sistemas de informação operem de forma eficiente.  Ou seja, esse departamento é responsável pelo monitoramento e administração dos sistemas de tecnologia da informação baseados em hardwares, softwares e redes. O principal líder de TI é mais frequentemente referido como o diretor de informação ou CIO. Entretanto, já é comum em algumas organizações essa responsabilidade agora ser compartilhada com uma variedade de “chefes de informação”, incluindo o diretor digital, o diretor de dados e o diretor de produto.  Exemplos de habilidades importantes de liderança incluem soft skills (interpessoais), hard skills e a capacidade de inspirar funcionários a aproveitar a TI para melhorar os processos. Liderança de equipes TI com foco pessoas A motivação não é proporcionada pelo líder, ao contrário do que se pensa comumente. O líder cria as condições para que o funcionário se motive.  Mas esse movimento vem de dentro para fora, ou seja: é o funcionário quem acaba encontrando elementos que o motivam a cumprir os objetivos estratégicos. Isso ocorre porque a motivação é influenciada por fatores sobre os quais o líder tem pouco domínio. Muitas vezes, são questões pessoais ou financeiras pelas quais você pouco pode fazer, a não ser oferecer uma boa conversa. Já o engajamento, esse sim, vem da liderança. E a capacidade de engajar está na forma como você vende os projetos e os objetivos a serem cumpridos pelo time. Como líder, você deve buscar os meios adequados para fazer com que a sua equipe tenha paixão pelos projetos e desafios.  E isso passa pela forma como você enxerga as tarefas e projetos propostos para a Tecnologia da Informação.  Um líder que enxerga soluções, em vez de problemas, certamente terá muito mais chances de trazer a equipe consigo, na condução dos trabalhos. Além disso, é importante que você olhe para a equipe, mas tenha foco diferenciado para cada um dos seus colaboradores.  Não se esqueça que, embora eles façam parte do mesmo time, cada um tem perfis e fatores de motivação diferentes.  Entender as particularidades de cada um e encontrar soluções para que as habilidades individuais apareçam é uma parte fundamental para gerar o desejado engajamento. Competências profissionais de TI necessárias para uma liderança eficiente A gestão de TI é definida por todas as práticas destinadas a gerenciar os recursos e soluções de tecnologia de uma empresa.  Quando a gestão é pensada e feita de forma estratégica, assume um comportamento de governança sobre as ferramentas da área com o objetivo de melhorar os resultados da empresa. Veja abaixo: Conhecimento técnico e operacional O gestor de TI também deve ser capaz de colocar a mão na massa e uma boa educação técnica é fundamental nos cargos de liderança, afinal, não há como orientar sua equipe se você não possui os conhecimentos técnicos necessários.  Essas habilidades podem ser conquistadas em cursos mais generalistas e específicos que permitam a construção de um arsenal de ferramentas, metodologias e frameworks aplicáveis no dia a dia.  Conheça o negócio  A gestão das atividades do setor de TI é estratégica quando alinhadas ao planejamento estratégico de negócios traçado pela empresa. Para isso, não basta atender áreas e pessoas isoladamente, é necessário que o gestor responsável pela administração da equipe e dos recursos conheça bem os objetivos e metas do negócio e funcionamento do mercado. Dessa forma, as circunstâncias para lidar com as transformações e oportunidades são enxergadas de forma mais completa e holística. Saiba implantar metodologias de trabalho eficientes  Para que os avanços ocorram de maneira perceptível, não é suficiente apenas planejar e aplicar, mas também acompanhar  e monitorar a relação de desempenho e resultado, utilizando os indicadores de TI apropriados. Um TI estratégico é capaz de evoluir setores como o suporte, implementar melhores ferramentas, melhorar processos e muito mais. Compreender os pontos fortes e fracos dos integrantes do time e de todos os envolvidos nas ações do setor é bastante importante para que decisões sobre a delegação de tarefas sejam tomadas, resolvendo gargalos  e evoluindo no que já funciona bem.  Leia mais: Por que você deve obter uma certificação de Metodologia Ágil Scrum com o EXIN? Estabeleça sistemas de controle  Para que o monitoramento dos processos seja efetivo, é necessária a adoção de controles, indicadores e ferramentas de auxílio. Isto irá colaborar para que o planejamento seja desempenhado da melhor maneira, dimensionando as tarefas, urgências e qualquer chamado que necessite do suporte de um responsável da área de TI.   Otimize custos Não apenas a área de Tecnologia da Informação, mas qualquer departamento que esteja em processo de implantação de uma gestão estratégica, sem funções ou direções claras, tende a ter maior dispersão de recursos. Esse elemento pode compreender qualquer tipo de negócio, seja nos aspectos financeiros, humanos e até de tempo. Nesse cenário, a gestão estratégica de TI procura poupar gastos inúteis, por que ela é pensada para administrar riscos e reduções.   Fique atento à segurança da informação O cuidado com as informações é prerrogativa básica, porque o mau uso de dados pode gerar prejuízos imensos que vão dos financeiros à reputação da empresa. Com uma gestão estratégica do setor de TI, são definidas as políticas de segurança para todos os colaboradores, enquanto a equipe de tecnologia tem a sua postura proativa, na tentativa de se antecipar a ameaças, com a ajuda da cibersegurança. Conclusão A TI estratégica consegue direcionar ações para uma maior economia de recursos e eficiência das equipes, propiciando o aumento de vendas, melhoria de serviços, produtos e diversos outros benefícios. Com profissionais engajados e treinados, torna-se possível que o setor de TI se torne um importante ativo para os projetos da empresa. Para isso, é necessário que os objetivos da área estejam alinhados aos da instituição. Quer se aprimorar na área? A qualificação em Gestão de Ti é o diferencial competitivo para profissionais que almejam posições de destaque neste mercado, cada vez mais estratégico para as organizações.  Abaixo você confere alguns conteúdos da ESR para Gestores de TI: Webinars: https://esr.rnp.br/eventos Cursos: https://esr.rnp.br/cursos Consultoria Educacional: https://esr.rnp.br/consultoria-educacional Blog post sobre Gestão Estratégica de TI: https://esr.rnp.br/governanca-de-ti/gestao-estrategica-ti Blogpost sobre indicadores de TI: https://esr.rnp.br/governanca-de-ti/indicadores-de-ti-como-mensurar Guia para Governança de TI: https://esr.rnp.br/governanca-de-ti/guia-pratico-para-governanca-de-ti

    25/11/2021
  • business brainstorming graph chart report data concept scaled 1
    Governança de TI

    Gestão estratégica de TI: como implementar em sua empresa

    A crise sanitária enfrentada pelo mundo acelerou ainda mais a transformação digital das empresas, que já acontecia em velocidade exponencial.  Diante da necessidade de adaptação global em uma escala sem precedentes, foi possível observar na prática como, em geral, se saíram melhor as organizações que tinham um planejamento estratégico sólido frente àquelas que agiam apenas de maneira reativa, esperando os acontecimentos. Nesse sentido, a gestão estratégica do setor de TI – que já era uma tendência da área -, tornou-se o novo paradigma para todas as organizações, independente do porte.  O objetivo da gestão estratégica é otimizar processos e fluxos de trabalho para alcançar as metas traçadas. Nesse sentido, a gestão estratégica é indissolúvel do conceito de governança de TI.  A informação é cada vez mais um ativo essencial dentro das empresas. É ela que, em muitos casos, guiará a tomada de decisões e será capaz de realizar o monitoramento da performance institucional, para eventuais correções de percurso. O objetivo é agregar qualidade e valor à administração e a cada departamento. A partir de então, os resultados da empresa como um todo serão impactados cada vez mais de forma positiva. Implementando a gestão estratégica de TI  Como mencionado anteriormente, agir estrategicamente aumenta consideravelmente as chances de sucesso de qualquer setor. Contudo, é preciso que esse modelo seja implantado gradativamente. Na área de TI, é interessante começar seguindo alguns passos e ações  até que a estratégia esteja bem consolidada. É importante ressaltar que esse é um trabalho em constante aprimoramento, por isso, não se esqueça de sempre reavaliar os processos de TI em um período de tempo pré-definido.  Veja abaixo os primeiros passos a serem seguidos: Conheça o negócio  A gestão das atividades do setor de TI é estratégica quando alinhadas ao planejamento estratégico de negócios traçado pela empresa. Para isso, não basta atender áreas e pessoas isoladamente, é necessário que o gestor responsável pela administração da equipe e dos recursos conheça bem os objetivos e metas do negócio e funcionamento do mercado, para que haja uma integração total com os outros setores da empresa. Dessa forma, as circunstâncias para lidar com as transformações e oportunidades são enxergadas de forma mais completa e holística. Acompanhe as equipes  Para que os avanços ocorram de maneira perceptível, não é suficiente apenas planejar e aplicar, mas também acompanhar  e monitorar a relação de desempenho e resultado, utilizando os indicadores de TI apropriados. Um TI estratégico é capaz de evoluir setores como o suporte, implementar melhores ferramentas, melhorar processos e muito mais. Compreender os pontos fortes e fracos dos integrantes do time e de todos os envolvidos nas ações do setor é bastante importante para que decisões sobre a delegação de tarefas sejam tomadas, resolvendo gargalos  e evoluindo no que já funciona bem.   Estabeleça sistemas de controle  Para que o monitoramento dos processos seja efetivo, é necessária a adoção de controles, indicadores e ferramentas de auxílio. Isto irá colaborar para que o planejamento seja desempenhado da melhor maneira, dimensionando as tarefas, urgências e qualquer chamado que necessite do suporte de um responsável da área de TI.   Otimize custos Não apenas a área de Tecnologia da Informação, mas qualquer departamento que esteja em processo de implantação de uma gestão estratégica, sem funções ou direções claras, tende a ter maior dispersão de recursos. Esse elemento pode compreender qualquer tipo de negócio, seja nos aspectos financeiros, humanos e até de tempo. Nesse cenário, a gestão estratégica de TI procura poupar gastos inúteis, por que ela é pensada para administrar riscos e reduções.   Aprimore a segurança da informação O cuidado com as informações é prerrogativa básica, porque o mau uso de dados pode gerar prejuízos imensos que vão dos financeiros à reputação da empresa. Com uma gestão estratégica do setor de TI, são definidas as políticas de segurança para todos os colaboradores, enquanto a equipe de tecnologia tem a sua postura proativa, na tentativa de se antecipar a ameaças, com a ajuda da tecnologia.   Conclusão A gestão de TI é definida por todas as práticas destinadas a gerenciar os recursos e soluções de tecnologia de uma empresa. Quando a gestão é pensada e feita de forma estratégica, assume um comportamento de governança sobre as ferramentas da área com o objetivo de melhorar os resultados da empresa. A TI estratégica consegue direcionar ações para uma maior economia de recursos e eficiência das equipes, propiciando o aumento de vendas, melhoria de serviços, produtos e diversos outros benefícios. Com profissionais engajados e treinados,  torna-se possível que o setor de TI se torne um importante ativo para os projetos da empresa. Para isso, é necessário que os objetivos da área estejam alinhados aos da instituição. Quer se aprimorar na área? A qualificação em Governança de TI é o diferencial competitivo para profissionais que almejam posições de destaque neste mercado, cada vez mais estratégico para as organizações. Conheça todos os cursos da trilha de Governança de TI da ESR.

    04/11/2021
  • Data Protection Officer (DPO)
    Governança de TI

    Data Protection Officer (DPO): quem é este profissional e como se tornar um

    Com a entrada em vigor da nova Lei Geral de Proteção de Dados (LGPD), adaptações são necessárias por parte das empresas. Novas instituições, mercados e até atribuições profissionais precisaram ser criadas para atender a essas demandas. E uma das principais é o Data Protection Officer (DPO) ou, como nomeia a legislação nacional, Encarregado pelo Tratamento de Dados. Em se tratando de  uma organização que registra as informações dos seus usuários, é preciso responsabilidades quanto à segurança e uso de dados. E todo esse processo precisa ser monitorado por um DPO. Neste artigo exploraremos as qualificações exigidas e como obtê-las.  Quem exatamente é o Data Protection Officer (DPO)? Como mencionado anteriormente, ​​A Lei Geral de Proteção de Dados exige a nomeação de um Data Protection Officer (DPO), que ela se refere como “Encarregado de dados”. É o profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes quanto da própria organização. O Data Protection Officer, indicado pelo controlador, deverá apoiar e orientar a organização com o objetivo de que as determinações estipuladas pela LGPD sejam cumpridas, evitando problemas de compliance, ciberataques, vazamentos e uso inadequado de dados. Quais as responsabilidades de um DPO? O DPO é uma pessoa com um papel misto de aconselhamento e controle. A ele cabem, pelo menos, as seguintes tarefas: A LGPD exige que os Data Protection Officer (DPOs) priorizem suas atividades e concentrem seus esforços em questões que apresentam maiores riscos de proteção de dados e podem ser delegadas a ele para gerenciar o registro das atividades de processamento. O Estado regulamentou a atuação do DPO através da Instrução Normativa SGD/ME Nº 117, DE 19 DE NOVEMBRO DE 2020. Essa instrução é vinculante apenas às instituições do Poder Executivo, porém serve como referência objetiva para a atuação das empresas.  Em seu artigo 3º, a norma estabelece que o Data Protection Officer (DPO) deve estar prontamente envolvido em todas as questões relacionadas à proteção de dados pessoais e a organização deve possibilitar: Qualificações necessárias para ser um Data Protection Officer (DPO) É essencial que o DPO tenha pleno conhecimento sobre a LGPD, tanto em território brasileiro, quanto às mudanças que ocorrem em outros países e suas legislações próprias, se a empresa tiver dados armazenados em solo internacional.  Nesse contexto, é imprescindível saber jurídico, conhecimento em segurança de dados e em tecnologia, e também preparo especial quanto a questões de governança corporativa, para que esteja apto a auxiliar colaboradores de diversos setores no tratamento de dados pessoais. Conclusão A empresa que conta com um DPO certamente estará mais segura quanto à sua conformidade com a LGPD. Ter um DPO atualmente é necessário a todas as organizações tendo em vista que estamos dentro do ecossistema de um mundo que, atualmente, é data driven. O DPO proporciona, dentro da organização, a promoção da do cuidado e da segurança dos dados do cliente. Pensar nesta função leva a percepções que oferecem uma vantagem competitiva à sua empresa. Quer se tornar um Data Protection Officer (DPO)? O EXIN Privacy & Data Protection Essentials (PDPE) é uma certificação que valida o conhecimento de um profissional sobre a organização da proteção de dados pessoais, as regras e regulamentos brasileiros em matéria de proteção de dados. Conheça o curso preparatório da ESR para esta certificação.

    28/10/2021
  • governança de TI
    Governança de TI

    Auditoria de governança de TI: entenda a importância e como fazer

    Governança de TI é um conjunto de políticas, estratégias, processos de gestão, monitoramento, prevenção de riscos e investimentos que tem como objetivo principal alinhar o setor de TI ao restante do negócio. Ao implementar práticas bem estruturadas, a empresa terá a capacidade de integrar a tecnologia a mais ambientes, maximizando os impactos positivos que o TI pode causar no dia-a-dia de cada setor. A importância é tanta que a ABNT (Associação Brasileira de Normas Técnicas) editou a norma ABNT NBR ISO/IEC 38500:2018 que “fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações”. Nesse contexto, a transparência pode ser vista como fundamento para a boa governança e como pré-requisito essencial para a accountability, envolvendo a prestação de contas e a responsabilização. O papel da auditoria de governança e gestão de TI, então, consiste em verificações periódicas do compliance de processos para garantir a integração entre os resultados alcançados, a estratégia de alocação dos recursos e os objetivos estratégicos definidos para o exercício. Estas ações demonstrarão o uso dos recursos, os produtos, os resultados e os impactos produzidos. As melhores práticas, em uso pelos órgãos de controle, abordam o COSO – Committee of Sponsoring Organizations of the Treadway Commission – e o COBIT – Control Objectives for Information and related Technology como frameworks de referência. Importância da Auditoria de Governança de TI Cada empresa deve passar por alguns processos de auditoria. Essa rotina permite que as falhas sejam identificadas de forma mais inteligente, focando no alinhamento dos processos ao seu padrão de execução e trabalhando para que a empresa busque sempre um padrão de qualidade superior. Quando falamos em auditoria de governança de TI, buscamos analisar possíveis falhas nos processos de gestão ou desalinhamento entre a equipe responsável pela execução das atividades do setor de TI e as demais áreas da empresa. Dessa forma, a empresa consegue manter suas atividades otimizadas, evitando conflitos, erros e gargalos no ambiente de produção. Contudo, ​​a auditoria de governança de TI deve ser feita com cuidado. Ela exige uma atenção especial dos profissionais que forem verificar os procedimentos para garantir que nenhuma falha fique em branco ou que a companhia tenha dificuldades para alinhar os seus processos com os padrões do mercado. Nesse sentido, os frameworks são vitais ao auxiliar os os protocolos da auditoria. Frameworks COSO (Committee of Sponsoring Organizations of the Treadway Commission) O framework COSO é utilizado para avaliar o sistema de controles de uma organização. O COSO fornece uma estrutura para a gestão, conselho de confiança, partes interessadas externas e outros que interagem com o negócio para usar como um guia no desempenho de suas respectivas funções em relação ao controle interno. COSO é uma iniciativa do setor privado criada em 1985 com a intenção de melhorar a qualidade dos relatórios financeiros por meio do foco na governança corporativa, práticas éticas e controle interno. Espera-se que o framework ajude as organizações a projetar e implementar o controle interno à luz de muitas mudanças nos ambientes de negócios e operacionais, ampliar a aplicação do controle interno na abordagem de operações e objetivos de relatórios e esclarecer os requisitos para determinar o que constitui um controle interno eficaz. O Framework apresenta a relação direta que existe entre os objetivos de uma entidade- que é o que uma entidade se esforça para alcançar-, os componentes de controle interno – que representam o que é necessário para atingir os objetivos – e a estrutura organizacional da entidade – o sistema pelo qual as atividades são orientado na busca de alcançar objetivos. Esse relacionamento pode ser descrito na forma de um cubo (como na figura abaixo).     Três categorias de objetivos são apresentadas em colunas (parte superior do cubo): Operações, Divulgação e Conformidade. Cinco componentes de controle interno são apresentados por linhas (frente do cubo): Ambiente de Controle, Avaliação de Risco, Atividades de Controle, Informação e Comunicação e Atividades de Monitoramento. A estrutura organizacional de uma entidade é apresentada pela terceira dimensão (lado do cubo): Nível de Entidade, Divisão, Unidade Operacional e Função. Os cinco componentes do controle interno são suportados por 17 princípios que apresentam os conceitos fundamentais de cada componente. O Framework também fornece orientação adicional na forma de pontos de foco destinados a auxiliar a administração no projeto, implementação e avaliação de princípios relevantes. Juntos, os componentes e princípios constituem os critérios do Framework e os pontos de foco fornecem orientações que ajudarão a administração a avaliar se os componentes do controle interno estão presentes, funcionando e operando em conjunto dentro da entidade. Ambiente de Controle: O conjunto de padrões, processos e estruturas que fornecem a base para a realização do controle interno em toda a organização; Avaliação de Riscos: O processo de identificação, avaliação e mitigação de riscos que impedem a organização de atingir seus objetivos; Atividades de Controle: Políticas e procedimentos que garantem que as diretrizes da gestão sejam cumpridas e as ações necessárias sejam tomadas para abordar os riscos e atingir as metas. As atividades de controle ocorrem em toda a organização e são realizadas por funcionários em todos os níveis e funções. Informação e comunicação: As informações pertinentes devem ser identificadas, capturadas e comunicadas ao pessoal apropriado em tempo hábil. Os sistemas de informação devem fornecer dados que sejam relevantes para os objetivos estabelecidos, precisos e com detalhes suficientes, compreensíveis e em forma utilizável. Comunicações eficazes também devem ocorrer em um sentido mais amplo, fluindo para baixo, através e para cima através da organização. Atividade de monitoramento: Avaliação da qualidade do desempenho da organização ao longo do tempo. O monitoramento contínuo ocorre diariamente no curso das operações por meio de supervisão regular de supervisão e avaliações separadas por partes externas. COBIT (Control Objectives for Information and related Technology) Objetivos de controle para informações e tecnologias relacionadas, mais popularmente conhecido como COBIT, é uma estrutura que visa ajudar as organizações que buscam desenvolver, implementar, monitorar e melhorar a governança de TI e o gerenciamento de informações. O COBIT foi estabelecido pela ISACA, que significa Associação de Auditoria e Controle de Sistemas de Informação. A ISACA e o IT Governance Institute (ITGI) o publicam. O COBIT 2019 atualiza a estrutura para empresas modernas, abordando novas tendências, tecnologias e necessidades de segurança. A estrutura ainda funciona bem com outros frameworks de gerenciamento de TI, o que a torna uma ótima opção como uma estrutura guarda-chuva para unificar processos em uma organização inteira. Novos conceitos e terminologia foram introduzidos no COBIT Core Model, que inclui 40 objetivos de governança e gerenciamento para estabelecer um programa de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade. No geral, o framework é projetado para dar às empresas mais flexibilidade ao personalizar uma estratégia de governança de TI. Uma das principais diferenças entre o COBIT e outros frameworks é que ele se concentra especificamente em segurança, gerenciamento de riscos e governança de informações. Isso é enfatizado no COBIT 2019, com melhores definições do que é e do que não é. Por exemplo, a ISACA diz que o COBIT 2019 não é uma estrutura para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas a TI ou determinar estratégias ou arquitetura de TI. Em vez disso, é projetado estritamente como uma estrutura para governança e gerenciamento de TI corporativa em toda a organização. Isso é melhor esclarecido para as empresas na versão atualizada, para que haja menos confusão sobre como o COBIT deve ser usado e implementado. De acordo com a ISACA, o COBIT 2019 foi atualizado para incluir: Áreas de foco e fatores de design que dão mais clareza sobre a criação de um sistema de governança para as necessidades de negócios; Melhor alinhamento com os padrões globais, estruturas e melhores práticas para reforçar a relevância da estrutura; Um modelo de código aberto que permite feedback da comunidade de governança global para incentivar atualizações e melhorias mais rápidas; Atualizações regulares lançadas em uma base contínua; Mais orientações e ferramentas para apoiar as empresas no desenvolvimento de um “sistema de governança mais adequado, tornando o COBIT 2019 mais prescritivo”; A melhor ferramenta para medir o desempenho de TI e alinhamento com o CMMI; Mais suporte para a tomada de decisões, incluindo novos recursos de colaboração online. O COBIT 2019 também introduz conceitos de “área de foco” que descrevem tópicos e questões de governança específicas, que podem ser tratados por objetivos de gestão ou governança. Alguns exemplos dessas áreas de foco incluem pequenas e médias empresas, cibersegurança, transformação digital e computação em nuvem. As áreas de foco serão adicionadas e alteradas conforme necessário com base nas tendências, pesquisas e feedback – não há limite para o número de áreas de foco que podem ser incluídas no COBIT 2019. Quer se aprofundar no assunto? Conheça o curso de Auditoria de Governança de TIC com Cobit e Coso da ESR.

    23/09/2021