Governança de TI

Governança de TI é um conjunto de políticas, estratégias, processos de gestão, monitoramento, prevenção de riscos e investimentos que tem como objetivo principal alinhar o setor de TI ao restante do negócio. Ao implementar práticas bem estruturadas, a empresa terá a capacidade de integrar a tecnologia a mais ambientes, maximizando os impactos positivos que o TI pode causar no dia-a-dia de cada setor. A importância é tanta que a ABNT (Associação Brasileira de Normas Técnicas) editou a norma ABNT NBR ISO/IEC 38500:2018 que “fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações”. Nesse contexto, a transparência pode ser vista como fundamento para a boa governança e como pré-requisito essencial para a accountability, envolvendo a prestação de contas e a responsabilização. O papel da auditoria de governança e gestão de TI, então, consiste em verificações periódicas do compliance de processos para garantir a integração entre os resultados alcançados, a estratégia de alocação dos recursos e os objetivos estratégicos definidos para o exercício. Estas ações demonstrarão o uso dos recursos, os produtos, os resultados e os impactos produzidos. As melhores práticas, em uso pelos órgãos de controle, abordam o COSO – Committee of Sponsoring Organizations of the Treadway Commission – e o COBIT – Control Objectives for Information and related Technology como frameworks de referência. Importância da Auditoria de Governança de TI Cada empresa deve passar por alguns processos de auditoria. Essa rotina permite que as falhas sejam identificadas de forma mais inteligente, focando no alinhamento dos processos ao seu padrão de execução e trabalhando para que a empresa busque sempre um padrão de qualidade superior. Quando falamos em auditoria de governança de TI, buscamos analisar possíveis falhas nos processos de gestão ou desalinhamento entre a equipe responsável pela execução das atividades do setor de TI e as demais áreas da empresa. Dessa forma, a empresa consegue manter suas atividades otimizadas, evitando conflitos, erros e gargalos no ambiente de produção. Contudo, ​​a auditoria de governança de TI deve ser feita com cuidado. Ela exige uma atenção especial dos profissionais que forem verificar os procedimentos para garantir que nenhuma falha fique em branco ou que a companhia tenha dificuldades para alinhar os seus processos com os padrões do mercado. Nesse sentido, os frameworks são vitais ao auxiliar os os protocolos da auditoria. Frameworks COSO (Committee of Sponsoring Organizations of the Treadway Commission) O framework COSO é utilizado para avaliar o sistema de controles de uma organização. O COSO fornece uma estrutura para a gestão, conselho de confiança, partes interessadas externas e outros que interagem com o negócio para usar como um guia no desempenho de suas respectivas funções em relação ao controle interno. COSO é uma iniciativa do setor privado criada em 1985 com a intenção de melhorar a qualidade dos relatórios financeiros por meio do foco na governança corporativa, práticas éticas e controle interno. Espera-se que o framework ajude as organizações a projetar e implementar o controle interno à luz de muitas mudanças nos ambientes de negócios e operacionais, ampliar a aplicação do controle interno na abordagem de operações e objetivos de relatórios e esclarecer os requisitos para determinar o que constitui um controle interno eficaz. O Framework apresenta a relação direta que existe entre os objetivos de uma entidade- que é o que uma entidade se esforça para alcançar-, os componentes de controle interno – que representam o que é necessário para atingir os objetivos – e a estrutura organizacional da entidade – o sistema pelo qual as atividades são orientado na busca de alcançar objetivos. Esse relacionamento pode ser descrito na forma de um cubo (como na figura abaixo).     Três categorias de objetivos são apresentadas em colunas (parte superior do cubo): Operações, Divulgação e Conformidade. Cinco componentes de controle interno são apresentados por linhas (frente do cubo): Ambiente de Controle, Avaliação de Risco, Atividades de Controle, Informação e Comunicação e Atividades de Monitoramento. A estrutura organizacional de uma entidade é apresentada pela terceira dimensão (lado do cubo): Nível de Entidade, Divisão, Unidade Operacional e Função. Os cinco componentes do controle interno são suportados por 17 princípios que apresentam os conceitos fundamentais de cada componente. O Framework também fornece orientação adicional na forma de pontos de foco destinados a auxiliar a administração no projeto, implementação e avaliação de princípios relevantes. Juntos, os componentes e princípios constituem os critérios do Framework e os pontos de foco fornecem orientações que ajudarão a administração a avaliar se os componentes do controle interno estão presentes, funcionando e operando em conjunto dentro da entidade. Ambiente de Controle: O conjunto de padrões, processos e estruturas que fornecem a base para a realização do controle interno em toda a organização; Avaliação de Riscos: O processo de identificação, avaliação e mitigação de riscos que impedem a organização de atingir seus objetivos; Atividades de Controle: Políticas e procedimentos que garantem que as diretrizes da gestão sejam cumpridas e as ações necessárias sejam tomadas para abordar os riscos e atingir as metas. As atividades de controle ocorrem em toda a organização e são realizadas por funcionários em todos os níveis e funções. Informação e comunicação: As informações pertinentes devem ser identificadas, capturadas e comunicadas ao pessoal apropriado em tempo hábil. Os sistemas de informação devem fornecer dados que sejam relevantes para os objetivos estabelecidos, precisos e com detalhes suficientes, compreensíveis e em forma utilizável. Comunicações eficazes também devem ocorrer em um sentido mais amplo, fluindo para baixo, através e para cima através da organização. Atividade de monitoramento: Avaliação da qualidade do desempenho da organização ao longo do tempo. O monitoramento contínuo ocorre diariamente no curso das operações por meio de supervisão regular de supervisão e avaliações separadas por partes externas. COBIT (Control Objectives for Information and related Technology) Objetivos de controle para informações e tecnologias relacionadas, mais popularmente conhecido como COBIT, é uma estrutura que visa ajudar as organizações que buscam desenvolver, implementar, monitorar e melhorar a governança de TI e o gerenciamento de informações. O COBIT foi estabelecido pela ISACA, que significa Associação de Auditoria e Controle de Sistemas de Informação. A ISACA e o IT Governance Institute (ITGI) o publicam. O COBIT 2019 atualiza a estrutura para empresas modernas, abordando novas tendências, tecnologias e necessidades de segurança. A estrutura ainda funciona bem com outros frameworks de gerenciamento de TI, o que a torna uma ótima opção como uma estrutura guarda-chuva para unificar processos em uma organização inteira. Novos conceitos e terminologia foram introduzidos no COBIT Core Model, que inclui 40 objetivos de governança e gerenciamento para estabelecer um programa de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade. No geral, o framework é projetado para dar às empresas mais flexibilidade ao personalizar uma estratégia de governança de TI. Uma das principais diferenças entre o COBIT e outros frameworks é que ele se concentra especificamente em segurança, gerenciamento de riscos e governança de informações. Isso é enfatizado no COBIT 2019, com melhores definições do que é e do que não é. Por exemplo, a ISACA diz que o COBIT 2019 não é uma estrutura para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas a TI ou determinar estratégias ou arquitetura de TI. Em vez disso, é projetado estritamente como uma estrutura para governança e gerenciamento de TI corporativa em toda a organização. Isso é melhor esclarecido para as empresas na versão atualizada, para que haja menos confusão sobre como o COBIT deve ser usado e implementado. De acordo com a ISACA, o COBIT 2019 foi atualizado para incluir: Áreas de foco e fatores de design que dão mais clareza sobre a criação de um sistema de governança para as necessidades de negócios; Melhor alinhamento com os padrões globais, estruturas e melhores práticas para reforçar a relevância da estrutura; Um modelo de código aberto que permite feedback da comunidade de governança global para incentivar atualizações e melhorias mais rápidas; Atualizações regulares lançadas em uma base contínua; Mais orientações e ferramentas para apoiar as empresas no desenvolvimento de um “sistema de governança mais adequado, tornando o COBIT 2019 mais prescritivo”; A melhor ferramenta para medir o desempenho de TI e alinhamento com o CMMI; Mais suporte para a tomada de decisões, incluindo novos recursos de colaboração online. O COBIT 2019 também introduz conceitos de “área de foco” que descrevem tópicos e questões de governança específicas, que podem ser tratados por objetivos de gestão ou governança. Alguns exemplos dessas áreas de foco incluem pequenas e médias empresas, cibersegurança, transformação digital e computação em nuvem. As áreas de foco serão adicionadas e alteradas conforme necessário com base nas tendências, pesquisas e feedback – não há limite para o número de áreas de foco que podem ser incluídas no COBIT 2019. Quer se aprofundar no assunto? Conheça o curso de Auditoria de Governança de TIC com Cobit e Coso da ESR.

Mesmo para negócios que não possuem em seu core de atuação a tecnologia, já é evidente há alguns anos a importância de se direcionar os olhares para a TI com mais atenção. Isso porque é esse setor dentro da empresa que vai reter todos os dados dos clientes, tornar possível o registro e armazenamento de informações e até mesmo todo o controle dos processos internos da empresa. Adicionando-se a esse entendimento a visão de governança de TI, é possível pensar em diferentes práticas e processos que vão tornar a TI da sua empresa uma aliada do desenvolvimento e do atingimento dos objetivos gerais da organização. Para isso, diferentes normas e manuais estabelecem diretrizes e orientações sobre o uso efetivo, eficiente e aceitável de TI dentro das organizações. Confira neste guia as melhores práticas relacionadas à governança de TI na sua organização e saiba como aplicá-las no seu dia a dia. Boa leitura! Separando “Governança de TI” de “Gestão de TI” O primeiro e mais importante passo para que você possa absorver de forma completa e satisfatória os conceitos abordados neste eBook é ter clareza sobre a diferença entre governança de TI e gestão de TI. Para isso, vamos nos embasar aqui nas referências consolidadas por um dos frameworks de gerenciamento de TI mais utilizados para orientar as práticas de governança das empresas, o COBIT (Control Objectives for Information and related Technology), concebido pela ISACA. O framework, assim como a norma ABNT ISO/IEC 38500 é um dos mais utilizados para embasar a governança inicial da área de tecnologia da informação das empresas. Com o propósito de auxiliar as organizações de todos os portes e modelos de negócio a atingirem seus objetivos de governança de TI, o COBIT 2019 baseia-se em seis princípios orientativos de governança. Para esta primeira etapa, vamos focar no princípio 4 que pretende “Separar a Governança da Gestão”. Este princípio parte da lógica original de que a elaboração de um planejamento estratégico, que de certa forma é a estrutura inicial de um programa de Governança de TI, é um processo diferente da sua execução, sendo realizados também, por vezes, por equipes distintas.  A governança de TI normalmente fica sob a responsabilidade dos executivos ou da cadeia gerencial, enquanto que a gestão fica a cargo dos gestores. Trazendo esta analogia para o cenário da área de TI dentro das organizações, o framework do COBIT 2019 demonstra que a governança diz respeito à parte mais estratégica e de desenvolvimento de objetivos para a área de TI, enquanto a gestão executa ações e atividades que se alinhem para auxiliar no atingimento destes objetivos. Para tornar a compreensão mais visual, elencamos abaixo as principais responsabilidades desenhadas pelo COBIT 2019 para as áreas de governança e gestão de TI, confira: Governança de TI Gestão de TI Agora que a diferença entre esses dois cenários está mais clara, vamos em frente falar um pouco mais sobre cada um deles, suas peculiaridades e, acima de tudo, sobre a importância de se praticar uma boa gestão de TI para atingir os grandes objetivos da governança na sua empresa. Gestão de infraestrutura de TI Antes de entrarmos nos aspectos relacionados à governança, vamos apresentar por aqui também alguns conceitos dentro da área de gestão de TI. Como já vimos no capítulo anterior, a gestão de TI está diretamente ligada à governança e contribui para o atingimento de seus objetivos. Sendo assim, é fundamental ter conhecimento também sobre este aspecto para evoluir no entendimento sobre governança de forma mais ampla. Vamos a ele. A infraestrutura de tecnologia é a base que sustenta todos os processos e sistemas operacionais de uma empresa. Para garantir tal funcionalidade é preciso que essa estrutura reúna características que a permita apresentar boa performance e capacidade de atender a demanda necessária. Uma das principais formas de colocar isso em prática é através da utilização e uso de sistemas para gestão de TI, práticas e processos, além de contar com as pessoas que integram a área de tecnologia da informação. Esse conjunto de capacidades permite que a sua estrutura tenha dois elementos fundamentais: a segurança e confiabilidade das informações coletadas e armazenadas; e a redução de falhas por conta da implementação de automação de alguns determinados processos. Existem dois ambientes tecnológicos principais de estruturação de sistemas para gestão de TI, que são on premise — em que a empresa adquire equipamentos e implanta um sistema interno para tratamento de informações —, e em cloud — quando se  utiliza o ambiente tecnológico de uma empresa especializada no provimento deste tipo de solução para realizar suas tarefas de tratamento das informações.  No entanto, é importante destacar que, para além do sistema  escolhido ou da forma de operação da mesma, é fundamental identificar e definir processos para realização das tarefas. Isso porque a área de TI é composta por pessoas, os colaboradores da empresa que estão ali diariamente dedicando seu tempo e esforços para garantir que tudo corra bem na infraestrutura de TI da empresa. Para que todos que fazem parte da área de tecnologia da informação  estejam motivados e engajados na realização de suas atribuições, será fundamental respeitar os processos já definidos e mantê-los sempre atualizados de acordo com as necessidades e também alinhados com todos que fazem parte dele.  Assim, você terá uma equipe preparada para solucionar falhas na operação, processos eficientes com baixos índices de refração e um trabalho com maior direcionamento para os objetivos do negócio do que para ficar somente corrigindo falhas de TI. Saiba mais sobre o passo a passo de como implementar um bom gerenciamento de infraestrutura de TI. Gestão de indicadores de TI Não dá para falar em gestão de TI sem mencionar indicadores. Controlar e acompanhar a evolução de diferentes métricas e parâmetros de acordo com os objetivos do negócio é essencial para monitorar quanto desta meta está sendo atingida, compreender gargalos e atuar em situações críticas. Como já mencionado anteriormente, a área de TI precisa estar alinhada aos objetivos da empresa e desempenhar de acordo com eles. Se há um novo serviço em vista por parte do negócio e é preciso intervenção da TI, lá ela deve estar, e para lá devem também estar orientados os seus indicadores. Importante lembrar que indicadores são amostras do que está sendo feito e de onde se está chegando, e servem principalmente para mensurar a eficiência e a qualidade dos processos que estão implementados e com o resultado dos indicadores propiciar a tomada de decisão. No entanto, não se deve embasar somente neles para a tomada de decisão quando o assunto é infraestrutura de TI. Confira alguns exemplos de indicadores que podem ser acompanhados pela sua área de TI para desempenhar um bom processo de gestão e compreender as principais necessidades de melhoria: Ao ter acesso às metas da empresa, a área de TI pode definir as suas próprias, que levarão ao atingimento destes objetivos maiores, e determinar uma rotina de acompanhamento desses indicadores.  Algumas metodologias como a de OKRs (Objectives and Key Results) preveem um acompanhamento próximo, coletivo e periódico da evolução das metas e também um brainstorming para definição de que ações tomar caso algo não esteja fluindo como o esperado. Governança de TI: a estratégia por trás de tudo Com certeza você já ouviu falar sobre o termo governança corporativa, certo? Pois bem, vamos entender um pouco melhor do que isso se trata e, em seguida, chegaremos na tão esperada aplicação disso dentro da área de TI. Governança corporativa é um conjunto de normas e práticas estabelecidas por cada empresa, de acordo com exigências de mercado para o seu setor e também com seus próprios valores internos. Essas regras e parâmetros vão determinar como são feitos os processos dentro da empresa, que setor é responsável por cada atividade e que resultados são esperados dentro de qual prazo para cada uma delas. O processo todo envolve poucas pessoas nas definições e como cabeças pensantes das ações, porém se estende à empresa inteira quando já estipulado tudo. Por isso é tão importante que todos tenham consciência internamente sobre que diretrizes a empresa pretende seguir e como cada pessoa pode se posicionar em prol disso. Na área de TI recomendamos que seja feito um trabalho específico de normas que será chamada de governança de TI, onde estarão discriminados todos os objetivos estratégicos de TI, bem como um conjunto de ações e práticas esperados, porém de forma que atenda a área de tecnologia, mas buscando o alinhamento com as estratégias da empresa.  Além do framework do COBIT 2019, outro modelo amplamente utilizado para a implementação de práticas de governança de TI nas organizações é a norma ISO/IEC 38500, já mencionada anteriormente, instituída pela ABNT. Também aplicável a qualquer tipo ou porte de empresa, a norma estabelece seis princípios para uma boa governança de TI. São eles: Vamos falar mais sobre cada um deles. Responsabilidade No que tange à responsabilidade, será fundamental que todos os indivíduos e grupos da organização compreendam suas atribuições e papéis no fornecimento de TI. Além disso, é preciso que as funções incumbidas a cada qual sejam acompanhadas de autonomia e poder de decisão para tal execução. Estratégia Quando falamos em estratégia na governança de TI, o objetivo principal é manter sempre no horizonte das ações o cenário atual da organização, acompanhando a evolução para os planos futuros. Este alinhamento contribui para que não haja dimensionamentos incorretos de recursos e esforços, e que o processo seja o mais otimizado possível. Sendo assim, tanto o nível executivo da empresa deve compreender qual a capacidade atual da área de TI, quanto este setor precisa ter ciência das necessidades atuais do negócio como um todo. Importante destacar aqui que o processo evolui ao longo do tempo, então essas necessidades de ambos os lados vão sendo modificadas também, e a boa governança de TI deve garantir que isso esteja endereçado. Aquisições Partindo para o terceiro ponto, as aquisições, a norma ISO/IEC 38500 propõe que haja um processo balizador para gerar um equilíbrio nos investimentos da área de TI. Assim, entende-se que tudo aquilo que é adquirido tem uma razão válida, e que deve passar por caminhos claros e transparentes que indiquem os benefícios, oportunidades, custos e riscos daquelas aquisições, e que as justifiquem diante do cenário como um todo. Desempenho O quarto princípio básico para uma boa governança de TI, segundo a norma ISO/IEC 38500 é o constante monitoramento do desempenho da área de tecnologia dentro da organização. Aqui é fundamental garantir que a atuação do setor esteja adequada à prestação de suporte à empresa,disponibilizando serviços de qualidade e que atendam às necessidades atuais e futuras do negócio. Conformidade Este princípio se trata da parte burocrática relacionada à área de TI dentro das organizações, que é a conformidade com todas as legislações e regulamentações aplicáveis ao setor. Os profissionais responsáveis pelo desenvolvimento das diretrizes de governança de TI da empresa devem ficar atentos às políticas e práticas aplicadas, e também às mudanças que ocorrem neste cenário. Manter uma proximidade com o setor jurídico, neste caso, será fundamental. Comportamento humano Apesar de estarmos debatendo governança de TI nos âmbitos de tecnologia e negócio, é fundamental ter sempre em mente que essas duas pontas dependem e são formadas por pessoas. Sendo assim, a norma ISO/IEC 38500 define o comportamento humano como o ato de prezar pelo respeito, necessidades e evolução de todas as pessoas envolvidas nos processos. Em resumo, são exemplos do que será atribuído como função aos profissionais dentro da equipe responsáveis pela governança de TI:  Uma estratégia de governança de TI bem executada pode ajudar a empresa como um todo a atingir níveis de excelência em segurança, confiabilidade e credibilidade diante de todos os stakeholders. Isso permite uma maximização dos resultados do negócio, ou seja, influencia diretamente na lucratividade da empresa. Benefícios de implantar governança de TI Já falamos neste conteúdo anteriormente sobre o que é a governança de TI e sobre como ela é importante para o bom andamento não só da área de tecnologia, mas do negócio como um todo. Confira a seguir os principais benefícios de implantar esta estratégia. Maior vantagem competitiva Com a maior produtividade de toda a sua equipe seguindo práticas e processos pré-determinados e desenhados, todos saem ganhando. O cliente fica mais satisfeito com o resultado final, a empresa tende a verificar um aumento de lucro, e o mercado fica mobilizado para entender que tipo de ações estão sendo adotadas para gerar toda essa evolução. Esta é uma grande vantagem competitiva que pode vir da implantação de governança de TI na sua empresa. Aumenta a confiança e reduza riscos para os clientes Sistemas tecnológicos regidos por uma base de governança de TI tendem a ser mais estáveis e padronizados, mesmo em seus momentos de falha. Isso é um resultado muito importante do ponto de vista do cliente, que ao utilizar a solução, comprar o produto ou serviço deseja poder usufruir dele da melhor maneira possível. Além disso, identificar que a tecnologia por trás do atendimento realizado desempenha bem transmite ainda maior segurança quanto aos riscos para o cliente ao interagir com aquela solução. Otimiza o investimento dos seus recursos Ao reduzir as falhas, agilizar processos, automatizar tarefas e identificar gargalos, o principal benefício obtido é, então, a otimização de investimento dos seus recursos. Isso porque a empresa consegue saber exatamente, com base nas políticas de governança de TI, quais equipes precisam de maior destinação de recursos e quais estão desempenhando bem da forma que estão. Isso influencia também diretamente no aumento do ROI da área de tecnologia para a empresa, ajudando ainda mais a provar seu valor. Melhora sua comunicação Pensando no pilar de alinhamento estratégico da governança de TI, uma das vantagens mais interessantes, e muitas vezes abordada de forma superficial, é a melhoria nos processos também de comunicação entre as pessoas e entre os setores. Ao determinar diretrizes de como tudo deve acontecer, torna-se mais transparente para todos o que a organização espera e para onde está indo, além da forma como cada um pode contribuir para esse objetivo também ficar mais clara. Dicas práticas de governança de TI Então, agora que passamos por todo esse preparatório para mostrar a você a importância de conhecer mais sobre gestão de infraestrutura e sobre governança de TI, está na hora de deixar por aqui algumas dicas práticas que você já pode começar a estudar para implantar a partir de agora.  Vamos a elas! #1 Faça uma análise do seu cenário A equipe ou o profissional responsável pela implantação da governança de TI dentro da sua organização precisa estar preparada para realizar uma imersão no cenário atual. Esta etapa é muito importante para que se conheçam todos os objetivos, desafios, necessidades, condições de equipe e capacidade de atuação para desenhar as diretrizes da governança. Não é eficiente ou produtivo determinar estratégias que a sua equipe não terá braço para cumprir ou que não esteja de acordo com as linhas gerais do que a empresa está buscando no momento, por exemplo. Por isso essa análise é tão importante. #2 Conheça também a realidade dos stakeholders Todos os stakeholders (as partes interessadas ou envolvidas) de alguma forma no seu negócio devem ser contempladas com os objetivos finais da estratégia de governança de TI. Assim, além do cenário atual da empresa em si, recomendamos que seja feito um mapeamento da situação e da relação com fornecedores e clientes, e também dos interesses e sugestões dos sócios e acionistas. Envolver a todos na criação das diretrizes será essencial para chegar no objetivo em comum. #3 Defina um SLA exequível A tentativa de entregar tarefas e resultados em prazos apertados para mostrar trabalho pode ser uma falha grotesca quando se trata de governança de TI. Isso porque se as diretrizes definidas forem fora da capacidade de realização da equipe, por exemplo, haverá uma constante frustração dentro da equipe e isso poderá chegar até a diretoria e se reverter em descrédito para a área de TI. Por isso, determinar um SLA (Service Level Agreement) que esteja dentro das orientações e práticas da empresa será fundamental. Com todas as tarefas desenhadas de forma acordada entre todos os envolvidos, as chances de sucesso são muito maiores. #4 Selecione e determine um framework de trabalho Existem diversas possibilidades de se aplicar uma metodologia de governança corporativa, definindo diretrizes e orientando caminhos. Assim, para não misturar um pouco de cada e tornar os processos confusos, a recomendação é de que seja selecionado um framework dentre todos os disponíveis, ocorra um aprofundamento nele caso seja novo para os envolvidos e não se fuja daquelas orientações. Alguns exemplos de frameworks sobre os quais você pode se informar e debater com a sua equipe sobre adequação ao seu cenário são alguns dos que mencionamos por aqui e mais outros: Cobit, ISO/IEC 38500, ITIL e PMBOK. #5 Adeque-se à evolução e à lei  Nossa última dica prática de hoje leva você a refletir um pouco mais sobre a questão de como acompanhar os resultados do seu framework implementado e seguir a legislação em torno disso. Muito tem-se falado sobre a LGPD, Lei nº 13.709, que entrou em vigor e modificou totalmente — na maioria dos casos — a forma como as empresas se relacionam com os dados pessoais dos seus clientes e colaboradores. Pensar em uma estratégia de governança de TI exige que haja um planejamento também a este respeito em tudo que tange à coleta, armazenamento e manipulação de dados alheios. Esta pode ser uma das suas métricas a serem definidas, pois conforme mencionamos na seção sobre os indicadores, a governança de TI prevê também que as ações possam ser metrificadas para terem o devido acompanhamento da evolução. Unir o útil ao agradável pode ser um ótimo caminho neste caso. Conclusão Muito se falou neste material sobre a importância da infraestrutura de TI para o funcionamento de toda e qualquer empresa, e sobre o alinhamento da área aos objetivos gerais do negócio.  Em muitos casos pode parecer que a estrutura presente é simplória e que apenas uma pessoa poderia dar conta. No entanto, a complexidade da tecnologia pode estar sendo subdimensionada e, por conta disso, mal interpretada dentro de um planejamento estratégico. Aos poucos as organizações vêm identificando cada vez mais a força e o valor que tem o seu setor de TI, incluindo-o em seu planejamento e criando estratégias para destinação de recursos.  O desenvolvimento da área de tecnologia dentro de uma empresa pode ser primordial para o sucesso do negócio, e aí está a importância de se dar o devido valor, criando estratégias como a governança de TI para tornar os processos mais otimizados e trazendo os resultados que a empresa tanto espera. Se quiser saber mais sobre o universo da tecnologia e sobre governança de TI, entre em contato com nossos especialistas, será um prazer falar com você sobre este tema tão encantador!

Quando o assunto é gestão de riscos de TI existem muitos caminhos possíveis para analisar cenários e tomar decisões. Seja na gestão de riscos de segurança da informação, ou no gerenciamento das operações diárias da área de TI, é fundamental ter conhecimento sobre este campo para alcançar os melhores resultados na sua empresa. A gestão de riscos de TI faz parte de alguns processos previstos dentro das práticas de governança de TI no que tange à prospecção de riscos e análise de cenários. Isso porque dentro de um ambiente controlado por normas e parâmetros para execução das atividades, é preciso que haja um monitoramento também dos riscos para mapeamento de soluções. Continue a leitura deste artigo e confira algumas dicas de como mitigar riscos em organizações a partir de um método eficiente para gestão de riscos em TI. O que é risco? Antes de abordarmos a gestão de riscos em TI em si, é preciso esclarecer o que o setor de tecnologia encara como sendo esses riscos a serem gerenciados. Importante destacar aqui que ninguém está livre: os riscos estão presentes em toda e qualquer operação e nas diferentes áreas, podendo ser classificados em diferentes tipos conforme suas características e origens.  De forma resumida, risco é toda situação onde há uma dificuldade quanto à previsibilidade do que irá acontecer no cenário final. O conceito remete, então, a casos onde há a probabilidade de os resultados serem diferentes do que era esperado inicialmente, devido a diversos possíveis motivos.  A literatura traz também neste mesmo sentido o conceito de incerteza dentro do processo de TI que, no entanto, se diferencia dos riscos pela sua impossibilidade de previsão antecipada. A existência de um risco, esta sim, é algo previsível, porque essa identificação parte da análise de um cenário e do levantamento de possibilidades de falha a partir dele. É importante destacar aqui que a possibilidade de previsão da ocorrência de um risco não significa que a equipe de TI sabe exatamente o que irá acontecer. Se fosse desta forma, não haveria riscos ou a necessidade de estratégias para a sua gestão. Os riscos são previstos de forma ampla e geral considerando as vulnerabilidades já identificadas em um sistema, por exemplo, e imaginando cenários onde ameaças externas se aproveitem desta característica para causar algum dano ou consequência. Assim, mapeando previamente as situações envolvidas no processo de TI e seus possíveis riscos, é possível desenhar um plano de ação com base nas diferentes situações identificadas. Isso traz maior segurança para a equipe no sentido de que, em caso de ocorrência de algum dos sinistros já mapeados, as práticas de governança já pré-definem uma estratégia para a gestão de riscos de TI em questão. Exemplos de riscos de TI Para que você tenha uma ideia um pouco mais palpável sobre os chamados riscos de TI, trazemos aqui alguns exemplos do que pode ser tratado como tal: flutuações de câmbio; falta de disponibilidade; despriorização de projetos; requisitos de hardware; estrutura de confidencialidade; falhas em softwares. Gestão de riscos de TI para mitigar falhas A gestão de riscos de TI é um conjunto de processos e métodos implementados pelas empresas para buscar um equilíbrio entre os riscos e os custos das operações, identificando, avaliando e controlando ameaças relacionadas à tecnologia da informação.  Neste caso, além do mapeamento de possíveis riscos e definição de um plano de ação para mitigá-los, é necessária uma expertise lógica para a realização dos cálculos e mensuração real dos riscos. Em muitos casos, empresas que não possuem tecnologia no core do seu negócio podem interpretar que os riscos de TI não representam um grande problema para elas. No entanto, a área de TI dentro da empresa, mesmo que seja somente para registro de dados dos clientes e colaboradores, reúne muitas informações valiosas. Em caso de falhas no sistema ou nos processos, pode haver grandes prejuízos ao negócio. Já no caso das empresas de base tecnológica, esses riscos ficam muito mais evidentes — e também a necessidade de desenvolver ações para mitigá-los. Quando toda a organização depende da tecnologia para operar seu negócio, é ainda mais urgente que se implemente práticas de governança de TI e de gestão de riscos de TI. Passo a passo para uma boa gestão de riscos de TI Alguns aspectos deste passo a passo já foram tratados ao longo deste artigo, porém não de forma sequencialmente organizada. Antes de irmos para o passo a passo é importante sinalizar que os riscos de TI têm como boas práticas o embasamento nas normas ABNT NBR ISO/IEC 27.500 e as diretrizes para riscos se baseiam na ABNT NBR ISO/IEC 31.000. Confira a seguir 5 passos e dicas que você pode utilizar para fazer a gestão de riscos de TI na sua empresa. #1 Análise de vulnerabilidades Este é o momento inicial do seu caminho dentro da construção de práticas de gestão de riscos de TI, e tem como foco descobrir onde e quando os riscos podem surgir e qual o seu nível de impacto para a organização. Aqui a sua solução deve ser analisada de forma honesta para identificação de possíveis vulnerabilidades e, consequentemente, que tipos de riscos podem surgir delas — antes que elas se tornem ameaças reais. #2 Entendimento das prioridades Após detectar as vulnerabilidades existentes no sistema e os possíveis impactos de riscos oriundos delas, é preciso estabelecer quais serão atacadas primeiro. Isso está diretamente relacionado ao entendimento quanto ao que é prioridade para o seu negócio em cada momento, para, então, poder direcionar as energias e esforços para este caminho. #3 Construção de plano de contingência Com os impactos e prioridades analisados, a sua equipe deverá partir para a avaliação e classificação dos riscos, o que resulta no desenvolvimento de estratégias para controle. É aqui que se inicia a preocupação quanto aos riscos se tornarem reais, ou seja, o que fazer caso aquela vulnerabilidade identificada como tendo alto impacto para o negócio venha a se concretizar? Assim, a etapa de resposta dentro da gestão de riscos de TI consiste na criação de um plano de ação para remediar um problema que venha a acontecer. #4 Instituição de rotina de backups Como os principais ativos da área de tecnologia são os dados, também é com eles a maior preocupação da gestão de riscos de TI. Por isso, uma boa prática e também uma das etapas recomendadas a serem seguidas dentro desses processos é a criação de uma rotina de backups. Realizar essas cópias periodicamente, com uma frequência estabelecida dentro das suas políticas de governança de TI, pode contribuir para que os riscos sejam reduzidos. #5 Treinamento dos colaboradores Por fim, trazemos aqui a dica relacionada ao treinamento da sua equipe, pois todos os profissionais de TI da organização deverão ser envolvidos nas políticas de gestão de riscos de TI. Essas pessoas, no entanto, nem sempre estarão envolvidas nas definições iniciais sobre as práticas a serem adotadas, visto que isso tende a ser concentrado nos cargos de liderança e gestão da empresa. Por isso, ao consolidar tudo que será aplicado como prática de gestão de riscos de TI, compartilhe em treinamentos com seus colaboradores e mantenha todos sempre na mesma página. Somente assim é que as práticas poderão ser executadas de forma satisfatória. Destacamos aqui os principais momentos envolvidos na construção das melhores práticas de gestão de riscos de TI, porém é sempre bom lembrar de que pouco disso será efetivo sem a devida revisão dos processos. Por isso, adicione aí uma camada permanente de monitoramento do que está sendo feito, e também coloque atenção para quando os riscos de fato vierem a acontecer: o plano de ação para mitigá-lo foi eficiente? O que poderia ser melhor e por que? Assim, o seu processo estará constantemente sendo atualizado e a sua equipe poderá se sentir mais segura nas tomadas de decisão, assim como o negócio como um todo ficará cada vez mais blindado de eventuais riscos. Para mais conteúdos como este, continue acompanhando o blog da ESR e confira nosso calendário de cursos!   

Do inglês Information Technology Infrastructure Library, a sigla ITIL pode ser traduzida como ‘Biblioteca de Infraestrutura para a Tecnologia da Informação’, e consiste em framework padrão de boas práticas para o gerenciamento de serviços de TI. Sua aplicação é fundamental para o alinhamento das estratégias de negócios, por isso, todo profissional de TI deve saber como implementar ITIL na sua empresa. Neste artigo, te ajudamos com essa e outras dúvidas ligadas ao universo ITIL, desde a apresentação do conceito e dos diferentes volumes da ITIL, passando pelos benefícios para as organizações, até dicas de como aderir de acordo com as suas necessidades. Vamos lá! O que é ITIL? Conforme introduzido anteriormente, ITIL é uma biblioteca que reúne as melhores práticas na gestão de TI. Lançado pela primeira vez em 1980, no Reino Unido, o framework está atualmente em sua quarta versão, atualizada em 2019. A metodologia tem como principais objetivos padronizar os procedimentos da equipe de TI, identificar e promover melhorias contínuas para ajudar as organizações a atingirem seus objetivos estratégicos na área de TI de forma cada vez mais eficiente.  Para isso, a ITIL se baseia no Sistema de Valor de Serviço (Service System Value – SVS) e no modelo de 4 dimensões, que são: Organização e Pessoas; Informação e Tecnologia; Parceiros e Fornecedores e Fluxos de Valor e Processos. Na nova versão da ITIL há uma significativa mudança de nomenclatura e conceito, partindo de processos para imergir em práticas, onde se identifica uma abordagem mais holística que proporciona mais resultados para as organizações. Para saber mais sobre como implementar a ITIL 4 na sua organização, é importante ter conhecimento sobre os componentes do Sistema de Valor de Serviço da ITIL 4 e sobre o modelo de quatro dimensões. Vamos a eles. Componentes do SVS Em essência, o Sistema de Valor de Serviço consiste em uma forma de representar o ciclo de geração de valor das atividades e entregas dentro de uma organização. De acordo com este modelo, cada um de seus componentes encontra-se posicionado em um ponto específico entre a oportunidade e a geração de valor.  Confira na imagem para compreender com mais facilidade. Fonte: https://www.itsmnapratica.com.br/tudo-sobre-itil/ A seguir, detalhamos como cada uma dessas etapas funciona. Cadeia de Valor de Serviço (ITIL Service Value Chain) A cadeia de valor de serviço consiste em um modelo operacional flexível voltado para a entrega de melhoria contínua dos serviços. Com base em seis atividades principais, este modelo prevê o desenvolvimento de soluções que envolvam: planejar melhorar engajar desenho e transição obter ou construir entregar e suportar Essas atividades podem ser combinadas de diferentes formas e em sequências variadas de acordo com as necessidades e interesses de cada organização. Práticas (ITIL Practices) Atuando como uma evolução das práticas da ITIL V3, e para otimizar a organização e o controle dos processos, são recomendadas pela ITIL 4 um total de 34 práticas de gerenciamento, divididas em três categorias: Práticas Gerais de Gerenciamento, com 14 práticas recomendadas; Práticas de gerenciamento de Serviços, abrangendo 17 práticas; Práticas de Gerenciamento Técnico, com um total de 3 práticas listadas. O objetivo dessas práticas é oferecer uma visão que combine conhecimentos de gestão empresarial, gestão de serviços de ITSM e gestão tecnológica, pensando na finalidade derradeira de melhorar a entrega de serviços de TI. Os princípios orientadores (ITIL guiding principles) Os princípios orientadores da ITIL existem para auxiliar os gestores e as equipes de TI na tomada de decisões e assegurar que o alinhamento entre este setor e o negócio como um todo esteja em dia. São os 7 princípios da ITIL 4: concentre-se no valor comece de onde você está progrida iterativamente com feedback colabore e promova visibilidade pense e trabalhe holisticamente mantenha as coisas simples e práticas otimize e automatize Se você se recordar dos nossos materiais sobre o método Agile, poderá identificar que a lógica de buscar eficiência e melhoria contínua é bastante semelhante. Desta forma, os próprios princípios orientadores conversam em muitos aspectos. Para trabalhar com ITIL é, então, fundamental ter conhecimentos sobre o cenário Agile. Governança Do ponto de vista da governança, são implementadas nas organizações práticas e rotinas que busquem garantir o alinhamento entre a operação e o direcionamento de estratégia do negócio. Melhoria Contínua de Serviços ITIL (ITIL Continual Improvement) Tendo como base conceitos do ciclo PDCA (Plan, Do, Check, Adjust), a melhoria contínua da ITIL 4 busca implementar a melhoria contínua em cada um dos componentes do Sistema de Valor de Serviço. Ao oferecer mais agilidade e resiliência através de uma abordagem holística, as organizações conseguem identificar os resultados de forma mais evidente e alinhada aos objetivos. O modelo de 4 dimensões Já do ponto de vista do segundo elemento estruturante da ITIL 4, vamos apresentar a seguir as dimensões descritas pela metodologia a partir das quais cada um dos componentes citados anteriormente deve ser considerado. Confira! Organização e pessoas A dimensão de organização e pessoas busca garantir a adequação das equipes à linha de horizonte do negócio. Uma das formas de colocar isso em prática é através da criação de valores e da definição de atitudes compartilhadas dentro da área de TI que possam agregar valor ao resultado de entrega de valor de serviço. Em resumo, esta dimensão trata da cultura da empresa alinhada aos objetivos e colaboradores. Informação e tecnologia Na dimensão de informação e tecnologia, são incluídas informações e conhecimentos necessários para o gerenciamento dos serviços e das ferramentas para a operação rodar. Aqui existem diferentes orientações sobre o papel de cada ator dentro deste processo, além de fornecer insights para o estabelecimento de relações entre os diferentes componentes do SVS. Parceiros e fornecedores Quando se pensa em parceiros e fornecedores, a ITIL 4 prevê um alinhamento também com esses atores, para além da equipe interna. Todo negócio depende dessas relações externas para se sustentar e crescer, por isso esta dimensão busca direcionar os olhares dos gestores para o relacionamento entre organizações. Fluxos de valor e processos Por último, a quarta dimensão prevista no modelo da ITIL 4 diz respeito à forma como a organização funciona, ou seja, como seus diferentes braços atuam de forma integrada e rumo aos mesmos objetivos. A ideia por trás é sempre identificar como se dá a geração de valor através dos produtos e serviços, porém entender como se dá a articulação dos setores para isso também é fundamental. Quais os benefícios da ITIL? Agora que você já conhece um pouco mais sobre a metodologia ITIL, já deve entender os motivos pelos quais ela é utilizada como guia e base em todo o mundo para orientar as práticas de TI. Assim, é fundamental que todos os profissionais que desejam se especializar em qualquer área da tecnologia da informação busquem capacitação em ITIL. Conheça os principais benefícios desta metodologia para as organizações e entenda ainda melhor porque você deve possuir esses conhecimentos. Alinhamento entre TI e os negócios: ao obter uma visão mais holística dos processos de TI, é possível economizar, padronizar serviços, minimizar erros, aumentar eficiência nas entregas e aliar tudo isso à promoção da inovação no negócio em questão. Assim, cada vez mais a empresa irá entender o papel da área de TI e ambos irão trabalhar juntos pelos mesmos objetivos; Profissionalismo: através da padronização e da facilidade na identificação e mitigação de falhas, a empresa ganha em profissionalização da equipe de TI, posicionando-a como referência no mercado e conseguindo também atrair talentos; Compatibilidade: como vamos comentar um pouco melhor a seguir, a ITIL é um conjunto de boas práticas amplo, cujas ideias podem ser adaptadas a cada negócio e necessidade. Assim, a metodologia sempre será compatível com o que você precisa no seu projeto, basta analisar como implementar ITIL; Ambiente estável para mudanças: o ambiente de tecnologia e internet muda o tempo todo, e acompanhar esses processos é desafiador. As equipes de TI que embasam suas rotinas e práticas na ITIL tendem a desenvolver melhores táticas para conseguir alcançar este objetivo; Qualidade + Satisfação do cliente: na mesma linha do profissionalismo, as práticas propostas pelo ITIL proporcionam o atingimento de maior qualidade nas entregas das equipes de TI e, consequentemente, de mais clientes satisfeitos. Mas e agora, como implementar ITIL no meu negócio? A ITIL é uma metodologia abrangente que proporciona maleabilidade para sua implementação. Assim, para identificar como implementar ITIL na sua empresa, é preciso antes analisar o seu cenário e realidade. A sua equipe de TI conta com uma liderança que poderá puxar, acompanhar e reportar os resultados dos processos de implementação? Quais são os maiores gargalos atualmente que precisam ser solucionados? Quais desafios a sua empresa enfrenta hoje na área de TI e que, se superados, podem trazer ganhos significativos para o dia a dia? Com base no entendimento deste diagnóstico, é possível iniciar a implementação da metodologia na sua empresa por estágios. Isso permite que seja feita uma adaptação das atividades ao novo formato de gestão dos serviços sem que isso gere um grande impacto para a sua equipe e para as rotinas que não podem ser interrompidas. Por se tratar de uma metodologia ampla, é possível que alguns dos processos ali descritos não façam tanto sentido para o momento do seu negócio. Por isso, lembre-se sempre de que você pode eliminar algumas etapas e investir mais em outras, caso seja mais proveitoso dentro da sua realidade. Você pode ainda contar com o apoio de ferramentas para se organizar a respeito de como implementar ITIL no seu negócio, como o Trello ou até mesmo planilhas do Excel. As diferentes etapas e atividades a serem executadas podem ser registradas nestas plataformas para que toda a equipe consiga estar na mesma página sobre o que já foi feito, o que está no backlog e quais os principais entraves. A adesão às práticas de ITIL é fundamental para toda e qualquer empresa que trabalhe com algum processo de TI. Então, para disseminar ainda mais o conhecimento sobre o assunto, compartilhe este conteúdo, continue acompanhando este blog e confira nosso calendário de cursos!