CobiT 4.0

Por Lucas Martins

Visão Geral

A informação pode ser vista hoje como um ativo das empresas. Informações sobre mercados, clientes, concorrentes, produtos, e muitos outros dados que devem ser bem geridos para terem uma serventia adequada para os gestores do negócio. Para que isso ocorra, é necessário seguir várias práticas de governança de TI.

O CobiT (Control Objectives for Information and related Technology) foi criado por especialistas da área, que reuniram nesse framework os seus conhecimentos sobre gestão de TI. É mantido pela ISACA (uma associação internacional).

Esse framework oferece um grande número de boas práticas para gerenciar a TI de uma empresa. Essas “práticas” são divididas em 4 grandes domínios:

  • Planejar e Organizar
  • Adquirir e Implementar
  • Entregar e Dar Suporte
  • Monitorar e Avaliar

Estes domínios por sua vez se dividem em outros 34 processos.

É focado muito mais no controle das tarefas do que na execução/operação. Para que os requerimentos de uma organização sejam atendidos pela TI, o CobiT tenta suprir esta necessidade através de quatro formas:

  • Criando um link entre TI e os requerimentos do negócio
  • Organizando as atividades de TI em um modelo de processo aceitável
  • Identificando os recursos de TI que devem ser melhor aproveitados
  • Definindo objetivos de controle de gestão

Os benefícios de se implementar o CobiT são muitos, entre eles: melhor alinhamento da TI com os objetivos da organização; uma visão compreensível do que a TI está fazendo; responsabilidades mais claras, baseadas no processo; aceitação por outras organizações e órgãos reguladores; é compreendido por todos os “stakeholders”, já que CobiT é bastante difundido; etc.

O Framework CobiT

O framework CobiT, como falado anteriormente, é dividido em 34 processos de 4 domínios principais.

  • Planejar e organizar: aborda táticas e estratégias, identifica a melhor forma de como a TI irá ajudar no atingimento dos objetivos organizacionais. Responde às perguntas: a TI e as estratégias da empresa estão “alinhadas”? A organização está usando todo o potencial de seus recursos? Todos da organização compreendem os objetivos do TI? Os riscos de TI são entendidos e gerenciados? A qualidade dos sistemas de TI é adequado para a organização?
  • Adquirir e implementar: as soluções de TI precisam ser desenvolvidas internamente ou compradas de fora, além de serem adequadamente implementadas para funcionarem em conjunto com todos os outros sistemas da organização.
  • Entregar e dar suporte: este grupo de processos gerenciará a entrega de serviços de TI na organização, incluindo a segurança e continuidade, suporte à usuários, gerenciamento de dados e equipamentos, etc.
  • Monitorar e Avaliar: todos os processos de TI precisam ser monitorados para conferir se estão atingindo os objetivos desejados pela organização.

Adquirir e Implementar

A atividade de adquirir e implementar é dividida em 7 processos:

1. Identificar soluções automatizadas

É necessário realizar uma análise para certificar que os requerimentos serão satisfeitos antes de criar ou adquirir um software para automaticação de processos. O processo aborda a definição das necessidades, soluções alternativas, viabilidade econômica e tecnológica, análise de risco e de custo-benefício, e uma decisão final de comprar ou desenvolver o próprio software.

2. Adquitir e manter aplicações de software

As aplicações devem estar disponíveis para atender às necessidades do negócio. Este processo aborda o design de aplicações, inclusão apropriada de controles e requerimentos de segurança, desenvolvimento e configuração de acordo com padrões. Isto permitirá às organizações suportar as operações de negócio corretamente por meio de aplicações automatizadas.

3. Adquirir e manter infraestrutura de tecnologia

Aborda o planejamento de aquisições, manutenção e proteção da infraestrutura alinhado com estratégias tecnológicas, além do provimento de ambientes de desenvolvimento e testes. Isto garantirá um suporte tecnológico para as aplicações de negócio.

4. Habilitar operações e uso

Novos sistemas instalados devem ser divulgados na organização. Por isso é necessário a produção de documentação e manuais para todos os usuários e a própria TI, além do treinamento para o uso adequado das aplicações e infraestrutura.

5. Encontrar recursos de TI

Os recursos de TI, como software, serviços, equipamentos e pessoas precisam ser encontrados. Esse processo irá auxiliar na seleção de fornecedores, criação de contratos de aquisição e a própria aquisição do produto. Isso garantirá que todos os recursos necessários estarão disponíveis quando necessário, em uma maneira eficiente de custos.

6. Gerenciamento de mudanças

Todas as alterações em softwares e procedimentos devem ser gerenciados, mesmo aqueles feitos às pressas em uma situação de emergência. Essas mudanças devem ser registradas, avaliadas e autorizadas antes da implementação, além de revisadas depois para saber se está de acordo com os resultados esperados. Esses cuidados irão diminuir considerávelmente a possibilidade de falhas e instabilidades nos sistemas de produção.

7. Instalar e credenciar soluções e mudanças

Novos sistemas precisam ser instalados após o desenvolvimento ser concluído. Isso requer um ambiente de testes apropriado. Isso certificará que os novos softwares estão de acordo com as expectativas e resultados esperados.

Entrega e Suporte

A atividade de Entrega e Suporte é separada em 13 processos.

1. Definir e gerenciar níveis de serviço

Devem ser criados e cumpridos os Acordos de Nível de Serviço – SLA, para manter os usuários cientes da disponibilidade dos serviços. O processo inclui o monitoramento e avisos aos “stakeholders” sobre o cumprimento dessas metas de entrega de serviço.

2. Gerenciar serviços de terceiros

É preciso definir os papéis, responsabilidades e expectativas acerca dos serviços prestados por terceiros, a fim de minimizar os riscos associados.

3. Gerenciar capacidade e performance

O processo deve periódicamente verificar a capacidade e performance dos sistemas em produção. Ainda deve fazer uma análise de “forecast”, ou seja, prever as necessidades futuras de recursos de TI. Isto garantirá um crescimento contínuo e sustentado da organização.

4. Garantir continuidade dos serviços

É preciso prover serviços contínuos de TI, e isso requer o desenvolvimento, manutenção e teste dos planos de continuidade, backup, etc. Esse processo minimiza os impactos de uma falha de algum serviço de TI, por exemplo.

5. Garantir segurança dos sistemas

O processo aborda a criação de procedimentos de segurança, responsabilidades, políticas de uso e padrões. Também inclui a tarefa de monitoramento e testes periódicos e implementação de ações corretivas para falhas identificadas ou incidentes. Isso minimizará o impacto de problemas relacionados à segurança.

6. Identificar e alocar custos

É preciso ter uma medida eficiente dos custos necessários para o setor de TI. Por isso esse processo visa tornar público aos usuários todos os custos de TI a fim de melhorar o uso geral dos recursos.

7. Treinamento de usuários

É preciso treinar todos os usuários dos serviços de TI, além dos próprios funcionários de TI. Definir e executar uma estratégia de treinamento eficiente, aferir os resultados. Um treinamento efetivo ocasionará na redução de erros dos usuários, aumentando a produtividade e observância com controles-chave como medidas de segurança de usuários.

8. Gerenciar a central de serviços e incidentes

Um serviço de suporte interno com respostas rápidas e eficientes necessita de um processo bem desenvolvido e executado. É preciso criar um serviço com registros, classificação dos incidentes, tendências e análises de causas, além da resolução. O benefício esperado é o aumento da produtividade por meio da resolução rápida de problemas. Também será possível descobrir as causas principais de problemas (como falta de treinamento).

9. Gerenciamento de configurações

É preciso garantir a integridade do hardware utilizado nos sistemas de produção. Para isso é preciso ter um gerenciamento completo das configurações dos equipamentos, a fim de minimizar problemas que podem ocorrer.

10. Gerenciamento de problemas

O processo prevê a identificação e classificação dos problemas reportados, análise de causa e resolução de problemas. Identificação e recomendações para melhoramento também é abordado. Um correto gerenciamento de problemas irá melhorar os níveis de serviços prestados, reduzir custos, além de aumentar a satisfação do usuário.

11. Gerenciamento de dados

O gerenciamento de dados será feito baseado nos requerimentos de dados da organização. É preciso ter um controle eficiente dos backups, recuperação de dados, descarte apropriado de mídias (simplesmente jogar um HD que não funciona no lixo é uma péssima ideia – alguém mais tarde poderia obter dados sensíveis ..)

12. Gerenciamento do ambiente físico

A segurança dos equipamentos e das pessoas requer instalações muito bem desenhadas e construídas. Esse processo inclui a definição das requisições para o ambiente, gerenciamento de acesso físico de pessoas, etc.

13. Gerenciamento de operações

O processamento de dados requer uma infraestrutura de hardware bem gerenciada. Definição de políticas e procedimentos para um gerenciamento efetivo de tarefas agendadas, proteção das saídas dos processos, monitoramento da infra-estrutura, e manutenção preventiva do hardware. Isso ajudará a manter a integridade dos dados, além de reduzir atrasos nos processos de negócio e custos de operação de TI.

Monitorar e Avaliar

Essa atividade é descrita em 4 processos:

1. Monitorar e avaliar a Performance de TI

O gerenciamento efetivo da performance de TI precisa de um processo proprio. São definidos indicadores de performance, um sistema de relatórios sistemáticos sobre performance. O monitoramento é necessário para garantir que as coisas serão feitas e estarão de acordo com as diretivas e políticas estabelecidas.

2. Monitorar e avaliar o controle interno

Esse processo aborda o monitoramento de exceções, resultados de auto-avaliações e revisões de terceiros. Um benefício desse processo será o provimento de garantias acerca da efetividade e eficiência das operações, além da observância das leis aplicavéis e entidades reguladoras.

3. Garantir a conformidade regulatória

É preciso o estabelecimento de um processo de revisão independente para garantir a conformidade com leis e orgaos reguladores.

4. Prover governança de TI

O estabelecimento de um framework de governança inclui a definição das estruturas organizacionais, processos, lideranças, papéis e responsabilidades para garantir que os investimentos da organização em TI estarão alinhados e entregues de acordo com as estratégias e objetivos.