Apresentação Final

Análise da Maturidade dos Processos de Negócio da CGTI do

TRT através do Estudo do CobiT

Disciplina: Tópicos Especiais em Sistemas da InformaçãoProfessor: Rogério P. Chagas do NascimentoGrupo: Danilo Melo Diego Calasans Edson Santos

Jorge Santana Júnior Kharylim Machado Sea Liliane Santana Wagner Lucena

Universidade Federal de Sergipe Departamento de Ciência da Computação

Agenda

• Introdução• Trabalhos Relacionados• Conceitos Fundamentais

– Governança de TIC– CobiT

• Análise dos Processos de Negócio da CGTI do TRT através do CobiT

• Conclusões • Referências

Introdução

Especialização dos mercados

+

Alto nível de competitividade

=

Uso da tecnologia

Introdução

• Manipular os dados operacionais e prover informações gerenciais para tomadas de decisões

• É necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, a fim de garantir o retorno de investimentos e adição de melhorias nos processos empresariais.

Introdução• Conhecido como Governança em TI, ou

"IT Governance“

• O CobiT (Control Objectives for Information and related Technology) – Metodologia de governança para auxiliar o

gerenciamento e controle das iniciativas de TI nas empresas

Agenda





Trabalhos Relacionados

• A gestão de TI como base para a prática daeducação à distância: um estudo para a aplicação da Governança de TI na prática de EAD do Instituto Anísio Teixeira– Importância de um plano de GTIC– CobiT + ITIL

• Planejamento Estratégico de Tecnologia daInformação – PETI: Uma aplicação referenciadapelo COBIT– Avaliação utilizando o PO1

Agenda





Governança de TIC

• Qual o seu significado?

• Qual a sua importância?

Governança de TIC

• “Governança de TIC é um conjunto de práticas, padrões e relacionamentos estruturados, assumido por executivos, gestores, técnicos e usuários de TIC de uma organização, com a finalidade de garantir controles efetivos, ampliar processos se segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TIC aos negócios” (Prof. João R. Peres, FGV)

“Segundo a ISACA, a Governança de TIC é uma estrutura de relacionamentos e

processos para dirigir e controlar a empresa a fim de alcançar os seus

objetivos pela adição de valor ao mesmo tempo em que equilibra riscos versus retorno sobre TI e seus processos”.

Governança de TIC

Governança de TIC

Governança de TIC

• Quais os requisitos de uma boa Governança de TIC?– Ter uma estratégia ...

• ... clara e comunicada a todos os níveis de TIC• ... com responsabilidades definidas • ... monitorada e gerenciada• ... alinhando os processos• ... alinhando os projetos• ... alinhada à estratégia da organização

Governança de TIC

• Grande desafio do Governante de TIC:

– Transformar os processos em “engrenagens” que funcionem de forma sincronizada;

– Demonstrar que a TIC não é apenas uma área de suporte ao negócio e sim parte fundamental da estratégia das organizações.

Agenda





CobiT

• Control Objectives for Information and Related Technology

• Guia formulado como framework livre e aberto mantido pela Information Systems Audit and Control Association (ISACA)

CobiT

Visão Geral do CobiT

CobiT• Características:

– Focado no negócio: projetado para ser utilizado em organizações em geral.

– Baseado em controles: reduzir riscos e garantir que os objetivos de negócio serão alcançados

– Direcionado à medição: dispõe de três ferramentas para auxiliar nesse processo: Modelos de Maturidade, Métricas e Objetivos de desempenho e Metas de atividades

– Orientado ao Processo: define as atividades de TIC em um modelo de processo genérico composto por 4 domínios e 34 processos

Rational Unified Process (RUP)

O RUP é um processo de desenvolvimento de software que guia a

equipe a construir um sistema de informação.

O RUP divide o processo de desenvolvimento em 4 fases:

• concepção;

• elaboração;

• construção;

• transição.

O RUP é um processo iterativo.

Rational Unified Process (RUP)

O RUP utiliza o conceito de orientação a objetos nas fases disciplinas

de modelagem.

Ferramentas que podem ser utilizadas em conjunto com o RUP:

• StarUML;

• Rational Rose;

• Umbrello.

PSP (Personal Software Process)

O PSP é uma processo de desenvolvimento de software voltado para

a melhoria do desenvolvimento individual.

Objetivos do PSP:

• Melhorar a estimativa de prazo de desenvolvimento;

• Melhorar o planejamento de cronogramas;

• Evitar o excesso de compromissos;

• Criar um comprometimento pessoal com a melhoria contínua.

O PSP pode ser utilizado aliado a outras metodologias.

Sistemas de gerenc. de projeto

Gerenciar projetos é utilizar técnicas de gerência de projetos com o

objetivo de mensurar e acompanhar as atividades relacionadas ao

desenvolvimento de um projeto.

Um sistema de gerenciamento de projetos unifica as informações

empresariais:

• delegação de tarefas;

• prazos;

• cronogramas;

• informação do estado atual de uma tarefa e de um projeto;

• repositório de arquivos relacionados ao projeto.

Sistemas de gerenc. de projeto

Exemplos de sistemas de gerenciamento de projeto:

• DotProject;

• Bugzilla;

• Microsoft Projetc;

• GranttProject;

• Open Workbench.

Agenda





Análise dos Processos de Negócio da CGTI do TRT através do CobiT

• PO1 - Definição de um Planejamento Estratégico de TI

– Não há um Planejamento Estratégico de TI

– O TRT possui um Planejamento Estratégico, mas este engloba as diversas áreas do órgão, não sendo específico para a área de TIC.

– O Conselho Nacional de Justiça (CNJ) instituiu que os órgãos públicos, como condição para recebimento de verbas, terão que elaborar um PDSI ou um PETI.

– Sabendo da necessidade da elaboração desses planejamentos, já foi contratada uma empresa que ficará responsável por isso.

• Nível de Maturidade: 1 Inicial / Ad Hoc

Melhorias

◦Elaborar um Planejamento Estratégico de TI e colocá-lo em prática


• PO2 - Definição da Arquitetura de Informação

– Não há nenhum modelo de informação utilizado como base para o desenvolvimento de aplicações nem para a tomada de decisões, assim esses processos são feitos sem haver padronização.

– O setor, diante disso, percebe a necessidade de elaboração de um dicionário de dados que já vem sendo discutido.


Melhorias

◦Definir uma arquitetura de informação para se poder padronizar os processos


• PO3 - Determinar Direção Tecnológica

– Não há nenhum plano de infra-estrutura tecnológica, logo a determinação das diretivas a serem seguidas é feita de forma não planejada através de pesquisas feitas pelo coordenador do setor juntamente com o responsável pela área de redes.

– Vale ressaltar que não há uma grande liberdade de escolhas tecnológicas uma vez que o TRT está submetido às decisões do TST, que direciona a utilização de novas tecnologias.

• Nível de Maturidade: 2 Repetitivo, mas intuitivo


• PO4 - Definir os Processos de TI, Organização e Relacionamentos

– Há uma separação de funções e hierarquia de cada pessoa no setor existindo um coordenador responsável pela CGTI e uma pessoa responsável pela área de redes.

– Não existe nenhum comitê estratégico que determine as linhas gerais de TI, ficando o coordenador com essa função.

– A equipe de TI é composta por servidores concursados e funcionários de uma empresa terceirizada.



• PO5 - Gerenciar os investimentos em TI

– Não existe um framework para gerenciar os investimentos em TI.

– O coordenador da CGTI fica responsável pela análise de custos, benefícios e prioridades de TI para, então, informar à Presidência e à Diretoria do TRT as necessidades encontradas e o porquê delas.

– Nem sempre tudo que é solicitado é conseguido, pois depende do orçamento do órgão.


Melhorias

◦Criar um framework para gerenciar os investimentos em TI


• PO6 - Comunicar os objetivos da Gestão

– Não existe um framework de controle de TI, assim as políticas adotadas são definidas e comunicadas informalmente.

– Sabe-se da necessidade de sua elaboração para a implantação e a aplicação de políticas de TI para todos os funcionários.


Melhorias

◦Criar um framework de controle de TI para formalizar a definição e a comunicação das políticas adotadas

PO7 - Gestão de Pessoas da TI

◦ As práticas de recrutamento, promoções, demissões e avaliação de desempenho estão definidas no Regime dos Servidores Públicos da União;

◦ Os treinamentos são feitos sempre que se deseja utilizar

uma nova tecnologia;

◦ No caso de empresas contratadas, é cobrada a produção da empresa contratada.

Nível de Maturidade: 4 Gerenciado e mensurado.

PO8 - Gestão de Qualidade

◦ A organização não segue nenhum processo ou norma para o desenvolvimento de soluções de TI;

◦ O processo utilizado é o empírico. Assim que surgem

necessidades por conta dos usuários, é feita uma avaliação do que o sistema deve oferecer e o projeto é desenvolvido guiado pela experiência de cada profissional.

Nível de Maturidade: 2 Repetitivo, mas intuito.

PO9 - Avaliar e gerir riscos de TI

◦ Não existe documentação formal sobre qualquer eventual risco de TI que cause impacto na organização.

Nível de Maturidade: 1 Inicial/Ad-Hoc

PO10 - Gestão de Projetos

◦ Não existe um cargo de gerente de projeto, e sim um analista mais experiente que assume essa responsabilidade;

◦ São traçados cronogramas para o desenvolvimento

das atividades e seguindo ele, essas atividades são supervisionadas;

◦ Não existe qualquer ferramenta que auxilie essa atividade.

Nível de Maturidade: 2 Repetitivo, mas intuitivo


• AI1 – Identificação de Soluções Automatizadas

– Não há uma abordagem bem estruturada para definir requisitos e identificar soluções tecnológicas.

– As soluções são identficadas informalmente, baseadas no conhecimento e experiência dos componentes chaves da equipe de TI.

– O sucesso do projeto depende desses componentes-chaves.


Melhorias– Definição de metodologias para identificar

requisitos.◦ Ex.: Utilização do RUP

– Formação de equipe especializada em identificar soluções tecnológicas para suprir as necessidades e dificuldades do TRT.

– Definição de metodologia bem estruturada para buscar novas soluções

– Metodologia flexível, que adapte-se a projetos de pequeno, médio e grande porte


• AI2 – Aquisição e Manutenção de Aplicativos de Software– No TRT, há preocupação em definir um processo

para adquirir e manter aplicações, porém não seguem uma metodologia ou técnica de gerenciamento para tal.

– A abordagem para adquirir e manter aplicações de software varia de projeto para projeto.

• Nível de Maturidade: 1 Inicial, Ad Hoc

Melhorias

– Definição de uma metodologia formal e bem definida, que defina critérios para aquisição

– Adoção de processos de testes– Implantação de mecanismos que documentem todos

os passos a serem seguidos.


• AI3 – Aquisição e Manutenção de Infra-Estrutura Tecnológica – O TRT não define um plano formal de aquisição

de infra-estrutura tecnológica.– São registradas as necessidades, aberta licitação

e, assim que for eleita a empresa responsável pelos novos equipamentos, estes são implantados.


Melhorias◦Definição de um processo claro e bem definido

para manter a infra-estrutura de TI◦Criação de ambiente para testes, pois só

existe ambiente de produção◦Planejamento, agendamento e coordenação

de manutenções


• AI4 – Permitir Funcionamento e Utilização – Há preocupação quanto ao desenvolvimento de

documentação tanto para o técnico operar sobre a aplicação quanto para o usário utilizar.

– A documentação existente é insuficiente, levando em conta a quantidade de operações dos sistemas.

– O treinamento dos usuários segue um processo interno do TRT, porém não é baseado em nenhum framework.


Melhorias◦ Desenvolvimento e utilização de um framework de

documentação (Ao menos catalogar Procedimentos)◦ Desenvolvimento de manuais de utilização◦ Desenvolvimento de material de treinamento técnico◦ A documentação existente é insuficiente, levando em conta

a quantidade de operações dos sistemas.◦ Segurança dos procedimentos para evitar perdas em

desastres◦ Adoção de processo para atualizar o material e disponiblizar

para conhecimento de todos


• AI5 – Adquirir Recursos de TI – A procura por recursos de TI se dá por

qualquer componente da equipe de informática, obedecendo apenas à área de pesquisa.

– Nenhuma política para realizar busca por recursos de TI é seguida.

• Nível de Maturidade: 0 Não existente

Melhorias

– Implantação de políticas para aquisição de recursos.

– Colocar em prática os procedimentos para aquisição de recursos


• AI6 – Gerenciar Mudanças – Não há um processo de gerenciamento de

mudanças.– Porém, há a preocupação que mudanças

implicam em riscos, e estão cientes dos benefícios ocasionados pela documentação de configuração dos sistemas.

• Nível de Maturidade: 0 Não existente

Melhorias– Implantar e aplicar processo bem definido de

gerenciamento de mudança– As mudanças no sistema devem ser categorizadas,

e ordenadas conforme a prioridade– Mudanças devem ser autorizadas para serem

executadas– Deve-se implantar processo de gerenciamento de

releases

AI7 - Instalar e Homologar Soluções e Mudanças

◦ Os testes são executados por parte da equipe que não se envolveu com o desenvolvimento do projeto;

◦ As soluções são disponibilizadas para os usuários e

pode ser melhorada através da comunicação entre os usuários e os desenvolvedores pela Ouvidoria;

Nível de Maturidade: 3 Definido

•DS1 – Definir e gerenciar os níveis de serviço

–Há a necessidade de gerir níveis de serviço, porém ainda é inexistente

–Não há pessoal suficiente

–Há a elaboração de uma documentação, porém não existe previsão para sua implementação

–Nível de maturidade: 1 Inicial / Ad Hoc


Melhorias◦Contratação de pessoal◦Elaboração de uma proposta de serviço

Identificação dos requisitos do negócio da empresa que o serviço irá atender

◦Gerenciamento do SLA Conhecido como SLM(Service Level

Management) Feito baseado nos parâmetros do contrato de

serviço Uso de ferramenta de software para controle

de serviços

Melhorias

◦Geração de relatórios periódicos com as estatísticas levantadas pelo software e com pesquisa de satisfação

• DS2: Gerenciar serviços de terceiros– Existe contratação: Suporte e

Desenvolvimento– Contrato formal– Pagamento por horas trabalhadas– Não existe monitoramento formalizado: feito

por quem “está por perto”– Não há relatório de serviços prestados nem

levantamento de estatística sobre o grau de satisfação

– Nível de maturidade: 1 Inicial / Ad Hoc


Melhorias

◦Contrato deve conter todas as cláusulas dos serviços que serão prestados

◦Gerenciamento baseado nessas cláusulas◦Relatórios de satisfação sobre serviços

prestados


• DS3: Gerenciar performance e capacidade do ambiente– Há o levantamento dos recursos e pessoal

necessários– Nada formal


Melhorias◦Equipe responsável pelo monitoramento dos

recursos e planejamento de necessidades futuras

◦Elaboração de um Plano de Capacidade◦Uso da disciplina Capacity Management -

Gerenciamento de Capacidade do MOF (Microsoft Operations Framework)

◦É responsável por planejar, dimensionar e controlar a capacidade de serviços e componentes para satisfazer a demanda

Possui três níveis:◦ Gerência da capacidade do negócio(Business Capacity

Management): Garante que as necessidades dos negócios estejam sendo

consideradas, planejadas e implementadas em tempo ◦ Gerência da capacidade dos serviços(Service Capacity

Management ): Visa garantir o gerenciamento do desempenho dos serviços

de TI ◦ Gerência da capacidade dos recursos(Resource

Capacity Management): Garante o gerenciamento individual dos componentes de

infra-estrutura de TI


• DS4 – Assegurar serviço contínuo– Há apenas a preocupação de recuperação

dos dados – backup diário


Melhorias

◦Necessidade da elaboração de um Plano de Continuidade de Negócios (BCM - Business Continuity Management)

◦Necessidade do levantamento dos riscos e seus impactos a fim de definir estratégias para contorná-los

◦Treinamento para os envolvidos


• DS5: Garantir a segurança dos sistemas– Existe o reconhecimento da necessidade de

segurança, porém não há algo formal– Feita da seguinte maneira:

• Backup do servidor feito diariamente• Fitas do backup guardadas em cofre

– Existe um projeto para o gerenciamento da segurança

– Todos os usuários são autenticados– Anti-vírus e firewall

– Nível de maturidade:1 Inicial / Ad Hoc

Melhorias

◦Necessidade de formalização, pois a segurança é feita de forma correta, porém nada é formalizado


• DS6 – Identificar e alocar recursos– Há o levantamento das necessidades de

recursos– Feito pela gerência– Nada formal


Melhorias

◦Feito juntamente com a continuidade dos serviços;


• DS7 – Treinar usuários– O treinamento é gerenciado pela Equipe SRH

(Serviços de Recursos Humanos).– Tal equipe reserva a sala, agenda o horário,

etc.– Sempre que houver uma nova ferramenta, o

treinamento é realizado.– Com o intuito de reciclar os usuários, o TRT

promove treinamentos frequentemente.– Nível de maturidade: 3 - Definido


• DS8 – Gerenciar Serviços de Escritório e Incidentes– Existe um software de atendimento ao

usuário que se encarrega de identificar o problema.

– Identificado o problema, o técnico se encarrega de ir resolver.

– É neste software que é armazenado e gerenciado todos os incidentes.

– Nível de maturidade: 3 - Definido

Melhorias

◦Gerente para monitorar o atendimento e agir quando o processo não estiver trabalhando efetivamente

◦Aplicar Information Technology Infrastructure Library (ITIL)


• DS9 – Gerenciar a Configuração – Todo o serviço de suporte do TRT é realizado via

Intranet. – O usuário preenche um cadastro e o processo é

encaminhado para o técnico.– O processo de aquisição de novos equipamentos ou

máquinas é realizado por meio de licitação, mas o processo não é automatizado.

– A aquisição ou instalação de novos aplicativos não é realizado de forma planejada

– Nível de maturidade: 2 – Repetitivo, mas intuitivo

Melhorias

◦ Contratar pessoas com conhecimento em Information Technology Infrastructure Library (ITIL)

◦ Aplicar essa tecnologia (biblioteca de boas práticas)◦ Garantir a integridade das configurações de hardware

e software.


• DS10 – Gerenciar Problemas– Eles sabem da importância desse processo

na instituição, mas não aplicam.– Estão vendo a possibilidade de contratar um

consultor– Nível de maturidade: 1 – inicial / Ad Hoc

Melhorias

◦Contratar uma equipe para gerenciar problemas Atribuição da equipe

Identificar e classificar os problemas Análise das causas Resoluções dos problemas Recomendações de melhoria

◦Aplicar ITIL


• DS11 – Gerenciar Dados– Existe um DBA responsável, mas não existe uma

política para gerenciar o banco de dados.– Não realizam eliminação dos dados.– A replicação dos dados é realizado para outras

máquinas.– Existe um projeto para transferir todos os dados

armazenados para o outro prédio.– Segundo os mesmos, não existe necessidades para

gerir melhor os dados. Atualmente não há necessidades de melhorias.

– Nível de maturidade: 1 – inicial / Ad Hoc

• DS12 – Gestão de ambiente Físico– O prédio do TRT foi projetado visando a implantação

de equipamentos de TI.– A rede elétrica foi projetada visando a proteção de

tais equipamentos.– Não há monitoramento nem prevenção para casos de

desastre.– Há uma política de uso em relação a rede de

comunicações, mas não a rede elétrica.



Melhorias

– Implementação de medidas de segurança em casos de desastre (incêndio, inundação,...)

– Instalação de sensores– Implantação de um sistema de

acompanhamento de dados (temperatura, umidade,...)

– Criação de uma política de uso da rede elétrica– Já há uma política de uso da rede de dados

• DS13 – Gestão de operações– Não há nenhuma política em relação a recuperação

de erros.

– Não há um planejamento para manutenção da infra-estrutura nem para a troca de hardware.

– Não há nenhum processo a ser seguido para maximização de ganhos.



Melhorias

– Criação de uma política de recuperação de erros

– Criação de um planejamento de manutenção e atualização de equipamentos e hardware

– Acompanhamento e análise de logs para maximização dos ganhos com os processos

• M1 – Monitoração e avaliação do desempenho de TI– Não há nenhum acompanhamento de desempenho

dos processos.

– Há um certo retorno dos usuário em relação aos requisitos (ouvidoria)



Melhorias

– Monitoramento de desempenho– Constante melhoria e aperfeiçoamento de

código visando ganho na performance– Já há um certo retorno dos usuário em relação

aos requisitos (ouvidoria)

• M2 – Monitoração e avaliação dos controles internos – O acompanhamento dos objetivos organizacionais

são feitos informalmente.

– O mesmo ocorre para o controle dos objetivos gerenciais de TI.



Melhorias

– Formalização do acompanhamento dos objetivos organizacionais

– O mesmo para o controle dos objetivos gerenciais de TI.

• M3 – Garantir a conformidade com os requisitos externos– Há uma preocupação para que a política de TI siga

os requerimentos do governo Federal.

– Inicio do processo de divisão dos cargos de TI em conjunto com outros TRTs.



Melhorias

– Formalização da política de TI para que esta siga os requerimentos do governo federal

– Inicio do processo de divisão dos cargos de TI em conjunto com outros TRTs (já iniciado)

• M4 – Prover governanca em TI– Há um certo acompanhamento da contribuição

exercida pela área de TI na organização, mas nada formal.

– Há a preocupação com a conformidade de TI com leis e regulamentos.



Melhorias

– Criação de métricas para acompanhamento da contribuição da área de TI na organização

– Formalização de leis e regulamentos a serem seguidos pela área de TI

Processos x Níveis Maturidade:

0 1 2 3 4 5

PO1 Definição de um Planejamento Estratégico de TI X

PO2 Definição da Arquitetura de Informação X

PO3 Determinar Direção Tecnológica XPO4 Definir os Proc. de TI, Organ. e Relac. XPO5 Gerenciar os investimentos de TI XPO6 Comunicar os objetivos de Gestão e Direção XPO7 Gestão de Pessoas da TI XPO8 Gestão de Qualidade XPO9 Avaliar e gerir riscos de TI X

PO10 Gestão de Projetos XAI1 Identificação de Soluções Automatizadas XAI2 Aquisição e manut. de aplicativos de software X

AI3 Aquisição e manut. de Infra-estrutura Tecnológica X

AI4 Permitir Funcionamento e Utilização X

AI5 Adquirir Recursos de TI X

AI6 Gerenciar Mudanças X

AI7 Instalar e Homologar Soluções e Mudanças X

Domínios e ProcessosNíveis de Maturidade

Pla

nej

amen

to e

org

aniz

ação

Aq

uis

ição

e Im

pla

nta

ção

DS1 Definir e Gerenciar Níveis de Serviços XDS2 Gerenciamento de Serviços de terceiros XDS3 Gerenciamento de Desempenho e Capacidade XDS4 Garantir Serviço Contínuo XDS5 Garantir a Segurança dos Sistemas XDS6 Identificar e Alocar Custos XDS7 Instruir e Treinar usuários XDS8 Gestão de Service Desk e Incidentes XDS9 Gestão de Configuração XDS10 Gestão de Problemas XDS11 Gestão de Dados XDS12 Gestão do Ambiente Físico XDS13 Gestão de Operações X

ME1 Monitoração e Avaliação da Desempenho da TI X

ME2 Monitoração e Avaliação do Controle Interno XME3 Garantir a conformidade com os requisitos externos XME4 Prover Governança em TI X

En

treg

a e

sup

ort

eM

on

ito

raçã

o

e A

vali

ação

Processos x Níveis Maturidade:

Definição de cargos de TI; Utilização de processos como o RUP e o PSP para

guiar o desenvolvimento de projetos; Utilização de ferramentas de gerenciamento de

projeto (DotProject, por exemplo) para auxiliar a supervisão bem como a documentação de riscos.

Deveriam ser criados roteiros e/ou scripts de homologação e de testes.

Agenda





Conclusão

O profissional de TIC deixou de ser

importante e passou a ser realmente

estratégico para as empresas.

Agenda





http://www.efagundes.com/artigos/Gestao_de_Contratos_com_SLA.htm

http://www.infoseg.gov.br/arquivos/Apresentacao%20III%20Encontro%20INFOSEG%20-%203o%20Dia%20-%20Plano%20de%20Continuidade.pdf

http://www.viacerta.com.br/index.php?option=com_content&view=article&id=133:ger-cont-serv&catid=37:itil&Itemid=29

http://www.linhadecodigo.com.br/ITC_Artigo.aspx?id=1546

http://www.safewayconsultoria.com/artigos/SafeWay%20-%20Artigo%20-%20BCM.pdf

Apresentação Final

Technology

Transcript of Apresentação Final