O documento fornece uma visão geral de alguns frameworks de governança de TI, incluindo COBIT, ITIL, SOX, COSO e TOGAF. Ele explica o que cada um desses frameworks faz e como podem ser usados para melhorar a governança, gestão de riscos e conformidade em TI.
2. <Insert Picture Here>
Governança em TI
Fernando de Almeida Galdino, Sr Sales Consultant
fernando.galdino@oracle.com | http://blogs.oracle.com/galdino
outubro-2009
3. Agenda
• Governança, Risco e Conformidade
• Frameworks de governança
• Conclusão
Fornecer uma visão
inicial sobre
governança e de alguns
frameworks em uso no
mercado.
3
5. O que é Governança em TI?
• Governança em TI consiste de liderança, estruturas
organizacionais e processos que garantem que a
área de TI da empresa sustente e extenda as
estratégias e objetivos organizacionais.
• Aspectos comuns:
• Alinhamento com a área de negócios
• Conformidade com requisitos regulatórios
• Controlar custos de TI
• Melhorar tempo de entrega de projetos em TI
• Aumentar segurança da informação
5
6. Frameworks e recursos para TI
• TOGAF – The Open Group Architecture
• John Zachman Architectural Framework
• FEAF – Federal Enterprise Architectural Framework
• DODAF – Department of Defense Architectural
Framework
• COBIT – Control Objectives for Information and
Related Technology
• ITIL – IT Infrastructure Library
6
7. Restabelecendo confiança
Acionistas e consumidores demandam mais transparência e menos risco
O que eles querem…
CONSUMIDORES E EMPREGADOS Uma pesquisa com
• Proteger informações pessoais consumidores globais mostra
• Menor risco em produtos e serviços que a confiança em líderes de
• Responsabilidade social e ambiental negócio caiu 28% em 2006,
abaixo dos 36% no pico dos
Source: Mckinsey, 2007 escandalos corporativos em
ACIONISTAS 2002. Source: Mckinsey, 2007
• Níveis crescentes de atividades
• Participar mais das votações sobre
pagamentos dos executivos e seleção de
diretores
• Poder crescente de investidores individuais e
fundos de investimento
Source: Economist, 2007
DIRETORES
• Saber quais áreas requerem maior visibilidade
devido a riscos diversos
Source: Mckinsey, 2006
7
8. Prevenção custa menos
Proteção da informação custa Performance de preço das ações de
menos que perdas empresas em conformidade com
Custo de perda de Investimento em
regras do SOX
28%
dados segurança
26%
$90 $6 No control Control weakness
Reported control
weakness 2004-05
weaknesses in 2004, but none 6%
in 2004 -05 in 2005
Source: Gartner, 2005 Source: Lord & Benoit, 2006
Economia de acordo com Custo de oportunidade - GRC
investimentos em conformidades
Investimento em Ad hoc Resources for
conformidade Approach innovation
Cost of
Economia em menor
responsabilidade legal $1 GRC
Platform
$5 Approach
# of GRC projects
Source: General Counsel Roundtable, 2006
8
9. Papel de TI em reconstruir confiança
A necessidade de Governança em TI
Estratégia Segurança Controle
Maioria dos 400 diretores pesquisados The Ponemon Institute indica que Gartner avise que
reconhecem que a estratégia certa de
TI é muito importante para: De todas as
“Mais que 80% dos grupos
70%
70% falhas de
segurança
de TI podem ser incapazes
69% Conformidade foram
devido ao
de satisfazer muitas das
leis e regulações, (…), que
requerem mudanças em
pessoal
trilhas de auditoria e
interno
66% Satisfação
do cliente
Quando uma
empresa
responsabilidade sobre
itens de configuração de
anuncia um
problema de
segurança, ó
2% materiais.”
57% Gerenciar
riscos
preço da ação
pode cair em
Source: Corporate Board Member/ Deloitte Source: Ponemon Institute, 2005 Source: Gartner, 2005
Consulting, March 2007
9
10. Governança em TI está amadurecendo
Disciplina de governança em TI está em sua adolescência
Non-existent 11%
“Governança em TI ainda está
Ad hoc 26%
muito associada com controle
ou conformidade.”
Repeatable 21%
Defined 20%
“CEO e CIO em geral registram
Managed 14%
um baixo nível de maturidade
em compreender a governança
de TI em sua totalidade.”
Optimised 4%
0% 5% 10% 15% 20% 25% 30%
Source: PWC, IT Governance Institute 2006
10
11. Governança de TI na prática
Empresas enfatizam controle e conformidade
42% dos colaboradores em TI acreditam 50% de 1.000 executivos pesquisados
que suas empresas não possuem as disseram que TI é a área mais desafiante
ferramentas de segurança ou controles para se objter conformidada com
internos necessários para prevenir, Sarbanes-Oxley 404.
detectar e corrigir brechas de segurança
nos dados. Source: Ponemon Institute, 2007 Source: KPMG 404 Institute, 2006
Proteção da Gerenciamento IT GRC
informação na de configuração Management
e de mudanças
prática
‘Falta de visão para fazer mudanças em
aplicações’ e ‘Falta de entendimento das
configurações principais das aplicação’ está
entre as cinco principais fraquezas citadas.
Source: IT Service Management Forum, 2005
11
12. Alguns tópicos importantes quando
falamos de Governança em TI
• Proteção da informação
• Privacidade
• Controle de acesso aos sistemas
• Auditoria
• Relatórios
• Infraestrutura
• Desenvolvimento de projetos
• Manutenção dos sistemas, ….
12
13. O desenvolvimento de sistemas é uma
grande preocupação
• Metodologias de desenvolvimento de sistemas
• Oracle Unified Method
• RUP (IBM)
• OpenUP (Eclipse)
• UP
• XP
• outras metodologias ágeis
• Metodologias para gerenciamento de projetos
• Project Management – PMI
• Scrum
• Maturidade no desenvolvimento de sistemas
• CMMI
13
15. O que é COBIT?
Contempla processos em TI,
framework de controle e alinhamento
com requisitos de negócios, com
adição de guias de gerenciamento.
COBIT COBIT tem sido usado como um
framework de gerenciamento provendo
ferramentas de gerenciamento, tais
como métricas e modelos de
maturidade. A versão atual é COBIT
4.1, liberada em 2007.
15
16. Explicando melhor, o que é COBIT?
Um framework de governança para TI
◦ Fortalece o espaço entre:
Requisitos de controle
Problemas técnicos
Riscos de negócio
◦ Permite
Desenvolvimento de políticas claras
Boa prática
◦ Ênfase em conformidade com objetivos regulatórios
◦ Obter maior valor da área de TI
◦ Alinhamento
◦ Simplifica implementação
16
17. Dentre os benefícios do COBIT, temos
responsabilidade e propriedade
• Uma vantagem do COBIT é termos a estrutura de
responsabilidade para os subprocessos e seus
passos.
• Responsible
• Accountable
• Consulted
• Informed
17
21. RACI Charts
Plan and Organize
Responsible Accountable Consult Inform
Plan and Organize
Define a Strategic IT Plan and X
PO1
direction
Define the Information X X
PO2
Architecture
Determine Technological X X
PO3
Direction
X
Define the IT Processes,
PO4
Organization and Relationships
PO5 Manage the IT Investment X
Communicate Management Aims X
PO6
and Direction
PO7 Manage IT Human Resources X
PO8 Manage Quality X
PO9 Assess and Manage IT Risks X X
PO10 Manage Projects X
21
22. Acquire and implement
Acquire and Implement Responsible Accountable Consult Inform
Identify Automated
AI1 X X
Solutions
Acquire and Maintain
AI2 X X X
Application Software
Acquire and Maintain
AI3 X X X
Technology Infrastructure
AI4 Enable Operation and Use X X X
AI5 Procure IT Resources X X X
AI6 Manage Changes X
Install and Accredit
AI7 X
Solutions and Changes
22
23. Deliver and support
Deliver and Support Responsible Accountable Consult Inform
DS1 Define and Manage Service Levels X X
DS2 Manage Third-party Services X X
DS3 Manage Performance and Capacity X X X
DS4 Ensure Continuous Service X X X
DS5 Ensure Systems Security X X X
DS6 Identify and Allocate Costs X
DS7 Educate and Train Users X
DS8 Manage Service Desk and Incidents X
DS9 Manage the Configuration X
DS10 Manage Problems X
DS11 Manage Data X
DS12 Manage the Physical Environment X X
DS13 Manage Operations X
23
24. Monitor and Evaluate IT Processes
Monitor and Evaluate IT Processes Responsible Accountable Consult Inform
Monitor and Evaluate IT
ME1 X X
Processes
Monitor and Evaluate Internal
ME2 X X
Control
ME3 Ensure Regulatory Compliance X X
ME4 Provide IT Governance X
24
27. O que é ITIL?
É a abordagem de gerenciamento de
serviços em TI mais largamente aceita
e adotada no mundo. Na versão atual,
ITIL v3
27 processos detalhados organizados
em cinco processos de alto nível que
levam a uma função: gerenciamento
efetivo de serviços de TI.
27
28. De novo, o que é ITIL?
• ITIL Stands for
• Information
• Technology
• Infrastructure
• Library
• Desenvolvimento
• Década de 80
• Desenvolvido como um framework
• Iniciou como um guia para o governo da Inglaterra
• Desenvolvido inicialmente para Gerenciamento de
Serviços de TI
28
29. A versão atual do ITIL é a v3
• ITIL V1
• Não foi largamente utilizado
• Desenvolvido pelo governo inglês
• ITIL V2
• Largamente utilizado
• Muito popular em grandes organizações
• ITIL V3
• Liberado em maio-2007
Os próximos
• Ciclo de vida muito recente slides
• Mais estratégico na abordagem referem-se
ao ITIL v2
29
30. TI como serviço
Antes Agora
Mentalidade departamental Mentalidade de serviços
Atitude do empregado Atitude do fornecedor
Foco interno Foco no cliente
Foco técnico Foco no cliente
Custo orçamentado Custo gerenciado
Tecnologia por tecnologia Tecnologia como um meio de obter
vantagem competitiva
Atitude departamental Atitude tendo em vista o negócio
30
32. Gerenciamento de serviços
• Gerenciar a infraestrutura de serviços
• Método de gerenciar o serviço
• Com qualidade
• Custo
• Objetivos de negócio
• Suportar requisitos de curto e longo prazo
• Gerenciamento de serviços
• Medir
• Controlar
• Gerenciar
• Perspectiva de processo
32
33. Service Desk
• Um único ponto de contato para
• Resolução de problemas
• Acompanhamento de requisições
• Disponibilidade de serviços
• Restauração
33
34. Service Support
• Incident Management
• Problem Management
• Configuration Management
• Change Management
• Release Management
34
35. Service Delivery
• Service Delivery é o framework que governa Service
Support
• Service Delivery gerencia os seguintes aspectos:
• Quais serviços?
• Quais níveis de serviço?
• Quais níveis de disponibilidade?
• Qual o custo?
• Quais os níveis de capacidade?
35
37. O que é SOX?
• Em decorrência dos escândalos financeiros em
grandes companhias da lista Fortune 100 em
2001, o Congresso regulamentou o Sarbanes-
Oxley Act of 2002, que regulamenta como
SOX companhias públicas devem relatar suas
finanças.
• Os requisitos do SOX não variam de acordo
com o tamanho da companhia. Os desafios são
os mesmos para todas as empresas.
37
40. O que é TOGAF?
Objetiva o desenvolvimento de
uma arquitetura corporativa
através de métodos detalhados
TOGAF e ferramentas de suporte.
Desenvolvido por membros do
The Open Group. TOGAF existe
desde 1995, baseado na
primeira versão do DODAF.
40
42. • The Open Group Architecture Framework
• Um framework arquitetural – um conjunto de métodos
e ferramentas para desenvolver uma grande
variedade de diferentes arquiteturas para TI
• Permite que usuários de TI
• projetem,
• avaliem,
• construam a arquitetura certa para a organização,
• reduzam os custos de planejamento e projeto
• implementem arquiteturas baseadas em soluções de
sistemas abertos
42
43. TOGAF Architecture Continuum
• Um comparativo com termos utilizados pela Oracle …
SOA Security
Architecture e.g. SOA for
SOA Infrastructure Telecom e.g. System
SOA Architecture Architecture Rationalisation
Reference Architecture
Architecture SOA Service Layers
Architecture from for Vodafone
TMF
SOA Management
43
44. TOGAF Technical Reference Model
• Exposição das
capacidades de TI
em uma API
suportando a
implementação de
aplicações
44
46. Certificações disponíveis
• ITIL v3
• Diversos recursos na web
• Não é difícil
• Pode ser útil para acelerar a carreira
• COBIT
• Ter COBIT é um bônus
• É um pouco mais difícil que ITIL
46
48. Alguns desafios encontrados
• Ausência de ferramentas ou • Maturidade de padrões
infraestrutura • Desorganização de serviços
• Proliferação de padrões • Desorganização no registro
• Conformidade a padrões • Gerenciamento de portfolio
• Relacionamento TI-Negócios • “Right-Click Architecture”
• Múltiplos silos de • Mudança de cultura
desenvolvimento • Gerenciamento de mudanças
• Ausência de melhores práticas • Ausência de processos operacionais
• Atrito organizacional apropriados
• Prioridades mal definidas • Ausência de habilidades e experiência
• Decisões corporativas X LOB • Propaganda x Realidade
• Ausência de Roadmaps • Acompanhar e comunicar progresso
• Investimento • Imposição de políticas (automatizadas
• Modelos de custo ou manual)
• Ausência de abordagem • Implementação frágil de sistemas
apropriada para serviços
48
49. Oracle está no quadrante dos líderes
no Quadrante Mágico Gartner
49
50. Gerenciamento do ecossistema Oracle
Aberto e extensível
Oracle Enterprise Manager
Applications Middleware Virtual Servers Network
• Oracle VM
Remedy, HP, Siebel, PeopleSoft
Remedy, HP, Siebel, PeopleSoft
Remedy, HP, Siebel, PeopleSoft
Remedy, HP, Siebel, PeopleSoft
• VMWare
Service Desk Connectors
Service Desk Connectors
Service Desk Connectors
Service Desk Connectors
• Oracle Applications • Check Point Firewall
Event Connectors
Microsoft, HP, IBM
• Oracle Beehive • Oracle Fusion Mware. Operating • Juniper Netscreen
Firewall
• Oracle Comm & BRM • Oracle WebLogic Systems
• Microsoft Exchange • F5 BIG-IP
• IBM WebSphere
• Nortel Alteon Switch
• MS .NET • Oracle Enterprise
• MS BizTalk Server Linux
• All Unix
Databases • MS IIS
• Microsoft Storage
• MS Commerce Server
• MS ISA Server • MVS
• MS Active Directory
• JBoss AS
• IBM MQ Series Servers
• Oracle Database • Citrix Pres. Server • NetApp Filer
• Oracle Exadata • Blue Lane PatchPoint • EMC Celerra,
• Oracle TimesTen
• IBM DB2 • Apache Tomcat Clariion, Symmetrix
• MS SQL Server • Pillar Axiom
• MySQL • Dell PowerEdge • Onaro SANScreen
• Sybase
• Dell Change Auto.
50
51. Empacotamento
Enterprise
Manager
Fusion
Database Grid
Middleware
Control* Control
Control*
Fusion Stand
Database DB FMW Apps Plug-
Plug-
Middleware Alone
Packs Packs Packs Packs Ins
Packs Packs
* - Empacotado e entregue com Banco de Dados e Fusion Middleware respectivamente51