ARTIGO ORIGINAL
OLIVEIRA, Geveson de Souza [1]
OLIVEIRA, Geveson de Souza. Implantação da Governança de TI para Melhoria da Segurança da Informação em um Provedor de Serviços de TI. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano 03, Ed. 09, Vol. 02, pp. 05-16, Setembro de 2018. ISSN:2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/tecnologia/governanca
RESUMO
Nesta pesquisa, o qual tem como objetivo principal, apresentar um estudo de caso de uma organização militar do exército brasileiro que implantou a governança de TI para melhoria de seus processos, visando aumentar a qualidade da entrega dos serviços de TI e consequentemente melhorar a satisfação dos seus usuários. E com base nesse estudo de caso, possibilitar a implantação da governança de serviços de TI para melhoria da segurança da informação em um provedor de serviços de TI, utilizando as melhores práticas da metodologia ITIL.
Palavras-chave: Governança de TI, Segurança da Informação, alinhamento de serviços de TI aos negócios.
INTRODUÇÃO
A importância dada, a partir do final do século XX à segurança da informação evolui constantemente revelando sua importância no cenário atual e os desafios da nova sociedade da informação, que tem como revolução tecnológica e a inovação como fatores críticos de desenvolvimento, e a cada dia as áreas de negócio das organizações estão utilizando os serviços de Tecnologia da Informação (TI) para suportarem suas atividades estratégicas e operacionais. Nesse sentido, cresce consideravelmente a importância dos serviços de TI. Segundo a Information Technology Infrastructure Library (ITIL, 2009), um serviço de TI é um meio de entregar valor ao cliente, sem que o cliente precise assumir certos custos e riscos que são próprios da entrega.
Diante disso, surgiu a proposta de Implantação da governança de serviços de TI para melhoria dos processos, garantindo o controle e eficiência das informações, de forma segura, aliando os serviços de TI aos negócios e utilizando-se de uma abordagem voltada para gestão de serviços de TI.
METODOLOGIA
O presente trabalho tem sua metodologia fundamentada na revisão bibliográfica e no estudo de caso.
GOVERNANÇA DE TI
No mundo atual, como as organizações estão mais dependentes da TI, a maior parte das organizações ainda não perceberam que a área de tecnologia precisa estar integrada ao negócio para que se alcance uma sinergia proativa; esta sinergia só poderá ser alcançada através do completo alinhamento dos objetivos do negócio com os objetivos definidos para a área de TI.
A definição de Governança de TI segundo a IT Governance Institute (2007) é a seguinte: “A governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização”.
Analisando essa definição, pode-se facilmente concluir que a Governança de TI busca o compartilhamento de decisões de TI com os demais dirigentes da organização, assim como estabelece as regras, a organização e os processos que nortearão o uso da tecnologia da informação pelos usuários, departamentos, divisões, negócios da organização, fornecedores e clientes, determinando como a TI deve prover os serviços para as empresas.
Atualmente muitas organizações estão implantando uma nova cultura em termos de gestão dos serviços de TI, desta forma, cresce de importância os Frameworks como a ITIL, COBIT e etc. Em muitas Organizações, a TI passou a ser chamada de Tecnologia do Negócio (TN) para que fique cada vez mais claro que, mais que um provedor de serviços, a TI é um parceiro estratégico para qualquer negócio.
Segundo o IT Governance Institute (2007), O Control Objectives for Information and related Technology (CobiT®) fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas, mas nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas.
Segundo a apostila ITIL® V3 Foundation (2008), ITIL é um framework de boas práticas para o Gerenciamento de Serviços de TI. Descreve processos, funções e estruturas que apoiam a maioria das áreas de Gerenciamento de Serviços de TI, principalmente do ponto de vista de um provedor de serviços de TI.
GOVERNANÇA DE TI E SEGURANÇA DA INFORMAÇÃO
Segundo Fernandes (2008), no mundo interligado da internet, a gestão de TI ficou mais complexa e a infraestrutura de TI sofre riscos diários de intrusão visando o “roubo” de dados e a disseminação de códigos maliciosos e vírus, o que pode afetar, sobremaneira, a operação de uma organização. Conforme o nível de acesso dos vários pontos de uma organização à “grande rede”, maior é a necessidade de envolver todos os níveis da organização na questão da gestão da TI e, em especial, na gestão da segurança da informação.
Estabelecer uma política de segurança da informação e um plano de continuidade do negócio são dois aspectos que atualmente diferenciam as organizações; uma política de segurança da informação, por exemplo, deve ser desenvolvida tendo em vista as necessidades (riscos, infraestruturas críticas, clientes e etc.) do negócio.
SEGURANÇA DA INFORMAÇÃO NO PROVEDOR DE SERVIÇOS DE TI
Um provedor de serviços deve reconhecer que seus clientes não compram produtos, e sim o atendimento de suas necessidades. Existem três tipos de provedores de serviços de TI, que independente do seu tamanho ou número de pessoas, devem ser estruturados com foco nos processos de TI existentes; um grande erro é desenvolver as funções do provedor de serviços de TI sem levar em consideração os processos e serviços de TI, criando desta forma um provedor altamente hierarquizado, ou seja, um provedor que não está apto a dar respostas rápidas as necessidades dos seus clientes e usuários.
A área de segurança da informação, por exemplo, não desempenha bem seu papel em estruturas altamente hierarquizadas, uma vez que a informação flui por todas as direções dentro e fora das organizações; para que se estabeleça uma efetiva governança para a área de segurança da informação, sem dúvida, é necessário de antemão construir o provedor de serviços de TI fortemente orientado para os processos e serviços de TI.
Nas figuras abaixo, é visto exemplos de três tipos de provedores de serviços.
Figura 2 – Provedor Interno
Figura 3 – Provedor de Centro de Serviços Compartilhados
Figura 4 – Provedor Externo
PROJETO DE IMPLANTAÇÃO DA GOVERNANÇA DE TI
Segundo Fernandes (2008), a informação é reconhecida pelas organizações nos últimos anos como sendo um dos mais importantes recursos estratégicos que necessitam gerenciamento. Atualmente, os sistemas e os serviços de TI desempenham um papel vital na coleta, análise, produção e distribuição da informação indispensável à execução do negócio das organizações. Dessa forma, tornou-se essencial o reconhecimento de que a TI é crucial, estratégica e um importante recurso que precisa de investimento e gerenciamento apropriados.
A implantação de um projeto de Governança de TI, focado na área de segurança da informação está relacionado com a preparação e planejamento do uso eficiente e eficaz dos 4 Ps exibidos abaixo:
- Pessoas;
- Processos;
- Produtos / Tecnologia;
- Parceiros.
Estes elementos representam as competências necessárias que um provedor de serviços deve ter. Sem a integração dos 4 Ps, qualquer desenho, plano ou projeto normalmente falha, porque vai haver uma falta de preparação e gerenciamento.
O processo de implantação da governança de TI focado na segurança da informação proposto por este trabalho, está completamente alinhado com as práticas utilizadas no mercado, e pode ser resumido, segundo a ITIL V3 (2007), em seis passos, conforme figura abaixo:
Figura 8 – Ciclo de melhoria
ESTUDO DE CASO
O modelo proposto por este trabalho, além de estar alinhado com as práticas da ITIL, foi implantado em uma organização militar com o projeto de implantação da governança de TI.
A implantação de um modelo de governança de TI é de fato um diferencial estratégico para os provedores de serviço de TI.
O 4° Centro de Telemática de Área, organização militar provedora de serviços de TI para as Unidades do Exército na Amazônia Ocidental (Amazonas, Acre, Rondônia e Roraima), iniciou em julho de 2010 seu Projeto de Implantação da Governança de TI, visando aumentar a qualidade da entrega dos serviços de TI e consequentemente melhorar a satisfação dos seus usuários.
Graves problemas logísticos, na área da Amazônia, enfrentados para entrega de serviço ao usuário, como: problemas de acesso, soluções de TI com custos altos e grande dificuldade de manutenção; estes são cenários comuns para quem atua na Amazônia. Um provedor de serviços de TI que não se preocupa em alinhar a estratégia com a sua operação terá grandes problemas em atuar nesta região.
Para minimizar essas dificuldades e criar uma nova cultura que valorizasse o planejamento, a gestão estratégica e dos processos e desenvolver uma força de trabalho altamente motivada e orientada aos serviços de TI, foi desenvolvido um projeto de Governança, que após seu encerramento no mês de abril de 2011, proporcionou um novo patamar em termos de entrega dos serviços de TI.
As práticas de Governança de TI estão cada vez mais mostrando-se como ferramenta eficiente e eficaz para os órgãos públicos e privados darem um salto de qualidade no seu desempenho. Na Amazônia, onde as dificuldades são ainda maiores, devido às limitações já citadas, um provedor de serviço de TI “não pode se dar ao luxo de atuar apagando incêndios”, pois a tendência é uma perda cada vez maior na qualidade de requisitos importantes para os clientes e usuários. Disponibilidade, Capacidade, Continuidade e Segurança da Informação devem estar alinhadas com os ANS (Acordo de Níveis de Serviços), pois a TI já não é mais um luxo, mas um fator crítico de sucesso para qualquer organização.
O projeto iniciou com um estudo completo da maturidade da governança de TI que existia no Centro; foi utilizado o modelo do COBIT para medir os níveis de maturidade.
Foi observado que os níveis de maturidade organizacional estavam baixos, e existia uma grande vontade de mudança, uma vez que a visão de longo prazo estabeleceu que o Centro deveria se tornar uma referência como Provedor de Serviços de TI na sua área de atuação.
Desta forma, os passos propostos por este trabalho, verificar o alinhamento com a visão (estratégia do negócio) e estabelecer o ponto de partida (onde nós estamos) foram os primeiros passos, ainda no início do projeto.
O fato de estar alinhado com a estratégia foi o motivo principal para que a alta administração desse total apoio ao projeto, sendo seu principal patrocinador e apoiador.
O próximo passo foi à definição de onde o Centro deveria estar após a implantação do modelo de Governança, um foco grande foi dado as questões voltadas a segurança da informação.
Pode-se ver no quadro a seguir uma avaliação do modelo de maturidade do processo de Gerenciamento de Segurança da Informação e do Gerenciamento de acesso da organização militar, objeto do estudo de caso, que mostra o nível de maturidade atual e o nível de maturidade desejado.
Quadro 6 – Modelo de Maturidade.
Percebe-se que para alcançar o nível de maturidade desejado é preciso avaliar os processos, contar com o apoio da alta direção e conscientização dos usuários no uso de sistemas de informação, bem como a educação e o treinamento.
Para cada processo, foi definido o nível de maturidade que se pretendia alcançar, de forma que o planejamento fosse orientado para que o projeto viabilizasse esses níveis de maturidade acordados com o patrocinador do projeto e com o pessoal técnico da área de TI.
Neste ponto foi iniciado um planejamento do projeto, onde foi desenvolvida uma Estrutura Analítica que apontou para cinco entregas principais, conforme figura abaixo:
Figura 9 – Estrutura Analítica com as Cinco Entregas Principais
As cinco entregas principais foram:
Um documento com a avaliação da maturidade atual e desejada;
-
- Detalhamento das atividades para implantação de cada processo, serviço e funções;
- Obras para modernização da Infra;
- Educação e treinamento da força de trabalho; e
- Customização de uma ferramenta para Gestão dos Serviços de TI.
Sem dúvida, durante todo o projeto de implantação desta nova estrutura de TI, foi necessário envolver as pessoas no processo de mudança, negociar os planos com as pessoas chaves dos processos e sempre comunicar a todos o que estava sendo feito.
Um ponto importante em todo projeto de implantação de um modelo de governança é definir as vitórias rapidamente, ou seja, definir quais as entregas podem ser entregues de forma rápida para que todos percebam que a mudança está acontecendo, evitando que o projeto perca seu impulso.
Neste projeto em particular, duas vitórias rápidas foram definidas, a implantação do Service Desk (melhorando o processo de atendimento das requisições dos clientes e usuários) e o Catálogo de Serviço (permitindo que todos os níveis do provedor de serviços pudessem compreender o que efetivamente estava sendo entregue para os clientes e usuários).
Com o catálogo de serviço, foi possível definir exatamente quais os níveis adequados de disponibilidade, capacidade, continuidade e segurança da informação para que cada serviço fosse entregue atendendo as necessidades dos usuários.
Com o final do projeto, observa-se que o nível de satisfação dos usuários com os serviços prestados aumentou consideravelmente, além disso, as equipes de TI passaram a desenvolver um trabalho mais proativo, onde os processos eram conhecidos, medidos e controlados, entregando para a organização uma TI alinhada com as necessidades de governança, de controle e com um foco cada vez maior na qualidade de seus serviços.
O case de sucesso de implantação da Governança de TI no 4° Centro de Telemática de Área, sem dúvida, servirá como modelo para outros órgãos da administração pública que tem na TI um aliado estratégico e uma ferramenta que suporta os principais processos de negócio. No Exército Brasileiro, a TI é encarada de forma bastante profissional, pois se tem consciência de seu papel estratégico.
O que se pode observar com este projeto é que o modelo proposto pelo trabalho foi seguido à risca, de forma que os benefícios ficam visíveis desde o início do projeto e práticas consagradas no mercado foram utilizadas.
CONCLUSÃO
Este trabalho procurou mostrar que para se estabelecer uma efetiva governança de segurança da informação é necessário desenvolver um provedor de serviços que esteja alinhado com as boas práticas do mercado, como a ITIL. Nenhuma organização do mundo está livre de pensar em segurança da informação, uma vez que problemas de perdas de dados e roubo de informações dos clientes podem levar a grandes prejuízos financeiros e de reputação. De vários modos distintos as recomendações deste trabalho podem ajudar a melhorar a implantação e o gerenciamento da segurança da informação, e por sua vez estabelecer as bases para a governança efetiva de TI.
No entanto, segundo ABNT NBR ISO/IEC 17799 (2005), a segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. A segurança da informação em um provedor de serviços de TI é essencial, e deve ser planejada levando em consideração os requisitos de segurança do negócio para garantir que a segurança da informação está sendo gerenciada de forma eficaz em relação a todos os serviços e componentes de TI.
Com a realização do estudo de caso, observou-se que o objetivo deste tipo de projeto é transformar a organização em um provedor de serviços de TI, o que, obrigatoriamente, implica profundas transformações no ambiente organizacional. Para que este processo de transformação seja possível, duas coisas são extremamente importantes e consideradas críticas para o sucesso do projeto: O apoio e envolvimento da alta administração, seja direcionando os objetivos gerais, seja apoiando e respaldando as ações do gerente do projeto, e principalmente, funcionando como motivador de toda a organização; outro aspecto fundamental, e mais relacionado com o trabalho do gerente do projeto é saber gerenciar a mudança, uma vez que as transformações serão profundas.
Portanto, o objetivo proposto por este trabalho foi alcançado ao fazer um estudo de caso de uma organização militar que implantou a governança de TI para melhoria de seus processos, com isso aumentando o nível de segurança de suas informações e a satisfação de seus clientes e usuários.
REFERÊNCIA
ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 17799 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Gestão da Segurança da Informação, 2005.
Apostila ITIL® V3 Foundation – Preparação para o exame de certificação ITIL V3 Foundation, 2008.
COBIT® 4.1 – Modelo, Objetivos de Controle, Diretrizes de Gerenciamento e Modelos de Maturidade. 2007. IT GOVERNANCE INSTITUTE.
Fernandes. Aguinaldo Aragon; Abreu, Vladimir F. de. Implantando a Governança de TI. 2008. Da Estratégia a Gestão dos Processos e Serviços.
ITIL V3 and Information Security – Best Management Practice.White Paper 2009.
ITIL V3 – Service Strategies, Service Design, Service Transition, Service Operations, Continual Service Improvement. 2007.
MOLINARO, Luís F. Ramos; Ramos, Karoll H. Carneiro. Gestão de Tecnologia da Informação. 2011.Governança de TI.
[1] Pós-graduado em MBA Gestão de Segurança da Informação pela Faculdade FUCAPI, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.
Uma resposta
muito bom o artigo! top mesmo..