Siap 2009 2 It Governance 2

Sistemas de Informação da Administração Pública / | Luís Vidigal

Sistemas de Informação da Administração Pública

Governação dos Sistemas e

Tecnologias da Informação

“IT Governance”

2 – Normas e melhores práticas de

gestão de SI/TI

Luís Vidigal

http://egovernment.no.sapo.pt

http://www.iscad.pt/


Os cenários actuais no mundo

• Factores Motivadores

– Atentados terroristas nos EUA, Espanha, etc.

– Escândalos financeiros nos EUA

• Consequência Imediata

– Stress no mundo empresarial

– Novas leis e agências reguladoras

– Novas políticas internas

– Novas certificações

– Novas auditorias



Organizar as Metodologias

Governança

organizacional

Governança

SI/TI

Governança

Financeira

Governança

Comercial

CobiT

ISO17799 BS15000

CMM

ITIL

ISO 9126

ISO15504 ISO 12207

ISO9000

TickIT

Qualidade

do Produto SW

Processos do Ciclo

de Vida do SW

Avaliação de

Processos de SW

Segurança de SI/TI

Boas Práticas

SI/TI

Governança

de SI/TI

Qualidade de SW

ISO 9001:2000

Qualidade

…

ISO9126

ISO14958

ISO12119

SOX - Sarbanes-Oxley

Basileia II

ISO20000ISO27001



IT Governance Framework

ISO9000 EFQM

BS25999ISO27001 COBIT

PRINCE2 ITIL

Agile Methods ISO20000

CMMi

Corporate Governance

IT Governance

IT Development IT Services

ISO38500

COSO

SPICE



Convergência das

Práticas

Continual ServiceImprovement

Continual ServiceImprovement

ITIL

ServiceTransition

ServiceOperation

ServiceDesign

ServiceStrategy

ISO/IEC 2000

ISO 9001

ISO 27001

ISO 19770

CMMI

Services

SOX

e-TOM

ISO/IEC20000

COBIT

IEEE

ANSI

ISO/IEC12207

SixSigma

TQM

BalancedScorecard

BPM / BPI

SCAMPI

EFQM

Nova



Implementação de frameworks ITSM

Totalmente implementados

Parcialmente implementados

Projecto em cursoitSMFI Novembro 2008



A estrutura das publicações ITIL v2

O

N

e

g

ó

c

i

o

A

T

e

c

n

o

l

o

g

I

a

Gestão de Aplicações

Planear a Implementação da Gestão de Serviços

A

Perspectiva

do Negócio

Gestão de

Infra~estruturas

de TIC

Gestão de Serviços

Suporte aos

Serviços

Disponi-

bilização

de ServiçosGestão de

Segurança



ITIL v3

Service Strategies

Service Design

Service Transition

Service Operation

Continual Service

Improvement



ISO 20000 – História

• 1995/1998 - A code of practice for Service Management

• BS 15000:2000 - Specification for Service Management

• PD0015:2000 IT Service Management: Self-assessment Workbook

• 2000 – 2002 Primeiras implementações

• BS 15000-1:2002

• ITSMF Certification scheme - Nov 2003

• ISO/IEC 20000 Parts 1 and 2 – Dez 2005



IT Service Management Framework

With acknowledgement of BSI, OGC and ITSMF

Or other

guidanc

e



ISO 20000 Modelo de Processos

Service Delivery Processes

Resolution

ProcessesRelationship

Processes

ACTContinual

Improvement

PLANPlan

DOImplement and

Operate

CHECKMonitor,

Measure and

Review

Planning and Implementing New or Changed Services

Service Management System

Capacity

Management

Service

Continuity and

Availability

Management

Service Level

Management

Service

Reporting

Information

Security

Management

Budgeting and

Accounting for IT

Services

Incident

Management

Problem

Management

Business

Relationship

Management

Supplier

Management

Release

Process

Release

Management

Control Processes

Configuration Management

Change Management



CobiT - Control OBjectives for Information and related Technology

IT ProcessesIT Processes

IT Management ProcessesIT Management Processes

IT Governance ProcessesIT Governance Processes

CobiTCobiTbest practices

repository for

Processos de TI

Processos de Gestão de TI

COBITCOBITRepositório de

Melhores Práticaspara

Processos de Governação de TI

Uma metodologia

que descreve as

melhores práticas de

gestão de TI

Surgiu nos EUA e é

mantido pela ISACA



CobiT - Control OBjectives for Information and related Technology

PE

SS

OA

L

INS

TA

LA

ÇÕ

ES

TE

CN

OL

OG

IA

DA

DO

S

SIS

TE

MA

S



Componentes do CobiT

• 4 domínios

– Planeamento e Organização

– Aquisição e Implementação

– Entrega e Suporte

– Monitorização

• 34 objectivos de controle de alto nível

• 318 objectivos de controle detalhados



Componentes do CobiT

Informação

Recursos de TIPlaneamento e Organização

Aquisição e Implementação

Entrega e Suporte

Monitorização

Governança de TI

Objectivos de Negócios



Visão Geral e Estrutura do CobiT

DS1 definir níveis de serviços

DS2 gerir serviços de terceiros

DS3 gerir performance e capacidade

DS4 garantir continuidade dos serviços

DS5 garantir segurança dos sistemas

DS6 identificar e alocar custos

DS7 educar e treinar utilizadores

DS8 auxiliar e aconselhar utilizadores de TI

DS9 gerir a configuração

DS10 gerir problemas e incidentes

DS11 gerir dados

DS12 gerir instalações

DS13 gerir a operação

M1 monitorar os processos

M2 avaliar a adequação do controle interno

M3 obter certificação independente

M4 providenciar auditoria independente

PO1 definir um plano estratégico de TI

PO2 definir a de informação

PO3 determinar a direcção tecnológica

PO4 definir a organização e relacionamentos da TI

PO5 gerir o investimento em TI

PO6 comunicar metas e directivas de gestão

PO7 gerir recursos humanos

PO8 garantir cumprimento de exigências externas

PO9 avaliar riscos

PO10 gerir projectos

PO11 gerir qualidade

AI1 identificar soluções

AI2 adquirir e manter software aplicacional

AI3 adquirir e manter arquitectura tecnológica

AI4 desenvolver e manter procedimentos de TI

AI5 instalar e certificar sistemas

AI6 gerir mudanças

PLANEAMENTO E

ORGANIZAÇÃO

AQUISIÇÃO E

IMPLEMENTAÇÃO

PRODUÇÃO E SUPORTE

MONITORAÇÃO

INFORMAÇÃO

Eficácia

Eficiência

Confidencialidade

Integridade

Quantificação

Conformidade

Disponibilidade

RECURSOS TIC

Pessoas

Sistemas aplicacionais

Dados

Infra-estrutura tecnológica

Facilidades



Governança das TIC à luz do Cobit

Planeamento

e Organização

Aquisição e

Implementação

Produção

e Suporte

• Planeamento Estratégico

• Arquitectura de Informação

• Direcção Tecnológica

• Organização e Relaciona-

mentos TIC

• Gerir o Investimento TIC

• Comunicar Objectivos e

Direcções

• Gerir Recursos Humanos

• Garantir Conformidade

• Avaliar os Rscos

• Gerir Projectos

• Gerir Qualidade

Monitoração

• Identificar Soluções

• Adquirir e Manter

Software Aplicacional

• Adquirir e manter a

Arquitectura Tecnológica

• Desenvolver e Manter os

Procedimentos TIC

• Instalar e Acreditar

Sistemas

• Gerir a Mudança

• Definir Níveis de Serviço

• Gerir Serviços de

terceiras partes

• Gerir Desempenhos e

Capacidades

• Garantir a Continuidade

de Serviços

• Garantir a Segurança

dos Sistemas

• Identificar e Atribuir

Custos

• Educar e Formar

Utilizadores

• Apoiar e aconselhar

Clientes TIC

• Gerir Configurações

• Gerir Problemas e

Incidentes

• Gerir Dados

• Gerir Facilidades

• Gerir Operações

• Monitorar os processos

• Avaliar a adequação do

controle interno

• Obter certificação

independente

• Providenciar auditoria

independente



Níveis de Maturidade CobiT

Nível de

MaturidadeDescrição - Cobit

0 Não existente

1 Inicial, tratado pontualmente

2 Com repetição, porém intuitivamente

3 Com processos definidos

4 Monitorado

5 Optimizado



Framework para as opções estruturais



Ciclo de vida dos Sistemas

Planeamento

e Arquitectura

Análise e

Desenvolvimento

Controlo de

Qualidade

Administração

de Produtos

ExploraçãoCentro de

Contacto

Gestão de Projectos

Estudo de

Viabilidade

In Out



CMM (Capability Maturity Model)

1.

INICIAL

2.

REPETIVO

3.

DEFINIDO

4.

GERIDO

5.

OPTIMIZADO

Compromisso em fazer

Estabelecimento

de uma política

Documentação

de um padrão

Estabelecimento

de metas

Melhoria contínua

Guia para melhoria contínua do processo de software

Estrutura básica para métodos confiáveis de avaliação



Níveis de Maturidade CMM

1. Inicial - O processo de software é caracterizado como “ad hoc” e ocasionalmente pode ser caótico. Poucos processos estão definidos e o sucesso depende de esforços individuais.

2. Repetível – Os processos básicos de gestão estão estabelecidos para controlar custo, cronograma e funcionalidade. A disciplina necessária dos processos permite repetir o sucesso noutros projectos com aplicações similares.

3. Definido – O processo de software para as actividades de gestão e de engenharia é documentado, padronizado e integrado num processo padrão de software para a organização.

4. Gerido – Medições detalhadas do processo de software e da qualidade do produto são recolhidas. Tanto o processo de software quanto o produto de software são quantitativamente entendidos e controlados.

5. Optimizado – A melhoria continua do processo é feita através do “feedback” quantitativo dos processos e das aplicações de novas ideias e tecnologias.


Education

Siap 2009 2 It Governance 2