quinta-feira, 10 de maio de 2012

COBIT 4.1 para Concursos - Introdução - Parte 1

Esse é mais um dos meus resumos para concurso que faço durante os meus estudos. Quem vem ao blog já conhece o esquema. Se algo estiver errado, não me culpem, mas podem aproveitar o quanto quiserem. 

O COBIT nasceu como um modelo para auditoria de TI. Os auditores iam na empresa realizar a auditoria e verificavam se as empresas tinham objetivos de controles implementados. Era uma compilação de itens a serem verificados em uma auditoria de TI. Só as versões criadas a partir de 2005 (4.0 em diante) é que vieram focadas na governança de TI.

O COBIT - Control Objectives for Information and Related Technology é uma estrutura de controles com as seguintes características: é uma estrutura focada no negócio, orientada a processos (34), baseada em objetivos de controle e que utiliza métricas e medições baseadas em modelos de maturidade. Não é uma metodologia (assim como ITIL e CMMI também não são), mas como já foi dito, é uma estrutura de controle.

Metodologia é uma receita de bolo, é um passo a passo, diz você como fazer. O COBIT é muito resumido para isso. O CMMI e o ITIL até sugerem como fazer algumas coisas, mas o COBIT, nem isso.

Desafios da TI segundo o COBIT

Alinhar a TI ao Negócio (todos os modelos dizem isso)
O que a TI entrega não costuma ser o que a organização espera, então a TI deve trabalhar em conjunto com o negócio e não em paralelo.

O problema é que nem sempre a empresa sabe quais são as suas prioridades e muitas vezes levantam suas necessidade de forma superficial. As prioridades devem ser bem estabelecidas e seguidas.

As decisões tomadas pela TI não podem ser independentes, é preciso que elas sejam tomadas em conjunto com o resto da organização e de acordo com a finalidade da instituição. Para isso, é preciso uma boa comunicação e uma definição clara das prioridades. No geral, os problemas são causados pela falta de comuniação.

Manter a TI Funcionando
As empresas dependem fortemente da TI e a interrupção de um serviço de TI pode causar impactos muito significativos para o negócio. Por isso, os serviços precisam estar sempre disponíveis. Serviços indisponíveis significam perda de oportunidades, redução de lucros e isso impacta na reputação da organização.

É fundamental garantir a continuidade de serviços críticos de TI

Entregar Valor aos Clientes
Como a TI é muito importante nas empresas atualmente, é necessário garantir que TODAS as ações da TI forneçam algum tipo de valor à organização. Os projetos devem ser entregues dentro de prazo e no custo acordado.

A TI precisa justificar o retorno sobre investimento. O cliente precisa perceber que o dinheiro gasto está sendo traduzido em alguma coisa.

Gerenciar os Custos da TI
Os gastos da TI costumam estar fora de controle. As empresas possuem conhecimento dos custos e do retorno do investimento em outros setores, mas não conseguem apurar essa informações com relação à TI. Elas sabem quanto gastam com advogados, logística, contabilidade e outras coisas, mas não com a Informática e isto é igualmente importante. Os custos envolvidos com os ativos de TI não são bem compreendidos

Gerenciar a Complexidade
A quantidade de sistemas e tecnologias é muito grande e nem sempre as arquiteturas são compatíveis, não existe interoperabilidade entre os diversos sistemas. Isso gera muitas dificuldades e aumenta a a complexidade para manutenção do ambiente.

As inovações técnológicas são muito rápidas e é necessário atualizar a equipe.

Além disso é preciso gerenciar fornecedores, que é um tarefa crítica. Onde está escrito fornecedores, está incluído também os terceirizados e qualquer agente que forneça algo para a organização.

Cumprir Leis e Regulamento
Explicitar esta característica é uma peculiaridade do COBIT.

A área de atuação da empresa possui diversos regulamentos governamentais que impactam nos sistemas de TI da organização. A TI precisa estar ciente disso e implantar os sistemas em conformidade com as leis. O mercado exige responsabilidade social e legal.

Manter a Segurança da Informacão
Com o avanço da técnologia, o risco de vazamento de informação é muito maior do que era. As instituições e pessoas estão cada vez mais integradas e com acesso a Internet. A informação precisa estar sempre disponível e os usuários não se preocupam com a segurança da informação.

É importante garantir que a informação chegue somente a quem deve recebê-la.

Solução do COBIT para os Desafios
É preciso ligar os desafios de TI a uma estrutura de controle para alcançar a Governança de TI. Governança pode ser resumida em uma palavra: controle. São 210 objetivos de controle.

Este Controle / Governança de TI visa permitir que a TI se alinhe com os objetivos da empresa para que a instituição obtenha vantagem competitiva. Tratando os riscos significativos é possível exeplorar melhor os benefícios da TI e garantir o alinhamento com o negócio e o cumprimento das leis e regulamentos.

Governança de TI é responsabilidade da ALTA GERÊNCIA. Quem define as estratégias e objetivos não é a TI, mas a liderança da organização.

Governança de TI Segundo COBIT: 
Conjunto de estruturas e processos para garantir que a TI suporte e maximize os objetivos e estratégias de negócio da organização, adicionando valores aos serviços entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI.

A TI não existe por razão própria, mas para suportar e maximizar os objetivos e estratégias do negócio. 

O COBIT é um modelo integrador com estrutura de controle, focado no negócio para tudo o que diz respeito a TI e serviços relacionados. 

Dentro do COBIT existem processos de gerencialmento de serviços de TI (ITIL), processos de melhores práticas para desenvolvimento de software (CMMI), normas de segurança (27001), processos de gerenciamento de projeto (PMBOK) e etc. É um modelo de alto nível, trata desses assuntos, mas não se aprofunda.

Características do COBIT

Focado no Negócio: todos os objetivos da TI são derivados sempre depois das metas do negócio. As decisões vem sempre de cima para baixo.

Orientado a Processos: as atividades são organizadas em 34 processos divididos em 4 domínios.

Baseado em Controles: cada processo possui seus próprios objetivos de controle, totalizando 210. Esse objetivos são resultados que se deseja obter.

Dirigido por Métricas: possui indicadores de performance e medições de resultados. Além disso possui um modelo de maturidade próprio.