Princípios e frameworks de governança de TI

A governança de TI é uma disciplina fundamental para organizações que desejam alavancar a tecnologia de forma estratégica e segura. 

E ela vai muito além da gestão de sistemas e infraestrutura. Entenda a seguir. 

O que é governança de TI 

A governança de TI é um conjunto de práticas, processos e estruturas organizacionais que direcionam e controlam as decisões relacionadas à tecnologia da informação. O objetivo é garantir que os investimentos em tecnologia atendam aos objetivos estratégicos de uma empresa ou entidade pública. 

A governança de TI é um desmembramento da governança corporativa, que se tornou necessário com a massificação da informática na década de 1990. 

Na prática, a governança de TI define o orçamento para o setor de tecnologia da empresa, verifica se as normas e políticas estão sendo seguidas pelos colaboradores e dá suporte à tomada de decisões para quem ocupa cargos de chefia. 

Diferença entre governança de TI e gestão de TI 

A governança de TI é responsável pela parte mais estratégica de desenvolvimento de objetivos para a área de tecnologia, enquanto a gestão executa as ações necessárias para atingir esses objetivos. Ou seja, enquanto a primeira tem uma visão macro do negócio, a segunda se concentra no dia a dia das atividades. 

A diferença entre governança de TI e gestão de TI apresentada acima é a descrita pelo princípio 4 do COBIT 2019, framework de gerenciamento que detalharemos mais adiante. 

Os 6 princípios da governança de TI 

De acordo com o ISO/IEC 38500, norma estabelecida pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), os 6 princípios da Governança de TI são:

1. Responsabilidade: todas as partes de uma organização entendem e aceitam suas responsabilidades relacionadas aos serviços e atendimentos de demandas de TI. Os responsáveis pela ação estão autorizados a executá-la; 
   
2. Estratégia: a capacidade atual e futura do departamento de TI da empresa deve ser considerada nas estratégias de negócio. Estas também devem ser levadas em conta no planejamento estratégico de TI; 
   
3. Aquisição: toda aquisição de TI equilibra benefícios, oportunidades, custo e risco, considerando o curto e longo prazo. A tomada de decisão deve ser feita de forma transparente, após análises avançadas e apropriadas; 
   
4. Desempenho: a área de TI deve dar suporte à organização, garantindo serviços de qualidade adequados aos requisitos de negócios; 
   
5. Conformidade: a área de TI deve respeitar todas legislações e regulamentações obrigatórias. Políticas e práticas são claramente definidas, implementadas e seguidas; 
   
6. Comportamento humano: as políticas, práticas e decisões da área de TI respeitam todas as pessoas envolvidas no processo. 

ITIL 

Um framework bastante utilizado na governança de TI é o Sistema ITIL, sigla para Information Technology Infrastructure Library ("biblioteca de infraestrutura de tecnologia da informação", em tradução livre). 

É um conjunto de boas práticas de gerenciamento de serviços de tecnologia de informação, desenvolvido pela Agência Central de Computação e Telecomunicações (CCTA, na sigla em inglês) do Reino Unido na década de 1980. 

O ITIL já passou por quatro grandes atualizações: 

ITIL v1 

A primeira versão do ITIL era voltada para as agências governamentais, que começavam a se informatizar na década de 1980. Era, literalmente, uma biblioteca: uma coleção de livros físicos que chegou a mais de 30 volumes em 1996. 

ITIL v2 

Nos anos 2000 foi lançada a segunda versão do ITIL. Os 30 volumes foram condensados em 9, mas ainda eram voltados para entidades do governo britânico. 

ITIL v3 

Com a popularização do modelo em empresas e demais entidades privadas, foi lançada uma nova atualização em maio de 2007. O ITIL v3 era descrito em 5 livros, que reuniam 26 processos e 4 funções. 

ITIL 4 

A quarta e última atualização do ITIL veio em fevereiro de 2019, com a publicação do livro “ITIL Foundations”.

O ITIL 4 é marcado pela maior flexibilidade na execução dos processos, com o Sistema de Valor de Serviço (SVS), um conjunto de componentes e atividades de uma organização que possibilita a criação de valor. 

Os componentes do SVS são: 

• Cadeia de valor de serviço: modelo operacional flexível para a entrega e aprimoramento contínuo de serviços. Tem como atividades principais planejar, melhorar, engajar, desenhar, construir e entregar; 
  
• 34 práticas que atualizam os processos do ITIL v3: conjunto de recursos necessários realizar o trabalho ou cumprir um objetivo. Consideram elementos como cultura, tecnologia, informações e gerenciamento de dados; 
  
• Governança: conjunto de normas e práticas que são a base para a definição de processos internos, de acordo com as exigências do setor e os valores da organização. Facilita a integração com outros frameworks como o COBIT; 
  
• Melhoria contínua.

COBIT 

O COBIT é um framework de gerenciamento de TI usado por empresas para desenvolver, organizar e implementar estratégias de gestão de informação e governança.

COBIT é a sigla para “Control Objectives for Information and related Technology” (“controle de objetivos para informação e tecnologias relacionadas”, em tradução livre). 

O framework foi desenvolvido pela Information Systems Audit and Control Association (ISACA) em 1996, inicialmente para ajudar auditores financeiros a lidarem com ambientes de TI. 

A versão mais recente do modelo, de 2019, lista 6 diretrizes para a governança de TI: 

1. Prover valor para as partes interessadas; 
   
2. Abordagem holística; 
   
3. Sistema de governança dinâmico; 
   
4. Governança distinta do gerenciamento; 
   
5. Adaptar-se às necessidades da empresa; 
   
6. Sistema de governança fim-a-fim 

Esperamos que este breve guia sobre governança de TI tenha sido útil. Saiba mais sobre compliance e cibersegurança na Pós-graduação em Compliance de Cibersegurança da PUC-Rio Digital!