View
2.725
Download
6
Category
Preview:
DESCRIPTION
Apresentação realizada para alunos da faculdade Veris em Campinas em outubro/2009
Citation preview
1
<Insert Picture Here>
Governança em TI
Fernando de Almeida Galdino, Sr Sales Consultant
fernando.galdino@oracle.com | http://blogs.oracle.com/galdino
outubro-2009
Agenda
• Governança, Risco e Conformidade
• Frameworks de governança
• Conclusão
3
Fornecer uma visão inicial sobre
governança e de alguns frameworks em uso no
mercado.
<Insert Picture Here>
G overnança
R isco
C onformidade
4
C onformidade
O que é Governança em TI?
• Governança em TI consiste de liderança, estruturas organizacionais e processos que garantem que a área de TI da empresa sustente e extenda as estratégias e objetivos organizacionais.
5
• Aspectos comuns:• Alinhamento com a área de negócios
• Conformidade com requisitos regulatórios
• Controlar custos de TI
• Melhorar tempo de entrega de projetos em TI
• Aumentar segurança da informação
Frameworks e recursos para TI
• TOGAF – The Open Group Architecture
• John Zachman Architectural Framework
• FEAF – Federal Enterprise Architectural Framework
• DODAF – Department of Defense Architectural Framework
6
Framework
• COBIT – Control Objectives for Information and Related Technology
• ITIL – IT Infrastructure Library
Restabelecendo confiançaAcionistas e consumidores demandam mais transparência e menos risco
CONSUMIDORES E EMPREGADOS
• Proteger informações pessoais• Menor risco em produtos e serviços• Responsabilidade social e ambiental
ACIONISTAS
• Níveis crescentes de atividades
Source: Mckinsey, 2007
O que eles querem…Uma pesquisa com consumidores globais mostra que a confiança em líderes de negócio caiu 28% em 2006, abaixo dos 36% no pico dos escandalos corporativos em 2002. Source: Mckinsey, 2007
7
• Níveis crescentes de atividades• Participar mais das votações sobre pagamentos dos executivos e seleção de
diretores
• Poder crescente de investidores individuais e fundos de investimento
DIRETORES
• Saber quais áreas requerem maior visibilidade devido a riscos diversos
Source: Economist, 2007
Source: Mckinsey, 2006
Prevenção custa menos
Source: Lord & Benoit, 2006
Performance de preço das ações de empresas em conformidade com
regras do SOX����28%
����26%
����6%Control weakness in 2004, but none
in 2005
No control weaknesses in 2004 -05
Reported control weakness 2004-05
Proteção da informação custa menos que perdas
Source: Gartner, 2005
Investimento em segurança
Custo de perda de dados
$6$90
8
Economia de acordo com investimentos em conformidades
Source: General Counsel Roundtable, 2006
Investimento em conformidade
Economia em menor responsabilidade legal $1
$5# of GRC projects
Ad hocApproach
PlatformApproach
Resources for innovation
Custo de oportunidade - GRC
Cost of GRC
70%
Papel de TI em reconstruir confiançaA necessidade de Governança em TI
Segurança
70%
The Ponemon Institute indica que
De todas as falhas de segurança foram devido ao pessoal
Estratégia
69% Conformidade
Maioria dos 400 diretores pesquisados reconhecem que a estratégia certa de TI é muito importante para:
Controle
“Mais que 80% dos grupos de TI podem ser incapazes de satisfazer muitas das leis e regulações, (…), que requerem mudanças em trilhas de auditoria e
Gartner avise que
9
Source: Ponemon Institute, 2005
pessoal interno
66%
57%
Satisfaçãodo cliente
Gerenciarriscos
Source: Corporate Board Member/ Deloitte Consulting, March 2007
2%2%Quando uma empresa anuncia um problema de segurança, ó preço da ação pode cair em
Source: Gartner, 2005
requerem mudanças em trilhas de auditoria e responsabilidade sobre itens de configuração de materiais.”
Governança em TI está amadurecendoDisciplina de governança em TI está em sua adolescência
“CEO e CIO em geral registram 20%
21%
26%
11%
Defined
Repeatable
Ad hoc
Non-existent
“Governança em TI ainda está muito associada com controle ou conformidade.”
10
“CEO e CIO em geral registram um baixo nível de maturidade em compreender a governança de TI em sua totalidade.”
Source: PWC, IT Governance Institute 2006
4%
14%
0% 5% 10% 15% 20% 25% 30%
Optimised
Managed
Governança de TI na práticaEmpresas enfatizam controle e conformidade
50% de 1.000 executivos pesquisados disseram que TI é a área mais desafiante para se objter conformidada com Sarbanes-Oxley 404.
42% dos colaboradores em TI acreditam que suas empresas não possuem as ferramentas de segurança ou controles internos necessários para prevenir, detectar e corrigir brechas de segurança nos dados. Source: Ponemon Institute, 2007
Gerenciamento IT GRC Proteção da
Source: KPMG 404 Institute, 2006
11
Gerenciamento de configuração e de mudanças
IT GRC Management
Proteção da informação na
prática
‘Falta de visão para fazer mudanças em aplicações’ e ‘Falta de entendimento das configurações principais das aplicação’ está entre as cinco principais fraquezas citadas.
Source: IT Service Management Forum, 2005
Alguns tópicos importantes quando
falamos de Governança em TI
• Proteção da informação
• Privacidade
• Controle de acesso aos sistemas
• Auditoria
• Relatórios
12
• Relatórios
• Infraestrutura
• Desenvolvimento de projetos
• Manutenção dos sistemas, ….
O desenvolvimento de sistemas é uma
grande preocupação
• Metodologias de desenvolvimento de sistemas• Oracle Unified Method• RUP (IBM)• OpenUP (Eclipse)• UP• XP
13
• XP• outras metodologias ágeis
• Metodologias para gerenciamento de projetos• Project Management – PMI• Scrum
• Maturidade no desenvolvimento de sistemas• CMMI
<Insert Picture Here>
COBIT
14
O que é COBIT?
COBIT
Contempla processos em TI, framework de controle e alinhamento com requisitos de negócios, com adição de guias de gerenciamento. COBIT tem sido usado como um
15
COBIT COBIT tem sido usado como um framework de gerenciamento provendo ferramentas de gerenciamento, tais como métricas e modelos de maturidade. A versão atual é COBIT 4.1, liberada em 2007.
Explicando melhor, o que é COBIT?
� Um framework de governança para TI
◦ Fortalece o espaço entre:
� Requisitos de controle
� Problemas técnicos
� Riscos de negócio
◦ Permite
16
◦ Permite
� Desenvolvimento de políticas claras
� Boa prática
◦ Ênfase em conformidade com objetivos regulatórios
◦ Obter maior valor da área de TI
◦ Alinhamento
◦ Simplifica implementação
Dentre os benefícios do COBIT, temos
responsabilidade e propriedade
• Uma vantagem do COBIT é termos a estrutura de responsabilidade para os subprocessos e seus passos.• Responsible
• Accountable
17
• Consulted
• Informed
Gerenciamento e alinhamento
18
Fronteiras entre controles gerais, de
negócio e de recursos
19
COBIT Cube
20
RACI ChartsPlan and Organize
Plan and OrganizeResponsible Accountable Consult Inform
PO1 Define a Strategic IT Plan and
direction X
PO2 Define the Information
Architecture X X
PO3 Determine Technological
Direction X X
Define the IT Processes, X
21
PO4 Define the IT Processes,
Organization and Relationships
PO5 Manage the IT Investment X
PO6 Communicate Management Aims
and Direction
X
PO7 Manage IT Human Resources X
PO8 Manage Quality X
PO9 Assess and Manage IT Risks X X
PO10 Manage Projects X
Acquire and implement
Acquire and Implement Responsible Accountable Consult Inform
AI1Identify Automated
SolutionsX X
AI2Acquire and Maintain Application Software
X X X
AI3Acquire and Maintain
X X X
22
AI3Acquire and Maintain
Technology InfrastructureX X X
AI4 Enable Operation and Use X X X
AI5 Procure IT Resources X X X
AI6 Manage Changes X
AI7Install and Accredit
Solutions and ChangesX
Deliver and support
Deliver and Support Responsible Accountable Consult Inform
DS1 Define and Manage Service Levels X X
DS2 Manage Third-party Services X X
DS3 Manage Performance and Capacity X X X
DS4 Ensure Continuous Service X X XDS5 Ensure Systems Security X X X
23
DS5 Ensure Systems Security X X X
DS6 Identify and Allocate Costs X
DS7 Educate and Train Users X
DS8 Manage Service Desk and Incidents X
DS9 Manage the Configuration XDS10 Manage Problems XDS11 Manage Data X
DS12 Manage the Physical Environment X X
DS13 Manage Operations X
Monitor and Evaluate IT Processes
Monitor and Evaluate IT Processes Responsible Accountable Consult Inform
ME1Monitor and Evaluate IT
ProcessesX X
ME2Monitor and Evaluate Internal
ControlX X
24
ME3 Ensure Regulatory Compliance X X
ME4 Provide IT Governance X
Nível de maturidade
25
P01 – Define a Strategic IT Plan and Direction
<Insert Picture Here>
ITIL
26
O que é ITIL?
ITIL v3
É a abordagem de gerenciamento de serviços em TI mais largamente aceita e adotada no mundo. Na versão atual, 27 processos detalhados organizados
27
ITIL v327 processos detalhados organizados em cinco processos de alto nível que levam a uma função: gerenciamento efetivo de serviços de TI.
• ITIL Stands for
• Information• Technology• Infrastructure• Library
De novo, o que é ITIL?
28
• Library• Desenvolvimento
• Década de 80• Desenvolvido como um framework• Iniciou como um guia para o governo da Inglaterra• Desenvolvido inicialmente para Gerenciamento de
Serviços de TI
A versão atual do ITIL é a v3
• ITIL V1• Não foi largamente utilizado• Desenvolvido pelo governo inglês
• ITIL V2• Largamente utilizado• Muito popular em grandes organizações
29
• Muito popular em grandes organizações• ITIL V3
• Liberado em maio-2007• Ciclo de vida muito recente• Mais estratégico na abordagem
Os próximos slides
referem-se ao ITIL v2
TI como serviço
Antes Agora
Mentalidade departamental Mentalidade de serviços
Atitude do empregado Atitude do fornecedor
Foco interno Foco no cliente
30
Foco interno Foco no cliente
Foco técnico Foco no cliente
Custo orçamentado Custo gerenciado
Tecnologia por tecnologia Tecnologia como um meio de obter vantagem competitiva
Atitude departamental Atitude tendo em vista o negócio
O framework ITIL
31
Gerenciamento de serviços
• Gerenciar a infraestrutura de serviços
• Método de gerenciar o serviço• Com qualidade• Custo
• Objetivos de negócio• Suportar requisitos de curto e longo prazo
32
• Gerenciamento de serviços• Medir• Controlar• Gerenciar
• Perspectiva de processo
Service Desk
• Um único ponto de contato para• Resolução de problemas
• Acompanhamento de requisições
• Disponibilidade de serviços
• Restauração
33
Service Support
• Incident Management
• Problem Management
• Configuration Management
• Change Management
• Release Management
34
• Release Management
Service Delivery
• Service Delivery é o framework que governa Service Support
• Service Delivery gerencia os seguintes aspectos:• Quais serviços?
• Quais níveis de serviço?
35
• Quais níveis de serviço?
• Quais níveis de disponibilidade?
• Qual o custo?
• Quais os níveis de capacidade?
<Insert Picture Here>
SOX
36
O que é SOX?
SOX
• Em decorrência dos escândalos financeiros em grandes companhias da lista Fortune 100 em 2001, o Congresso regulamentou o Sarbanes-Oxley Act of 2002, que regulamenta como companhias públicas devem relatar suas
37
SOXcompanhias públicas devem relatar suas finanças.
• Os requisitos do SOX não variam de acordo com o tamanho da companhia. Os desafios são os mesmos para todas as empresas.
Framework COSO
38COSO Internal Controls – Integrated Framework
<Insert Picture Here>
The Open Group
Architecture Framework
TOGAF
39
TOGAF
O que é TOGAF?
TOGAF
Objetiva o desenvolvimento de uma arquitetura corporativa através de métodos detalhados e ferramentas de suporte.
40
TOGAF e ferramentas de suporte. Desenvolvido por membros do The Open Group. TOGAF existe desde 1995, baseado na primeira versão do DODAF.
De novo, alinhamento é muito
importante
41
• The Open Group Architecture Framework
• Um framework arquitetural – um conjunto de métodos e ferramentas para desenvolver uma grande variedade de diferentes arquiteturas para TI
• Permite que usuários de TI
42
• Permite que usuários de TI• projetem,
• avaliem,
• construam a arquitetura certa para a organização,
• reduzam os custos de planejamento e projeto
• implementem arquiteturas baseadas em soluções de sistemas abertos
TOGAF Architecture Continuum
43
• Um comparativo com termos utilizados pela Oracle …
SOAReference
Architecture
SOAReference
Architecture
SOA SecurityArchitecture
SOA SecurityArchitecture
SOA InfrastructureArchitecture
SOA InfrastructureArchitecture
SOA Service LayersArchitecture
SOA Service LayersArchitecture
SOA ManagementSOA Management
e.g. SOA forTelecom
Architecture
fromTMF
e.g. SOA forTelecom
Architecture
fromTMF
e.g. SystemRationalisation
Architecturefor Vodafone
e.g. SystemRationalisation
Architecturefor Vodafone
TOGAF Technical Reference Model
• Exposição das capacidades de TI em uma API suportando a implementação de
44
aplicações
<Insert Picture Here>
Certificações disponíveis
45
Certificações disponíveis
• ITIL v3• Diversos recursos na web
• Não é difícil
• Pode ser útil para acelerar a carreira
• COBIT
46
• COBIT• Ter COBIT é um bônus
• É um pouco mais difícil que ITIL
<Insert Picture Here>
Oracle e Governança
47
Alguns desafios encontrados
• Ausência de ferramentas ou infraestrutura
• Proliferação de padrões• Conformidade a padrões• Relacionamento TI-Negócios• Múltiplos silos de
desenvolvimento
• Maturidade de padrões• Desorganização de serviços• Desorganização no registro• Gerenciamento de portfolio• “Right-Click Architecture”• Mudança de cultura• Gerenciamento de mudanças
48
• Ausência de melhores práticas• Atrito organizacional• Prioridades mal definidas• Decisões corporativas X LOB• Ausência de Roadmaps• Investimento• Modelos de custo• Ausência de abordagem
apropriada para serviços
• Gerenciamento de mudanças• Ausência de processos operacionais
apropriados• Ausência de habilidades e experiência• Propaganda x Realidade• Acompanhar e comunicar progresso• Imposição de políticas (automatizadas
ou manual)• Implementação frágil de sistemas
Oracle está no quadrante dos líderes
no Quadrante Mágico Gartner
49
Gerenciamento do ecossistema OracleAberto e extensível
MiddlewareMiddleware
Oracle Enterprise Manager Oracle Enterprise Manager
• Check Point Firewall
• Juniper Netscreen
Firewall
OperatingOperatingSystemsSystems
Virtual ServersVirtual Servers
• Oracle VM
• VMWare
• Oracle Fusion Mware.
NetworkNetworkApplicationsApplications
• Oracle Applications
• Oracle Beehive
• Oracle Comm & BRM
Se
rvic
e D
es
k C
on
ne
cto
rsS
erv
ice
De
sk
Co
nn
ec
tors
Re
me
dy, H
P, S
ieb
el, P
eo
ple
So
ftR
em
ed
y, H
P, S
ieb
el, P
eo
ple
So
ftE
ve
nt
Co
nn
ec
tors
Eve
nt
Co
nn
ec
tors
Mic
ros
oft
, H
P, IB
M
Mic
ros
oft
, H
P, IB
M
50
DatabasesDatabases
• Oracle Database• Oracle Exadata• Oracle TimesTen• IBM DB2 • MS SQL Server• MySQL• Sybase
StorageStorage
Firewall
• F5 BIG-IP
• Nortel Alteon Switch
• NetApp Filer
• EMC Celerra,
Clariion, Symmetrix
• Pillar Axiom
• Onaro SANScreen
SystemsSystems
ServersServers
• Dell PowerEdge
• Dell Change Auto.
• Oracle EnterpriseLinux
• All Unix
• Microsoft
• MVS
• Oracle WebLogic
• IBM WebSphere
• MS .NET
• MS BizTalk Server
• MS IIS
• MS Commerce Server
• MS ISA Server
• MS Active Directory
• JBoss AS
• IBM MQ Series
• Citrix Pres. Server
• Blue Lane PatchPoint
• Apache Tomcat
• Oracle Comm & BRM
• Microsoft Exchange
Se
rvic
e D
es
k C
on
ne
cto
rsS
erv
ice
De
sk
Co
nn
ec
tors
Re
me
dy, H
P, S
ieb
el, P
eo
ple
So
ftR
em
ed
y, H
P, S
ieb
el, P
eo
ple
So
ftE
ve
nt
Co
nn
ec
tors
Eve
nt
Co
nn
ec
tors
Mic
ros
oft
, H
P, IB
M
Mic
ros
oft
, H
P, IB
M
Empacotamento
DatabaseDatabaseControl*Control*
FusionFusionMiddleware Middleware
Control*Control*
GridGridControlControl
EnterpriseEnterpriseManagerManager
51
DatabaseDatabasePacksPacks
FusionFusionMiddlewareMiddleware
PacksPacks
DBDBPacksPacks
FMWFMWPacksPacks
AppsAppsPacksPacks
StandStandAloneAlonePacksPacks
PlugPlug--InsIns
* * -- Empacotado e entregue com Banco de Dados e Fusion Middleware respectivamenteEmpacotado e entregue com Banco de Dados e Fusion Middleware respectivamente
Saiba mais…
• Whitepapers • Webcasts• Buyers Guides• Analyst Reports• Case Studies
http://search.oracle.comgovernance
52
• Case Studies
• Podcasts
• Technical Information & Forums• http://www.oracle.com/technology/products
Recommended