Patch-clamp

A adoção das práticas de gestão orientadas por padrões e normas visa é estudada e recomendada por muitos autores, bem como por órgãos reguladores, governamentais e fiscalizadores, com o objetivo de proporcionar conformidade com os preceitos legais, facilidade na implantação de mecanismos de governança, padro- nização entre as instituições. Descrevem-se brevemente os principais modelos, normas e padrões, tanto internacionalmente como nacionais, mais recomendados:

COBIT - Control Objectives for Information and related Technology

O COBIT é um framework para governança e controle de TI, reconhecido internacionalmente destina-se a prover um modelo de boas práticas para gover- nança de TI.

Nesta proposta são identificadas ações isomórficas subdivididas em 05 domínios e 37 processos do COBIT 5.0 (ISACA, 2012) para níveis de maturidade, que possam legitimar processos relativos à governança de TI, conforme o nível estratégico organizacional e o nível operacional da TI. O framework busca cobrir a Governança Coorporativa, abrangendo todas as funções e processos.

ABNT NBR ISO/IEC 38500:2009 - Governança corporativa de tecnologia da informação - Esta norma oferece princípios para orientar os dirigentes das organizações sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação.

ISO 20000

A ISO 20000 é uma norma inserida em âmbito internacional com a finalidade de regulamentar o padrão para o gerenciamento de serviços de tecnologia de informação. Esta norma é composta de:

 ISO 20000-1 - trata da especificação para a gerência de serviços de TI, dos processos que devem ser implementados;

 ISO 20000-2 - trata do código de prática para a gerência dos serviços de TI, da avaliação do que foi implementado na ISO 20000-1 (SISP, 2014).

ITIL - ITIL™ (Information Technology Infrastructure Library)

O ITIL é um modelo de referência para implementação e gerenciamento de processos de TI e para gerenciar infraestrutura de TI de modo a garantir níveis de serviços definidos entre clientes internos e externos. Esse método é assim caracterizado:

 Modelo de referência para processos de TI não proprietário;  Adequado para todas as áreas de atividade;

 Independente de tecnologia e fornecedor;  Baseado nas melhores práticas;

 Checklist testado e aprovado. (SISP, 2014)

Tanto ITIL como a ISO 20000, têm por objetivo oferecer um conjunto de processos estruturados e de qualidade com o foco em gerenciar os serviços de TI. Dessa forma, a adoção das boas práticas sugeridas pela ITIL e a certificação ITIL de profissionais, ajuda na obtenção da ISO 20000.

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da Informação e desde sua origem, um documento publicado em 1992 pelo governo Britânico, vem sendo atualizada de forma contínua ao longo dos anos. Seu objetivo principal é a adoção de um conjunto de requisitos, processos e controles para gerir e mitigar os riscos aos quais está exposta a organização. Orienta para o estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação, em temas como telecomunicações, segurança, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc.

A norma NBR ISO/IEC 27002:2013, da Associação Brasileira de Normas Técnicas (ABNT), a qual trata de técnicas de segurança em Tecnologia da Informação, funciona como um código de prática para a gestão da segurança da informação. Essa norma foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados, pela Comissão de Estudo de Segurança Física em Instalações de Informática. (ABNT, 2014)

A administração pública direta, autárquica e fundacional do Poder Executivo dispõe da Estratégia Geral de Tecnologia da Informação (EGTI), atualizada para os anos 2013-2015, elaborada pelo Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), ligado ao Ministério do Planejamento e atua, por meio da Secretaria de Logística e Tecnologia da Informação (SLTI), com a finalidade de orientar as ações de gestão e governança de TI. A atual EGTI define nove objetivos estratégicos organizados em cinco perspectivas: Sociedade; Governo Federal; Processos Internos; Pessoas, Aprendizado e Crescimento e Financeiro. Estabelece orientação estratégica para alcançá-los, metas e indicadores para mensurar os resultados obtidos pelos órgãos (SISP, 2014).

O SISP é a estrutura de governança utilizada pelo governo federal para organizar o trabalho de controle, supervisão e coordenação da área de TI nos órgãos do poder executivo. Para orientações sobre o tema, disponibilizou em sua página eletrônica, o quadro de Referência da Governança de TI, uma síntese dos elementos de referência para a governança e a gestão de TI no Poder Executivo Federal, na forma de leis, decretos, instruções normativas, normas complementares,

normas da ABNT, frameworks de mercado, guias e manuais. A título de ilustração, apresenta-se em forma resumida, na sequência (quadro 3) (SISP, 2014).

Tema Políticas Frameworks Estruturas Organizacionais

Auditoria Lei 8443/1992 Decreto 3.591/2000

COBIT 5 for Assurance ITAF

Manual de auditoria de TI da Intosai (Organização Internacional de Entidades Fiscalizadoras Superiores)

CGU

Equipe de Auditoria Interna Equipe de Auditoria Externa Sistema de Controle Interno do Poder Executivo Federal TCU

Entrega de Benefícios

COBIT 5 Val IT

Estratégia Decreto 7.579/2011 Portaria SLTI 13/2009 PPA EGTIC

BSC

Business Model Canvas

COBIT 5

Managing Change in

Organizations: A Practice Guide

Comitê Estratégico de TI Comissão Coordenação do SISP SLTI/MP

Otimização de

Recursos COBIT 5 Comitê de TI

Riscos NC04/IN01/DSIC/GSIPR

ABNT NBR ISO 27005:2011 ABNT NBR ISO 31000:2009 ABNT NBR ISO/IEC 31010:2012 COBIT 5 for Risk

Guia sobre a gestão de riscos no serviço público

RiskIT

Sistema de Governança

COBIT 5

Guia de boas práticas para implementação da Gestão e Governança de TI

ABNT NBR ISO/IEC 38500:2009 Quadro 3 - Síntese do Quadro de Referência da Governança de TI - SISP

Fonte: Sistema de Administração dos Recursos de Tecnologia da Informação SISP, 2015.

A adoção das práticas de gestão orientadas por padrões e normas visa proporcionar benefícios como:

 aumento da confiança na organização e satisfação dos clientes, providen- ciando um maior potencial para realização de mais negócios;

 implementação dos controles provenientes das normas, padrões, análise de risco e de um sistema de gestão que possa melhorar o desempenho operacional;

 demonstra compromisso dos executivos da organização com os processos de TI e governança;

 garante a realização de investimentos orientados ao risco e não em tendências;

 aumenta a segurança da informação e dos sistemas, quanto a confiden- cialidade, disponibilidade e integridade;

 estrutura um processo em Segurança da Informação de forma contínua;  Reconhecimento do tratamento da gestão da organização de acordo com

elevados padrões de gestão e proteção ao nível da Segurança da Informação, investimentos e gestão de recursos com auditoria por entidade externa e confiável (SISP, 2014; 1993; LUNARDI, 2008).

Pode-se inferir que a implantação e a prática da governança de TI estão bem regulamentadas, organizadas e disponíveis para o setor público brasileiro, no entanto, a dificuldade de adoção dessas práticas recai nas recorrentes dificuldades das instituições públicas, em especial as instituições públicas de ensino superior, conforme abordagem nas seções a seguir.