Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao

ITIL x CobiT: Um estudo comparativo

Matheus Soares Canto

Monograa apresentada como requisito parcial para concluso do Curso de Computao Licenciatura

Orientador Prof. Dr. Francisco de Assis Cartaxo Pinheiro

Braslia 2008

Universidade de Braslia UnB Instituto de Cincias Exatas Departamento de Cincia da Computao Curso de Computao Licenciatura

Coordenador: Prof. Dr. Flvio Leonardo Cavalcanti de Moura

Banca examinadora composta por: Prof. Dr. Francisco de Assis Cartaxo Pinheiro (Orientador) CIC/UnB Prof. Dr. Marco Aurlio de Carvalho CIC/UnB Prof a Dra . Clia Ghedini Ralha CIC/UnB .

CIP Catalogao Internacional na Publicao Matheus Soares Canto. ITIL x CobiT: Um estudo comparativo/ Matheus Soares Canto. Braslia : UnB, 2008. 78 p. : il. ; 29,5 cm. Monograa (Graduao) Universidade de Braslia, Braslia, 2008. 1. ITIL, 2. CobiT, 3. Governana, 4. TI, 5. Tecnologia da Informao. CDU 004

Endereo: Universidade de Braslia Campus Universitrio Darcy Ribeiro Asa Norte CEP 70910900 Braslia DF Brasil

Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao

ITIL x CobiT: Um estudo comparativo

Matheus Soares Canto

Monograa apresentada como requisito parcial para concluso do Curso de Computao Licenciatura

Prof. Dr. Francisco de Assis Cartaxo Pinheiro (Orientador) CIC/UnB Prof. Dr. Marco Aurlio de Carvalho Prof a Dra . Clia Ghedini Ralha . CIC/UnB CIC/UnB Prof. Dr. Flvio Leonardo Cavalcanti de Moura Coordenador do Curso de Computao Licenciatura

Braslia, 04 de dezembro de 2008

Agradecimentos
. Dedico esse trabalho a todos que tornam possvel a concluso dessa jornada, incluindo amigos, familiares e todas as pessoas especiais que sempre me apoiaram nessa caminhada.

Resumo
. As necessidades dos negcios aliadas s perspectivas de novos caminhos onde se quer fazer mais com menos e onde tudo se transforma numa velocidade alucinante fazem com que a cada dia se criem novos termos, conceitos e condies no universo da tecnologia da informao. Uma vez dentro desse universo, termos como Governana, gesto, recursos, ITIL, CobiT e outros passam a ser freqentemente e amplamente utilizados sem um real conhecimento ou entendimento dos mesmos e, principalmente, sem uma viso de como possveis comparaes e combinaes poderiam ser feitas para a escolha de melhores solues. Focado em servios, processos, gerncias, domnios, qualidade e governana tecnolgica, esse estudo de modelos de gesto ITIL e CobiT, gera indagaes e questionamentos sobre comparaes e complementariedades entre ambos, uma vez que so dois dos modelos mais aceitos e difundidos na atualidade. Baseado nisso, esse trabalho se prope a realizar uma comparao entre os modelos de gesto ITIL e CobiT; apresentando antes alguns termos e conceitos que sero necessrios para uma melhor compreenso de ambos alm de algumas de suas caractersticas. Assim, ao nal do mesmo, apresentada a concluso na qual podese vericar uma complementariedade entre os modelos dentro dos aspectos abordados, consequncias do estudo e possibilidades para trabalhos futuros. Palavras-chave: ITIL, CobiT, Governana, TI, Tecnologia da Informao.

Abstract
. The Business necessities joined to the perspective of new ways where people want to do more with less and where everything changes in an infuriating speed, do with new terms, concepts and conditions on the universe of information technology are created each day. Once into this universe, terms as Governance , management and resources come to be frequently and widely used without any real knowledge or comprehension of them and, merely, without any vision about how possible comparisons and combinations could be done to get better solution choice. Focused on services, process, management, domain, quality and technological governance, this study of ITIL and CobiT management model cause inquire and questioning about comparisons and complementarities between them, once they are two of the most acceptable and diffused model actually. Based on it, this work aims to realize a comparison between ITIL and CobiT management model, presenting some terms and concepts which they will be necessary a better comprehension of both, in addition to some of their characteristics. Then, at the end of it, it is presented the conclusion and it is possible to verify some complementarities between the models, consequence of this study and possibilities for works in the future, themes that are also approached on this study. Keywords: ITIL, CobiT, Governance, IT, Information Technology.

Sumrio
Lista de Figuras Lista de Tabelas Captulo 1 Introduo 1.1 Domnio . . . . . . 1.2 Motivao . . . . . 1.3 Objetivo . . . . . . 1.4 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 10 11 11 12 12 12 14 14 15 15 19 24 25 25 26 26 27 28 29 29 32 33 35 44 45 45 45 47 48

Captulo 2 Tecnologia da Informao 2.1 Introduo . . . . . . . . . . . . . . 2.2 Tecnologia da Informao . . . . . 2.2.1 Servios de TI . . . . . . . . 2.2.2 Governana . . . . . . . . . 2.2.3 Consideraes Finais . . . .

Captulo 3 Biblioteca de Infra-estrutura formao 3.1 Introduo . . . . . . . . . . . . . . . . 3.2 Histrico . . . . . . . . . . . . . . . . . 3.3 Objetivo . . . . . . . . . . . . . . . . . . 3.4 Framework . . . . . . . . . . . . . . . . 3.5 Processos . . . . . . . . . . . . . . . . . 3.5.1 Implementao . . . . . . . . . 3.5.2 Maturidade . . . . . . . . . . . 3.6 Governana . . . . . . . . . . . . . . . 3.6.1 Camada Ttica . . . . . . . . . 3.6.2 Camada Operacional . . . . . . 3.7 Consideraes Finais . . . . . . . . . .

da Tecnologia da In. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Captulo 4 Objetivos de Controle para Informao e Tecnologias Relacionadas 4.1 Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Histrico e Apresentao . . . . . . . . . . . . . . . . . . . . . . 4.2.1 COSO (Committee of Sponsoring Organizations) . . . . 4.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.4 Processos . . . . . . . . . . . 4.4.1 Modelo de Processos 4.4.2 Mtricas . . . . . . . 4.4.3 Maturidade . . . . . 4.5 Governana . . . . . . . . . 4.5.1 Domnios . . . . . . . 4.5.2 Objetivos de Controle 4.5.3 Medidas de Controle 4.6 Consideraes Finais . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

49 50 51 51 53 54 59 59 61 62 62 62 63 63 65 67 67

Captulo 5 ITIL X COBIT 5.1 Introduo . . . . . . . . . . . . . . . . . . . . . 5.2 Foco . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Pblico-Alvo . . . . . . . . . . . . . . . . 5.3 Governana . . . . . . . . . . . . . . . . . . . . 5.3.1 Processos . . . . . . . . . . . . . . . . . . 5.3.2 Domnios do CobiT X Gerncias do ITIL 5.4 Consideraes Finais . . . . . . . . . . . . . . .

Captulo 6 Concluso 71 6.1 Lies Aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.2 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Referncias 73

Lista de Figuras
2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 5.1 5.2 5.3 5.4 5.5 Acordo de nvel de servio . . . . . . . . . . . . . . . . Funcionamento de um ANS . . . . . . . . . . . . . . . Gerncia de Relacionamento com o Cliente . . . . . . Processo de Gesto de Relacionamento com o Cliente Funcionamento de um processo . . . . . . . . . . . . . Os 34 processos que compe a TI . . . . . . . . . . . . Os componentes de um processo de TI . . . . . . . . . Os nveis de maturidade de um processo . . . . . . . . As disciplinas do ITIL . . . . . . . . . . . . . . ITIL - viso geral dos processos . . . . . . . . Os livros e seus processos no ITIL . . . . . . . Modelo de maturidade CMM . . . . . . . . . . Detalhamento dos nveis de maturidade . . . As gerncias do ITIL e seus relacionamentos Ciclo de vida de um incidente . . . . . . . . . Caminhos do melhoramento de servios . . . Mapa do Processo de mudanas no servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 17 18 19 20 21 22 23 27 28 29 31 32 33 37 40 42 46 48 49 50 52 53 54 59 60 61 64 65 66 69 70

Viso estruturada do CobiT . . . . . . . . . . . . . . . . . . . Os elementos do COSO . . . . . . . . . . . . . . . . . . . . . . Relacionamentos e complementao entre modelos de gesto Os processos de TI na viso do CobiT . . . . . . . . . . . . . . O Cubo do CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . Nveis de maturidade do CobiT . . . . . . . . . . . . . . . . . TI como habilitador do negcio . . . . . . . . . . . . . . . . . Os 4 domnios do CobiT e seus processos . . . . . . . . . . . . Medidas de controle do CobiT (1) . . . . . . . . . . . . . . . . Medidas de controle do CobiT (2) . . . . . . . . . . . . . . . . A TI completa . . . . . . . . . . . . . . . . . . . A TI completa na viso dos domnios do CobiT Comparao de processos entre CobiT e ITIL . Os nveis do ITIL e do CobiT . . . . . . . . . . . O alinhamento do ITIL e do CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Lista de Tabelas

Captulo 1 Introduo
. Partindo de uma situao econmica e tecnolgica atual, e inuenciado por um querer de determinados resultados, levando em conta algumas situaes (que podemos entender como informaes para "entradas"), temos o nascimento, ou criao, de diversas "metodologias", modelos ou guias para a Tecnologia da Informao (TI), Governana, Servios e Processos. Assim, este trabalho abordar duas dessas "metodologias": o CobiT (Control Objectives for Information and related Technology), cujo escopo est na inovao da gesto de TI atravs de uma Governana Tecnolgica abrangente e o ITIL (Information Technology Infrastructure Library), que a padronizao de uma srie de processos operacionais e de gesto ligados a TI, onde o intuito do ITIL o de criar um padro para os processos, de preferncia automatizando-os, e tornando-os legveis e claros para todos que fazem parte da organizao, sendo replicvel e evolutivo para outras organizaes ou situaes. Apresentadas caractersticas tanto do ITIL quanto do CobiT, o que se seguir ser um estudo comparativo entre ambos levando em conta aspectos como governana, estrutura, processos e maturidade.

1.1
.

Domnio

Uma vez que a governana corporativa vem sendo cada vez mais adotada e tem papel importante nas organizaes, com o intuito de atender necessidade de mercados competitivos que exigem respostas e solues mais rpidas para o alcance de objetivos, a governana de TI passa a ser um processo decisrio no sincronismo de estratgias do negcio com o desempenho de projetos e servios, buscando sempre um alto grau de qualidade nos processos disponibilizados. Ento, para o correto funcionamento das engrenagens da TI, so adotados alguns modelos para a governana, e por conseqncia, orientao e guia dessa TI. Conceitos como o da prpria TI, Gerncias, Processos,

11

Servios, Qualidade e Governana servem como o embasamento para a discusso de modelos a serem utilizados dentro de uma organizao. Assim, compreendidos os conceitos, a escolha de um modelo de gesto, dentre os quais selecionamos para esse estudo o ITIL e o CobiT, se torna tarefa relativamente fcil ao se denir quais aspectos devem ser levados em conta nessa escolha, mesmo que a mesma implique numa comparao ou numa complementaridade entre ambos.

1.2
.

Motivao

Dentre os diversos modelos existentes no universo da TI, o ITIL e o CobiT aparecem com mais destaque devido a sua aceitabilidade dentro desse mesmo universo, assim, uma comparao entre ambos, por mais que seja feita e refeita por diversos autores, como os estudos de Balbo [16] ou de Rogato [43], sempre se faz necessria uma vez que alm de talvez preencher lacunas ou criar novos questionamentos, temos o aprofundamento de conhecimentos sobre modelos de gesto e sobre a TI em si, alm da realizao de um exerccio comparativo que sempre benco para a formao de um prossional.

1.3
.

Objetivo

Este estudo tem por objetivo a comparao dos aspectos referentes governana tecnolgica entre o ITIL e o CobiT, apresentando ainda as caractersticas principais de cada um dos modelos.

1.4
.

Metodologia

Este estudo foi realizado independentemente para cada modelo, mantendo, entretando, uma estrutura que pudesse uniformizar e facilitar o entedimento tanto das discusses quanto das comparaes. Essa mesma estrutura teve por caracterstica a apresentao de um histrico e do foco de cada modelo, seguido pelos objetivos, frameworks, processos, passando para a governana, onde foi feita uma descrio mais detalhada dos componentes de cada modelo, especialmente as gerncias para o ITIL e os domnios para o CobiT, e conclundo com consideraes nais sobre cada um. No Captulo 1, foram apresentados o domnio, motivao, objetivo e metodologia desse estudo, seguido pelo Captulo 2, onde foram abordados conceitos-chave fundamentais tanto para o entedimento dos modelos de gesto quanto para uma compreenso da TI. 12

No Captulo 3 foi descrito o ITIL, enquanto que no Captulo 4 seguiu-se a descrio do CobiT. J no Captulo 5, temos a comparao entre o ITIL e o CobiT onde, beneciando-se da estrutura dos captulos anteriores, essa mesma comparao cou clara e objetiva, bastando refernciar os pontos levantados com o que j fora descrito anteriormente. Por m, segue o Captulo 6 onde temos a concluso do estudo juntamente com as lies e consequncias, visando tambm possveis trabalhos futuros.

13

Captulo 2 Tecnologia da Informao

. O conceito de Governana Tecnolgica (IT Governance), dene que a TI um fator essencial para a gesto nanceira e estratgica de uma organizao e no apenas como suporte empresa. Sem ela, tornam-se inviveis as questes bsicas da gesto corporativa. No nvel macro, a governana de TI trata justamente da integrao e uso de processos corporativos suportados pelos pacotes de gesto como, por exemplo, o CRM (Customer .Relationship Management). Portanto, Governana Tecnolgica a metodologia (e seus processos integrados) de gesto corporativa dos recursos de TI. 1

2.1
.

Introduo

Num panorama atual, onde so exigidas adaptaes rpidas e contnuas evolues que fazem um uso cada vez maior de recursos prossionais especializados (alguns dos quais sendo considerados escassos) e recursos nanceiros mnimos, a busca pela excelncia nos processos operacionais e maior sucesso na busca de solues fazem com que o cotidiano de muitas organizaes seja bombardeado por termos como Tecnologia da Informao e Governana de TI e que esses e outros sejam sinnimos de soluo para possveis problemas atuais e futuros. Essa profuso de termos que se forma conforme se desbrava esse mundo, associada a uma perspectiva crescente no que se refere as possibilidades que envolvem as tecnologias atuais, servem de combustvel para que toda a TI obtenha papel de destaque no planejamento estratgico de diversas organizaes, fazendo com que a qualidade dos servios, bem como a qualidade e a ecincia do trabalho realizado tenham um aumento gradativo de complexidade, gerando novas necessidades que criam novas metodologias e novos termos.
1

adaptado de [46]

14

2.2
.

Tecnologia da Informao

Mas o que TI? De maneira resumida, a TI pode ser entendida como um conjunto de todas as atividades e solues providas ou geradas por recursos computacionais ou de computao. Como o leque de situaes e possibilidades muito extenso, uma denio mais precisa se torna um item complexo de ser determinada por completo. No se pode falar em TI sem mencionar alguns conceitos como Governana, Processos ou Servios, mas pode-se entender que a TI deve descrever o ambiente dos servios e processos da TI, o relacionamento entre os servios e processos e a documentao ou guia para esses servios e processos.

2.2.1
.

Servios de TI

Um servio de TI pode ser entendido como aquilo que provido para uma clientela como produto da combinao entre pessoas, processos e tecnologias, estando alinhado com o que fora denido atravs de possveis acordos e relaes comerciais, onde a gesto desses servios pode ser entendida como sendo o ato de dar direo a um processo de organizao e funcionamento de um servio, inclundo sua prioridade e importncia. Alguns acrnimos e conceitos permeiam e orbitam os servios de TI, tais como ANS ou SLA, GNS ou SLM e GRC ou CRM, que so alguns dos mais comuns e cujos principais conceitos se estendem a praticamente toda a TI. Passaremos a descrever cada um deles. 2.2.1.1 . Um Acordo de Nvel de Servio (ANS) 2 composto pelos contratos entre fornecedores e clientes onde esto especicados os servios a serem executados, bem como os padres que devem ser atendidos para aceitao dos mesmos, por isso, a falta de um entendimento claro entre as partes visando as prioridades do negcio, a um custo mais do que aceitvel, acarreta problemas para que o fornecedor tenha clareza do escopo para o qual foi contratado e o cliente no corra riscos de receber bens ou servios em desacordo com suas expectativas ou sem respaldo para possveis reclamaes. Para um entendimento de como e onde funcionaria um ANS, suas entradas e sadas, seguem as Figuras 2.1 e 2.2.
2

Acordo de Nvel de Servio

SLA - Service Level Agreement

15

Figura 2.1: Acordo de nvel de servio (adaptado de [38])

16

Figura 2.2: Funcionamento de um ANS (adaptado de [44]) 2.2.1.2 . Um Gerenciamento dos Nveis de Servio (GNS) 3 pode ser denido como sendo um conjunto de processos e procedimentos aplicados para assegurar que o nvel de servio adequado seja prestado ao cliente, onde o controle de expectativa versus qualidade percebida possa ser obtido atravs desse mesmo GNS por meio de um ciclo constante de concordar, de monitorar, de relatar e de melhorar os nveis atuais do servio. Assim, relacionando e resumindo, enquanto um ANS dene quais e como sero prestados os servios, um GNS verica se o que foi colocado no ANS est sendo cumprido ou no atravs de sistemas e mtricas de controle. 2.2.1.3 . A Gesto de Relacionamento com o Cliente (GRC)
3 4

Gerenciamento dos Nveis de Servio

Gesto de Relacionamento com o Cliente

4

pode ser denida

SLM - Service Level Management CRM - Customer Relationship Management

17

como toda uma classe de ferramentas que automatizam as funes de contato com clientes, compreendendo sistemas informatizados e de mudana de atitudes, sendo um sistema integrado de processos organizados, podendo ser dividido em operacional, analtico ou colaborativo. As Figuras 2.3 e 2.4 ilustram o funcionamento e os relacionamentos de um GRC.

Figura 2.3: Gerncia de Relacionamento com o Cliente (adaptado de [52])

18

Figura 2.4: Processo de Gesto de Relacionamento com o Cliente (adaptado de [51])

2.2.2
.

Governana

O termo governana tem por signicado a tomada de decises e a implementao ou no dessas decises. Na rea de TI, Governana de TI tambm pode ser entendida como sendo tambm o relacionamento da TI com o restante da organizao, se tornando um fator essencial para gesto de uma organizao e no apenas uma simples ferramenta de suporte, sendo ainda encarada como embasamento para metodologias de gesto corporativa dos recursos da TI. A Governana de TI tem como um de seus princpios bsicos fazer com que uma organizao tente gerenciar os seus processos internos e tambm a forma de comunicao destes processos com os seus fornecedores e parceiros de negcios, visando identicar as ligaes e dependncias entre os processos, as responsabilidades das reas da empresa, do pessoal e o desempenho esperado, medido por indicadores e metas (mtricas). 2.2.2.1 . Usadas para vericar os impactos e mudanas de cada processo, as mtricas so ferramentas que quanticam e informam os resultados da im19 Mtricas

plementao ou da continuidade de cada etapa de possveis mudanas. 2.2.2.2 . Um processo pode ser denido como um conjunto de atividades que, ao serem executadas, produzem ao menos um resultado identicvel e utilizvel, tendo sempre entradas (acionamentos do processo) e sadas (resultados do processo). A Figura 2.5 ilustra, de forma genrica, como funciona um processo. Processos

Figura 2.5: Funcionamento de um processo (adaptado de [7]) A TI, em termos de processos, pode ser dividida em quatro grandes cenrios: Planejamento e Organizao; Aquisio e Implementao; Monitorao; Entrega e Suporte; que se subdividem em 34 processos, conforme Figura 2.6.

20

Figura 2.6: Os 34 processos que compe a TI (adaptado de [3]) Para cada um dos 34 processos existem componentes associados cujos critrios a serem abordados podem ser: Eccia, Ecincia, Condencialidade, Integridade, Disponibilidade, Conformidade e Conabilidade, onde a combinao desses elementos vai depender da natureza do Processo de TI em questo. Uma vez denidos os critrios, os componentes podem ser divididos como sendo: Fatores Crticos de Sucesso - FCS (CSFs - Critical Success Factors) O que h de mais importante a ser feito para permitir que uma tarefa ou processo sejam concludos; Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - So os parmetros utilizados para reconhecer se o Processo alcanou as metas denidas (associadas aos objetivos); Indicadores de Desempenho - IdD (KPIs - Key Performance Indicators) - Denem quo bem o desempenho do Processo, em direo ao que foi denido como objetivo.

21

Na Figura 2.7, onde temos a gura do Habilitador componentes se relacionam num processo de TI:

temos como esses

Figura 2.7: Os componentes de um processo de TI (adaptado de [23]) 2.2.2.3 . Considerando Maturidade como sendo estar num determinado estgio, estando pronto e apto para uma nova fase, um novo comeo, em TI, o princpio se mantm. No que se refere a processos, o conceito pode ser vlido tambm. A maturidade dos processos a medida que nos diz o quanto um processo de conana, eciente e ecaz, e como que ele est integrado com outros processos. Os processos com maior maturidade so formalmente alinhados com os objetivos e a estratgia da organizao, sendo suportados por uma estrutura para a melhoria contnua. A maior parte dos modelos de maturidade denem cinco ou seis nveis de evoluo por onde passam as organizaes medida que vo ganhando competncias numa determinada rea, fazendo com que, a cada nvel da maturidade, a competncia organizacional aumente. Numa organizao madura, as prticas de repetio tornam-se normas, e h cada vez menos
5 Um Habilitador o resultado da combinao dos recursos de TI com os FCS, sendo monitorado por um IdD

Maturidade

22

"atos individuais", ou seja, quanto mais alto for o nvel de maturidade de uma organizao, mais padronizadas, ecientes, ecazes e econmicas so as suas operaes. Os nveis de maturidade descrevem pers de processos de TI que possam ser reconhecidos pelas organizaes, mas no estabelecem patamares evolutivos, onde no se possa alcanar um nvel superior sem antes passar pelos nveis inferiores. Conforme um processo ocorre, com suas entradas e sadas e, principalmente, os impactos do mesmo, um processo poderia ser classicado segundo possveis grupos de complexidade ou nveis de evoluo crescente, como ilustrado na Figura 2.8.

Figura 2.8: Os nveis de maturidade de um processo (adaptado de [17]) Na Figura 2.8 podemos vericar os seguintes nveis de maturidade: 0 - Inexistente: falta absoluta de elementos reconhecveis do processo. 1 - Inicial ("ad hoc"): reconhece-se, de forma despadronizada, o interesse em tratar da necessidade, ainda que caso a caso. 2 - Repetvel: procedimentos similares seguidos por pessoas distintas, para o mesmo tipo de atividade. 3 - Denido: procedimentos padronizados, documentados, comunicados por meio de treinamento. 4 - Gerenciado: possvel monitorar e medir a conformidade com os procedimentos. 23

5 - Otimizado: processo automatizado e baseado nas melhores prticas. Diversos processos de um mesmo ambiente de TI podem estar em nveis de complexidade diferentes, uma vez que a maturidade avaliada com base na natureza da instituio em si, possveis ameaas e oportunidades criadas ou geridas pela TI. Portanto, a maturidade evidencia a capacidade de execuo das organizaes.

2.2.3
.

Consideraes Finais

Essa profuso de termos e situaes que povoam e temperam o universo da Tecnologia da Informao pode parecer confusa e complexa demais num primeiro contato, mas observa-se uma co-relao e uma ligao entre TI, Governana, Servios e Processos, de tal forma que um est embutido no outro e inuenciando no s o entendimento, mas tambm o desenvolver uns dos outros. De qualquer maneira, o Captulo 2 serviu apenas como embasamento conceitual para alguns dos termos e componentes que sero utilizados tanto no Captulo 3 do ITIL quanto no Captulo 4 do CobiT.

24

Captulo 3 Biblioteca de Infra-estrutura da Tecnologia da Informao

. Fatos, como a troca de mainframes por computadores menores, o investimento macio em informtica nos anos 90 e o estouro da bolha pontocom, obrigaram os departamentos de TI a adotarem um novo mantra: fazer mais com menos. Menos dinheiro, no caso. 6

3.1
.

Introduo

Neste captulo, abordaremos o ITIL, vericando que termos como Processos, Maturidade, Servios e outros no caram para trs e continuam a ter importncia na descrio do mesmo. O ITIL um modelo de referncia para o gerenciamento de processos de TI, composto por uma biblioteca com sete livros e manuais que ilustram o que seriam as melhores prticas dentro da TI. Nas linhas que se seguem, vamos perceber tambm que no se pode cham-lo simplesmente de metodologia, uma vez que o ITIL no seria, como muitos autores descrevem, uma simples "receita de bolo" ou um corpo de regras e diligncias estabelecidas para realizar alguma atividade na TI. Podemos cham-lo de modelo, o que seria enquadr-lo como um exemplo de algo que possui determinadas caractersticas que podem ser replicadas da mesma maneira sempre, como tambm podemos nos referir ao mesmo como tecnologia, uma vez que poderamos denir tecnologia como sendo uma teoria geral e/ou estudo sistemtico sobre tcnicas, processos, mtodos, meios e instrumentos de um ou mais ofcios ou domnios numa tcnica ou conjunto de tcnicas de um domnio particular, ou, principalmente, porque podemos encarar a tecnologia como algo que traz mudanas, evolues e abre novas portas. Apresentaremos tambm as camadas, suas respectivas gerncias e as
6

adaptado de [9]

25

principais caractersticas que fazem do ITIL uma das referncias em gesto de TI.

3.2
.

Histrico

O ITIL (Information Technology Infrastructure Library) um conjunto de melhores prticas relativas gesto de TI e cuja origem remete a uma demanda do Governo Britnico em meados dos anos 80 para a Agncia Central de Computao e Telecomunicaes (CCTA - Central Computer and Telecommunications Agency) a m de garantir que as organizaes do setor pblico ingls tivessem o mximo de ecincia com o menor custo possvel e que a soluo para essa demanda fosse totalmente independente de possveis provedores, descrevendo detalhadamente diversas prticas (ou atividades) importantes da TI, como tarefas, procedimentos e responsabilidades que, em teoria, podem ser ajustados para qualquer organizao de TI. Atualmente o ITIL se encontra em sua verso v3 (lanada em 2007), mas, devido a uma maior quantidade de informaes e materiais disponveis, optamos por estudar a verso v2, lanada em 1999. Hoje existem trs organizaes principais que regulam as prticas do ITIL: OGC - Os direitos autorais do ITIL so de propriedade do governo britnico, visto que o mesmo foi criado pela CCTA. No dia 1o de abril de 2001, o CCTA passou a fazer parte da OGC (Ofce of Government Commerce), o Departamento de Comrcio do Governo britnico. ITSMF - O ITSMF (Information Technology Service Management Forum) um grupo internacional de usurios independente, porm reconhecido mundialmente, que promove a troca de conhecimentos relacionados a TI. Esse grupo ministra palestras, seminrios e tambm publicam boletins informativos e operam um website para difuso de informaes. EXIN e ISEB - A EXIN (Exameninstituut voor Informatica) uma fundao Holandesa e o ISEB (Information Systems Examination Board), britnico. Ambas desenvolveram um sistema de certicao para o Gerenciamento de Servios em TI.

3.3
.

Objetivo

O principal objetivo do ITIL o de fornecer um modelo para o gerenciamento dos servios de TI promovendo o alinhamento estratgico entre as reas de negcio e as reas de TI da organizao, criando formas de comunicao e entendimento entre ambas. 26

3.4 Framework
. Como um framework (ou leque de diretrizes) de interligao de processos e tarefas, que podem ser compartilhadas, o ITIL pode determinar como a TI atenderia as necessidades do negcio, planejando, criando e entregando mudanas nos processos, tarefas e servios da TI, armazenando e gerenciando os recursos e a infra-estrutura e garantindo que os recursos de informao da organizao estejam acessveis e seguros. O ITIL organizado em torno de cinco domnios principais (ou disciplinas), conforme a Figura 3.1 que ilustra os componentes do ITIL bem como a sua relao com o negcio da empresa: Suporte a Servios, Entrega de Servios, Perspectiva do Negcio, Gerenciamento de Aplicaes e gerenciamento de Infra-estrutura. Alm disso, o ITIL disponibiliza um mdulo para gerenciamento de segurana, que no ser abordado nesse material mas que um estudo mais detalhado poder ser feito em trabalhos posteriores.

Figura 3.1: As disciplinas do ITIL (adaptado de [6]) A Figura 3.1 ainda mostra que o Suporte ao Servio e a Entrega de Servios esto no centro da estrutura do ITIL para o gerenciamento de 27

servios de TI, salientando quem o foco principal do modelo e por quem o modelo seria "orbitado" ou apoiado.

3.5
.

Processos

Na Figura 3.2 temos uma viso geral do que seria um processo para o ITIL e suas inter-relaes com todas as gerncias, partes, relaes e servios, ilustrando entradas e sadas, bem como a viso de possveis conseqncias para problemas ou interrupes em um determinado processo, seja ele para a TI ou para o negcio em si.

Figura 3.2: ITIL - viso geral dos processos (adaptado de [26]) Uma vez que o ITIL subdividido em livros divididos por foco ou assunto num total de sete, a diviso dos processos pode ser feita por livros tambm, conforme Figura 3.3.

28

Figura 3.3: Os livros e seus processos no ITIL (adaptado de [24])

3.5.1
.

Implementao

Tendo conhecimento e domnio total dos processos, o ITIL possui uma estrutura de execuo, com indicativos de avaliao de maturidade (atravs de um modelo Process Maturity Framework - PMF) que permite uma avaliao rpida e eciente sobre as demandas e os impactos das mesmas nos uxos de negcio. Assim, a implementao se resumiria a alinhar os processos com as perspectivas do negcio e atravs dos nveis de maturidade, avaliar possibilidades de melhora e evoluo identicando possveis causas e conseqncias do estado de maturidade atual, alm de propor possveis solues para que se atinja um nvel mais alto dentro da maturidade e do que poderia ser a automao do processo.

3.5.2
.

Maturidade

A maturidade indica o "quanto" do ITIL tem que ser implementado e, de certa forma, por onde comear. Portanto, a avaliao da maturidade organizacional um aspecto crtico para a implementao do ITIL ou seja, a maturidade, em todas as suas formas, tem a ver com o como se controla a implementao e as operaes correntes do ITIL, mesmo que no esteja planejada a execuo da sua prpria avaliao. 29

3.5.2.1 .

Avaliao da Maturidade

A avaliao da maturidade mede o grau em que a organizao utiliza as pessoas, os processos, as ferramentas e produtos, e a gesto, mostrando como a organizao se compara com outras organizaes. Utiliza-se a avaliao da maturidade para ajudar a evoluir e a gerir uma organizao, mostrando as oportunidades de melhoria, identicando os processos e procedimentos, e facilitando a melhoria contnua. Em resumo, a avaliao da maturidade torna-se uma etapa preliminar requerida antes de comear a implementao do ITIL. medida que a implementao for conseguindo progressos, se faz necessria uma avaliao contnua da maturidade para mostrar as melhorias da organizao, bem como o momento adequado para implementar novos processos ou atividades adicionais. 3.5.2.2 . Um modelo de maturidade um sistema de medidas que inclui indicadores que evidenciam as potencialidades dos processos e cuja utilizao permite documentar essas potencialidades numa escala objetiva, uma vez que todo modelo de maturidade possui uma estrutura ou framework que fornece o contexto para a medio dessa maturidade. Por ser bastante exvel e basicamente apoiado em servios, o ITIL pode ser independente quanto ao modelo a ser escolhido. Para cada um dos componentes do ITIL (ou gerncias, como veremos mais adiante), existe uma classicao dentro dos nveis de maturidade, o que poderia apontar direes para a evoluo de servios, tarefas, processos e/ou procedimentos. Na adoo do ITIL, pode-se escolher como modelo de maturidade entre o Process Maturity Framework - PMF (Modelo de Maturidade de Processos), que possui 5 nveis, parte integrante do prprio ITIL e foi concebido para trabalhar com o mesmo ou um dos modelos disponibilizados como o CMM, CobiT e ISO 15504. A Figura 3.4 ilustra o modelo CMM. Modelo de Maturidade

30

Figura 3.4: Modelo de maturidade CMM (adaptado de [12]) O PMF pode ser usado para medir um dado processo dentro de uma organizao, ou em terceiros que forneam servios a uma organizao, sendo til tambm para examinar o programa de melhoria contnua de servios e de todos os processos implementados, ou de um processo individual. O PMF pressupe que est sendo utilizado "in loco" um sistema de gesto de qualidade (QMS - Quality Management System), e que o objetivo melhorar um ou mais aspectos de ecincia, eccia, economia ou a equidade dos processos. O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros, enquanto o PMF do ITIL dene vrias dimenses que abarcam cada nvel. Um dado nvel de maturidade resultado dos seguintes fatores: Viso e estratgia - sentido total como se relaciona com o papel e a posio da TI dentro da organizao; Direcionamento (Steering) - objetivos e metas da TI em relao realizao de estratgias; Processos - procedimentos necessrios para alcanar as metas e os objetivos; Pessoas - competncias e potencialidades necessrias realizao de processos; Tecnologia - infra-estrutura de suporte para permitir que os processos sejam realizados e Cultura - comportamentos e atitudes requeridas em relao ao papel da TI dentro da organizao. 31

A Figura 3.5 apresenta alguns comentrios que detalham os 5 nveis bsicos de maturidade abordados pelo PMF, incluindo seus enfoques para uma melhor ilustrao.

Figura 3.5: Detalhamento dos nveis de maturidade (adaptado de [55]) Uma observao importante relacionada ao PMF a de que o ITIL faz meno que tentar melhorar mais do que um nvel por vez acarreta uma grande possibilidade de falha e nem todas as organizaes precisam da mesma maturidade ou de uma maturidade mais elevada para terem sucesso.

3.6
.

Governana

O ITIL possui sua governana toda baseada em duas camadas que compe a estrutura de suas gerncias: Uma ttica e a outra operacional. A Figura 3.6 ilustra como se relacionam essas estruturas de gerncia e controle mostrando, inclusive, o papel do GRC (gerncia de relacionamento com o cliente).

32

Figura 3.6: As gerncias do ITIL e seus relacionamentos (adaptado de [41]

3.6.1
. 3.6.1.1 .

Camada Ttica

Gerncia de Nvel de Servio

O planejamento, a coordenao, a elaborao, a monitorao e o feedback dos ANS (acordos de nvel de servio), somados as possveis revises dos parmetros rmados nesses mesmos ANS, formam a Gerncia de Nvel de Servio (GNS), que tambm pode ser entendida como sendo a garantia da qualidade e dos custos rmados num ANS no qual estariam baseadas as relaes entre servios e clientes. O Gerenciamento de Nvel de Servio inclui elaborar, acordar e manter acordos de nvel de servio, acordos de nvel operacional, contratos de apoio e planos de qualidade de servio. Um ANS um acordo rmado entre a empresa de TI e o cliente, detalhando os servios a serem prestados fazendo uma descrio dos mesmos e servindo de base para ajustes da qualidade do servio prestado. 33

Um Acordo de Nvel Operacional (ANO) um acordo entre um departamento interno da empresa prestadora de servios de TI e outra rea da empresa, tendo como objetivo o detalhamento e o fornecimento de alguns elementos de um servio. Os Contratos de Apoio (CAs) so contratos com algum provedor externo, tratando-se de um acordo entre a empresa prestadora dos servios de TI e uma empresa que de alguma forma, subsidia o servio prestado pela empresa de TI, onde esse subsdio pode ser de mquinas, terceirizao de um servio, dentre outros. Os Planos de Qualidade de Servio (PQS) contm as informaes necessrias ao gerenciamento da organizao de TI, uma vez que o mesmo dene parmetros dos processos do Gerenciamento de Servios e tambm do Gerenciamento Operacional, ou seja, no Plano de Qualidade denido como os servios devem ser prestados. 3.6.1.2 . A monitorao, anlise e planejamento do uso dos recursos da TI do forma ao conceito de gerenciamento de capacidades, uma vez que a mesma identica quais so os servios requeridos e como dar suporte a eles. A gerncia de capacidades baseada em gerenciamento de capacidade de recursos (RCM - Resource Capacity Management), Gerenciamento de capacidade de servios (SCM - Service Capacity Management) e no gerenciamento de capacidade de negcios (BCM - Business Capacity Management). Todos esses processos dividem uma srie de pontos em comum, onde a diferena est nas perspectivas de cada um ao abordarem a modelagem, o monitoramento de servios, o gerenciamento de performances, o gerenciamento de demandas, o gerenciamento de workload (ou carga de trabalho), as anlises, a inicializao de mudanas, a otimizao e a anlise de tendncias principalmente levando-se em conta entradas como o monitoramento de performances, o monitoramento de workload, o sizing (ou redimensionamento) da aplicao, o forecasting do recurso, o forecasting da demanda e a modelagem. Assim, a gerncia da capacidade, planejamento da capacidade em si e os forecasts (que so as previses ou panoramas futuros de como algo ir se desenvolver) obtm resultados que vo se ajustando as guias do gerenciamento de capacidade de servio, incluindo relaes com a Gerncia de Servios atravs da Entrega de Servios, do Suporte a Servios e do Gerenciamento da Infra-estrutura. 3.6.1.3 . Quando ordenados, o gerenciamento dos recursos, sejam eles organizacionais, tcnicos ou at mesmo humanos, garantem a manuteno dos servios, dentro de nveis rmados, incluindo-se tambm o suporte para 34 Gerncia de Continuidades Gerncia de Capacidades

a continuidade desses servios, mesmo em situaes adversas ou de problemas de interrupo, denindo o que seria a gerncia de continuidades, onde, dentro dessa gerncia, pode-se incluir tambm um ciclo contnuo de avaliao de risco e possveis contra-medidas, que podem estar descritas num Plano de Continuidade de Negcio. Como a gerncia de continuidade um processo no qual cada plano posto em seu devido lugar para garantir que os servios de TI possam se recuperar e continuar mesmo que um incidente srio ocorra, se baseando no s em medidas preventivas, mas tambm proativas, reduzindo o risco de desastre numa primeira instncia, e to importante que muitas organizaes no fazem negcios com provedores de servios em TI se no plano de contingncia no houver um planejamento para esses casos, sendo at considerada como a recuperao da infra-estrutura de TI usada para a entrega dos servios em TI, o que envolveria a priorizao dos negcios a serem recuperados conduzindo uma anlise de impacto nos negcios, a realizao de uma anlise de risco para cada servio da TI, a avaliao das opes para recuperao, a produo de um plano de contingncia e testes e revises no plano regular. 3.6.1.4 . Visando otimizar a capacidade da TI, dos servios e do suporte, o gerenciamento de disponibilidades estabelece nveis para que esse objetivos de otimizao possam ser atendidos atravs do levantamento de requisitos de disponibilidade e da anlise da capacidade da infra-estrutura da TI, onde, possveis lacunas seriam preenchidas por alternativas consideradas viveis dentro do planejamento, envolvendo os conceitos de disponibilidade, conabilidade e sustentabilidade. A disponibilidade implica que o servio deve estar continuamente disponvel para o cliente, havendo recuperao rpida do mesmo no caso de indisponibilidade. A disponibilidade alcanada pode ser indicada por mtricas. Conabilidade a disponibilidade de um servio sem interrupes durante um determinado perodo, sendo calculada com o uso de estatsticas e inclui-se a o conceito de resilincia (capacidade de um material sofrer tenso e recuperar seu estado normal). A sustentabilidade diz respeito as atividades necessrias para manter o servio em operao e a capacidade de restaurar o servio rapidamente no caso de falhas e para isso se faz necessria uma manuteno preventiva aliada a inspees programadas. Gerncia de Disponibilidade

3.6.2
.

Camada Operacional

35

3.6.2.1 .

Central de Servios

Atua como uma linha de frente para os outros departamentos de TI e capaz de lidar com muitas dvidas dos clientes sem precisar contatar pessoas especializadas. Para os usurios, pode ser considerada com um ponto nico de contato com a organizao de TI, direcionando o usurio para rea correta. Alm disso, pode ser atribudo a Central de Servios a funo de acompanhamento a chamadas originadas dentro da prpria organizao de TI. A Central de Servios lida com atividades relacionadas a diversos processos bsicos do ITIL como o gerenciamento de incidentes, o gerenciamento de liberaes e o gerenciamento de mudanas. No Gerenciamento de Incidentes tem-se o registro e monitoramento dos incidentes, alm do acionamento de terceiros, quando necessrio. O Gerenciamento de Liberao cuida de casos de instalao de hardware e software. No Gerenciamento de Mudanas a Central poder executar atividades como por exemplo a instalao de uma conexo de LAN e a realocao de estaes de trabalho, o que inui na Gerencia de Mudanas. 3.6.2.2 . Tendo um incidente como sendo um acontecimento imprevisvel que modica o desenrolar esperado e normal de uma ao e provoca uma interrupo, a denio das atividades e responsabilidades na disponibilidade de servios quando ocorre um acontecimento imprevisvel desses cabe ao gerenciamento de incidentes, que deve minimizar os impactos dessa reduo ou interrupo do servio, restaurando a normalidade do mesmo o mais rpido possvel. A maioria das entradas para o gerenciamento de incidentes vem dos prprios usurios, mas pode vir de outras fontes como a gerncia de informao ou sistemas de deteco. As sadas dos processos so as RFCs (Requests For Changes ou pedidos de mudana), onde se resolvem os incidentes e cujas entradas so alimentadas por atividades do processo de gerenciamento de incidentes como a deteco e a gravao de incidentes, a classicao e o suporte inicial, a investigao e o diagnstico, a resoluo e a recuperao, o encerramento do incidente e a comunicao, rastreamento e monitoramento do incidente. A restaurao rpida da qualidade de um servio pode ser feita atravs da implementao de polticas, processos e procedimentos da gerncia de incidentes, de padres de incidentes, do gerenciamento de incidentes dedicado aos processos, da classicao dos incidentes por categoria, dos relatrios de incidentes, da comunicao e instruo sobre os incidentes para a equipe de TI, principalmente porque os fatores crticos para o sucesso envolvem a manuteno da qualidade do servio, a manuteno da satisfao do cliente 36 Gerencia de Incidentes

e a resoluo dos incidentes, at porque, para o ITIL, um incidente desvia o padro estabelecido pelo ANS (Acordo de Nveis de Servios) e seu impacto deve ser minimizado dentro de critrios de prioridade e tempo contidos no prprio ANS. A Figura 3.7 representa um ciclo de vida de um incidente.

Figura 3.7: Ciclo de vida de um incidente (adaptado de [45]) Incidentes e pedidos de servio so formalmente gerenciados por processos a nvel de usurio que se referem ao ciclo de vida da gerncia de incidentes e que levam a concluses. 3.6.2.3 . Um problema pode ser entendido como algo controverso, ainda no satisfatoriamente respondido, o que o torna alm de um obstculo, de um contratempo, uma situao de conito que acarreta vrios transtornos. Da mesma forma o ITIL enxerga um problema e se utiliza de um gerenciamento de problemas para tentar solucionar esse tipo de situao na TI dentro do que foi estabelecido no ANS e tentando impedir novas ocorrncias do mesmo. 37 Gerncia de Problemas

Um problema, ento, a causa desconhecida de um ou mais incidentes identicados freqentemente em funo de similaridades. J um erro conhecido uma causa identicada na raiz de um problema. Para ambos os casos, tem-se como entrada os registros e detalhes dos incidentes, os erros conhecidos, as informaes de CIs (Itens de Congurao do CMDB ou Banco de Dados do Gerenciamento de Conguraes) e as informaes de outros processos e como sadas os RFCs (Pedidos de Mudana), o gerenciamento de informao, os Workarounds 7 , os erros conhecidos e a atualizao dos registros de problemas (registro de problemas conhecidos se o erro conhecido foi resolvido). Com isso, temos que o processo de gerenciamento de problemas estabelece sete atividades que tem como objetivo a resoluo de problemas antes da ocorrncia de incidentes. As atividades estabelecidas pelo ITIL vo desde a identicao e registro de problemas, a classicao dos problemas, a investigao e diagnstico de problemas, a preveno pr-ativa de problemas usando tcnicas como anlise de tendncias, a reviso de problemas at o gerenciamento de relatrios de causas de problemas, ou seja, a gerncia de problemas trata de resolver a causa subjacente de um ou mais incidentes. Em resumo, o foco da gerncia de problemas deve ser o de resolver a causa da raiz dos erros e encontrar solues permanentes. Embora todos os esforos sejam para resolver o problema o mais rpido possvel, a gerncia de problemas se concentra mais na resoluo do problema do que na velocidade da resoluo. 3.6.2.4 . H um conito freqente entre gerncia de incidentes e gerncia de problemas. O objetivo principal do gerenciamento de problemas identicar e resolver a causa raiz de problemas e a preveno de incidentes, sendo esse um processo a nvel de empresa. A preocupao de gerncia de incidentes se concentra em restabelecer, na medida do possvel, o servio ao nvel estabelecido no ANS, sendo esse um processo a nvel de usurio. 3.6.2.5 . O gerenciamento de conguraes o controle efetivo do processo de administrar as informaes (verso e status) relativas a todos os itens de congurao, ou CIs. Para o ITIL, um item de congurao composto por todos os recursos de software, hardware e suas documentaes, bem como os relacionamentos entre os CIs numa infra-estrutura de TI, sendo parte
Workarounds: Formas indiretas de contornar um problema que no possui uma soluo direta.
7

Diferenciando Gerncia de incidentes e Gerncia de Problemas

Gerncia de Congurao

38

integral e primordial de todos os outros processos que envolvem gerenciamentos de servios da TI, cujas atividades principais so o planejamento, a identicao, o controle, a contagem de status e a vericao e exames. Essa mesma gerncia de congurao ainda agrega alguns benefcios como o fornecimento de informaes precisas dos CIs e suas documentaes, o controle dos CIs, a facilitao da aderncia a obrigaes legais, ajuda com o planejamento nanceiro e despesas, a visibilidade das mudanas do software, contribuies com o plano de contingncia, suporte e melhoramento do gerenciamento de releases, a permisso para que a organizao execute anlises de impacto e mudanas programadas de modo seguro e eciente e o fornecimento de dados e tendncias para a gerncia de problemas. 3.6.2.6 . Se pensarmos em mudana como sendo transformao decorrente de certos fenmenos, ou modicao do estado normal de algo, ou ainda alterao de processo ou expectativa, ento, o gerenciamento de mudanas seria o planejamento, controle e suporte a todas as mudanas que ocorrem na TI, identicando e eliminando riscos e impactos na qualidade de um servio. Podendo ser um processo de vericao e aprovao de pedidos de mudanas, bem como a coordenao de mudanas aprovadas, o gerenciamento de mudanas, de acordo com o ITIL, encara uma mudana como sendo uma adio, modicao ou remoo de qualquer item de congurao em uma infra-estrutura de TI tanto que, de acordo com Tonelli [54], o itSMF (Information Technology Service Management Forum) mostra que incidentes na infra-estrutura de TI so freqentemente causados por mudanas mal implantadas. Para a implantao de mudanas de maneira efetiva, o ITIL estabelece requisitos como o monitoramento de pedidos de mudanas e anlise de impactos, alm de recomendar a implantao conjunta de um gerenciamento de mudanas com um gerenciamento de conguraes cuja integrao avaliar os impactos das mudanas. As principais atribuies ou responsabilidades da gerncia de mudanas so caracterizadas como sendo o recebimento e registro de requisies de mudanas, a avaliao das implicaes, o custo/benefcio e riscos das mudanas propostas, o planejamento das mudanas, a coordenao e o controle da implementao, a monitorao e os relatrios, as revises psimplementao, a instaurao do conselho controlador de mudanas e um comit de emergncias, onde, para cada uma dessas atribuies, tem-se como entradas os RFCs, CMDB e as programaes diante de mudanas (FSCs - Foward Schedule of Changes). Uma vez estabelecidas as atribuies, passa-se a ter como atividades a ltragem das mudanas, o gerenciamento das mudanas e o processo Gerncia de Mudanas

39

das mudanas, o compartilhamento do CAB 8 e do CAB/EC 9 , a reviso e o fechamento dos RFCs e os relatrios de gerencia, cujos benefcios vo desde um melhor alinhamento do servio de TI s exigncias do negocio, um aumento da visibilidade e da comunicao de mudanas tanto para o negocio quanto para a equipe de suporte servios, uma melhor avaliao dos riscos, um impacto adverso reduzido nas mudanas na qualidade dos servios e no ANS at uma melhoria na gerncia de disponibilidade e problemas em funo do uso de informaes gerenciais importantes relacionadas a mudanas. A Figura 3.8 mostra que o caminho para o melhoramento de um servio passa por mudanas, no caso, solicitadas por um cliente com demandas e necessidades, na qual pode-se observar o envolvimento de toda uma estrutura organizacional.

Figura 3.8: Caminhos do melhoramento de servios (adaptado de [39]) A necessidade de mudanas no servio pode vir de clientes (como foi
Change Advisory Board: Grupo formado para fazer recomendaes, anlise adicional, adiamento ou cancelamento de uma mudana baseada em critrios como prioridades, riscos, impactos e custo/benefcio. 9 CAB Emergency Committee: Subgrupo do CAB formado para autorizar ou rejeitar mudanas urgentes.
8

40

ilustrado na Figura 3.8), de mudanas nas necessidades do negcio, do ambiente estratgico, da direo de negcios ou de mudanas legislativas. Quando um novo servio necessrio, ou uma mudana signicativa precisa ser feita em um servio existente, um Projeto de Melhoramento de Servios (Service Improvement Project - SIP) aplicado na produo. A Figura 3.9 ilustra como ocorrem as mudanas e onde se aplica um SIP.

41

Figura 3.9: Mapa do Processo de mudanas no servio (adaptado de [30]) Antes de embarcar num CSIP (Continuous Service Improvement Program), ou programa de melhoria contnua de servios conveniente perceber algumas questes importantes, tais como: 42

 Quem so as partes interessadas, quais so as suas necessidades, e se essas necessidades esto a ser satisfeitas? Quais so os motivadores (negcio, tecnologia)? Qual ser o impacto se no se zer nenhuma mudana, quer na organizao de TI, quer no negcio? Que processos esto presentemente a ser utilizados? Que competncias existem? Quais as tecnologias disponveis? 3.6.2.7 . O gerenciamento de liberaes ou verses (ou release) responsvel pelo controle de licenas referentes a recursos de software e hardware pertencentes TI e cujo processo assegura que somente verses autorizadas e corretas estejam disponveis para utilizao, sendo ainda responsvel pela gerncia de desenvolvimento, de instalao e de sustentao do software e dos produtos de software atravs de atividades estabelecidas para este processo como o plano de liberaes, implementao e distribuio de recursos de software e hardware, gerenciamento de bibliotecas denitivas de hardware (DHS - Denitive Hardware Store) e de software (DSL - Denitive Software Library). Uma vez que o software considerado freqentemente como sendo um recurso cujos resultados no so controlveis simplesmente, o ITIL recomenda a criao de uma Biblioteca Denitiva de Software (DSL), que pode ser tanto fsica quanto lgica, e que tem a funo de armazenar, controlar e liberar as cpias de todos os softwares da TI atravs da prtica do controle e da distribuio do software (SCD - Stock Control and Distribution). O armazenamento fsico seria aonde se guardariam todas as mdias de copias do software, servindo tambm para o armazenamento de copias de software de terceiros, enquanto que o armazenamento lgico consistiria num ndex onde as verses e liberaes do software, incluindo as mdias fsicas, poderiam ser encontradas. O meio lgico tambm serviria para o armazenamento de todo o software desenvolvido dentro da prpria TI. Um inadequado controle na distribuio do software afeta diretamente a disponibilidade, a conabilidade e a condenciabilidade da segurana dos recursos da TI, uma vez que, falhas na comunicao, na troca de dados ou na monitorao por um uso indevido do software, ou por problemas de verso, podem causar impactos, incidentes ou problemas, inclusive, segundo o ITIL, o gerenciamento de verses tambm deve levar em conta leis e regulamentos no que se refere a legalidade dos softwares armazenados, uma vez que problemas com licenas podem afetar o que fora acordado no ANS. Gerncia de Liberaes

43

3.7
.

Consideraes Finais

O ITIL possui um perl extremamente ajustvel aos mais diversos portes de organizaes e suas reas de TI, principalmente por no ser uma metodologia e sim uma mistura de modelo e tecnologia (considerando-se os signicados de cada uma dessas palavras), o que o torna, atravs de tarefas, procedimentos e responsabilidades, uma fonte para todas as atividades operacionais da TI. Talvez um ponto negativo do ITIL seja o fato de seu foco principal estar voltado para Servios, atravs de uma otimizao de recursos nos processos de entrega de servios e suporte de servios, servindo mais como uma "tecnologia pilar" para outras (como veremos mais adiante no captulo 5 que trata da comparao entre ITIL e CobiT) do que sendo uma tecnologia "stand-alone"de gerenciamento de TI.

44

Captulo 4 Objetivos de Controle para Informao e Tecnologias Relacionadas

. "... Com a valorizao da governana e da gesto de servios em TI, ca evidenciada a relao entre a utilidade da TI com o fornecimento de servios para o usurio, algo que represente uma agregao de valor... A governana de TI facilitada e fortalecida com a gesto adequada da infra-estrutura que permite a racionalizao de custos e maximiza e torna palpveis os benefcios..." 10

4.1
.

Introduo

Nesse captulo, abordaremos o CobiT, destacando alguns pontos como a maturidade e sua estrutura bsica, procurando, ao longo do texto, mostrar que o CobiT pode ser uma estrutura para suporte das metas corporativas e instrumento para o alinhamento da TI, melhorando a produtividade. E como se faz isso? Mostrando que o CobiT um modelo de governana de TI que agrega valor a TI e gerencia como os riscos vo ser associados a TI atravs de controles e da integrao da informao com os sistemas de informao.

4.2
.

Histrico e Apresentao

Tendo sido criado em 1996 pela ISACA (Information Systems Audit and Control Association) como um conjunto de objetivos de controle para as aplicaes de negcio, incluindo at um modelo prprio de maturidade, o CobiT (Control Objectives for Information and Related Technology) nada mais do
10

adaptado de [13]

45

que um framework de controle de TI, ou seja, uma estrutura de suporte de tal forma denida que outros projetos podem ser organizados e desenvolvidos com seu uso, sendo ainda apoio para gestores num gerenciamento de processos de maneira lgica e estruturada e servindo de instrumento para auditorias, monitoramento e processos de TI, alinhando os objetivos do negcio com os objetivos da TI. A verso atual do CobiT a 4.1 lanada em 2007, mas, devido a quantidade de material e informaes disponveis iremos nos basear na verso 4.0 que foi lanada em 2005. Incluindo recursos como um sumrio executivo (onde se tem a descrio da empresa, do negcio, produtos, servios e das oportunidades oferecidas), objetivos de controle, ferramentas de implementao, mapas de auditoria e guias de gerenciamento, o CobiT compatvel com outros padres de gerenciamento de TI por ser um leque de diretrizes baseados na metodologia COSO (Committee of Sponsoring Organizations) e cuja composio de 34 processos signicativos denidos, reunindo 318 tarefas e atividades relacionadas, implementando uma estrutura interna de controle. Na Figura 4.1 segue uma viso estruturada do CobiT e de seus recursos:

Figura 4.1: Viso estruturada do CobiT (adaptado de [42]) Explicando um pouco a Figura 4.1, temos os seguintes itens: Sumrio executivo - Consiste em uma viso executiva que detalha os 46

conceitos e princpios chaves do CobiT. Framework - Identica como os critrios da informao e os recursos de TI so importantes para suportar os objetivos de negcios. Objetivos de controle - Livro de referncia dos 34 objetivos de controle de alto nvel e dos 318 controles detalhados. Guias de auditoria - Contm sugestes de procedimentos de auditoria relacionados aos 34 objetivos de controle. Guias de gerenciamento - Desenvolvido para auxiliar na implantao de mtricas para a rea de TI, composto por um modelo de governana (descrito anteriormente) e apresenta os componentes citados para cada Processo de TI. Pacote de implementao - Auxiliam na auto-avaliao da TI e na implementao, alm das questes mais freqentes e estudos de casos. Soma-se a esse quadro e a essas caractersticas o fato do CobiT ser apoiado em modelos de processos de TI, modelos de maturidade e modelos de Governana, auxiliando trs segmentos distintos de uma empresa, segmentos esses formados por gerentes, usurios ou auditores, nas avaliaes de risco, servios ou nveis de gesto (funo precpua do CobiT).

4.2.1
.

COSO (Committee of Sponsoring Organizations)

Criada nos Estados Unidos em 1992, por uma iniciativa independente formada em 1985 denominada "The Comitee of Sponsoring Organizations of the Treadway Comission", cujo objetivo era o de estudar os motivos sobre as fraudes em relatrios nanceiros e contbeis, o COSO dene o controle interno como um processo constitudo por 5 elementos relacionados: Ambiente de Controle, Atividades de Controle, Avaliao e Gerenciamento de Riscos, Informao e Comunicao e monitoramento. A Figura 4.2 ilustra os 5 elementos relacionados.

47

Figura 4.2: Os elementos do COSO (adaptado de [4]) Com as devidas adaptaes, o CobiT utilizou alguns princpios da metodologia COSO para criar um mecanismo com os mesmos objetivos, porm, para processos de TI, ou seja, enquanto a COSO pode ser empregada para qualquer setor de uma empresa, o CobiT especco da TI.

4.3
.

Objetivos

Visando a criao de mecanismos para balanceamento de riscos (inclundo retornos ou respostas dos mesmos), o CobiT tem por objetivo servir como auxlio para auditorias e monitoramentos centrados em TI e cujo foco principal est nos processos da TI, uma vez que o CobiT procura ocupar o espao entre a Gesto de Riscos voltada para o Negcio (atendida, por exemplo, pelo COSO), a Gesto de Servios em TI (por exemplo, por meio do ITIL) e a Gesto da Segurana da Informao (por exemplo, tratada pela BS7799). Esses modelos de gesto consistem de boas prticas especcas segundo sua rea foco, e possuem funes complementares, como pode ser visto na Figura 4.3.

48

Figura 4.3: Relacionamentos e complementao entre modelos de gesto (adaptado de [23]) Dessa forma, o COBIT permite alinhar os objetivos dessas reas de conhecimento s estratgias e princpios de governana corporativa, garantindo, assim, que os processos e atividades desempenhadas pelas respectivas reas e funes corporativas concorram de forma sistemtica para o alcance os objetivos do negcio e para a reduo dos riscos operacionais, permitindo ainda o acompanhamento e o benchmarking (processo sistemtico estruturado etapa a etapa, com o objetivo de avaliar mtodos) das prticas de controle e segurana nos ambientes de TI. Alm disso, assegura aos usurios desses ambientes a existncia de controles, inclusive tornando-os responsveis por parte desses controles, e auxilia o trabalho dos auditores de sistemas e de segurana da informao.

4.4
.

Processos

Composto por quatro sees, classicadas como sumrio executivo, framework, contedo principal (objetivos de controle, modelos de maturidade e diretrizes de gerenciamento) e apndices, o CobiT possui recomendaes organizadas na forma de processos onde, cada processo tem o seu objetivo de controle e como na maioria dos modelos ou metodologias de gesto de TI, o CobiT engloba 34 processos divididos em 4 domnios, conforme a Figura 4.4.

49

Figura 4.4: Os processos de TI na viso do CobiT (adaptado de [21]) Os processos do CobiT so constitudos por alguns princpios (Qualidade, Conana e Segurana) que correspondem critrios de informao baseados em eccia, ecincia, condenciabilidade, integridade, disponibilidade, conformidade e conabilidade. O grau de importncia de cada um desses critrios uma funo do negcio e do ambiente em que a organizao opera. Numa avaliao de riscos, esses critrios atribuem pesos diferentes aos Processos do CobiT, em funo da importncia no alcance dos respectivos objetivos de controle. Por exemplo, no Processo AI5 - Instalar e Validar Sistemas, que faz parte do Domnio Aquisio Implementao, os critrios de informao considerados so Eccia, Integridade e Disponibilidade.

4.4.1
.

Modelo de Processos

Formado por 318 controles, distribudos em 34 processos, visando um objetivo de controle, o modelo de processos do CobiT um dos preferidos na TI por diversas razes, das quais podemos destacar principalmente o fato de um processo no CobiT ter por objetivo a centralizao do resultado nal no aperfeioamento do uso dos recursos e serem os objetivos do processo mais permanentes e importantes do que possveis mudanas numa determinada 50

entidade da organizao, fazendo com que esse processo no seja restrito e afete somente a TI.

4.4.2
.

Mtricas

Os processos, dentro do CobiT, cam sujeitos as mtricas de performance de processo (que indicam se as metas iro ser atingidas) e as mtricas de processo (que denem quais devem ser os procedimentos do processo para o suporte aos objetivos da TI). Existe ainda uma terceira mtrica, que a mtrica de TI, sendo essa mais geral e cujo objetivo o de denir o que o negcio espera da TI.

4.4.3
.

Maturidade

O framework do CobiT detalha trs dimenses do modelo de maturidade que podem ser utilizadas para situaes especcas, mas, a aplicao do quanto de cada uma dessas dimenses se faz necessria ca a critrio do usurio, que tem o poder de decidir o quo detalhado e preciso deve ser cada aplicao em cada rea. A primeira dimenso a Capacidade, ou seja, o nvel de maturidade necessrio para se atingir os requisitos do negcio. A segunda a Cobertura, que nada mais do que a medida da performance que mostra aonde a Capacidade se faz mais necessria, seja atravs de investimentos ou decises de custo/benefcio. J a terceira o Controle, que averiguaria no controle atual a execuo de um processo, gerenciando os riscos e os requisitos do negcio. O modelo de maturidade do CobiT, de um modo geral, tem seu foco principal na Capacidade, uma vez que essa dimenso se torna til no reconhecimento de pontos especcos nos requisitos de um processo, mas, ainda sim, esse mesmo processo poderia estar necessitando de um Controle adequado, uma vez que pode possuir falhas na execuo de um processo, o que ainda poderia tambm necessitar de uma Capacidade sobre uma deciso relativa ao processo em questo. Assim, o modelo de maturidade do CobiT pode ser imaginado como um cubide de 3 eixos (ou dimenses) compostos por Negcios, Recursos e Processos de TI, conforme a Figura 4.5, onde cada uma das dimenses se faz importante e, dependendo do processo, com maior ou menor importncia.

51

Figura 4.5: O Cubo do CobiT (adaptado de [28]) Independente disso, a maturidade ainda pode ser avaliada em cada um dos processos e no CobiT, existem 6 nveis de Maturidade de complexidade crescente: 0 - Inexistente: falta absoluta de elementos reconhecveis do processo. 1 - Inicial ("ad hoc"): reconhece-se, de forma despadronizada, o interesse em tratar da necessidade, ainda que caso a caso. 2 - Repetvel: Os processos j seguem procedimentos similares e so seguidos por diferentes pessoas que executam a mesma tarefa. No existe treinamento formal ou comunicao dos procedimentos padres e a responsabilidade individual. Existe um alto grau de conana no conhecimento dos indivduos, desta forma os erros so provveis. 3 - Denido: Os procedimentos foram padronizados e documentados, e comunicados atravs de treinamento. Ainda possvel acontecer desvios, mas no mais com freqncia. Os procedimentos no so sosticados, mas existe formalizao das prticas existentes. 4 - Gerenciado: possvel monitorar e medir a conformidade com os procedimentos e tomar ao onde os processos aparentam no estar funcionando corretamente. Os processos esto sob aperfeioamento constante e fornecem boas prticas. Ferramentas de automao so utilizadas de forma limitada e fragmentada. 5 - Otimizado: Os processos foram renados a nvel das melhores prticas, baseados em resultados de aperfeioamento contnuo e modelagem de maturidade com outras empresas. A TI usada de forma 52

integrada para automatizar uxos de trabalho, fornecendo ferramentas para aperfeioar a qualidade e ecincia, e fazendo com que a empresa se adapte rapidamente A Figura 4.6 ilustra esses nveis.

Figura 4.6: Nveis de maturidade do CobiT (adaptado de[17]) O CobiT, assim, fornece orientaes especcas sobre os nveis de maturidade de cada processo de tal maneira que a avaliao dessa maturidade varia de acordo com o tipo de instituio e de quais situaes so viabilizadas ou no pela TI.

4.5
.

Governana

O modelo de governana do CobiT constitudo por componentes associados que tornam a TI um habilitador do negcio e cujos componentes podem ser classicados como fatores crticos de sucesso (CSFs), indicadores de meta (KGIs) e indicadores de desempenho e performance (KPIs), sendo que so subdivididos em dois nveis, um para o departamento de TI e outro para os processos de TI. A Figura 4.7 mostra a TI como habilitador do negcio.

53

Figura 4.7: TI como habilitador do negcio (adaptado de[23]) Segundo Balbo [16]: Um Processo deve alcanar os objetivos de negcio denidos nos Indicadores de Metas (KGIs), que permitem medir a consecuo do objetivo. Um habilitador, resultante da combinao dos recursos de TI necessrios e dos Fatores Crticos de Sucesso (CSFs) denidos para alcanar os referidos objetivos, fornece a informao segundo os Critrios de Informao necessrios e monitorado por Indicadores de Desempenho (KPIs). Assim, de acordo com Gherman [23], uma possvel complementao para o pargrafo anterior seria: para alcanar esse objetivo, os Fatores Crticos de Sucesso seriam os dados de teste estando disponveis e representando dados de produo em tipo e quantidade, e o ambiente de teste representaria ao mximo o ambiente de produo.

4.5.1
.

Domnios

Dentro da TI, o CobiT pode ser dividido em 4 domnios, onde cada domnio composto por seu prprio conjunto de processos, num total de 34, cobrindo a TI como um todo. 4.5.1.1 . 54 Organizao e Planejamento

Compreendendo nveis tticos e estratgicos, o planejamento relativo ao desenvolvimento de estratgias de TI que apiem o desenvolvimento da empresa ou do negcio como um todo. Esses planos devem ser alinhados com os objetivos da empresa e coerentes com o ciclo de planejamento empresarial. Fazem parte desse domnio, aes como: Denir o plano estratgico de TI, denir a arquitetura da informao, determinar a direo tecnolgica, ou seja, as aes relacionadas s partes estratgicas do planejamento, tambm conhecidas como "decises gerenciais", que norteiam o alinhamento estratgico da empresa. So objetivos desse domnio: Formular estratgias e tticas; Identicar como a TI pode contribuir para atingir os objetivos do Negcio; Planejar e gerenciar a realizao da viso estratgica; Implementar a infra-estrutura organizacional e tecnologicamente. Compe o escopo desse domnio: Alinhamento estratgico entre TI e Negcio; Tentativa de otimizao de utilizao de recursos; Entendimento de todos os colaboradores da empresa sobre os objetivos e tambm os riscos de TI; De acordo com Caciato [5], poderamos relacionar os seguintes processos com esse domnio: denir o plano estratgico de TI e a arquitetura da informao; estabelecer o direcionamento tecnolgico; determinar a organizao de TI e seus relacionamentos; administrar os investimentos de TI; comunicar as metas e as indicaes; gerenciar os recursos humanos; garantir a conformidade de TI com as necessidades dos rgos externos; calcular e prevenir os riscos; gerenciar os projetos e a qualidade;

55

4.5.1.2 .

Aquisio e Implantao

Com o objetivo de desenvolver as necessidades tecnolgicas relacionadas com os negcios e em acordo com as estratgias da TI, esse domnio identica solues de automao, manuteno e aquisio de software, possveis mudanas e aes operacionais. So objetivos desse domnio: Identicao, desenvolvimento ou aquisio, implementao e integrao de solues de TI; Atualizao e manuteno dos sistemas de TI existentes. Compe o escopo desse domnio: Vericao do alinhamento de TI entre os novos projetos e as necessidades do negcio; Vericao do cumprimento de custos e prazos estabelecidos na criao de novos projetos; Adequao dos novos sistemas implementados; Novamente, de acordo com Caciato [5], poderamos relacionar os seguintes processos com esse domnio: vericar e analisar as melhores solues; adquirir e manter sistemas aplicativos; obter e sustentar a infra-estrutura tecnolgica; desenvolver e conservar os procedimentos de TI; implementar e homologar sistemas; gerenciar mudanas; 4.5.1.3 . Objetivando resultados da interao com usurios sobre os servios prestados pela TI, esse domnio prev que a execuo de testes para vericar se os sistemas e solues implantadas so compatveis com o plano inicial e se no criaro incompatibilidades com os sistemas anteriormente em funcionamento, continuando com o mesmo desempenho ao logo do tempo, normalmente com o uso de contratos de nveis de servio ou desempenho, conhecidos tambm como Acordos de Nvel de Servio - ANS. Fazem parte desse domnio aes como: Denir e manter os ANS, gerenciar performance 56 Entrega e Suporte

e capacidade dos ambientes produtivos, assegurar a continuidade dos servios prestados, gerenciamento da congurao, ou seja, todas as aes relacionadas ao correto provimento de servio da empresa, de forma a maximizar a qualidade dos servios disponibilizados. So objetivos desse domnio: Entrega dos servios requeridos Gerenciamento de segurana, continuidade dos servios e facilidades operacionais; Fornecimento de servio de suporte estruturado aos usurios; Compe o escopo desse domnio: Alinhamento entre TI e as prioridades do negcio; Otimizao de custos; Vericao da condencialidade, integridade e disponibilidade de informaes; De acordo com Gama [14], poderamos relacionar os seguintes processos com esse domnio: estabelecer e manter os nveis de servios acordados (SLA); administrar e controlar a prestao de servios dos terceiros; gerenciar performance e capacidade do ambiente; garantir e manter a continuidade dos servios; assegurar a segurana dos sistemas e dos servios; identicar e conferir os custos; desenvolver o aprendizado dos usurios; assessorar e suportar os usurios de TI; administrar e controlar as conguraes e parametrizaes; gerenciar e analisar problemas e incidentes; administrar dados; gerenciar a infra-estrutura fsica e as operaes;

57

4.5.1.4 .

Monitoramento

Avalia a TI do ponto de vista de sua ecincia qualitativa e visa subsidiar melhorias nos processos, a partir de dados reais do monitoramento e das referncias obtidas dos contratos de ANS ou dos contratos de desempenho, para comparar o desempenho ao longo do tempo com o desempenho previsto no momento da entrega do sistema, servio ou produto. O objetivo aqui permitir que o departamento de TI possa ser ativo no processo de manuteno. Trata-se de um processo estratgico que tem por objetivo auditar os processos implantados na empresa, vistoriando a aplicao dos resultados dos itens constantes nos ANS gerenciados na empresa. So objetivos desse domnio: Gerenciamento de performance; Monitorao de controles internos; Conformidade com agncias reguladoras; Governana de TI; Compe o escopo desse domnio: Vericao da proatividade na deteco de falhas e problemas; Estudo da eccia e ecincia dos controles internos; Combinao da disponibilidade de TI com os objetivos do negcio; Medio e reporte de riscos, controles, conformidades e performances; Mais uma vez, de acordo com Caciato [5], poderamos relacionar os seguintes processos com esse domnio: supervisionar os processos; vericar e adaptar os controles internos; obter avaliao de auditoria independente; disponibilizar para auditoria independente; Na Figura 4.8, podem ser identicados esses 04 domnios do CobiT, que integram um ciclo de vida repetvel no sistema de gesto de TI. Para cada domnio, os processos podem ser identicados nos quadros respectivos.

58

Figura 4.8: Os 4 domnios do CobiT e seus processos (adaptado de [40])

4.5.2
.

Objetivos de Controle

Denindo controles, como polticas, procedimentos, prticas e estruturas projetadas para garantir que objetivos sejam alcanados e que eventos indesejveis sero prevenidos e corrigidos, podemos denir um objetivo de controle como sendo um resultado a ser alcanada por meio da implementao de controles em uma certa rea ou atividade da TI. Quando atingido, por meio de uma implantao ecaz, esse objetivo de controle atesta o alinhamento da TI com os objetivos de negocio.

4.5.3
.

Medidas de Controle

Existem 03 tipos de classicao possveis para as medidas de controle de cada procedimento do CobiT: Primrio: Impacta diretamente o critrio de informao a que se refere; 59

 Secundrio: Satisfaz parcialmente ou indiretamente o critrio de informao a que se refere; Em branco: Dependendo do contexto, pode ser aplicvel, ressaltandose o fato que os requisitos podem ser satisfeitos de forma mais apropriada por um critrio nesse processo ou ainda por outro processo. As Figuras 4.9 e 4.10 ilustram as medidas de acordo com os processos, sendo que "P"representam Primrio e "S"secundrio.

Figura 4.9: Medidas de controle do CobiT (1) (adaptado de [20])

60

Figura 4.10: Medidas de controle do CobiT (2) (adaptado de [20])

4.6
.

Consideraes Finais

O CobiT, por seu perl vasto e abrangente, possui competncias cujo principal objetivo seria o de ajudar os gestores de TI a alinharem suas metas com as metas da organizao atravs de um controle dos processos. Esse controle de processos funciona mais como elo de ligao entre diversas tecnologias e metodologias do universo da TI, servindo como um preenchedor de lacunas, do que como algo que se possa utilizar sozinho na busca por resultados diretos. Portanto, podemos dizer que o CobiT, apesar de ser aplicvel a todos os setores da empresa (mesmo com foco na TI), apresenta falhas quando se passa a enxergar alm de processos.

61

Captulo 5 ITIL X COBIT

. Executivos de TI se deparam com o aumento de demandas e a diminuio dos recursos. Reforma de processos, mtodos e mtricas so solues. 11

5.1
.

Introduo

Depois de apresentados o ITIL e CobiT nos captulos anteriores, nesse captulo iremos comparar um com o outro, mostrar possveis semelhanas e diferenas. De incio, podemos dizer que o CobiT representa um consenso de mercado a respeito das melhores prticas de Governana de TI, focado em processos, controles e compliance (que vem do verbo em ingls "to comply", que signica "cumprir, executar") e o ITIL um framework de melhores prticas para a Gesto de Servios de TI.

5.2
.

Foco

O CobiT, conforme visto na Seo 4.3 , onde foi dito no texto que o modelo tem seu foco principal nos processos da TI, tem tambm seu foco alinhando com o negcio e consistente em controles e mtricas de TI, uma vez que fruto da necessidade de auditar os processos da TI numa viso gerencial, tendo como ponto forte os controles e sua viso de macro para micro. J o ITIL, conforme visto na Seo 3.4, onde foi dito no texto e mostrado atravs da Figura 3.1 que o modelo tem seu foco principal nos servios, tem tambm seu foco voltado para a qualidade dos servios e estratgias de processos de TI, mas est mais limitado em segurana e desenvolvimento de sistemas, sendo fruto de necessidades de consolidao nas reas de TI numa viso operacional, tendo como ponto forte seus processos e sua viso de micro para macro.
11

adaptado de [57]

62

5.2.1
.

Pblico-Alvo

Estando ciente de qual o foco de cada um dos modelos, torna-se fcil identicar o publico-alvo, ou seja, a quem se destinaria, num primeiro nvel, cada uma das tecnologias. Enquanto o CobiT voltado para gerentes, usurios e auditores, conforme a Seo 4.2, onde o texto mostra que o mesmo auxilia os 3 segmentos de uma empresa, o ITIL voltado para a central de atendimento e equipe do help desk, uma vez que a Seo 3.6 mostra isso explicando as gerncias do modelo ITIL.

5.3
.

Governana

Conforme visto na Seo 3.6, o ITIL possui sua estrutura de governana baseada em duas camadas: uma ttica e a outra operacional. Ainda nessa mesma Seo 3.6, so apresentadas as gerncias que compe essas camadas e onde os 34 processos da TI, vistos na Figura 2.6, esto alocados conforme cada um dos livros da biblioteca do ITIL, vistos na Figura 3.3. Pela descrio das gerncias, ao longo da Seo 3.6, ca claro que o ITIL tem toda sua estrutura voltada para os servios da TI, uma vez que as gerncias so baseadas nos livros e cujos processos de TI analisados em cada livro podem pertencer a domnios diferentes.. J o CobiT, na Seo 4.5, mostra que sua estrutura de governana est baseada em 4 domnios que englobam os 34 processos da Figura 2.6. Na descrio dos domnios, na Seo 4.5, ca clara a viso do trabalho com processos, principalmente analizando as Figuras 4.4 e 4.8 onde os domnios e os processos esto diretamente relacionados e organizados por reas ans. Essa comparao entre a viso de governana do ITIL e do CobiT, na qual o ITIL seria o provedor e executor de servios, enquanto o CobiT caria na gerncia e no controle dos processos referendada, por exemplo, por Zorello [59], Balbo [16] e tema constante de discusses do ITSM (Information Technology Service Management), onde todos tem em comum o fato do ITIL ser o "como fazer" enquanto o CobiT "o que fazer". Assim, uma vez que o CobiT voltado para governana como um todo, mas focado em processos e o ITIL, basicamente, para servios, a Figura 5.1 mostra como seria uma TI completa e abrangente, com diversas tecnologias e metodologias (e seus respectivos focos principais).

63

Figura 5.1: A TI completa (adaptado de [32]) Na Figura 5.1 se nota que, enquanto o ITIL (e outros) tem focos mais especcos, e no caso do ITIL, servios, o CobiT trabalha com a Governana de TI como um todo, focado em processos, onde o ITIL e os servios por ele gerenciados serviriam como pilar de sustentao uma vez que, comparado ao modelo CobiT, o modelo ITIL descreve de forma detalhada os processos relativos ao suporte e entrega de servios (como abordado na Seo 3.6 que trata da disciplina da oferta e do controle dos servios) mas no cobre todos os requisitos de controle relacionados ao gerenciamento de TIC (tecnologias de informao e comunicao) descritos pelo CobiT para este domnio (conforme o que foi abordado na Seo 4.5 no que se refere aos objetivos da gerncia de controle), ou seja, alguns objetivos de controle do modelo CobiT no domnio planejamento e organizao so tratados supercialmente atravs dos processos do modelo ITIL enquanto que o modelo ITIL no aborda o domnio de Monitoramento do modelo CobiT. Em 2005, o ITGI (IT Governance Institute), responsvel pelo CobiT, juntamente com o OGC (Ofce of Goverment Commerce) e o itSMF (IT Service Management Forum), responsveis pelo ITIL, publicaram um documento chamado Align CobiT, ITIL and ISO17799 for Business Benet: Management Summary, onde foi defendida a idia do complemento entre os modelos, servindo de base para a publicao de Balbo [16], de onde podemos refazer a Figura 5.1 atravs da viso dos autores e considerando quais tecnologias e metodologias seriam englobadas, tendo o CobiT como principal na estrutura da TI, o que gera a Figura 5.2. 64

Figura 5.2: A TI completa na viso dos domnios do CobiT (adaptado de [32]) No Figura 5.2, podem-se vericar as aes e operaes atribudas a cada um e seus relacionamentos nos processos que compe a TI e deixando claro que enquanto o ITIL executar, o COBIT passa a ser o gerenciar, principalmente porque podemos notar na prpria Figura 5.2 que o ITIL, no caso em conjunto com o CMMI 12 , est assimilado por 3 dos 4 domnios que compe o CobiT, onde, o nico domnio que no possui ligao direta com o ITIL o de Monitoramento e Avaliao enquanto os demais se apoiariam nos servios do ITIL.

5.3.1
.

Processos

O ITIL tem seus processos subdividos em livros por assunto, num total de 7, conforme a Figura 3.3 da Seo 3.5, seo essa que mostra tambm como o ITIL exvel em relao ao uso de modelos de maturidade de processos, pois pode utilizar diversos modelos de maturidade de outras tecnologias, incluindo do prprio CobiT. No CobiT, a Seo 4.4 traz em seu texto que os processos do CobiT esto alocados em dos seus 4 domnios (conforme a Figura 4.4) e so constitudos por critrios de informao, mas, ao contrrio do ITIL, o CobiT possui
CMMI (Capability Maturity Model Integration) um modelo de referncia que contm prticas (Genricas ou Especcas) necessrias maturidade em disciplinas especcas (Systems Engineering (SE), Software Engineering (SW), Integrated Product and Process Development (IPPD), Supplier Sourcing (SS)). Desenvolvido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon, o CMMI uma evoluo do CMM e procura estabelecer um modelo nico para o processo de melhoria corporativo, integrando diferentes modelos e disciplinas.
12

65

um modelo de maturidade de processos prprio (vide Seo 4.4.3) baseado no cubo CobiT (Figura 4.5) e com 6 nveis para cada processo, conforme a Figura 4.6. Assim, enquanto o CobiT, focado nos processos, tem como viso a entrega ecaz da informao que deve direcionar e monitorar os valores entregues pela TI, o ITIL, por no estar focado em descrever como e o que deve ser abordado no gerenciamento da TI, possui apenas detalhamentos estruturados para indicar as diretrizes de como implementar e quem so os responsveis por cada mdulo. A Figura 5.3 efetua uma comparao de processos entre os modelos CobiT e ITIL, onde cada tarefa do CobiT est relacionada com uma gerncia ou um processo do ITIL, sendo em sua maioria relacionametos de suporte uma vez que as atividades no ITIL oferecem suporte para os processos do CobiT.

Figura 5.3: Comparao de processos entre CobiT e ITIL (adaptado de [41]) Na Seo 4.4 listamos procedimentos do CobiT, agrupando-os nos vrios domnios. Mostramos que o foco na descrio era a determinao dos principios que permitem avaliar os processos. Com relao ao ITIL, os processos so descritos (como mostrado na Seo 3.5) com base nas suas relaes com as gerncias do modelo, isto , a descrio operacional. Entretanto, existe uma correlao forte entre os processos nos dois modelos apresentados na Figura 5.3. Esta correlao refora a complemen66

tariedade. Para cada processo ou atividade gerencial, poderiamos utilizar o CobiT para o controle estratgico e o ITIL para o Controle Ttico. A prtica da adoo em conjunto dos modelos CobiT e ITIL recomendada em diversos artigos, dentre os quais destacamos a publicao Align CobiT, ITIL and ISO17799 for Business Benet: Management Summary [57] e o artigo Governing ITIL with CobiT [36] defendendo o alinhamento dos modelos.

5.3.2
.

Domnios do CobiT X Gerncias do ITIL

Na Figura 2.6 foram apresentados os 34 processos que compe a TI. Cada um dos 4 domnios do CobiT engloba processos de natureza semelhante, conforme visto na Figura 4.4. J o ITIL, dividido em livros, onde, cada livro engloba processos de natureza, a principo, distinta, mas complementares entre si, se relacionando com o tema do livro em questo para ns de "melhores prticas"e de gerenciamento de servios, conforme a Figura 3.3. Enquanto o CobiT divide um problema em 4 domnios, cada um com seu prprio conjunto de procedimentos voltados para a estratgia dos processos, conforme a seo 4.7, o ITIL possui uma ou mais gerncias, num total de 10 gerncias dividas em duas camadas, como visto na seo 3.6, para cuidar de cada situao dentro do suporte servios. Dentro do ITIL, por exemplo, uma ocorrncia pode causar um problema, um incidente ou mesmo uma mudana, acionando as 3 gerncias tanto isoladamente quanto simultaneamente para vericao das consequncias (ou impactos) num servio. J no CobiT, a mesma ocorrncia passaria pelos 4 domnios da seo 4.7 a m de se determinar as consequncias (ou impactos) num processo. Em resumo, enquanto no CobiT, independente da natureza da ocorrncia, ela vai sempre estar passando pelos mesmos 4 domnios, no ITIL, uma ocorrncia pode ou no acionar diversas gerncias simultaneamente ou isoladamente e em cada vez que se repete essa ocorrncia, podem-se ter gerncias diferentes sendo acionadas de acordo com a necessidade, o que refora a natureza estratgica e gerencial do CobiT, na abordagem de seus domnios, em relao a natureza ttica e operacional do ITIL na abordagem dos servios conforme as necessidade de cada caso.

5.4
.

Consideraes Finais

O CobiT denido como um conjunto de diretrizes para processos, envolvendo prticas, controles e auditorias, cujo foco principal estaria na reduo de riscos, na integridade, na conabilidade e na segurana da TI apoiado por seus quatro domnios organizados em planejamento e organi67

zao, aquisio e implementao, entrega e suporte e monitorao, apresentando seis nveis de maturidade. Seus pontos positivos so a abordagem dos riscos no abordados em outros modelos e sua ecincia para auditorias, alm de se integrar muito bem com outros modelos. Possui como pontos negativos a falta de um guia para o aprimoramento contnuo dos processos, no estar ligado diretamente ao desenvolvimento de servios de TI ou de softwares e principalmente o legado do "dizer o que fazer mas no dizer como fazer". J o ITIL o resultado do conjunto de melhores prticas para os servios de TI, rastreando problemas relacionados principalmente ao software, suporte e contatos com clientes. Tem como seus pontos positivos o fato de ser um padro "de fato", estabelecido e focado detalhadamente na qualidade das operaes de TI, inclusive podendo ser combinado com outras tecnologias para maior abrangncia dentro da TI. J como pontos negativos podemos destacar que no voltado para os processos de desenvolvimento, seja de software ou de sistemas de gerenciamento. Pelo que j foi exposto tanto no captulo 3 quanto no captulo 4, podemos entender o CobiT (para a governana de TI e se aplica a um nvel estratgico) como sendo um framework complementar ao ITIL (para gesto de processos de TI e se aplica em nvel ttico/operacional) e vice-versa, uma vez que o primeiro trata "do que fazer"e o segundo de "como fazer", ou seja, para controle e auditorias dos processos, usa-se o CobiT e para melhor-los quanto ao qualidade e custos, usa-se o ITIL.

68

Figura 5.4: Os nveis do ITIL e do CobiT (adaptado de [34]) Por possurem focos e objetivos diferentes, pblicos-alvo distintos, alm de estruturas que so complementares, observa-se que a adoo do CobiT ou do ITIL no mutuamente exclusiva e pode ser combinada para fornecer uma poderosa estrutura de governana de TI, controlando e estabelecendo as melhores prticas na gerncia de TI, dos servios e dos processos, uma vez que o ITIL busca gesto com o foco no cliente e nos servios, determinando boas prticas e procedimentos enquanto o CobiT uma estrutura de controle, focada em processos, denindo o que precisa ser feito e no como deve ser feito.

69

Figura 5.5: O alinhamento do ITIL e do CobiT (adaptado de [2])

70

Captulo 6 Concluso
. Este trabalho apresentou um estudo que compara dois modelos de gesto e governana de TI. Foram escolhidos o ITIL e o CobiT pelo primeiro estar consolidado na TI no que se refere a servios e suporte, e pelo segundo ser consolidado na TI no que se refere a processos, onde o foco foi o aspecto gerencial e operacional, mostrando ainda que os dois modelos no so antagnicos, tendo como pontos de complementariedade de destaque o foco, o perl ttico, a estratgia, a governana, a operacionalidade e os modelos de maturidade de processos. Numa primeira etapa, zemos uma explanao dos termos utilizados dentro do universo da TI e seguimos para dois captulos nos quais zemos uma apresentao, primeiro do ITIL e depois do CobiT. Ao longo dos estudos e da descrio tanto do ITIL quanto do CobiT, foi cando claro que a comparao, da maneira que pensvamos originalmente, no seria possvel, visto que cada um tem seu foco, seus objetivos, seus domnios ou gerncias, o que nos levou a uma linha de raciocnio onde praticamente era como se tentssemos comparar a parte de cima do corpo humano com a parte de baixo, ou seja, por terem atribuies diferentes, essa comparao cou comprometida e revelou-se que o caminho ideal seria o de tentar mostrar que so, na verdade, complementares. Essa complementaridade cou evidenciada no Captulo 5, que originalmente era para ser o de comparao, mas cou comprometido e teve de tomar novos rumos justamente por no ser possvel comparar "pernas e braos". Assim, chegamos a concluso de que realmente, so complementares, principalmente por causa dos seus objetivos e foco, uma vez que o ITIL, pelo que foi apresentado, seria o "como fazer" enquanto o CobiT seria o "o que fazer" para a TI no que se refere a servios e processos.

6.1
.

Lies Aprendidas

Como conseqencia pessoal do estudo, a comparao realizada foi de 71

grande valia para a minha formao, uma vez que me possibilitou a compreenso da diculdade de um trabalho dessa natureza e que certamente estar presente em outras situaes da vida, seja ela prossional, pessoal ou mesmo acadmica. Um outro aspecto a ser destacado a prpria diculdade de um trabalho que envolve comparaes entre processos, servios e modelos. No tarefa fcil realizar julgamentos comparativos, ainda mais levando-se em conta modelos to complexos e com um volume de material to extenso para ser ltrado. Em nosso trabalho tambm no tivemos a particularidade de usar um framework para comparaes, o que serviu para que eu pudesse avaliar melhor a necessidade de um framework no qual as comparaes possam ocorrer, assim, nossas anlises so, em sua maioria, resultado de bom senso aliado nossa experincia pessoal, entretanto, dada a diculdade encontrada, temos a certeza de que um framework facilitaria a tarefa. Pudemos tambm, ao longo do nosso trabalho, constatar um grande nmero de trabalhos at que semelhantes, mas com focos voltados para segurana da informao como os trabalhos de Balbo [16] ou Rogato [43], e que de uma forma ou de outra relacionavam o ITIL e o CobiT, sendo uma boa surpresa vericar que nossas concluses so corroboradas por outros autores nessa rea. Tivemos ainda a preocupao de proceder o julgamento a parte das descries dos modelos para s aps compar-los com as anlises da literatura, onde, a concordncia um sinal encorajador.

6.2
.

Trabalhos Futuros

Para trabalhos futuros ca a certeza de que a comparao muito importante, uma vez que esses modelos so muito usados nas organizaes e saber como podem ser integrados ser sempre positivo. A falta de uma srie de aspectos, como por exemplo a abordagem de segurana dos modelos, a implementao conjunta ou ainda focos mais especcos deles que envolvessem relatrios ou erros, que podem/devem ser abordados em trabalhos posteriores e possveis comparaes podem ser realizadas utilizando-se um framework para auxiliar nas anlises. Existe ainda a possibilidade de estudos de caso para a vericao dos modelos na prtica com ou sem o uso de um possvel framework desenvolvido para a anlise, uma espcie de "e-form de avaliao de maturidade", funcionando como ferramenta de apoio a gesto de TI e aos modelos de maturidade.

72

Referncias
[1] Emerson Alecrim. O que tecnologia da informao (TI)? Infowester, 2004. Disponvel em: http://www.infowester.com/col150804.php. Acessado em maio de 2008. [2] Fariha Anderson. Enterprise change management. Manta Group, 2007. Disponvel em: http://www.mantagroup.com. Acessado em setembro de 2008. [3] Alexandre Bartie. A importncia dos processos em TI. 2007. Disponvel em: http://imasters.uol.com.br/artigo/5376/. Acessado em fevereiro de 2008. [4] Portal Phoenix Business and Systems Process Inc. Risk and reality. 2006. Disponvel em: http://www.pbandsp.com. Acessado em setembro de 2007. [5] Luciano Eduardo Caciato. Mtricas e metodologias do gerenciamento de TI. TI Master, 2005. Disponvel em: http://www.timaster.com.br/revista/artigos/. Acessado em abril de 2008. [6] Patrcia Camurugy. ITIL na governaa de TI. 2005. Disponvel em: http://www.timaster.com.br. Acessado em setembro de 2007. [7] Carlos Henrique Candido. Entendendo processos. 2007. Disponvel em: http://chcandido.tripod.com. Acessado em agosto de 2008. [8] Luciana Coen. Metodologias trazem maturidade rea de TI. 2003. [9] Portal CompanyWeb. ITIL: o lema da TI servir bem. Jornal Informtica Hoje, 2005. Disponvel em: http://www.companyweb.com.br. Acessado em maio de 2008. [10] Microsoft Corporation. Recurso de IO: Processo de gerenciamento baseado em ITIL/CobiT - bsico para padronizado. Microsoft Technet, 2008. Disponvel em: http://technet.microsoft.com/ptbr/library/bb821261.aspx. Acessado em outubro de 2008. [11] Bruno Silveira Cruz. Agregando Mtricas de TI. IMasters, 2008. 73 valor ao negcio: Disponvel em:

http://imasters.uol.com.br/artigo/8240/. Acessado em outubro de 2008. [12] Luiz Carlos de Almeida Oliveira e Lilia Pinheiro Cristaldi Silva. Modelo CMM: Uma viso geral. 2003. Disponvel em: http://paginas.terra.com.br/processos2002/cmm. Acessado em outubro de 2007. [13] Patricia de Aquino Mendes. Por uma gesto prossional e governana de TI. 2007. Disponvel em: http://webinsider.uol.com.br/index.php/2007/06/08/por-uma-gestaoprossional-e-governanca-de-ti/. Acessado em abril de 2008. [14] Fernanda de Assis Gama. Mensurando o grau de maturidade do alinhamento estratgico entre os negcios e a tecnologia da informao no departamento de informtica da companhia siderrgica de tubaro. Simpsio FUCAPE, 2005. Disponvel em: http://www.fucape.br/simposio/3/artigos/. Acessado em maro de 2008. [15] Ermir Gonalves de Melo. Nveis de maturidade em gesto de TI. HTP Solution, 2005. Disponvel em: http://www.egov.mg.gov.br. Acessado em junho de 2008. [16] Luciano de Oliveira Balbo. Uma abordagem correlacional dos modelos CobiT/ITIL e da Norma ISO 17799 para o tema segurana da informao. PECE.org, 2007. Disponvel em: http://www.pece.org.br/cursos/TI/monograas/MBA-MONOLucianoBalbo.pdf. Acessado em fevereiro de 2008. [17] Rodrigo Dias. Srie governana de TI. 2006. Disponvel em: http://blogs.technet.com/rodias/archive/2008/05/06/s-rie-governan-ade-ti-parte-vi.aspx. Acessado em fevereiro de 2008. [18] Dorian Cosentino e Cludio Martinez. ITIL. Kjump Consultoria, 2000. Disponvel em: http://www.kjump.com.br. Acessado em abril de 2008. [19] Mauro Cesar Bernardes e Edson dos Santos Moreira. Um modelo para incluso da governana da segurana da informao no escopo da governana organizacional. Associao Brasileira de Educao a Distncia Centro de Integrao Empresa-Escola, 2005. Disponvel em: http://www.abed.org.br/congresso2008/apr/TC221.ppt. Acessado em junho de 2008. [20] Eduardo Mayer Fagundes. CobiT - um kit de ferramentas para a excelncia na gesto de TI. 2004. Disponvel em: http://www.efagundes.com/Artigos/. Acessado em fevereiro de 2008. [21] Eduardo Mayer Fagundes. Gesto eciente de TI. 2006. Disponvel em: http://www.efagundes.com. Acessado em setembro de 2007. 74

[22] Priscila Bastos Fagundes. Comparao entre os processos dos mtodos geis: XP, SCRUM, FDD e ASD em relao ao desenvolvimento iterativo incremental. E-Tech: Tecnologias para Competitividade Industrial - SENAI, 2005. Disponvel em: http://revista.ctai.senai.br/index.php/edicao01/. Acessado em junho de 2008. [23] Marcelo Gherman. CobiT - integrando TI aos negcios. VHMartins Tecnologia, 2006. Disponvel em: http://www.vhmartins.com/cobit2.htm. Acessado em junho de 2008. [24] Ken Gonzalez. The IT infrastructure library. 2007. Disponvel em: http://www.itil.co.uk. Acessado em maro de 2008. [25] Alexandre Graelm. Sistemas de Informao - O alinhamento da estratgia de TI com a estratgia corporativa. Ed. Atlas, 2003. [26] Portal Munich institute for IT service management. Continual process improvement manager. mITSM.de, 2006. Disponvel em: http://www.mitsm.de. Acessado em outubro de 2007. [27] Joo Carlos Pereira Jnior. Aplicabilidade de um framework para a governana de TI. PECE.org, 2007. Disponvel em: http://www.pece.org.br/cursos/TI/monograas/MBA-MONOJoaoCarlosJunior.pdf. Acessado em agosto de 2008. [28] John W. Lainhart. CobiT 4.1. ISACA.org, 2006. http://www.isaca.org. Acessado em agosto de 2008. Disponvel em:

[29] Pedro Lemelle. SLM: surge um novo conceito. HDO, 2005. Disponvel em: http://www.hdo.com.br/v1/ideias/artigos/artigo07.pdf. Acessado em abril de 2008. [30] Betty Luedke. Manage change or IT will manage you. 2004. Disponvel em: http://www.change-management.com. Acessado em agosto de 2008. [31] Ricardo Mansur. Governana de tecnologia - ITIL. Prossionais de Tecnologia, 2004. Disponvel em: http://www.prossionaisdetecnologia.com.br/artigos/arquivos/itil.pdf. Acessado em maro de 2008. [32] Ricardo Mansur. Governana de TI. Prossionais de Tecnologia, 2006. Disponvel em: http://www.prossionaisdetecnologia.com.br. Acessado em agosto de 2008. [33] Renata Mesquita. A Organizao Faz a Fora - Governana em TI. 2002. [34] Mario Meyer. Gesto estratgica de um mundo colaborativo. 2007. Disponvel em: http://blog.meyer.eti.br. Acessado em agosto de 2008. 75

[35] Glaucio Souza Miura. Estudo do modelo ITIL e avaliao das gerncias de incidentes e mudanas no contexto de um processo de negcio real. Instituto de Cincias Matemticas e de Computao - USP, 2007. Disponvel em: http://www.icmc.usp.br/ estagio/computacao/monograas/glauciomiura.pdf. Acessado em junho de 2008. [36] David Nichols. Governing ITIL with CobiT. tal ITSM Solutions, 2007. Disponvel http://www.itsmsolutions.com/newsletters/DITYvol3iss9.htm. sado em junho de 2008. Porem: Aces-

[37] OGC-Ofce of Government Commerce. ITIL: The Key to Managing IT Services - Best Practice for Service Support. United Kingdom for the Stationery Ofce, 2001. [38] Luana Pavani. A segunda onda do SLA. 2007. Disponvel em: http://www.companyweb.com.br. Acessado em fevereiro de 2008. [39] Boris Pevzner. ITIL v3: From process to strategy. 2007. Disponvel em: http://www.itilcenter.com. Acessado em agosto de 2008. [40] Humberto Bruno Pontes. CobiT - conceitos bsicos, estruturas e objetivos. 2006. Disponvel em: http://www.io2.com.br. Acessado em agosto de 2008. [41] Gianni Ricciardi. IT governance - otimizao da estrutura dos processos de TI. 2005. Disponvel em: http://governadeti.blogspot.com. Acessado em outubro de 2008. [42] Gianni Ricciardi. IT governance - estruturas de framework. 2007. Disponvel em: http://www.anefac.com.br. Acessado em setembro de 2008. [43] Ailton Rogato. Correlao entre CobiT e ITIL e norma ISO17799. Lean SixSigma, 2008. Disponvel em: http://www.leansixsigma.com.br/ACERVO/. Acessado em outubro de 2008. [44] Rildo Santos. Integrao da TI com negcios. 2007. Disponvel em: http://www.companyweb.com.br. Acessado em maio de 2008. [45] Ivone Sato. Gesto nanceira de servios de TI. 2006. Disponvel em: http://tjsc25.tj.gov.br/wiki. Acessado em outubro de 2008. [46] Trainning Education Services. Governana de TI: comparativo entre CobiT e ITIL. Portal Trainning Education Services, 2004. Disponvel em: http://www.trainning.com.br/download/. Acessado em novembro de 2007. 76

[47] Silvia Boga Gomes, Ricardo de Almeida Falbo e Credin Silva de Menezes. Um modelo para acordo de nvel de servio em TI. 2007. Disponvel em: http://www.inf.ufes.br/ falbo/download/pub/2005Sbqs.pdf. Acessado em abril de 2008. [48] Jos Osvaldo De Sordi. Tecnologia da Informao Aplicada aos Negcios. Ed. So Paulo: Atlas, 2003. [49] Eduardo Almansa Sortica. Governana de TI: Comparativo entre CobiT E ITIL. Congresso Anual de Tecnologia da Informao - FGVEAESP, 2004. [50] George Spafford. Achieving Project Management Balance. 2003. [51] Daniel Strider. CRM - customer relationship management. 2007. Disponvel em: http://br.geocities.com/danielstrider. Acessado em agosto de 2008. [52] Portal Marketing Teacher. CRM. 2007. Disponvel em: http://www.marketingteacher.com. Acessado em julho de 2008. [53] Tallard Technologies. A ITIL e a governana de TI. Itec Journal, 2006. Disponvel em: http://www.itec.com.br/journal/40/itil.htm. Acessado em maro de 2008. [54] Adriano Olimpio Tonelli. Melhores prticas para gerenciamento de suporte a servios de TI. Redes Cia, 2006. Disponvel em: http://www.redesecia.com.br/interface/doc/Artigo20-20ITIL.pdf. Acessado em maio de 2008. [55] Renato Chaves Vasques. Como construir altos nveis de maturidade e desempenho. 2006. Disponvel em: http://www.isdbrasil.com.br. Acessado em novembro de 2007. [56] Paulo Vaz. CobiT e/ou ITIL? Gartner Group, 2008. Disponvel em: http://www.paulovaz.net/paulovaz/. Acessado em setembro de 2007. [57] Jordana Viotto. TI eciente: como fazer mais com menos. 2008. Disponvel em: http://www.itweb.com.br/noticias/index.asp?cod=46315. Acessado em setembro de 2008. [58] Rafael Romualdo Wandresen. Uma proposta de um modelo computacional baseado em eventos para a gerncia de nveis de servios de telecomunicaes. Programa de PsGraduao em Informtica - PUC, 2003. Disponvel em: http://www.ppgia.pucpr.br/arquivos/Caderno2003/. Acessado em outubro de 2007.

77

[59] Gilberto Zorello. Metodologias CobiT e ITIL e as perspectivas do modelo de alinhamento estratgico de TI. XII SIMPEP, 2005. Disponvel em: http://www.consulting.com.br. Acessado em setembro de 2008.

78