STAGED REPRESENTATION
4.7 Áreas dos Processos CMM
De acordo com a estrutura de inter-relacionamento funcional na visão de me- lhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto, Engenharia e Suporte:
• Gestão de Processos: Contêm atividades transversais aos projetos, relacionadas à definição, ao planejamento, à implantação, à implementação, ao monitoramento, ao controle, à avaliação, à medição e à melhoria de processo. Contém as áreas:
– Foco nos Processos da Organização (OPF): Planejar, implementar e implantar melhorias nos processos organizacionais com base na compreensão dos pontos fortes e dos pontos fracos dos processos e dos ativos de processo da organização.
– Definição dos Processos da Organização (OPD): Manter um conjunto de políti- cas, descrições de Processos, critérios, diretrizes, métricas e outras documentações num formato de biblioteca de componentes reutilizáveis.
– Treinamento na Organização (OT): Identificar as necessidades estratégicas de treinamento da organização, assim como as necessidades táticas que são comuns aos projetos e grupos de suporte.
– Desempenho dos Processos da Organização (OPP): Estabelecer objetivos quantitativos para qualidade e para desempenho de processo a partir dos objetivos estratégicos da organização. A organização fornece aos projetos e grupos de suporte: medidas comuns, baselines de desempenho de processo e modelos de desempenho de processos.
– Gestão do Desempenho Organizacional: Gerenciar o desempenho da organiza- ção para alcance dos objetivos de negócio definidos.
• Gestão de Projeto: Tratam das atividades de gestão relacionadas a planejamento, monitoramento e controle de projeto. Contém as áreas:
– Planejamento de Projeto (PP): Elaborar o plano de projeto, o envolvimento apro- priado das partes interessadas, a obtenção de comprometimento com o plano e sua manutenção.
– Monitoramento e Controle de Projeto (PMC): Monitorar e implementar ações cor- retivas. As ações corretivas são implementadas (incluindo replanejamento) conforme apropriado, quando o status do projeto desvia significativamente dos valores esperados.
– Gestão de Contrato com Fornecedores (SAM): Tratar das necessidades de aqui- sição de partes do trabalho que são produzidas por fornecedores. As fontes de produtos utilizadas para satisfazer aos requisitos de projetos são identificadas proativamente. O fornecedor é selecionado, e é estabelecido um contrato para que se possa gerenciá-lo.
– Gestão Integrada de Projeto (IPM): Estabelecer e manter o processo definido para o projeto que é adaptado a partir do conjunto de processos-padrão da organização.
– Gestão de Riscos (RSKM): Implementar uma abordagem proativa e em regime contínuo para a gestão de riscos por meio de atividades que incluem identificação de parâmetros para riscos, avaliação de riscos e mitigação de riscos.
– Gestão Quantitativa de Projeto (QPM): Aplicar técnicas quantitativas e estatísti- cas para gerenciar o desempenho de processo e a qualidade de produto. Os objetivos para qualidade e desempenho de processo para o projeto são baseados nos objetivos estabelecidos pela organização.
– Gestão de Requisitos (REQM): Gerenciar requisitos técnicos e não técnicos num projeto, checando inconsistências e tratando os impactos de mudança.
• Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas disciplinas de Engenharia.
– Desenvolvimento de Requisitos (RD): Identificar as necessidades do cliente e traduzir essas necessidades em requisitos de produto.
– Solução Técnica (TS): Desenvolver pacotes de dados técnicos para componentes de produto que serão utilizados pela área de processo Integração de Produto ou pela área de processo Gestão de Contrato com Fornecedores. Soluções alternativas são examinadas a fim de escolher o melhor projeto com base em critérios previamente estabelecidos.
– Integração de Produto (PI): Utilizar as práticas específicas associadas à geração da melhor sequência de integração possível, envolvendo a integração de componentes de produto e a entrega do produto ao cliente.
• Suporte: visa auxiliar nos demais processos qualificando os processos com ativida- des ao longo dos projetos de desenvolvimento ou manutenção de produtos. Contém as seguintes áreas:
– Gestão da Configuração (CM): Controlar e manter a integridade dos produtos de trabalho.
– Garantia da Qualidade do Processo e do Produto (PPQA): Fornecer visibilidade sobre andamento dos processos e produtos.
– Medição e Análise (MA): Manter e desenvolver formas de medição para atender necessidades de informações gerenciais.
– Análise de Decisões e Resolução (DAR): Usar processo de avaliação formal para tomar decisões.
– Análise e Resolução de Causas (CAR): Identificar causas e corrigir defeitos além de ações de prevenção de novas ocorrências.
4.8 ISO 27001 e 27002
A gestão Segurança da Informação e a Gestão da Tecnologia da Informação compreendem áreas complexas, com normas exigentes para tratar de aspectos específicos. Adotar um Sistema de Gestão de Segurança da Informação (SGSI) e de Gestão da Tecnologia da Informação fazem parte da gestão estratégica da Governança Corporativa. A implementação do SGSI e do GTI devem ser guia- das pelas suas necessidades e objetivos, requisitos de segurança e estrutura da organização.
A ISO 27001 e 27002 oferece normas com reconhecimento e certificação internacional para o desenvolvimento da SGSI e da GTI. A Governança trata em linha gerais da direção, controle e monitoramento, e pode ser implantada em vários eixos, como:
• Governança Corporativa
• Governança de Tecnologia da Informação • Governança de Segurança da Informação • Governança de Projetos
• Governança de Indicadores
Vamos trabalhar com os conceitos listados anteriormente, consideran- do que a Governança de Segurança da Informação e a Governança da Tecno- logia da Informação, são eixos fundamentais para a gestão da Governança Corporativa.
Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a Segurança da Informação?
Criado em 1947, ISO é sigla para International Organization for Standardization – Organização Internacional para Normalização. Em língua francesa: "L'Organisation Internationale de Normalisation". Com sede em Ge- nebra na Suíça, é uma entidade não governamental que congrega a padroniza- ção/normalização de 170 países.
Tem como objetivo promover o desenvolvimento da normalização e ativi- dades relacionadas com a intenção de facilitar o intercâmbio internacional de bens e serviços.
Os membros da ISO são os representantes das entidades oficiais de nor- malização nos respectivos países como, por exemplo, ANSI (American National Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut für Norman).
“No Brasil, sua representante é ABNT, Associação Brasileira de Normas e Técnicas. Fundada em 1940, a ABNT é uma entidade privada, sem fins lucrativos, é o órgão res- ponsável pela normalização técnica no país, fornecendo a base necessária ao desen- volvimento tecnológico brasileiro. É membro fundador da ISO (International Organiza- tion for Standardization), da COPANT (Comissão Panamericana de Normas Técnicas) e da AMN (Associação MERCOSUL de Normalização).”
Fontes: (Acesso em 05/02/2015)
Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas: • ISO 9000 Gestão de Qualidade: em ambientes de produção;
• ISO 14000 - ISO 14064 Normas de Gestão do Ambiente: em ambientes de produção;
• ISO/IEC 17799 Tecnologia da Informação: código de conduta para a Gestão da Segurança da Informação;
• ISO/IEC 12207 Tecnologia da Informação: define processo de desenvolvi- mento de software;
• ISO 26000 Responsabilidade Social; • ISO 50001 Gestão de Energia; • ISO 31000 Gestão de Risco;
• ISO 22000 Gestão de Segurança Alimentar; • ISO 27001 Gestão da Segurança da Informação; • ISO 27002 Gestão da Tecnologia da Informação.
A ISO 27002 (anteriormente chamado ISO 17799) trata-se de um código de práticas para a Segurança da Informação. Nesses códigos estão detalhados centenas de controles específicos que aplicados protegem informações e ati- vos relacionados.
Já a ISO 27001 trata-se de um padrão de especificações para Sistema de Ges- tão de Segurança da Informação, SGSI, em inglês ISMS - Information Security Management System. Foi publicado em 2005 pela Organização Internacional de Normalização.
Suas especificações fornecem estrutura para auditorias e certificação na área Segurança da Informação.
A versão mais atual da ISO 27001 foi instituída em 2013. Aplicadas as nor- mas e solicitado o selo de certificação pelo ABNT (no Brasil) fica certificado que a empresa segue todas as exigências legais e padrões internacionais. Seu uso reduz custos e riscos gerados por problemas na Segurança da Informação, pois além de analisar a estrutura da segurança, também incorpora em seus pré-re- quisitos a preocupação com os riscos do negócio.
Ambas as normas destinam-se a todas as organizações, sejam elas comer- ciais, ou de serviços e auxilia na responsabilidade da Segurança da Informação. As ISO 27001 e ISO 27002 oferecem requisitos diferentes, mas ambas se
A Informação é um ativo estratégico essencial para as organizações e neces- sita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica e organizacional. Lidar com a Segurança da Informação implica em manter as informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity, Avaliability):
• Confidencialidade: assegurar que a informação não seja divulgada (disclosed) a indivíduos ou grupos não autorizados;
• Integridade: manter a informação, garantindo que essa não seja modificada por agentes desautorizados. Se houver autorização, os agentes devem apenas alterá-la de forma apropriada.
• Disponibilidade: assegurar que a informação esteja sempre disponível (available) de forma ágil a todos os agentes autorizados.
ATIVIDADES
Considerando o conteúdo apresentando neste capítulo, utilize as seguintes questões para avaliar o seu conhecimento:
01. Qual dos modelos abaixo apresenta o conceito de valor sobre o investimento em TI? a) COBIT 4.1
b) ISO 27001 c) Val IT d) Risk IT
REFLEXÃO
A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa unidade apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em outros modelos citados no material, aplicando o mais adequado nas situações necessárias.
LEITURA
Como leituras sugiro que consulte as referências, sobretudo o site da ISACA (www.isaca. org), pois lá há ampla documentação dos Modelos COBIT 5, Val IT e Risk IT, além de muitos artigos interessantes.
Sobre a ISO, neste link há um FAQ com perguntas mais frequentes sobre ISO 27001 (Acesso em 28/01/2015):
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf
REFERÊNCIAS BIBLIOGRÁFICAS
SEI. CMU/SEI-2010-TR-032 – CMMI for Acquisition, version 1.3, Novembro de 2010 (2010a). SEI. CMU/SEI-2010-TR-032 – CMMI for Development, version 1.3, Novembro de 2010 (2010b). SEI. CMU/SEI-2010-TR-032 – CMMI for Services, version 1.3, Novembro de 2010 (2010c). Appraisal Method for Process Improvement (SCAMPI) V1.2 -www.sei.cmu.edu/reports/06hb002.pdf CMMI Version 1.3 DEV / ACQ / SVC - www.sei.cmu.edu/cmmi
ISACA. COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012. Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012 ISACA. COBIT 5: Enabling Process. USA, 2012.
ITGI. Enterprise Value: Governance of IT Investments – The Val IT Framework 2.0 Extract, 2008. Disponível em: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Documents/Val-IT- Framework-2.0-Extract-Jul-2008.pdf acesso em 05/02/2015.