Descrição

A arquitetura de TI com o uso do COBIT, ISO 38500 e TOGAF. A governança de processo e o uso BABOK e BPM CBOK. A governança de projetos e as práticas do PMBOK, PRINCE2 e SCRUM. Os benefícios das normas ISO 27001, ISO 27002 e ISO 27014 na governança de segurança da informação.

PROPÓSITO

Compreender a importância dos padrões de arquitetura de TI, governança de processo, de projetos e de segurança da informação para a aplicação de uma Governança de TI eficiente dentro da organização.

OBJETIVOS

Módulo 1

Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF

Módulo 2

Estabelecer a governança de processo com uso do BABOK e BPM CBOK

Módulo 3

Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM

Módulo 4

Identificar o funcionamento da governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014

Introdução

Apresentaremos de forma ampla os principais conceitos sobre arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF. Veremos a importância do desenvolvimento de governança de processo com uso do BABOK e BPM CBOK, bem como a relevância da governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM. Por fim, identificaremos como funciona a governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014.

MÓDULO 1


Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF

A Arquitetura de TI

A Arquitetura de TI é considerada uma competência da área de TI, cujo principal objetivo é garantir que todos os processos e soluções tecnológicas atendam às necessidades da empresa, de modo que todas as ações executadas estarão totalmente alinhadas com os objetivos estratégicos da organização.

Resumindo

A Arquitetura de TI se certificará que a área de TI tomará todas as ações necessárias de modo a entregar todos os benefícios esperados pela instituição.

Objetivos da Arquitetura de TI

Os principais objetivos de uma Arquitetura de TI totalmente alinhada com a Governança de TI de uma organização são: planejar, estruturar, desenvolver e monitorar soluções de TI com base na estratégia e na necessidade de negócio da organização.

Um dos papéis existentes em uma instituição com o objetivo de implementar uma Arquitetura de TI eficiente é o Arquiteto de TI.

O que faz um Arquiteto de TI

O papel do Arquiteto de TI é extremamente importante dentro de uma organização, pois ele é responsável por analisar todo o ambiente de TI e demais áreas com o intuito de identificar a situação na qual a empresa se encontra e o que pode ser otimizado para torná-la mais estratégica.

Comentário

É muito comum, principalmente em grandes organizações, que não se tenha conhecimento de todos os recursos (hardware, software e outros) existentes e se eles estão sendo utilizados de forma produtiva e devidamente alinhados com a estratégia.

Benefícios da Arquitetura de TI

São diversos os benefícios que uma Arquitetura de TI devidamente alinhada com o modelo de Governança pode oferecer para uma organização, entre eles podemos citar:

Clique nas barras para ver as informações. Objeto com interação.
Aumento na produtividade de todos os processos

Uma Arquitetura de TI bem elaborada identificará todos os processos da organização e o que pode ser otimizado. Desta forma, será natural que todos os processos da organização tenham uma melhora de desempenho.

Aumento na garantia de disponibilidade

A Arquitetura de TI irá colaborar de forma efetiva para a criação de um plano de continuidade de TI. Tal plano, sendo bem elaborado, tem como objetivo garantir que ocorra uma continuidade de todos os sistemas, ou seja, que todos os sistemas estejam sempre disponíveis para os usuários. O plano de continuidade é uma ferramenta extremamente importante dentro da Governança de TI.

Recursos utilizados de forma eficiente

A Arquitetura de TI, através do mapeamento dos ativos de TI e da identificação dos recursos que estão ou não sendo utilizados de forma eficiente, permitirá a alocação eficaz dos recursos, identificando quais recursos estão sendo subutilizados e quais podem ser descontinuados por estarem gerando custos desnecessários.

A área de TI estará totalmente alinhada com o negócio

Este com certeza é um dos principais ganhos, pois os resultados gerados por uma Arquitetura de TI eficiente deverão garantir maior alinhamento da TI com o negócio, ou seja, de que modo o negócio irá utilizar a TI de forma eficiente e como a TI irá prover serviços de forma mais eficiente para o negócio.


O COBIT

O COBIT – Objetivos de Controle para a Informação e Tecnologia relacionada ou  Control Objectives for Information and related Technology, apoia as organizações a alcançar as múltiplas necessidades da administração pela superação dos espaços entre os riscos de negócio, necessidades de controle e aspectos técnicos.

Objetivos do COBIT

O principal objetivo do COBIT é proporcionar boas práticas para a organização através de um modelo de domínio e processos em uma estrutura lógica e gerenciável.

Boas práticas do COBIT significam o consenso entre os especialistas, pois elas apoiarão a organização a otimizar seus investimentos em informações e fornecerão uma medida de comparação quando os resultados não forem satisfatórios.

O objetivo de um Controle de TI

O objetivo de um Controle de TI dentro de uma organização é uma declaração de resultados esperados ou propósitos a serem alcançados pela implementação de procedimentos de controle dentro de atividades específicas de TI.

A alta gestão da organização deve assegurar que um sistema ou modelo de controle interno esteja em vigor para que os processos de negócio sejam suportados.

Atenção

É importante que fique claro como cada atividade de controle individual atenderá aos requisitos de informação e aos impactos nos recursos de TI.

Quais são as características do COBIT?

O COBIT foi criado tendo como principais características:

  • Foco no negócio da organização.
  • Orientado a processos.
  • Faz uso de controles.
  • Direcionado por métricas.
  • Suportado por ferramentas e treinamentos.

Quais são os benefícios do COBIT para a organização?

São diversos os benefícios que uma organização possuirá ao fazer uso do COBIT, entre os principais, podemos citar:

Haverá uma melhora na qualidade das informações de modo a suportar com mais eficácia as decisões de negócios.

Agregação de valor aos investimentos de TI de modo a atingir e superar as metas estratégicas de se entregar benefícios de negócio por meio eficaz do uso da TI.

A organização atingirá um nível de excelência operacional através de aplicações confiáveis e eficientes.

Todos os riscos relacionados com a TI serão mantidos em níveis aceitáveis.

O custo de serviços de TI será otimizado.

A organização estará em total conformidade com leis, acordos contratuais, políticas internas e externas e regulamentos.

O COBIT possui aceitação internacional como framework de modelo para a Governança de TI e sempre está em desenvolvimento contínuo.

Domínios e processos do COBIT

O COBIT é organizado em processos de governança e de gestão. Os processos de governança são 5 e estão organizados em um único domínio. Já os processos de gestão são 32 e estão organizados em 4 domínios (ISACA, 2020).

A governança assegura que as necessidades, condições e opções das partes interessadas sejam avaliadas para que se determine os objetivos de negócio a serem atingidos.

Resumindo

A governança define a direção da organização por meio da priorização e da tomada de decisão.

A governança inclui o domínio:

Clique na barra para ver as informações.Objeto com interação.
Avaliar, Dirigir e Monitorar (EDM)

Os processos deste domínio ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor para a organização, sendo eles:

  • EDM01 – Garantir a definição e manutenção do modelo de governança.
  • EDM02 – Garantir a realização de benefícios.
  • EDM03 – Garantir a otimização do risco.
  • EDM04 – Garantir a otimização dos recursos.
  • EDM05 – Garantir transparência para as partes interessadas.

A gestão consiste basicamente em planejar, construir, executar e monitorar todas as atividades que estiverem alinhadas com os objetivos estratégicos estabelecidos pela Governança de TI de modo que os objetivos de negócio da organização sejam atingidos.

A gestão inclui os domínios (ISACA, 2020):

Clique nas barras para ver as informações. Objeto com interação.
Alinhar, Planejar e Organizar (APO)

Esse domínio trata da forma como a TI pode contribuir de forma eficaz para os objetivos de negócio da organização e basicamente inclui os processos abaixo:

  • APO01 – Gerenciar a Estrutura de Gestão de TI.
  • APO02 – Gerenciar a Estratégia.
  • APO03 – Gerenciar a Arquitetura da Organização.
  • APO04 – Gerenciar Inovação.
  • APO05 – Gerenciar Portfólio.
  • APO06 – Gerenciar Orçamento e Custos.
  • APO07 – Gerenciar Recursos Humanos.
  • APO08 – Gerenciar Relacionamentos.
  • APO09 – Gerenciar Contratos de Prestação de Serviços.
  • APO10 – Gerenciar Fornecedores.
  • APO11 – Gerenciar Qualidade.
  • APO12 – Gerenciar Riscos.
  • APO13 – Gerenciar Segurança.
Construir, Adquirir e Implementar (BAI)

Esse domínio é responsável por tornar concreta a estratégia de TI de modo a identificar os requisitos necessários para a TI e de gerenciar o programa de investimentos em TI. Os processos desse domínio são:

  • BAI01 – Gerenciar Programas e Projetos.
  • BAI02 – Gerenciar Definição de Requisitos.
  • BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções.
  • BAI04 – Gerenciar Disponibilidade e Capacidade.
  • BAI05 – Gerenciar Capacidade de Mudança Organizacional.
  • BAI06 – Gerenciar Mudanças.
  • BAI07 – Gerenciar Aceitação e Transição da Mudança.
  • BAI08 – Gerenciar Conhecimento.
  • BAI09 – Gerenciar Ativos.
  • BAI10 – Gerenciar Configuração.
Entregar, Servir e Suportar (DSS)

Esse domínio se refere à entrega de todos os serviços de TI que são necessários para atender os planos táticos e estratégicos da organização. Os processos desse domínio são:

  • DSS01 – Gerenciar Operações.
  • DSS02 – Gerenciar Solicitações e Incidentes de Serviços.
  • DSS03 – Gerenciar Problemas.
  • DSS04 – Gerenciar Continuidade.
  • DSS05 – Gerenciar Serviços de Segurança.
  • DSS06 – Gerenciar Controles do Processo de Negócio.
Monitorar, Avaliar e Analisar (MEA)

Esse domínio tem como principal objetivo o de monitoramento de desempenho dos processos de TI no qual será avaliado se a execução dos processos está em conformidade com os objetivos e requisitos da organização. Os processos desse domínio são:

  • MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade.
  • MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno.
  • MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos.

A NBR ISO 38500

A NBR ISO/IEC 38500 e o COBIT são as normas mais utilizadas para Governança de TI. Os dois modelos oferecem excelentes medidas para que uma instituição possa organizar a sua TI de forma eficiente.

A norma ISO 38500 oferece todas as informações necessárias para que os membros responsáveis pela governança (diretores, alta gestão, consultores e outros) possam fazer uso da tecnologia de modo aceitável e eficaz.

Objetivos da ISO 38500

O principal objetivo da norma ISO 38500 é oferecer uma estrutura de princípios básicos para que a diretoria e a alta gestão possam gerenciar e monitorar o uso de tecnologia da informação em sua organização.

Comentário

Atualmente, a TI é uma ferramenta fundamental para as organizações e praticamente nenhuma organização pode realmente funcionar de forma eficaz sem ela.

A norma ISO 38500 oferece uma estrutura para que as organizações façam uso eficiente de sua governança de TI, pois as organizações a partir do uso desta norma irão entender e cumprir suas obrigações legais e regulamentares, assim como questões éticas com relação ao uso da TI.

Quais são os 6 princípios básicos para uma boa Governança de TI?

A norma ISO 38500 define 6 princípios básicos para a aplicação de uma Governança de TI eficiente, sendo eles (ISO/IEC 38500, 2020):

Responsabilidade:

Todos os colaboradores e grupos da organização devem entender e aceitar devidamente suas responsabilidades para que a TI seja fornecida de forma eficiente. Todos os colaboradores responsáveis pelas ações devem possuir a autoridade necessária para que as ações possam ser executadas.

Estratégia:

A estratégia de negócio da organização deve levar em conta a sua capacidade atual e futura de TI, assim como todo o planejamento estratégico que atenda suas necessidades atuais e contínuas.

Aquisições:

Todas as aquisições de TI deverão ser realizadas por motivos claros, com uma base aprofundada e análise transparente de todas as decisões. Deverá existir um equilíbrio entre os benefícios, oportunidades, custos e riscos.

Desempenho:

O desempenho da TI deve ser adequado e eficiente de modo a suportar todas as necessidades da organização e os serviços devem ser disponibilizados de forma eficiente a níveis adequados de qualidade.

Conformidade:

A TI deverá se encontrar em total conformidade com a legislação e todos os tipos de regulamentos aplicáveis. As políticas e demais práticas deverão estar claramente definidas.

Comportamento humano:

Todas as políticas, práticas e decisões de TI estão relacionadas ao comportamento humano, incluindo as necessidades atuais e a evolução das necessidades de todas as pessoas envolvidas neste processo.

Quais são as 3 tarefas recomendadas pela norma ISO 38500?

A norma ISO 38500 recomenda aos responsáveis pela organização que a TI seja governada através das seguintes tarefas:

  • Avaliar o uso atual e futuro da TI.
  • Orientar a preparação e a implementação de todos os planos e políticas necessárias de modo a garantir que os objetivos de negócio sejam atingidos através do uso eficiente da TI.
  • Monitorar o cumprimento de todas as políticas aplicadas e do desempenho em relação ao que foi planejado.

O TOGAF

O TOGAF – The Open Group Architecture Framework reúne um conjunto de boas práticas (framework) que fornece uma abordagem global ao projeto (design), planejamento, implementação e governança de uma arquitetura corporativa (EA).

Objetivos do TOGAF

O principal objetivo do TOGAF é oferecer um conjunto de arquitetura base que permite que a equipe de arquitetura vislumbre o estado atual e futuro da organização. O TOGAF é baseado no TAFIM (Framework de arquitetura técnica para gerenciamento de informações), que define uma estrutura de gerenciamento de TI que foi desenvolvida pelo departamento de defesa dos EUA na década de 90 que é considerada um modelo de referência para a arquitetura corporativa.

Os domínios do TOGAF

A arquitetura corporativa (EA) do TOGAF basicamente é modelada em quatro níveis ou domínios, sendo eles (OPEN GROUP, 2020):

Clique nas barras para ver as informações. Objeto com interação.
Arquitetura de Negócio

Esse domínio é responsável por definir a estratégia do negócio e os processos chave de negócio da organização.

Arquitetura de Aplicações

Esse domínio define a “planta” para a implementação de sistemas de aplicações individuais, suas interações e seus relacionamentos com os processos de negócio centrais da organização.

Arquitetura de Dados

Esse domínio define a estrutura lógica e física de todos os ativos de uma organização e todos seus recursos de gerenciamento de dados.

Arquitetura de Infraestrutura tecnológica

Esse domínio define as capacidades lógicas de hardware e software que são necessárias para que se dê o suporte necessário ao emprego dos serviços de negócio, dados e aplicações. Ele também inclui toda a infraestrutura de TI, redes de comunicação, servidores, protocolos de comunicação, padrões de processamento etc.

Benefícios do TOGAF

O TOGAF ajuda a instituição a organizar seu processo de desenvolvimento por meio de uma abordagem sistemática, que é totalmente focada na Governança de TI e no cumprimento dos objetivos de negócio, e que tem como principal objetivo o de reduzir falhas, manter cronogramas e garantir o alinhamento da TI com a área de negócio de modo a gerar resultados com qualidade e alinhados a estratégia da organização.

O TOGAF se destina principalmente a (OPEN GROUP, 2020):

  • Garantir que todos da organização falem o mesmo idioma.
  • Padronizar métodos abertos para a arquitetura corporativa de modo a evitar que a organização fique presa a soluções proprietárias.
  • Utilizar todos os recursos de forma eficaz, economizando tempo e reduzindo custos.
  • Permitir um retorno sobre o investimento (ROI – Return on investment) demonstrável.

O TOGAF permite criar uma abordagem sistemática que visa a simplificar todo o processo de desenvolvimento da organização. É criada uma linguagem comum na organização que preenche lacunas existentes entre a área de TI e a área de negócio.

O TOGAF é um documento bem extenso e totalmente flexível de modo que a organização pode escolher quais partes do TOGAF serão utilizadas de forma a atender as suas necessidades de negócio.

Principal característica do TOGAF

A principal característica do TOGAF, além do fato de ser um framework aberto, é a disponibilização de uma metodologia amplamente customizável que tem como objetivo orientar todos os esforços de arquitetura da organização. O coração do TOGAF é o ADM – Architecture Development Method que possui as seguintes fases:

Fase Preliminar:

Nessa fase iniciam-se os trabalhos da arquitetura corporativa em que será definida a equipe de arquitetura e o método de trabalho.


Fase A – Visão da Arquitetura:

Fase que corresponde ao planejamento do projeto de arquitetura corporativa a ser executado. Será estabelecida a visão de como deverá ser a arquitetura de modo a atender a estratégia e as necessidades de negócio da organização.


Fase B – Arquitetura de Negócio:

Fase na qual serão documentados o estado atual e futuro de todos os processos de negócio da organização.


Fase C – Arquitetura de Sistemas de Informação:

Nessa fase serão identificados todos os sistemas de informação e dados necessários para atender aos processos de negócio documentados na fase anterior.


Fase D – Arquitetura de Tecnologia:

Essa fase tem como objetivo documentar todas as necessidades futuras da organização em termos de infraestrutura tecnológica de modo a atender as necessidades da fase anterior.


Fases E e F – Oportunidades e Soluções e Planejamento da Migração:

Nessas duas fases serão consolidados todos os pontos de melhoria das fases B, C e D de modo a criar um portfólio de projetos para atingir a arquitetura corporativa desejada pela organização.


Fase G – Governança da Implementação:

Fase na qual serão realizadas revisões de conformidade e auditorias no portfólio de projetos de modo a garantir que tudo esteja sendo executado conforme a arquitetura corporativa proposta.


Fase H – Gestão de Mudanças na Arquitetura:

Fase responsável pelo acompanhamento diário de modo a garantir que a arquitetura implantada na fase G esteja alinhada com a estratégia da organização. Grandes mudanças identificadas devido a mudanças no ambiente de negócios e da estratégia da organização poderão impactar em uma nova execução de todo o ciclo do ADM.

No vídeo abaixo, veja um breve resumo sobre COBIT, ISO 38500 e TOGAF.

Verificando o aprendizado

ATENÇÃO!

Para desbloquear o próximo módulo, é necessário que você responda corretamente a uma das seguintes questões:

O conteúdo ainda não acabou.

Clique aqui e retorne para saber como desbloquear.

MÓDULO 2


Estabelecer a governança de processo com uso do BABOK e BPM CBOK

O Guia BABOK

O BABOK – Guia para o Corpo de Conhecimento da Análise de Negócios ou A Guide to the Business Analysis Body of Knowledge define um padrão para a prática de análise de negócios, sendo globalmente reconhecido.

O Guia BABOK descreve todas as áreas de conhecimento, atividades, tarefas e habilidades necessárias para que se faça uma análise de negócios eficiente dentro de uma organização.

Objetivos do BABOK

O principal objetivo do BABOK é definir um excelente padrão que serve como apoio para que todos os analistas de negócio possam entregar valor para suas organizações, estando essa prática totalmente aderente as boas práticas de Governança de TI.

Os principais benefícios do BABOK

A utilização de um guia como o BABOK, que define um conjunto de práticas padronizado e globalmente reconhecido, permite que a área de negócio e todos aqueles que trabalham dentro da organização com análise de negócios gerem resultados com excelência através do uso de um vocabulário comum e de boas práticas de mercado.

Ao se utilizar o BABOK, a organização irá usufruir dos seguintes benefícios:

  • Maior assertividade na identificação de problemas.
  • Maior eficiência no trabalho de análise de negócios.
  • Utilização de técnicas modernas e efetivas no trabalho de análise de negócios.
  • Maior motivação por estar utilizando um padrão globalmente reconhecido.
  • Busca constante pela excelência na atividade de análise de negócios.
  • Maior reconhecimento pelo cliente.
  • Maior competitividade em relação aos concorrentes que não fazem uso deste padrão globalmente reconhecido.
  • Entregas de valor com o máximo de qualidade e aderência a estratégia da organização.

As premissas do BABOK

Para que as práticas do BABOK sejam executadas com o máximo de eficiência, as seguintes premissas devem ser atendidas:

Clique nas setas para ver o conteúdo. Objeto com interação.

O processo de análise de negócios não é sobre a TI da organização:

O processo de análise de negócios é sobre encontrar problemas nos processos da organização, identificar pontos de melhoria e propor soluções otimizadas nos mais diferentes níveis da organização.

O processo de análise de negócios não pode nem deve ser somente executado por Analistas de Negócio:

A alta gestão da organização e todos aqueles que identificarem problemas nos processos e o que pode ser melhorado e otimizado também devem fazer a análise de negócio.

O processo de análise de negócios não é somente uma disciplina:

A análise de negócios não deve ser vista somente como uma disciplina ou um simples papel dentro da organização. A análise de negócios deve ser vista como um mindset, ou seja, uma forma diferente de pensar, uma forma de procurar enxergar além e de forma estratégica, uma forma de ter uma visão de futuro e aonde a organização pretende chegar.

Como está organizado o BABOK

O BABOK está organizado em 6 grandes áreas de conhecimento, 1 capítulo das competências fundamentais, 1 capítulo sobre as técnicas que devem ser utilizadas e 1 capítulo sobre as perspectivas.

As áreas de conhecimento do BABOK são:

Clique nas barras para ver as informações. Objeto com interação.
Planejamento e monitoramento da análise de negócios

Todas as atividades desta área de conhecimento serão responsáveis por governar a execução das demais tarefas da análise de negócios. As principais atividades desta área são:

  • Identificação das partes interessadas (Stakeholders).
  • Definição dos papéis e responsabilidades dos Stakeholders dentro do esforço da atividade de análise de negócios.
  • Desenvolvimento de estimativas para todas as atividades de análise de negócios.
  • Criação do plano de comunicação entre os analistas de negócios e Stakeholders.
  • Planejamento da forma como os requisitos serão priorizados e tratados.
  • Definição de todos os entregáveis (deliverables) que serão efetivamente produzidos e entregues pelos analistas de negócios.
  • Definição e determinação de todos os processos da análise de negócios.
  • Determinação das métricas que devem ser utilizadas para se monitorar o trabalho da análise de negócios.
Elicitação

Define as atividades que os analistas de negócio terão que desempenhar para que as necessidades dos Stakeholders sejam compreendidas

As tarefas desta área basicamente são:

  • Preparação das atividades.
  • Condução das atividades.
  • Documentação das necessidades.
  • Confirmação dos resultados produzidos na elicitação.
Gerenciamento e comunicação dos requisitos

O objetivo desta área é garantir que a comunicação dos requisitos e o gerenciamento serão realizados de forma eficiente. Todas as partes interessadas deverão compreender os impactos na organização que irão ocorrer devido a mudanças e otimizações geradas pelas soluções propostas. As tarefas desta área são:

  • Gerenciamento do escopo e dos requisitos da solução.
  • Gerenciamento da rastreabilidade dos requisitos.
  • Manutenção dos requisitos que terão reuso.
  • Preparação do pacote de requisitos.
  • Comunicação sobre os requisitos.
Análise corporativa

Essa área basicamente é um ponto de início para uma nova iniciativa, pois suas atividades incluem a identificação da necessidade de negócio, problemas, oportunidades e o investimento necessário para a entrega das soluções. As tarefas desta área são:

  • Definição da necessidade do negócio.
  • Avaliação da capacidade necessária para a organização atender à necessidade do negócio.
  • Determinação da abordagem da solução.
  • Definição do escopo da solução.
  • Definição do plano de negócios.
Análise de requisitos

Área a qual descreve como os requisitos devem ser priorizados e levantados junto aos Stakeholders de modo que a solução proposta atenda às necessidades de negócio e à estratégia da organização. As tarefas desta área são:

  • Priorização de requisitos.
  • Organização dos requisitos.
  • Especificação e modelagem dos requisitos.
  • Definição dos pressupostos e das restrições dos requisitos.
  • Verificação dos requisitos.
  • Validação dos requisitos.
Definição e validação da solução proposta

Área responsável por determinar qual solução se encaixa melhor na necessidade de negócio da organização, pois durante todo o processo, os analistas de negócio poderão identificar diferentes soluções a serem propostas. As tarefas desta área são:

  • Avaliação da solução proposta.
  • Alocação dos requisitos.
  • Avaliação da prontidão organizacional.
  • Definição dos requisitos de transição.
  • Validação da solução proposta.
  • Avaliação do desempenho da solução proposta.

O Guia BPM CBOK

O Guia para o Gerenciamento de Processos – Corpo Comum de Conhecimento (BPM CBOK) ou Guide to the Business Process Management Common Body of Knowledge possui 9 áreas de conhecimento para sustentação e habilitação em BPM com o objetivo de apoiar profissionais de gerenciamento de processos de negócio através de uma visão das melhores práticas e lições aprendidas da ABPMP – Association of Business Process Management Professionals.

Objetivos do BPM CBOK

O principal objetivo do Guia BPM CBOK é fornecer um documento de referência básico para todos os profissionais de gerenciamento de processos de negócio.

O Guia identifica e fornece uma visão geral das áreas de conhecimento que são normalmente reconhecidas e aceitas como boas práticas (ABPMP-BR, 2020).

As áreas de conhecimento do BPM CBOK

O BPM CBOK é organizado em 9 áreas de conhecimento sobre duas perspectivas: organizacional e de processo.

Na perspectiva de processo as áreas de conhecimento são:

Gerenciamento de processos de negócio:

Área de conhecimento que focará nas definições chave dos processos, do processo de ponta a ponta, o que gera valor para o cliente, tipos de processos existentes, qual o ciclo de vida de BPM, capacidades e fatores chave de sucesso.

Modelagem de processos:

Área de conhecimento que inclui um conjunto de habilidades e técnicas que permitirão que todos os envolvidos na organização formalizem e comuniquem os principais componentes de negócio. Esta área fornecerá uma visão geral e definições-chave destas técnicas e habilidades (skills).

Análise de processos:

Área de conhecimento que envolverá a compreensão de todos os processos de negócio, incluindo a eficácia do atendimento dos objetivos para os quais os processos foram projetados. O foco desta área é entender como são os atuais processos de negócio — AS-IS.

Desenho de processos:

Área de conhecimento que é responsável pela concepção de novos processos de negócio e a especificação de como os processos funcionarão, como serão medidos, controlados e gerenciados. O foco desta área é a criação de um modelo de futuro dos processos de negócio — TO-BE.

Gerenciamento de desempenho de processos:

Área de conhecimento que é responsável pelo monitoramento formal e planejado da execução de processos e acompanhamento do desempenho com o objetivo de identificar o quanto são eficazes os processos de negócio.

Transformação de processos:

Área de conhecimento que é responsável pelas mudanças nos processos de negócio. Serão discutidas abordagens de melhoria, de redesenho de processos, reengenharia e mudanças de paradigma. Esta área é a chave para o sucesso de transformação em muitas organizações.

Tecnologias de BPM:

Área de conhecimento que é responsável pela discussão de tecnologias que servirão para apoiar a modelagem, análise dos processos, desenho dos processos, execução e monitoramento dos processos de negócio.

Na perspectiva organizacional as áreas de conhecimento são:

Gerenciamento corporativo de processos:

Área de conhecimento que se focará na necessidade de maximizar resultados de processos para garantir que as estratégias de negócio estejam devidamente alinhadas com a estratégia do cliente e das demais partes interessadas da organização.

Organização do gerenciamento de processos:

Área de conhecimento que se focará no endereçamento de papéis, responsabilidades e de toda estrutura organizacional de modo a fornecer suporte a organizações orientadas por processos.

No vídeo abaixo, veja um breve resumo sobre BABOK e BPM CBOK.

Verificando o aprendizado

ATENÇÃO!

Para desbloquear o próximo módulo, é necessário que você responda corretamente a uma das seguintes questões:

O conteúdo ainda não acabou.

Clique aqui e retorne para saber como desbloquear.

MÓDULO 3


Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM

O Guia PMBOK

O PMBOK – Guia do Conhecimento em Gerenciamento de Projetos ou Project Management Body of Knowledge foi criado pelo PMI – Instituto de Gerenciamento de Projetos e reúne as melhores práticas em gerenciamento de projetos.

Os cinco grupos de processos do PMBOK

Os cinco grupos essenciais de processos reconhecidos pelo PMBOK são: iniciação, planejamento, execução, monitoramento e controle e encerramento.

Os processos de iniciação do PMBOK

Este grupo de processo é composto por dois processos que são responsáveis pela iniciação de um projeto, são eles:

Desenvolver o termo de abertura do projeto:

O termo de abertura ou o Project Charter é o documento responsável pela oficialização do início de um projeto.

Identificar as partes interessadas

Processo que é responsável pela identificação das partes interessadas do projeto, os Stakeholders.

Os processos de planejamento do PMBOK

Este grupo de processo é responsável por todos os processos de planejamento do projeto. É o grupo que mais possui processos, sendo 24 no total:

  • Desenvolver o plano de gerenciamento do projeto: Processo que é responsável pela criação do plano de projeto que vai detalhar como o projeto será gerenciado.
  • Planejar o gerenciamento do escopo: Processo que é responsável pela definição de como o escopo do projeto será gerenciado.
  • Coletar requisitos: Processo que é responsável por definir como os requisitos do projeto deverão ser coletados.
  • Definir o escopo: Processo que é responsável por detalhar como o escopo do projeto será definido.
  • Criar a Estrutura Analítica do Projeto (EAP): Processo que é responsável pela criação da estrutura analítica do projeto (EAP) que conterá todos os entregáveis do projeto.
  • Planejar o gerenciamento do cronograma: Processo que é responsável por definir como o cronograma do projeto será gerenciado.
  • Definir as atividades: Processo que é responsável pela definição de todas as atividades necessárias para a execução do projeto.
  • Sequenciar as atividades: Processo que é responsável pelo sequenciamento de todas as atividades do projeto, ou seja, qual a ordem de execução das atividades.
  • Estimar a duração das atividades: Processo que é responsável pela estimativa da duração de todas as atividades do projeto.
  • Desenvolver o cronograma: Processo que é responsável pelo desenvolvimento do cronograma do projeto.
  • Planejar o gerenciamento de custos: Processo que é responsável pela definição de como os custos do projeto serão gerenciados.
  • Estimar os custos: Processo que é responsável pela estimativa de todos os custos necessários para a execução do projeto.
  • Determinar o orçamento: Processo que é responsável por determinar o orçamento necessário para a execução do projeto.
  • Planejar o gerenciamento da qualidade: Processo que é responsável pela definição de como a qualidade do projeto será planejada.
  • Planejar o gerenciamento de recursos: Processo que é responsável pela definição de como os recursos do projeto serão gerenciados.
  • Estimar os recursos das atividades: Processo que é responsável pela estimativa de todos os recursos necessários para a execução das atividades planejadas para o projeto.
  • Planejar o gerenciamento da comunicação: Processo que é responsável pela definição de como o plano de comunicação do projeto será gerenciado.
  • Planejar o gerenciamento de riscos: Processo que é responsável pelo planejamento e gerenciamento de todos os riscos do projeto.
  • Identificar riscos: Processo que é responsável pela definição de ações e técnicas que possuem como principal objetivo a identificação precisa de riscos do projeto.
  • Executar a análise qualitativa dos riscos: Processo que é responsável pela análise qualitativa dos riscos identificados do projeto.
  • Executar a análise quantitativa dos riscos: Processo que é responsável pela análise quantitativa dos riscos identificados do projeto.
  • Planejar respostas aos riscos: Processo que é responsável por planejar todas respostas aos riscos identificados do projeto.
  • Planejar o gerenciamento de aquisições: Processo que é responsável por planejar como o gerenciamento de aquisições deverá ser realizado no projeto.
  • Planejar o gerenciamento das partes interessadas: Processo que é responsável pelo gerenciamento das partes interessadas, ou seja, dos Stakeholders.

Os processos de execução do PMBOK

Este grupo de processo é responsável por todos os processos de execução do projeto. O grupo é composto por 10 processos, sendo eles:

Dirigir e gerenciar o trabalho do projeto:

Processo que é responsável por garantir que toda a execução estará conforme o plano de projeto.

Gerenciar o conhecimento do projeto:

Processo que é responsável pela gestão do conhecimento do projeto.

Gerenciar a qualidade do projeto:

Processo que é responsável por garantir que a qualidade do projeto esteja conforme o que foi planejado no plano de garantia da qualidade.

Alocar recursos no projeto:

Processo que é responsável pela alocação de recursos no projeto.

Desenvolver o time do projeto:

Processo que é responsável pelo desenvolvimento do time do projeto, ou seja, pelo acompanhamento efetivo de toda equipe, das habilidades do time e de seu desempenho.

Gerenciar o time do projeto:

Processo que é responsável pelo gerenciamento do time do projeto.

Gerenciar a comunicação do projeto:

Processo que é responsável por garantir que a comunicação esteja efetiva e de acordo com o planejado no plano de comunicação do projeto.

Implementar respostas aos riscos do projeto:

Processo que é responsável pela implementação de todas respostas aos riscos do projeto conforme o plano de gerenciamento de riscos.

Conduzir as aquisições do projeto:

Processo que é responsável pela condução de todas as aquisições necessárias para a execução do projeto.

Gerenciar o engajamento das partes interessadas

Processo que é responsável por garantir que todas as partes interessadas estejam engajadas no projeto de modo a garantir o seu sucesso.

Os processos de monitoramento e controle do PMBOK

Este grupo de processo é responsável por todos os processos inerentes ao monitoramento e controle do projeto. O grupo é composto por 12 processos, sendo eles:

Monitorar e controlar o trabalho do projeto:

Processo que é responsável pelo monitoramento e controle do projeto.

Executar o controle integrado de mudanças

Processo que é responsável pelo controle integrado de mudanças do projeto.

Validar o escopo:

Processo que é responsável pela validação do escopo do projeto.

Controlar o escopo:

Processo que é responsável pelo controle do escopo do projeto.

Controlar o cronograma:

Processo que é responsável pelo controle do cronograma do projeto.

Controlar os custos:

Processo que é responsável pelo controle de custos do projeto.

Controlar a qualidade:

Processo que é responsável pelo controle de qualidade do projeto.

Controlar os recursos:

Processo que é responsável pelo controle dos recursos (físicos, humanos, etc) do projeto.

Monitorar a comunicação:

Processo que é responsável pelo monitoramento da comunicação do projeto.

Monitorar os riscos:

Processo que é responsável pelo monitoramento de riscos do projeto.

Controlar as aquisições:

Processo que é responsável pelo controle de aquisições do projeto.

Monitorar o engajamento das partes interessadas:

Processo que é responsável pelo monitoramento das partes interessadas do projeto.

Os processos de encerramento do PMBOK

Este grupo é responsável pelo processo de encerramento do projeto. O grupo é composto somente pelo seguinte processo:

  • Encerrar o projeto ou fase: Processo que é responsável por todas as atividades de encerramento do projeto ou de uma fase do projeto.

O PRINCE2

O PRINCE2 – Projetos em Ambientes Controlados ou Projects in Controlled Environments é uma metodologia de gerenciamento de projetos criada e utilizada pelo governo britânico há um bom tempo. O grupo responsável pela manutenção do PRINCE2 é o OGC – Office of Government Commerce e todos seus direitos autorais pertencem à coroa britânica.

Comentário

Atualmente, a metodologia PRINCE2 é utilizada em diversos países do mundo e a sua adoção em projetos tem crescido de forma constante.

Como está estruturado o PRINCE2

A metodologia de gerenciamento de projetos PRINCE2 está organizada em 7 princípios, 7 temas e 7 processos.

Os princípios do PRINCE2

Os princípios que determinam o que deve ser acordado e verificado em um projeto são:

Justificativa contínua do negócio:

Um projeto PRINCE2 necessita possuir uma justificação de negócio contínua, ou seja, deve existir uma razão justificável para que se inicie o projeto, e esta justificativa deve se manter do início ao fim do projeto. A justificativa do projeto é documentada em forma de Caso de Negócio ou Business Case.

Aprender com a experiência:

Todas as equipes de projetos gerenciados através da metodologia PRINCE2 aprenderão com a sua própria experiência, ou seja, a partir de lições aprendidas que devem ser documentadas em uma base de conhecimento que servirá para a tomada de decisão em todos os projetos.

Papéis e responsabilidades bem definidos:

Em um projeto PRINCE2, haverá papéis e responsabilidades bem definidos na estrutura organizacional, envolvendo interesses da área de negócio, da diretoria, da alta gestão e das demais partes interessadas da organização.

Gerenciar por estágios:

Um projeto PRINCE2 é planejado, monitorado e controlado por estágios. Organizar o projeto em estágios menores permitirá maior gestão sobre o projeto, porém o esforço de gestão será maior considerando que todo o planejamento será realizado através de um nível de detalhamento mais gerenciável. Ao final de cada estágio, existirão pontos de controle em que a situação do projeto será avaliada, inclusive a própria continuidade do projeto.

Gerenciar por exceção:

Um projeto PRINCE2 terá tolerâncias definidas para cada objetivo do projeto para que seja estabelecido os limites de autoridade delegados. A área de governança que será responsável por definir as responsabilidades que direcionam o gerenciamento e entrega do projeto. As tolerâncias são em relação a 6 objetivos descritos no plano de projeto: tempo, risco, benefício, escopo, qualidade e custo.

Foco em produtos:

Um projeto PRINCE2 concentrará seu foco na definição e entrega de produtos, especificamente no que diz respeito aos requisitos de qualidade.

Adequar ao ambiente do projeto:

A metodologia PRINCE2 se adaptará ao ambiente do projeto, ou seja, será totalmente adaptada ao tamanho, complexidade, importância, capacidade e risco do projeto.

Os temas do PRINCE2

Os temas do PRINCE2 são os seguintes

Clique nas barras para ver as informações. Objeto com interação.
Business Case

É o documento que justifica a necessidade do projeto com análise de mercado, custo benefício e retorno sobre o investimento justificável, por exemplo.

Organização

E definido “Quem” irá realizar o trabalho do projeto, ou seja, a descrição de todos os papéis e responsabilidades de gestão do projeto, assim como a distribuição de todo o trabalho entre os gerentes de projeto.

Qualidade

É definido “O quê”, ou seja, para qual objetivo o projeto foi criado. Deve ser assegurado que as expectativas do negócio sejam atendidas e que sejam alcançados os benefícios propostos.

Planos

Tem como principal objetivo responder as seguintes questões: “Como?”, “Quanto?” e “Quando?” o projeto será realizado de modo a facilitar todo o processo de comunicação e controle pelas quais serão definidas todas as entregas do projeto.

Risco

Tem como principal objetivo o de identificar todos os riscos que possam impactar de forma negativa (ameaças) e de forma positiva (oportunidades) no projeto. Os gerentes de projeto deverão gerenciar todas as incertezas do projeto evitando que a concretização dos principais objetivos do projeto seja ameaçada pelos riscos negativos.

Mudanças

Tem como principal objetivo identificar todos os possíveis impactos gerados por uma possível mudança no projeto. Todas as mudanças deverão ser avaliadas, controladas e devidamente aprovadas.

Progresso

Tem como principal objetivo o de responder “Onde o projeto se encontra?”, “Para onde o projeto está indo” e se “O projeto deve continuar”. Todas estas questões irão justificar o processo de tomada de decisões e a aprovação dos planos com base no monitoramento de desempenho do projeto.

Os processos do PRINCE2

Os processos do PRINCE2 são os seguintes:

Direcionando o projeto:

O comitê diretor do projeto deverá definir a direção do projeto e também tomará todas as decisões importantes ao longo da vida do projeto.

Iniciando o projeto (Pré-Projeto):

Neste momento, será avaliada a ideia e a necessidade real do projeto, os objetivos de negócio do projeto e todas questões referentes à viabilidade de se iniciar o projeto.

Iniciando o projeto:

Após a definição de sua viabilidade, o projeto deverá ser efetivamente iniciado e planejado em detalhes, todas as definições de estratégia do projeto deverão ser tomadas, o desenvolvimento do Business Case de forma completa, a comunicação dos principais benefícios etc.

Controlando um estágio:

Processo responsável pelo controle detalhado do estágio do projeto no qual o gerente do projeto deverá garantir que o progresso do projeto esteja conforme o que foi planejado e dentro das metas de desempenho.

Gerenciando a entrega do produto:

Processo responsável por garantir que o produto entregue esteja de acordo com o que foi planejado no projeto, conforme o que foi definido no Business Case e de acordo com as expectativas do cliente e das demais partes interessadas.

Gerenciando um limite de estágio:

Processo responsável por garantir qual o limite do estágio do projeto, ou seja, de forma a garantir que os limites definidos para cada estágio do projeto sejam respeitados.

Encerrando um projeto:

Processo responsável por todas as atividades necessárias para o encerramento do projeto.


O SCRUM

O scrum é um framework utilizado para o gerenciamento de projetos e desenvolvimento ágil de software. No scrum, os projetos são tipicamente divididos em ciclos menores chamados de sprints e com duração de 1 a 4 semanas.

Dica

Uma sprint representa um time box que basicamente define um tempo para que um conjunto de atividades possa ser executado de modo que ocorra uma entrega ao final de cada ciclo.

SCRUM Vs. Método Tradicional

O scrum é considerado um dos frameworks mais utilizados para o gerenciamento de projetos ágeis, sendo uma abordagem ao método tradicional de gerenciamento de projetos que se baseava no modelo cascata ou waterfall e que consistia basicamente em ciclos com grande duração e com diversas etapas.

Waterfall

No modelo waterfall, as etapas possuem grande duração e cada uma só pode iniciar após a conclusão da etapa anterior. Já as entregas, geralmente, ocorrem somente ao final de cada etapa.

Scrum

O scrum permite entregas e validações mais rápidas ao longo de todo o ciclo de vida do projeto.

O Manifesto Ágil

O scrum segue as diretrizes do manifesto ágil que surgiu em 2001 e que é composto pelos seguintes valores:

  • Indivíduos e interações – mais que processos e ferramentas.
  • Software em funcionamento – mais que documentação abrangente.
  • Colaboração com o cliente – mais que negociação de contratos.
  • Resposta a mudanças – mais que seguir um plano.

O ciclo de vida do SCRUM

A figura a seguir apresenta um exemplo de um ciclo de vida de uma sprint no scrum, que basicamente terá duração de 1 a 4 semanas:

Durante a execução do ciclo de vida da sprint, vários papéis interagem para que a entrega possa ser realizada com sucesso ao final do ciclo, sendo os principais papéis:

  • Product Owner (PO): É o dono do produto tendo como principal responsabilidade a definição do Backlog do Produto ou o Product backlog.
  • Equipe: Equipe scrum, geralmente um time pequeno, responsável pela entrega.
  • Scrum Master: Atua como um líder dentro do time scrum.

Os principais eventos presentes em um ciclo de vida da sprint são:

Reunião de planejamento:

A reunião de planejamento ou reunião de planning é responsável pelo planejamento do que será trabalhado dentro da sprint conforme a capacidade de entrega do time scrum.

Reunião diária:

Reunião rápida de 15min que deverá ocorrer todos os dias da sprint após a reunião de planning. Todos integrantes da equipe devem responder ao mínimo as seguintes questões: “O que eu fiz ontem”, “O que eu estou fazendo hoje” e “Se há algum tipo de impedimento”.

Reunião de revisão:

É a reunião de entrega da sprint na qual todos os integrantes do time e apresmntarão os resultados da sprint para o PO e cliente.

Reunião de retrospectiva:

É a reunião de lições aprendidas que deverá ocorrer sempre ao final da sprint e antes de iniciar a sprint seguinte. Serão discutidos pontos positivos, pontos negativos e quais são os pontos de melhoria para as próximas sprints.

Os principais produtos de trabalho (artefatos) presentes em um ciclo de vida da sprint são:

Product backlog:

É o backlog do produto que conterá uma lista de todos os requisitos priorizados pelo PO e que deverão ser trabalhados dentro das sprints.


Sprint backlog

É o backlog da sprint, ou seja, quais requisitos foram selecionados do backlog do produto para serem trabalhados dentro da sprint.


Entrega

É a entrega (incremento da sprint) do software funcionando que será realizada ao final da sprint conforme planejado.


Histórias de usuário:

Uma história de usuário ou user story é considerada a menor unidade de trabalho dentro do ciclo de vida da sprint. Uma user story conterá o detalhamento necessário para que o requisito possa ser desenvolvido pelo time scrum


Planning poker

Técnica que consiste basicamente no uso de cartas de baralho com o objetivo de estimar o esforço das user stories que serão trabalhadas pelo time scrum. Basicamente a estimava será realizada em pontos que poderão ser convertidos em horas de trabalho de modo a facilitar a gestão do projeto.

No vídeo abaixo, veja um breve resumo sobre PMBOK, PRINCE2 e SCRUM.

Verificando o aprendizado

ATENÇÃO!

Para desbloquear o próximo módulo, é necessário que você responda corretamente a uma das seguintes questões:

O conteúdo ainda não acabou.

Clique aqui e retorne para saber como desbloquear.

MÓDULO 4


Identificar o funcionamento da governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014

A NBR ISO 27001

A NBR ISO/IEC 27001 é uma norma internacional de gestão da segurança da informação. É a principal norma que uma organização eficaz deve utilizar para obter a certificação empresarial em gestão da segurança da informação.

Este tipo de certificação atesta que a organização atende a todos os requisitos de segurança da informação, sendo extremamente importante para qualificar a empresa e para torná-la mais competitiva no mercado frente a sua concorrência.

Objetivos da ISO 27001

O principal objetivo da norma ISO 27001 é implementar um conjunto de requisitos, processos e controles, que visam uma gestão eficaz de todos os riscos de segurança da informação existentes dentro de uma organização.

Você sabia

A norma foi elaborada por diversos especialistas da área com toda sua experiência para que seja estabelecido um padrão de alto grau de maturidade de gestão de segurança da informação.

Benefícios da implementação da ISO 27001

São diversos os benefícios que uma organização terá ao implementar a ISO 27001. Dentre os principais benefícios podemos citar:

  • A adoção das melhores práticas de mercado.
  • Conformidade com todas as leis e requisitos contratuais.
  • Redução significante de riscos.
  • Redução dos custos.
  • Vantagem competitiva frente à concorrência.
  • A organização estará mais organizada internamente.
  • A implementação de um processo de melhoria contínua na organização.
  • Haverá uma maior integração nos sistemas de gestão da organização.

As premissas para a implementação da ISO 27001

Para que a implementação da ISO 27001 ocorra de forma eficiente dentro de uma organização, as seguintes premissas deverão ser atendidas:

  • A adoção dos requisitos requeridos pela norma.
  • A implementação de políticas requeridas pela norma.
  • A implementação de processos requeridos pela norma.
  • A implementação de procedimentos, controles e práticas requeridos pela norma.

As etapas para a implementação da ISO 27001

O tempo de implementação da ISO 27001 dependerá totalmente da realidade da empresa, do cenário atual onde se encontra a empresa com relação à segurança da informação, da maturidade da empresa, do porte da empresa e principalmente da cultura organizacional.

Sendo assim, as principais etapas de implementação são:

Apoio total e incondicional da diretoria e da alta gestão da organização para que seja realizado um planejamento eficiente de todas as atividades necessárias para a implementação da norma.


Definição correta de todo o escopo necessário para a implementação de um sistema de gestão de segurança da informação.


Definição correta da metodologia de identificação, avaliação e gestão eficaz de riscos.


A elaboração de um plano de gerenciamento de riscos eficaz.


O planejamento e a implementação de programas de treinamentos e conscientização para todos os colaboradores da organização.


A implementação de todos os controles e procedimentos necessários conforme a declaração de aplicabilidade que conterá todos os controles necessários que devem ser utilizados durante todo o processo.


Monitoramento constante e avaliação do sistema de gestão de segurança da informação da organização.


Garantia total de que serão executadas todas as ações definidas pela documentação do sistema de gestão de segurança da informação.


Planejamento e definição de como serão mensurados os níveis de eficácia de todos os controles definidos.


Realização constante de auditorias internas e análises críticas.


Implementações de ações corretivas sempre que for necessário.


A NBR ISO 27002

A NBR ISO/IEC 27002 é a norma mais antiga que trata da gestão da segurança da informação. A norma ISO 27002 trata de um conjunto de práticas através de um documento genérico com a finalidade de um guia para a gestão da segurança da informação, não como uma especificação formal como a norma ISO 27001.

Objetivos da ISO 27002

O principal objetivo da norma ISO 27002 é estabelecer diretrizes e princípios gerais para que se inicie, se implemente, se mantenha e se otimize a gestão de segurança da informação da organização.

Saiba mais

A norma ISO 27002 define um conjunto de 14 cláusulas de controle de segurança e 114 controles de segurança que irão suportar e apoiar de forma efetiva a ISO 27001.

Como está estruturada a ISO 27002

A norma ISO 27002 está estruturada em seções e cada seção possui uma série de controles que poderão ser implementados conforme o porte a necessidade de segurança da organização. Os controles são divididos nas seções abaixo:

  • As políticas de segurança da informação.
  • A forma como a segurança da informação será organizada.
  • A gestão de ativos.
  • A segurança em recursos humanos.
  • A segurança física do ambiente.
  • A gestão das operações e das comunicações.
  • O controle de acesso.
  • A aquisição, o desenvolvimento e a manutenção dos sistemas de informação.
  • A gestão de incidentes da segurança da informação.
  • A gestão da continuidade do negócio.
  • O nível de conformidade.

Benefícios da implementação da ISO 27002

São diversos os benefícios que uma organização terá ao implementar a ISO 27002. Dentre os principais benefícios podemos citar:

  • Aumento na conscientização sobre a segurança da informação.
  • Gestão eficiente sobre os ativos e informações.
  • Abordagem para a implementação eficiente de políticas e controles.
  • Excelente oportunidade para identificar e corrigir os pontos fracos.
  • Redução significante de riscos de responsabilidade pela não implementação de um sistema de gestão de segurança da informação.
  • Aumento na competitividade da organização perante a sua concorrência e clientes que valorizam certificações de segurança.
  • Organização mais efetiva com processos bem documentados.
  • Total conformidade com a legislação e outros tipos de regulamentações que dizem respeito à segurança da informação.
  • Redução significante de custos com a prevenção de incidentes de segurança da informação.

A NBR ISO 27014

A NBR ISO/IEC 27014 é uma norma de segurança da informação que facilita a orientação sobre todos os princípios e conceitos necessários para que se faça uma gestão eficaz da segurança da informação.

Objetivos da ISO 27014

O principal objetivo da norma ISO 27014 é permitir que as organizações possam dirigir, comunicar, avaliar e controlar a segurança da informação que está fortemente relacionada com todas as demais atividades de negócio presentes em uma organização.

Os princípios da ISO 27014

A norma ISO 27014 indica 6 princípios de gestão de segurança da informação, sendo eles:

  • Estabelecer segurança da informação em toda a organização.
  • Seguir um foco totalmente baseado em riscos.
  • Estabelecer a direção das decisões de investimento.
  • Garantir o cumprimento de todos os requisitos internos e externos.
  • Promover um ambiente positivo de segurança.
  • Evidenciar o desempenho pela implementação da segurança da informação em relação aos resultados da organização.

Benefícios da implementação da ISO 27014

São diversos os benefícios que uma organização terá ao implementar a ISO 27014. Dentre os principais benefícios podemos citar:

  • Tornar a organização mais competitiva com relação a sua concorrência e desta forma atraindo mais clientes.
  • Estar em conformidade total com todos os requisitos contratuais e regulamentares.
  • Promover uma gestão eficaz no nível de conselho de segurança da informação.
  • Promover uma gestão eficaz em todos os níveis da organização.
  • Investimentos realizados de forma eficaz em segurança da informação.

Os processos da norma ISO 27014

Conforme a norma ISO 27014, os processos necessários para que se implemente um sistema de gestão de segurança da informação são os seguintes:

Avaliação

Processo que avaliará os resultados finais e previstos dos objetivos de segurança da informação com base nas atividades atuais e nas alterações planejadas pela organização, de modo que os objetivos estratégicos sejam atingidos.


Direção

Neste processo, a direção e a alta gestão da organização informará o direcionamento, os objetivos e a estratégia de segurança da informação que deverá ser implementada na organização.


Monitoração

Este processo permitirá a avaliação por parte da direção e a alta gestão da organização se os objetivos estratégicos planejados foram concretizados com sucesso.


Comunicação

Neste processo será realizada a troca de informações entre a direção, a alta gestão e todas as demais partes interessadas da organização sobre a gestão da segurança da informação.


Garantia

Neste processo deverão ser permitidas auditorias e análises críticas que terão como principal objetivo a identificação e validação dos objetivos e atividades relacionadas com a governança corporativa, de modo que o nível de segurança da informação desejado seja atingido pela organização.

No vídeo abaixo, veja um breve resumo sobre as normas ISO 27001, ISO 27002 e ISO 27014.

Verificando o aprendizado

ATENÇÃO!

Para desbloquear o próximo módulo, é necessário que você responda corretamente a uma das seguintes questões:

O conteúdo ainda não acabou.

Clique aqui e retorne para saber como desbloquear.

Conclusão

Considerações Finais

Estudamos os principais conceitos sobre a arquitetura de TI com a utilização de COBIT, ISO 38500 e TOGAF. Compreendemos a importância de uma governança de processo eficaz com o uso do BABOK e do BPM CBOK. Também reconhecemos como a governança de projetos pode ser eficaz com a aplicação de boas práticas de gerenciamento de projetos através do uso do PMBOK, PRINCE2 e do SCRUM.

Além disso, entendemos como uma organização pode ser eficaz no seu sistema de gestão de segurança da informação através da utilização de normas internacionalmente reconhecidas como as normas ISO 27001, ISO 27002 e ISO 27014.

Podcast

CONQUISTAS

Você atingiu os seguintes objetivos:

Descreveu a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF

Estabeleceu a governança de processo com uso do BABOK e BPM CBOK

Reconheceu a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM

Identificou o funcionamento da governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014