Share on:
Join TodayMy ISACAJoin
Membership
membership HomeProfessional MembershipRecent Graduate Membership Student MembershipMember BenefitsMember DiscountsYoung ProfessionalsPartner Content Featuring MIT’s Center for Information Systems ResearchLocal Chapter Information
CERTIFICATION
certification HomeWhat is CISAWhat is CISMWhat is CGEITWhat is CRISCCISA Exam RegistrationCISM Exam RegistrationCGEIT Exam RegistrationCRISC Exam RegistrationWhy Certify How to Earn CPEMaintain Your CertificationWrite an Exam QuestionUS DoD InformationExam Registration
Education
education HomeCONFERENCESTRAININGONLINE EVENTS North America CACSInteractive Training ToolWebinarsInfosecurity ISACATraining WeekVirtual TrainingEuroCACS/CSX 2020EuroCACS/CSX 2019Exam Review CoursesVirtual SummitAfrica CACSCorporate Training ProgramsGovernance, Risk and ControlOceania CACSCapability Counts ConferenceCERTIFICATION TRAINING & EDUCATIONON-DEMAND LEARNINGCYBERSECURITY AUDIT CERTIFICATE TRAININGISACA CHAPTER EVENTSCOBIT EDUCATIONCall for SpeakersView All EventsSponsorship Opportunities
COBIT
COBIT HomeCOBIT 2019 HomeCOBIT 2019 Publications & ResourcesCOBIT 2019 Training & LearningCOBIT 2019 FAQsCOBIT FocusCOBIT 5 HomeJoin the Conversation
Knowledge & Insights
knowledge & insights Home
Journal
journal HomeCurrent IssueArchivesJournal BlogCPE QuizzesSubmit an ArticleAdvertiseEditorial Calendar
Bookstore
bookstore HomeCloud Access Security Broker (CASB) Audit ProgramCISA Online Review CourseCSX Cybersecurity Fundamentals Study Guide, 2nd EditionCISA Review Questions, Answers & Explanations Database - 12 Month SubscriptionCISA Review Manual, 27th EditionCISM Review Questions, Answers & Explanations Database – 12 Month Subscription
ABOUT
about HomeBylaws and Articles of IncorporationAnnual ReportHistoryWhat We Offer & Whom We Serve@ISACA NewsletterOur Purpose and PromiseLicensing and PromotionPress RoomVolunteeringContact UsAdvocacyCareers at ISACAISACA TV
Search

ISACACOBITCOBIT FocusAdaptação do COBIT 5 e ITIL no município Saudita

Adaptação do COBIT 5 e ITIL no município Saudita

Por Govind Kulkarni, COBIT5, CSQA, ITIL Expert, PMP

COBIT Focus | 25 de maio de 2015 Árabe | Inglês | Francês | Italiano | Espanhol

O município da Arábia Saudita neste estudo de caso é uma instituição que pertence ao governo e que existe há 50 anos. Sua finalidade principal é servir aos cidadãos em sua região.


Alguns dos serviços mais importantes que são prestados aos cidadãos são a saúde, saneamento básico, água, eletricidade, estradas e escolas, entre outros. Esses serviços são providos para 7 milhões de pessoas. Todas as informações relativas à essas 7 milhões de pessoas é gerenciado pelo departamento de TI do município.


Alguns dos serviços de TI do município são usados pelo próprio departamento (ex. ERP e alguns são abertos ao público, como saúde, escolas e polícia). Oferecer bons serviços aos cidadãos é a principal finalidade do município, e as informações têm uma função crucial. A informação pode ser relacionada ao nome dos cidadãos, idade, sexo, educação, saúde, moradia, serviços sanitários, reclamações, elogios e reclamações e etc.


Uma quantidade enorme de informação é criada pelo município e o gerenciamento correto dessas informações, de modo correto, consistente e eficiente é um desafio. Ainda mais, a língua se constitui em mais uma dimensão, considerando que alguns cidadãos precisam das informações e árabe e alguns outros precisam das informações em inglês.
 

Uma quantidade enorme de informação é criada pelo município e o gerenciamento correto dessas informações, de modo correto, consistente e eficiente é um desafio.


O município necessita de uma especial atenção e ter foco no gerenciamento das informações. A indisponibilidade de informações quando é absolutamente necessária, ou informações incorretas mesmo quando estiver disponível, leva frustração ao cidadão e o município não pode aceitar esse risco. A informação é usada por uma lista de serviços que o município provê para usuários e clientes internos e externos.


Contudo, o município escolheu adaptar e implementar um framework de governança corporativa e gerenciamento de serviços para trazer disciplina, estrutura e uma abordagem organizada para o gerenciamento da informação. Neste caso, o município usou tanto o COBIT 5 quanto o ITIL.


Enquanto a implementação do COBIT 5 e do ITIL pelo município da Arábia Saudita ainda está em desenvolvimento e é esperado que ainda mais um ano seja necessário para encerrar o trabalho, este estudo de caso irá discutir como as adaptações do COBIT 5 e ITIL foi iniciado, seus direcionadores, a abordagem usada e os habilitadores focados em como prover lições e detalhes; a abordagem adotada para estabelecer processos; e como a adaptação do COBIT 5 e do ITIL auxiliou alcançar os objetivos de TI do município.


A área de TI do município é chefiada por um CIO. Vários departamentos, como a área de gestão de redes e o PMO, são lideradas por gerentes que se reportam ao CIO. As aplicações de TI são geralmente adquiridas de terceiros.


Existem vários departamentos, como o jurídico e gerenciamento estratégico que usam serviços de TI. Cada departamento requer o tipo correto de informações para criar, editar, modificar, armazenar e arquivar. Ainda, é importante que uma abordagem estruturada baseada em frameworks comprovados como o COBIT e ITIL é adotado.


Direcionamento para a implementação de princípios de governança e gerenciamento de serviços

Os principais direcionamentos para a implementação de um framework de governança e gerenciamento de serviços foram os principais pontos dolorosos, particularmente:

  • Falta de continuidade de negócios
  • Necessidade de disciplinar o gerenciamento de ativos de TI
  • Incidentes graves causando a indisponibilidade de serviços
  • Gerenciamento de segurança e de riscos de TI insuficientes
  • Criação de valor para os stakeholders

Outro principal direcionamento foi derivar o valor de TI. Dinheiro não foi um fator importante. Porque é uma instituição governamental, o único critério a ser observado para os gastos é que os investimentos precisam ser justificados.


Ano após ano, a TI foi bem enraizada. De qualquer modo, determinar a geração de valor de TI foi a principal razão para a implementação desses frameworks. O objetivo foi perceber o retorno sobre o investimento (ROI) de TI. TI também precisou entregar serviços para várias áreas, incluindo:

  • Redução de incidentes
  • Número de usuários satisfeitos com os serviços do município
  • Uma estratégia implantada para atender os desafios futuros, como o aumento de demanda por serviços
  • Integração com outros municípios e submunicípios
  • Estar continuamente em conformidade
  • Gerenciamento de riscos

O Município desejava muito implementar um framework com as melhores práticas, além disso, ter o compromisso da alta gestão nunca foi uma questão. O CIO pessoalmente fez o kick-off do projeto e guiou cada membro para demonstrar a importância de vários frameworks e gerenciamento de informações.


Implementação: Formação do time

Para TI gerar valor, foi decidido que um framework de melhores práticas era necessário para ser implementado. A questão era: quais pessoas deveriam ser membros desse time e reportar para quem?


O município tinha 60 pessoas de TI, trabalhando em vários departamentos. A Figura 1 demonstra a estrutura de report.


Figura 1 – Framework de implementação da estrutura de report

Fonte: Govind Kulkarni. Usado com permissão.


A preparação do time, papeis e responsabilidades incluíram:

  • Cada membro foi treinado nos frameworks de melhores práticas, padrões, Processos do COBIT 5 APO (Align, Plan and Organize), BAI (Build, Acquire and Implement), e DSS (Deliver, Service and Support) e Governança.
  • Foi oferecido treinamento e certificação em COBIT 5 para os recursos críticos, em nível fundamental e de implementação.
  • Recursos críticos também receberam treinamento ITIL em nível expert. O PMO foi responsável pelo acompanhamento semanal de problemas, relatórios e entrega de valor.
  • O time de tradução foi responsável por converter o processo e outros documentos em Árabe e guiando os usuários na linguagem.
  • O time de implementação foi responsável por converter processos em ferramentas e possibilitar o mapeamento de processos e ferramentas, como necessário.

Avaliando a situação atual

A avaliação da situação atual foi realizada por meio de um check-list padrão. Reuniões e workshops foram usadas como meios de identificar fraquezas da função de TI em diversas áreas por 6 meses, incluindo:

  • Investimentos em TI
  • Visão e objetivos de TI
  • Estratégia para os próximos 5 anos
  • Pontos dolorosos de TI
  • Processos principais de TI
  • Necessidades de conformidade

Essas áreas foram discutidas com TI e, de tempos em tempo, com os usuários finais e documentados e compartilhados com todos os stakeholders. Essas avaliações de situação atual também ajudaram a trazer o foco e a atenção para as áreas de interesse.


Implementação: Foco e Estratégia

O COBIT 5 menciona que áreas que podem ser implementadas rapidamente e podem prover ganhos rápidos quando endereçam pontos dolorosos que precisam ser implementados em fases iniciais. O conceito direcionou o plano de implementação baseados nos pontos dolorosos atuais.


O foco da implementação foi o habilitador dos processos. O modelo de referência de processos (PRM) foi referenciado para implementação. Processos selecionados do PRM foram colocados em 2 categorias, prioridade 1 e prioridade 2. Então, o plano de implementação foi criado. Processos de implementação de prioridade 1 e 2 foram agrupados na fase 1.


Fase 1


Processos de implementação de Prioridade 1 incluem:

  • APO02—Gerenciar a Estratégia
  • APO05—Gerenciar o Portfolio
  • DSS02—Gerenciar Requisições de serviços e Incidentes
  • DSS03—Gerenciar Problemas
  • DSS04—Gerenciar a Continuidade
  • BAI10—Gerenciar Configurações
  • BAI06—Gerenciar Mudanças
  • BAI04—Gerenciar a Disponibilidade e Capacidade
  • BAI07—Gerenciar o Aceite de mudanças e Transição

Processos de implementação de Prioridade 2 incluem:

  • BAI08—Gerenciar o Conhecimento
  • APO09—Gerenciar os Acordos de serviço
  • APO10—Gerenciar Fornecedores
  • APO08—Gerenciar Relacionamentos
  • APO13—Gerenciar a Segurança

Fase 2


Em uma segunda fase (ie., seguindo a implementação de todos os processos), o plano é incluir os processos de governança. Portanto, este estudo de caso destaca somente os processos de gestão.


Depois de uma discussão com a alta gestão e o departamento de estratégia, uma estratégia de TI foi criada. A estratégia incluía uma visão de TI de curto e longo prazo (5 anos), alinhada com a visão de negócios, uma declaração de missão e objetivos.


Diversos workshops com os usuários, departamento de TI e membros das áreas de negócio foram conduzidas para orientar os stakeholders sobre a estratégia de TI e a sua possível participação, papeis e responsabilidades.


Preparação do plano de implementação e o KickOff do projeto

O framework de implementação foi conduzido como em qualquer outro projeto, com uma data específica de início e fim, milestones e reponsabilidades. O conjunto padrão de tarefas listados na Figura 2 foi conduzido para cada processo.


Figura 2 – Tarefas principais do plano de implementação

Nome da tarefa

Coletar requisites de processo dos stakeholders; conduzir reuniões e workshops
Criar documentação de processos; fazer uma lista de workflows e status
Realizar workshops de documentação de processos para os stakeholders
Corrigir os documentos de processo com base nas informações obtidas nos workshops
Obter a aprovação - Inglês
Obter a aprovação - Árabe
Imprimir, arquivar e repassar o processo para o time de ferramentas
Realizar discussões sobre a implementação de processos e ferramentas
Prover suporte e assistência sobre a implementação da ferramenta
Realizar um piloto da implementação de processos usando uma ferramenta e walkthrough para usuários finais
Oferecer workshops para usuários finais para dar confiança no novo processo e ferramentas
Go-live dos processos
Contabilização das questões pós-implementação e suporte para processos e correção
Baseline de processos

Fonte: Govind Kulkarni. Usado com permissão.


Um calendário anual foi criado e submetido para a administração. Uma visão quadrimestral da implantação foi agendada e inclui uma revisão semanal de status, desafios e atividades de replanejamento.


Um registro de stakeholders foi também incluído, com detalhes como:

  • Nome
  • Designação
  • Departamento
  • Relações
  • Detalhes do contato
  • Como o stakeholder foi envolvido em cada tarefa de implementação

Conteúdo do processo

Cada processo determinado na prioridade 1 e 2 contendo os mesmos elementos básicos, incluindo:

  • Introdução ao processo
  • Propósito do processo
  • Escopo do processo
  • Acrônimos, definições e terminologias usadas nesse processo
  • Referências usadas para criar a documentação do processo
  • Políticas de processos que necessitam ser aceitas pelos usuários e TI
  • Valor para os negócios
  • Métodos, técnicas e atividades
  • Escalonamentos
  • Acordos de serviço a alcançar
  • Status de processos
  • Principais entradas e saídas e interfaces com outros processos
  • Indicadores chave de performance (KPI) e fatores críticos de processos (CFS) dos processos e métodos para coletar métricas
  • Reuniões para verificar os status da implementação dos processos e questões
  • Report de processos
  • Fatores de riscos, pressupostos e desafios

Requisitos de processos foram capturados durante workshops em que as discussões, sugestões, desacordo, prós e contras foram realizados para trazer uma documentação de processos.


Objetivos de negócios foram mapeados para processos de negócios em cada processo, como por exemplo:

  • Objetivos de negócios: Satisfação do usuário final precisa ser mantido ou melhorado.
  • DSS02 Gerenciar requisições de serviços e processos de incidentes: Qual é o tempo necessário para responder e resolver um incidente? Quanto antes o incidente for resolvido, mais satisfeito o usuário estará.

Templates padrão para os processos de documentação foram criados. O planejamento do workshop e os seguintes detalhes foram criados (Figura 3).


Figura 3 – Planejamento do Workshop

Sr.
No.

Tópicos

Grupo de participantes 1, lote 1 (Membros do comitê diretivo de TI e outros gerentes e engenheiros)

Comentários

 
 

Date

Time

 
1
APO05—Entender o catálogo de serviços e portfólio
02 de Abril de 2014
09.00 a 09.30

Detalhes individuais da agenda que serão compartilhados pelo menos 3 dias antes do workshop, pelo PMO

2
APO02—Gerenciar a estratégia dos serviços de TI
09 de Abril de 2014
09.00 a 09.30
3
DSS02—Gerenciar requisições e incidentes
23 de Abril de 2014
09.00 a 09.30
4
DSS03—Gerenciar problemas
30 de Abril de 2014
09.00 a 09.30
5
DSS04—Gerenciar continuidade
07 de Maio de 2014
09.00 a 09.30
6
BAI06—Gerenciar mudanças
21 de Maio de 2014
09.00 a 09.30
7
BAI10—Gerenciar configuração
28 de Maio de 2014
09.00 a 09.30

Fonte: Govind Kulkarni. Usado com permissão.


Planejamento do Workshop

Os participantes poderiam escolher participar dos workshops de acordo com sua conveniência.


Os workshops:

  • Foram conduzidos em lotes para educar todos os usuários. Foram realizados 18 workshops.
  • Continuaram mesmo depois dos processos ser implantado
  • Concluído com itens de ação para usuários incluídos nas minutas de cada reunião
  • Incluído o processo e ferramentas de integração
  • Incluído um piloto dos processos pelos usuários
  • Foram conduzidos para explicar o uso dos processos e as ferramentas para os usuários

Fatores chave percebidos durante o processo de implementação incluíram:

  • Treinamento de todos os stakeholders é imperativo. Cada um precisa ser treinado propriamente para usar as ferramentas e processos. Somente estará encerrado quando os usuários usarem.
  • A implementação de ferramentas efetivas somente é possível quando os stakeholders souberem que as ferramentas e processos funcionam bem.
  • Workshops são os únicos meios de engajar os stakeholders na implementação.
  • Os workshops deveriam ser focados no facilitador, provendo explicações apropriadas e, segundo, no usuário colocando isso em prática. Quanto mais prática os usuários tiverem, maior a taxa de adoção e menor a necessidade de treinamento.
  • Os workshops devem explicar a importância de seguir os processos e suas políticas.
  • Workshops devem explicar os benefícios de seguir os processos.
  • Usuários finais que não seguirem os processos irão enfrentar desafios. Mudar a sua mentalidade é facilitado por meio de workshops e permitindo que eles usem os processos por si. Um facilitador precisa ser parte da venda do conceito.
  • Facilitadores devem cuidadosamente observar quem está seguindo e aprendendo no workshop e quem não está.
  • Workshops não devem durar mais de meia hora. Os primeiros dez minutos devem ser usados para explicar a agenda e o processo.
  • As realizações e desafios dos workshops devem ser compartilhado com a alta gerência e obter referência e direção quando necessário.
  • O conceito de prover bons serviços para os cidadãos deve sempre estar na prioridade dos stakeholders.
  • Todas as medidas requeridas devem ser coletadas somente da ferramenta. Não deve haver coleta manual de dados.

Desafios encontrados

O desenvolvimento de processos e a implementação não foram possíveis sem desafios e incluíram:

  • Barreiras interdepartamentais (derrotados com o uso de workshops)
  • Linguagem
  • Expertise na implementação de ferramentas
  • Logística como vistos de viagem para consultores
  • Unindo os stakeholders para os workshops baseados na disponibilidade de todos

Benefícios da implementação

Ainda que a implementação ainda esteja em processo, muito foi alcançado e os stakeholders vejam uma melhora tremenda na maneira que trabalham. Alguns stakeholders sentem que seguir os processos e usar as ferramentas de modo efetivo ajudou-os a fazer seu trabalho da melhor maneira, servir melhor, acompanhar status, gerar melhores relatórios e ficar atendo a qualquer questão.


Sem considerar quão bom é cada processo, incidentes não podem ser trazidos a zero, e que não é este o objetivo aqui, ao invés disso, respondendo a incidentes e trabalhando com eles em um cronograma que possibilita um serviço próprio aos usuários.


Pela primeira vez, a TI está atuando para gerenciar problemas para reduzir a recorrência, realizando avaliação de riscos para os ativos críticos de TI, e planejando e implementando a continuidade dos negócios. Tudo isso garante que a TI está se tornando um ativo importante ao oferecer serviços necessários e essa mudança está refletida na satisfação de usuários. Os resultados em termos de valores financeiros precisam ainda ser quantificados.


Avançando, outros habilitadores serão implementados um por um. O sucesso continua, e os processos de governança será implementado nos próximos meses e esses irão garantir que os benefícios são percebidos e atendem às necessidades dos stakeholders.


Govind Kulkarni, COBIT5, CSQA, ITIL Expert, PMP

É um desenvolvedor de software com 2 décadas de experiência em oferecer soluções de TI. Ele trabalhou em todo ciclo de vida do desenvolvimento de software e, atualmente, ele conduz treinamento de COBIT 5, ITIL e testes de software. Kulkarni fez consultorias de gap analysis, COBIT 5 e implementação de ITIL usando a norma ISO 15504 a ferramentas customizadas para clientes em todo mundo. Seus interesses atuais incluem continuidade de negócios, avaliação de TI e gerenciamento de custos, escalabilidade e otimização de performance de aplicações Web, análises preditivas e áreas de tecnologia como OpenStack e DevOps. Foi um dos autores do livro How to reduce the cost of software testing, publicado pela CRC Press em 2012. Ele pode ser encontrado em Govind.kulkarni@vyomlabs.com ou goodgovind1505@gmail.com.

>
Discuss