Quais são as três tarefas que são realizadas por uma política de segurança abrangente?

Existem modelos de refer�ncia que abordam a Governan�a de TI de forma mais abrangente, abordando os princ�pios e diretrizes tanto no que diz respeito � organiza��o de TI quanto ao relacionamento com as demais organiza��es que fazem parte da cadeia (como os clientes e fornecedores).

Entre os modelos temos a norma ISO/IEC 38500 e os modelos da ISACA (Information Systems Audit and Control Association) como o Cobit, Val IT e o Risk IT.

Nas pr�ximas se��es veremos melhor cada um desses modelos de governan�a de TI.

ISO/IEC 38500 - Governan�a Corporativa de Tecnologia da Informa��o

A norma ISO/IEC 38500 tem como objetivo fornecer uma estrutura de princ�pios para os dirigentes utilizarem na avalia��o, gerenciamento e no monitoramento do uso da tecnologia da informa��o nas suas organiza��es.

Para encontrar a norma basta visitar o site da Associa��o Brasileira de Normas T�cnicas (ABNT) e procurar a norma NBR ISO/IEC 38500:2009.

Podemos aplicar a norma ISO/IEC 38500 em qualquer organiza��o podendo ser p�blica ou privada e de diferentes tamanhos objetivando promover o uso eficaz, eficiente e aceit�vel da Tecnologia da Informa��o nas organiza��es. Utilizar a norma garante aos consumidores, acionistas, funcion�rios e demais interessados que se a norma for seguida pode-se confiar na governan�a corporativa de TI na organiza��o, al�m de informar e orientar os dirigentes quanto ao uso da TI na organiza��o e fornecer uma base para uma avalia��o da governan�a corporativa de TI.

Esta norma n�o � objeto de certifica��o, mas traz conceitos muito importantes sobre governan�a de TI e que podem ser �teis no entendimento, pela alta dire��o, de suas responsabilidades em rela��o a TI.

Portanto, podemos verificar que esta norma avalia e direciona o uso da TI para oferecer suporte � organiza��o e monitorar seu uso para realizar os planos.

Estrutura

A norma afirma que existem seis princ�pios que caracterizam uma boa governan�a de TI, s�o eles:

• Responsabilidade: este princ�pio diz que os indiv�duos e os grupos dentro da organiza��o compreendem e aceitam as suas responsabilidades.
• Estrat�gia: este princ�pio diz que a estrat�gia de neg�cio da organiza��o deve levar em considera��o as capacidades atuais e futuras da TI.
• Aquisi��o: este princ�pio diz que as aquisi��es da TI s�o realizadas por raz�es v�lidas, com base em an�lise apropriada e de forma cont�nua, com decis�es claras e transparentes equilibrando os benef�cios, oportunidades, custos e riscos, de curto e longo prazo.
• Desempenho: este princ�pio diz que a TI deve apoiar a organiza��o oferecendo servi�os, n�veis de servi�o e qualidade de servi�o que sejam necess�rios para atender aos requisitos atuais e futuros de neg�cio.
• Conformidade: este princ�pio diz que a TI cumpre a legisla��o e os regulamentos obrigat�rios. Todas as pol�ticas e as pr�ticas s�o claramente definidas, implantadas e fiscalizadas.
• Comportamento Humano: este princ�pio diz que todas as pol�ticas, pr�ticas e decis�es da TI demonstram respeito pelo comportamento humano, incluindo as necessidades atuais e futuras das pessoas envolvidas no processo.

Al�m de definir os princ�pios a norma tamb�m preconiza que os dirigentes governem a TI atrav�s de tr�s tarefas principais:

• Avaliar o uso atual e futuro da TI incluindo estrat�gias, propostas e os fornecedores.
• Orientar a prepara��o e a implementa��o de planos e pol�ticas para assegurar que o uso da TI atenda aos objetivos do neg�cio.
• Monitorar que as pol�ticas e o desempenho definido nos planos estejam sendo seguidos.

Segundo a norma devemos aplicar o ciclo Avaliar-Dirigir-Monitorar em cada um dos princ�pios definidos anteriormente. Dessa forma ter�amos:

• Responsabilidade: Aplicando a tarefa Avaliar do ciclo temos que no principio da Responsabilidade devemos avaliar as reponsabilidades. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos exigir que os planos fossem cumpridos de acordo com as responsabilidades que foram delegadas. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar que os mecanismos apropriados de governan�a de TI sejam estabelecidos, garantir que aqueles que receberam responsabilidades reconhe�am e compreendam suas responsabilidades e monitorar o desempenho daqueles a que foram dadas as responsabilidades quanto a governan�a de TI.
• Estrat�gia: Aplicando a tarefa Avaliar tem-se que no principio da Estrat�gia devemos avaliar se os desenvolvimentos da TI est�o apoiando o neg�cio, se a TI est� alinhada com os neg�cios de acordo com seus planos e pol�ticas, e o risco atual da TI para o neg�cio. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos preparar planos e pol�ticas para que a organiza��o seja beneficiada com o uso da TI, encorajando o dirigente a apresentar propostas inovadoras para a TI. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar o progresso das propostas de TI aprovadas verificando se os benef�cios com a TI est�o sendo alcan�ados.
• Aquisi��o: Aplicando a tarefa Avaliar tem-se que no principio da Aquisi��o devemos avaliar as op��es de fornecimento da TI. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos orientar para que os ativos de TI sejam adquiridos de forma apropriada e devemos certificar-se de que os acordos de fornecimento dar�o suporte necess�rio �s necessidades da organiza��o. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar os investimentos de TI e garantir a compreens�o m�tua dos objetivos da aquisi��o por parte da organiza��o e dos fornecedores.
• Desempenho: Aplicando a tarefa Avaliar tem-se que no principio do Desempenho devemos avaliar as ideias ou propostas dos gerentes, avaliar os riscos relacionados � continuidade do neg�cio, riscos quanto � integridade da informa��o e � prote��o dos ativos de TI e avaliar a efic�cia e o desempenho do sistema de governan�a. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos garantir a aloca��o de recursos suficientes para que a TI atenda �s necessidades da organiza��o dadas �s prioridades acordadas e as restri��es de or�amento. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar at� onde a TI d� suporte ao neg�cio, se os recursos foram priorizados de acordo com os objetivos e se as pol�ticas est�o sendo seguidas corretamente.
• Conformidade: Aplicando a tarefa Avaliar tem-se que no principio da Conformidade devemos avaliar at� onde a TI cumpre com as obriga��es de conformidade interna e externa. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos garantir que a TI esteja de acordo com as exig�ncias legais, que as pol�ticas estejam estabelecidas e sendo cumpridas e que as a��es de TI sejam sempre �ticas. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar o cumprimento e conformidade da TI por meio de auditorias, monitorar as atividades de TI para garantir o cumprimento das exig�ncias de privacidade, gerenciamento, conhecimentos estrat�gico, preserva��o da mem�ria organizacional e ambiental.
• Comportamento Humano: Aplicando a tarefa Avaliar tem-se que no principio do Comportamento Humano devemos avaliar as atividades de TI para garantir que os comportamentos humanos sejam identificados e considerados. Aplicando a tarefa de Dirigir temos que neste princ�pio devemos exigir que as atividades de TI sejam compat�veis com as diferen�as de comportamento humano, que os riscos, oportunidades, constata��es e preocupa��es sejam identificados e relatados por qualquer pessoa a qualquer momento. E por fim, na tarefa de Monitorar temos que neste princ�pio devemos monitorar as atividades de TI para garantir que os comportamentos humanos identificados permane�am relevantes e que lhe sejam dadas a devida aten��o.

Usando esta norma temos como benef�cio uma melhor avalia��o dos riscos da TI para o neg�cio e um melhor aproveitamento das oportunidades com o uso da TI na organiza��o. Al�m disso, temos como benef�cio a garantia do cumprimento das obriga��es regulamentares, legislativas, legais, contratuais, e por fim, que o uso da TI contribua de forma positiva para o bom desempenho da organiza��o atrav�s da correta implementa��o e opera��o dos ativos de TI, maior clareza quantos as responsabilidades, continuidade e sustentabilidade do neg�cio, alinhamento entre TI e o neg�cio e inova��o dos servi�os necess�rios ao neg�cio, redu��o de custos.

CobiT � Control Objectives for Information and related Technology

O CobiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF23 e desde l� vem evoluindo com a incorpora��o de padr�es internacionais t�cnicos, profissionais, regulat�rios e espec�ficos para processos de TI. A segunda e terceira edi��o do Cobit em 1997 e 2000 respectivamente introduziram diversas novidades sendo que a �ltima atualiza��o foi publicada pelo IT Governance Institute (ITGI), �rg�o criado pela ISACA com o objetivo de promover um melhor entendimento e a ado��o dos princ�pios de Governan�a de TI. Em 2005 foi publicada a vers�o 4.0 e em 2007 houve uma atualiza��o incremental (vers�o 4.1). Ultimamente foi lan�ada a vers�o 5.

O principal objetivo do Cobit � contribuir para o sucesso da entrega de produtos e servi�os de TI com base nas necessidades do neg�cio. Dessa forma, o Cobit estabelece relacionamentos com os requisitos do neg�cio, organiza as atividades de TI em um modelo de processos gen�ricos, identifica os principais recursos de TI que devem possuir mais investimentos e define os objetivos de controle que devem ser considerados para a gest�o.

O Cobit � um modelo gen�rico que representa todos os processos normalmente encontrados nas fun��es da TI sendo compreens�vel tanto para a opera��o quanto para os gerentes. Al�m disso, o Cobit � representado por cinco �reas que sustentam o seu n�cleo: o alinhamento estrat�gico que � a liga��o entre o neg�cio e a TI, agrega��o de valor que se restringe em executar aquilo que entregue benef�cios de acordo com a estrat�gia, gerenciamento de recursos em que se procura otimizar os investimentos, gerenciamento de riscos em que a alta dire��o conhece e entende os riscos, e a medi��o de desempenho em que acompanha-se e monitora-se a implanta��o e o andamento dos projetos e recursos associados.

Estrutura

O Cobit � o modelo de gest�o de TI perfeito quando desejamos integrar e institucionalizar boas pr�ticas de planejamento e organiza��o, aquisi��o e implementa��o, entrega e suporte, e monitoramento e avalia��o de desempenho da TI. Com isso empresa pode gerenciar de forma eficiente seus investimentos em recursos tecnol�gicos e suas informa��es, maximizando assim seus benef�cios, oportunidades de neg�cio e vantagem competitiva no mercado.

Um dos focos do Cobit � no neg�cio onde o modelo preconiza que para fornecer a informa��o necess�ria que a empresa necessita para atingir suas metas de neg�cio � necess�rio associ�-los �s suas metas de TI, utilizando um conjunto estruturado de processos garantindo a entrega dos servi�os de TI. Outro foco do Cobit � na orienta��o para processos onde o Cobit identificou 34 processos de TI e os distribuiu entre quatro dom�nios que espelham os agrupamentos usuais existentes em uma organiza��o de TI.

Os quatro dom�nios identificados no Cobit s�o: Planejamento e Organiza��o (PO) onde atua-se na parte estrat�gica e t�tica procurando identificar formas em que a TI pode contribuir para atender aos objetivos do neg�cio; Aquisi��o e Implementa��o (AI) onde identificamos, desenvolvemos e adquirimos solu��es de TI para implementar, integrar e executar a estrat�gia estabelecida; Entrega e Suporte (DS) que � onde entregamos os servi�os requeridos, incluindo gerenciamento de seguran�a e continuidade, suporte aos servi�os para os usu�rios, gest�o dos dados e da infraestrutura operacional; Monitora��o e Avalia��o (ME) � onde assegura-se a qualidade dos processos de TI, assim como a governan�a e a conformidade com os objetivos de controle, atrav�s de acompanhamento, monitora��o de controles internos e de avalia��es internas e externas.

Mais um foco importante do Cobit � o Controle atrav�s de objetivos. O Cobit define como controle o conjunto de pol�ticas, procedimentos, pr�ticas e estruturas organizacionais desenvolvidas para dar uma garantia razo�vel de que os objetivos de neg�cio ser�o atingidos e de que os eventos indesej�veis ser�o prevenidos ou detectados e corrigidos. J� um objetivo de controle define um resultado desejados ou prop�sito a ser atingido atrav�s da implementa��o de procedimentos de controle em uma atividade de TI espec�fica. Esses objetivos de controle constituem os requisitos m�nimos para que os processos de TI possam ser controlados de forma eficaz.

Dessa forma, as informa��es de controle extra�das da opera��o de cada processo de TI s�o comparadas aos objetivos de controle e com isso as a��es corretivas/preventivas necess�rias s�o empreendidas para a melhoria do processo. Alguns controles s�o gen�ricos e aplic�veis a todos os processos, entretanto, outros s�o mais espec�ficos. Outro foco do Cobit � o direcionamento para medi��es em que se procura definir o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados. As empresas precisam medir a situa��o atual e monitorar as a��es de melhoria que foram realizadas em cima disso. Outra situa��o importante � analisar a rela��o custo-benef�cio do controle. O Cobit ainda prop�e um modelo de maturidades baseado em cinco n�veis onde cada n�vel indica a situa��o atual da organiza��o, permite comparar com a situa��o das melhores organiza��es no segmento, comparar com padr�es internacionais, estabelecer e monitorar passo a passo as melhorias dos processos, entre outros. A vis�o integrada do modelo � outro foco importante do Cobit onde o Cobit pode ser definido em fun��o do princ�pio b�sico que recursos de TI s�o gerenciados por processos de TI para atingir metas de TI, que, por sua vez est�o estreitamente ligadas aos requisitos do neg�cio. Por fim, outro foco de modelo � o conte�do dos processos de TI em que os processos de TI est�o organizados na documenta��o do modelo de forma a mostrar uma vis�o completa como devem ser controlados, gerenciados e medidos.

O Cobit tamb�m possui produtos complementares, al�m do documento principal, como o "Board Briefing on IT Governance" que � um guia executivo que aborda o entendimento da import�ncia da Governan�a de TI e das suas principais caracter�sticas, assim como das responsabilidades da alta dire��o na sua condu��o, o "Building the Business Case for CobiT and Val IT � Executive Briefing" que mostra uma vis�o geral de casos de implanta��o do Cobit e do Val IT em empresas de diversos segmentos, o "Information Security Governance: Guidance for Boards of Directors and Executive Management" que apresenta a seguran�a da informa��o nos termos do neg�cio, entre outros.

Portanto, o Cobit cobre todo o conjunto de atividades de TI, concentrando-se mais em "o que" deve ser atingido em vez de "como" atingir. Assim, o Cobit � recomendado ser utilizado no n�vel estrat�gico aplicando-se a toda a organiza��o favorecendo muito o entendimento dos processos de TI e fornecendo um excelente guia para a sua implementa��o ou melhoria nas organiza��es, assim como para a avalia��o da maturidade atual dos processos existentes.

Val IT

O modelo Val IT foi criado pelo IT Governance Institute (ITGI) devido � necessidade de demonstra��o de retorno que a TI deve fornecer para o neg�cio como uma forma de mostrar aos executivos o retorno dos investimentos da TI para o neg�cio. O modelo foi criado com a ajuda de representantes de empresas e do meio acad�mico, considerando tanto as metodologias existentes como emergentes e o desenvolvimento de pesquisas. O Val IT foi publicado em 2006 e obteve sua vers�o 2.0 em 2008.

Entre os objetivos do modelo temos o auxilio � ger�ncia para assegurar que as organiza��es obtenham o m�ximo de retorno dos investimentos em TI para oferecer suporte ao neg�cio a um custo razo�vel e com n�vel de risco conhecido e aceit�vel, e outro objetivo � o fornecimento de diretrizes, processos e pr�ticas para subsidiar a diretoria e a gest�o executiva no entendimento e no desempenho dos seus respectivos pap�is em rela��o aos investimentos em TI.

Pode-se dizer que o Val IT � um modelo que estende e complementa o Cobit, visto que este aborda a tomada de decis�es em rela��o aos investimentos em TI e a realiza��o efetiva dos benef�cios, enquanto que o Cobit tem um foco maior na execu��o.

Estrutura

O Val IT tem alguns princ�pios como: os investimentos em TI devem ser gerenciados como um portf�lio de investimentos, os investimentos de TI incluir�o o conjunto completo de atividades que s�o requeridos para atingir o valor para o neg�cio, os investimentos em TI ser�o gerenciados atrav�s do seu ciclo de vida econ�mico, as pr�ticas de entrega de valor reconhecer�o que h� diferentes tipos de investimentos que devem ser avaliados e gerenciados de formas diferentes, as pr�ticas de entrega de valor definir�o e monitorar�o m�tricas chaves e responder�o rapidamente a mudan�as e desvios, pr�ticas de entrega de valor envolver�o todos interessados relevantes e atribuir�o responsabilidades pelo resultado de forma apropriada para a entrega das capacidades e a realiza��o dos benef�cios para o neg�cio, e as pr�ticas de entrega de valor ser�o continuamente monitoradas, avaliadas e melhoradas.

O modelo est� organizado entre processos e dom�nios, s�o eles:

• Governan�a do Valor (VG): este dom�nio estabelece o framework de governan�a, incluindo a defini��o de portf�lio para gerenciar os investimentos e os servi�os de TI resultante, ativos e recursos.
  Os processos do dom�nio s�o: "VG1 � Estabelecer uma lideran�a informada e comprometida" onde � estabelecida uma lideran�a informada e comprometida em um f�rum de lideran�a e uma subordina��o do CIO conforme a import�ncia da TI para a organiza��o, tamb�m � desenvolvido um entendimento adequado dos elementos chaves da governan�a e abordagens claras na estrat�gia da empresa para a TI e assegura o alinhamento e a integra��o do neg�cio com a TI; O processo "VG2 � Definir e implementar processos" define um framework de governan�a para gest�o do valor de TI, avalia a qualidade e cobertura dos processos atuais, define os requisitos dos futuros processos, se estabelecem as estruturas organizacionais e implementa-se os processos considerando os pap�is e as responsabilidades correspondentes. O processo "VG3 � Definir as caracter�sticas do portf�lio" define os diferentes tipos de portf�lio, as categorias em cada portf�lio, se desenvolve e comunica-se como essas categorias ser�o avaliadas comparativamente e de forma transparente e define-se os requisitos para os pontos de revis�o para cada categoria. O processo "VG4 � Alinhar e integrar a gest�o do valor ao planejamento financeiro da organiza��o" reavalia as pr�ticas atuais de elabora��o do or�amento da organiza��o, identifica e implementa as mudan�as necess�rias. O processo "VG5 � Estabelecer o monitoramento efetivo da governan�a" � onde se identifica as m�tricas e metas de resultado para o gerenciamento dos processos de gest�o do valor a serem monitorados, identifica abordagens, m�todos, t�cnicas e processos para capturar e comunicar as informa��es sobre essas medi��es e tamb�m estabelece como os desvios ou problemas ser�o identificados, monitorados e comunicados. O processo "VG6 � Aperfei�oar continuamente as pr�ticas de gest�o do valor" � onde se analisa as li��es aprendidas da gest�o do valor, planeja-se, inicia e monitora as mudan�as para o aperfei�oamento da gest�o do valor e os processos de gerenciamento do portf�lio e do investimento.
• Gerenciamento do Portf�lio (PM): estabelece qual ser� o direcionamento estrat�gico para os investimentos, as caracter�sticas do portf�lio de investimento e as restri��es de recursos e fundos a partir das quais as decis�es sobre o portf�lio t�m que ser feitas.
  Os processos do dom�nio s�o: "PM1 � Estabelecer a dire��o estrat�gica e um mix de investimentos alvos" onde se procura rever e assegurar a estrat�gia do neg�cio, identificar e comunicar oportunidades para TI apoiar a estrat�gia, definir um mix de investimentos baseado em taxa de retorno, ao grau de risco e tipos de benef�cios para os programas no portf�lio que implementam a estrat�gia, ajudar a estrat�gia do neg�cio quando necess�rio e traduzi-la para a estrat�gia e os objetivos de TI. O processo "PM2 � Determinar a disponibilidade e fontes de fundos" � onde se determina as fontes potenciais de financiamento para os programas, os n�veis de financiamento que podem ser obtidos e os m�todos necess�rios para obt�-los, e determinar as implica��es da fonte de financiamento sobre as expectativas de retorno. O processo "PM3 � Gerenciar a disponibilidade de recursos humanos" � onde se cria e mantem-se os recursos do neg�cio e da TI, entende-se a demanda atual e futura por recursos humanos, identifica-se restri��es e escassez, cria-se e mantem-se planos t�ticos para o gerenciamento de RH, monitora-se e reveem-se os planos e as estruturas organizacionais e ajuda-o quando necess�rio. O processo "PM4 � Avaliar e selecionar programas para receber fundos" � onde se avalia os casos de neg�cio dos programas, atribui-se um score, toma-se decis�es e os comunicamos com base na vis�o geral do portf�lio de investimentos e nos scores individuais de cada programa, alocam-se fundos, revisam-se os programas em seus pontos de controle, movem-se os programas selecionados para o portf�lio de investimentos ativos ajustando as metas, previs�es e or�amento do neg�cio. O processo "PM5 � Monitorar e comunicar o desempenho do portf�lio de investimento" � onde se procura fornecer uma vis�o abrangente e exata do desempenho do portf�lio de investimento de forma a permitir revis�es do progresso em rela��o �s metas do neg�cio por parte dos stakeholders. O processo "PM6 � Otimizar o desempenho do portf�lio de investimento" � onde procura-se rever periodicamente o desempenho do portf�lio de investimento e otimizar para novas oportunidades e mudan�as de riscos.
• Gerenciamento do Investimento (IM): define os programas potenciais baseado em requisitos do neg�cio, determina se devem ser considerados para an�lise posterior e desenvolve os casos de neg�cio para os programas de investimentos candidatos para avalia��o pelo gerenciamento do portf�lio.
  Os processos do dom�nio s�o: "IM1 � Desenvolver e avaliar o Business Case inicial do programa" onde se procura reconhecer oportunidades de investimento, classificar as oportunidades com as categorias do portf�lio, clarificar os resultados esperados para o neg�cio e fornecer uma vis�o de alto n�vel para todas as iniciativas requeridas para atingir os resultados e como podem ser medidos, fornecer uma estimativa inicial de benef�cios e custos, e determinar se a oportunidade merece um caso de neg�cio detalhado. O processo "IM2 � Entender o programa candidato e op��es de implementa��o" � onde envolvemos todos os stakeholders chaves para desenvolver e documentar o entendimento completo dos resultados esperados para o neg�cio a partir do programa candidato, considerando como os resultados ser�o medidos, o escopo de cada iniciativa para atingir os resultados, os riscos envolvidos e o impacto em todos os aspectos da organiza��o, identificar e avaliar cursos de a��o alternativos para obter os resultados para o neg�cio. O processo "IM3 � Desenvolver o plano do programa" � onde se procura definir e documentar todos os projetos requeridos para atingir os resultados do programa para o neg�cio, especificar os requisitos de recursos do programa para o neg�cio e fornecer um cronograma que leve em considera��o as interdepend�ncias entre os diversos programas. O processo "IM4 � Desenvolver os custos e benef�cios do ciclo de vida" � onde preparamos um or�amento para o programa, listamos os benef�cios para o neg�cio, identificamos e documentamos as metas de resultados esperadas, e submetemos or�amentos, custos, benef�cios e planos associados para revis�o, refinamento e aprova��o. O processo "IM5 � Desenvolver, em detalhe, o Business Case do programa candidato" � onde se procura desenvolver um caso de neg�cio abrangente e completo do programa contemplando prop�sito, objetivos, abordagens e escopo, depend�ncias, riscos, pontos de controle e impactos de mudan�as organizacionais. Inclui avalia��o do valor, taxa de retorno, alinhamento estrat�gico e principais premissas, fornece um plano do programa cobrindo os projetos componentes, plano de realiza��o de benef�cios, gerenciamento da mudan�a e a estrutura para o gerenciamento do programa, atribui responsabilidades pelo atendimento aos benef�cios, controle de custos, riscos e obt�m concord�ncia e aceita��o das responsabilidades. O processo "IM6 � Lan�ar e gerenciar o programa" � onde procura-se planejar, alocar recursos e comissionar os projetos necess�rios para atender aos resultados do programa. Tamb�m planejamos recursos, or�amento, gerenciamos o desempenho do programa contra crit�rios chaves, identificamos desvios do plano e tomamos a��es de remedia��o, monitoramos o desempenho de cada projeto contra seus crit�rios, monitoramos os benef�cios durante o desenvolvimento do programa, verificamos os benef�cios obtidos, avaliamos probabilidades de atendimentos abaixo ou acima dos resultados e comunicamos o progresso dos benef�cios e iniciarmos a��es corretivas a tempo para os desvios significantes do plano. O processo "IM7 � Atualizar os portf�lios operacionais de TI" � onde refletimos as mudan�as resultantes no programa de investimento sobre os servi�os relevantes de TI, ativos e recursos. O processo "IM8 � Atualizar o Business Case" � onde atualizamos o caso de neg�cio do programa para refletir o status atual sempre que ocorrer qualquer mudan�a em custos e benef�cios projetados, riscos e oportunidades. O processo "IM9 � Monitorar e comunicar sobre o programa" � onde monitoramos o desempenho de todo o programa e de todos os projetos e comunicamos para os Comit�s Executivos apropriados. A comunica��o inclui o desempenho do plano do programa (cronograma e or�amento), completude e qualidade de funcionalidades entregues, o status de controles internos e da mitiga��o de riscos e a manuten��o da aceita��o pelas responsabilidades. O processo "IM10 � Encerrar o programa" � onde procura-se encerrar o programa e remov�-lo do portf�lio de investimento quando houver concord�ncia das partes interessadas de que os benef�cios foram alcan�ados ou que n�o ser�o alcan�ados com os crit�rios de avalia��o do programa.

Portanto, o Val IT demonstra claramente o planejamento e a gest�o dos investimentos em TI, a gest�o de programas de investimento em TI, a gest�o do portf�lio de TI e a implementa��o de um processo para o planejamento e a gest�o de investimentos e do portf�lio de TI. O objetivo claro do Val IT � demonstrar o valor que a TI gera para o neg�cio, por�m implementar os seus processos demanda uma mudan�a cultural muito intensa, al�m de m�todos, t�cnicas anal�ticas sobre itens de informa��o relevantes tanto para o neg�cio quanto para a opera��o de TI e que envolvem uma cadeia organizacional de responsabilidades relativamente complexa.

Os benef�cios mais evidentes com a utiliza��o do Val IT � o aumento de entendimento e transpar�ncia dos custos, riscos e benef�cios dos investimentos de TI, aumento da probabilidade da sele��o dos melhores investimentos, aumento da possibilidade de sucesso dos investimentos, maior controle sobre a realiza��o dos benef�cios dos investimentos, investimentos alinhados com a estrat�gia da empresa, possibilidade de alinhar rapidamente os investimentos face �s mudan�as no neg�cio, maior facilidade de comunica��o entre TI e neg�cio e o CIO consegue mais claramente demonstrar o valor dos investimentos em TI.

O Framework Risk IT

O Risk IT foi desenvolvido pela ISACA com a participa��o de v�rios especialistas e foi incialmente publicado em 2009. O modelo � utilizado para auxiliar no gerenciamento de riscos relacionados a TI. Assim como o Val IT o Risk IT tamb�m � um complemento do Cobit.

Entre os objetivos do modelo est�o: integrar o gerenciamento de risco de TI com o Sistema de Gerenciamento de Riscos da Organiza��o, tomar decis�es bem informadas sobre a extens�o dos riscos, saber qual a toler�ncia e o apetite por riscos da organiza��o e entender como responder aos riscos.

Estrutura

Os princ�pios fundamentais do Risk IT s�o: conectar os riscos de TI aos objetivos do neg�cio, garantir que todo risco de TI � um risco de neg�cio, focar no resultado do neg�cio com a TI apoiando o atingimentos dos objetivos do neg�cio e expressando os riscos em termos de impacto sobre o atendimento dos objetivos ou da estrat�gia do neg�cio, desenvolver a an�lise de riscos que contemple uma an�lise de depend�ncia do processo de neg�cio em rela��o a recursos de TI, apoiar o gerenciamento de riscos de TI como um habilitador do neg�cio e n�o um inibidor. Al�m disso, a governan�a dos ricos de TI deve estar alinhada ao Sistema de Gerenciamento de Riscos da organiza��o e a quantidade de risco que a empresa est� disposta a lidar deve estar claramente definida.

O modelo afirma que Risco de TI � o risco do neg�cio associado com uso, propriedades, opera��o, envolvimento, influ�ncia e ado��o da TI dentro da empresa e consiste de eventos e condi��es relacionados com a TI que podem ter potencial para impactar o neg�cio.

Basicamente o Risk IT � estruturado em atividades chaves, processos e dom�nios, e assim como o CobiT, o Risk IT Framework tamb�m � composto por um Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted and Informed) e um esquema de m�tricas e entradas e sa�das dos processos e modelo de maturidade.

Detalhando os dom�nios e processos do Risk IT temos que o dom�nio de Governan�a do Risco � composto por tr�s processos e dezesseis atividades, s�o eles:

• Estabelecer e manter uma vis�o comum dos riscos: este processo assegura que as atividades de gerenciamento de riscos estejam alinhadas com a capacidade da organiza��o de lidar com perdas relacionadas � TI e com a toler�ncia subjetiva das lideran�as ao risco. Este processo tem as seguintes atividades: Realizar a avalia��o dos riscos da organiza��o, Propor limites para a toler�ncia aos riscos de TI, Aprovar a toler�ncia aos riscos de TI, Alinhar a pol�tica de riscos de TI, Ppromover uma cultura de conscientiza��o para os riscos de TI, Encorajar uma comunica��o efetiva sobre os riscos de TI.
• Integrar com o Sistema de Gerenciamento de Riscos da Organiza��o: este processo integrar a estrat�gia e as opera��es de riscos de TI com as decis�es estrat�gicas sobre riscos que s�o tomadas no �mbito da organiza��o. Este processo tem como atividades: Estabelecer e manter as responsabilidades pelo gerenciamento dos riscos de TI, Coordenar as estrat�gias de risco de TI e da organiza��o, Adaptar as pr�ticas de risco de TI �s pr�ticas de riscos da organiza��o, Prover recursos adequados para o gerenciamento de riscos, Auditar de forma independente o gerenciamento dos riscos de TI.
• Tomar decis�es de neg�cios conscientes dos riscos: este processo assegura que as decis�es da organiza��o considerem todas as oportunidades e consequ�ncias da depend�ncia do sucesso da TI. Este processo tem as seguintes atividades: Obter o apoio da administra��o para a abordagem de an�lise dos riscos de TI, Aprovar a an�lise dos riscos de TI, Embutir considera��es de riscos de TI na tomada das decis�es estrat�gicas de neg�cio, Aceitar os riscos de TI, Priorizar as atividades de resposta ao risco.

O dom�nio de Avalia��o do Risco � composto por tr�s processos e quatorze atividades, s�o eles:

• Coletar dados: este processo procura obter dados relevantes para identifica��o, an�lise e comunica��o dos riscos. Este processo tem as seguintes atividades: Estabelecer e manter um modelo para a coleta de dados, Coletar dados no ambiente operacional, Coletar dados sobre eventos de risco, Identificar fatores de risco.
• Analisar o risco: coletar informa��es �teis para apoiar as decis�es relativas a riscos que levem em considera��o os fatores de riscos relevantes para o neg�cio. Este processo tem as seguintes atividades: Definir o escopo da an�lise do risco, Estimar o risco de TI, Identificar op��es de resposta ao risco, Realizar um peer review na an�lise dos riscos de TI.
• Manter o perfil do risco: manter um invent�rio completo e atualizado de todos os riscos e atributos conhecidos, recursos de TI, capacidades e controles, no contexto dos produtos, processos e servi�os do neg�cio. Este processo tem as seguintes atividades: Mapear os recursos de TI que apoiam os processos de neg�cio, Determinar a criticidade dos recursos de TI para o neg�cio, Entender as capacidades da TI, Atualizar os componentes dos cen�rios de riscos de TI, Manter os registros e o mapa de riscos de TI, Desenvolver indicadores de riscos de TI.

O dom�nio de Resposta ao Risco � composto por tr�s processos e treze atividades, s�o eles:

• Articular os riscos: assegurar que as informa��es sobre a realidade das exposi��es ao risco e as oportunidades estejam dispon�veis, no tempo adequado, para as pessoas corretas, para que haja uma resposta apropriada. Este processo tem as seguintes atividades: Comunicar os resultados da an�lise dos riscos, Comunicar as atividades de gerenciamento dos riscos e a situa��o de conformidade, Interpretar os resultados das auditorias independentes de TI, Identificar as oportunidades relacionadas � TI.
• Gerenciar os riscos: assegurar que as iniciativas para aproveitar oportunidades e reduzir os riscos sejam gerenciadas como um portf�lio.
  Este processo tem as seguintes atividades: Inventariar os controles, Monitorar o alinhamento operacional com os limites de toler�ncia aos riscos, Responder �s exposi��es a riscos e oportunidades identificadas, Implementar controles, Comunicar o progresso do plano de a��o para os riscos.
• Reagir aos eventos: assegurar que as iniciativas para aproveitar oportunidades ou para limitar as perdas com os eventos relacionados � TI sejam ativadas em tempo h�bil e sejam efetivas. Este processo tem as seguintes atividades: Manter planos de respostas a incidentes, Monitorar o risco de TI, Iniciar respostas aos incidentes, Comunicar li��es aprendidas a partir dos eventos de risco.

Portanto, o Risk IT reduz as perdas para a organiza��o em fun��o de um evento de risco que tenha impacto, reduz as perdas em fun��o do n�o investimento em novas oportunidades com o apoio da TI, prov� um guia bastante abrangente para o gerenciamento dos riscos relacionados � TI, integra o gerenciamento de risco da TI com o da organiza��o e fornece uma linguagem comum acerca de riscos para toda organiza��o.

Bibliografia

[1] Aguinaldo Aragon, Vladimir Ferraz. Implantando a governan�a de TI. 3� edi��o.