Avaliação de MaturidadeAvaliação de maturidade e análise de GAP para a situação atual dos processos de TI frente ao CobiT 4.1®. Outubro 2010 Apresentação da Etapa do Projeto • Objetivo: Avaliação de maturidade e análise de gap dos 16 processos de TI. • Seis entrevistas com os gestores com objetivo de levantar o nível de maturidade no qual o processo se encontra. 1® O ciclo de vida dos processos Representação do Modelo de acordo com seus quatro domínios de processo e sua interação com o negócio.CobiT 4. . Método de Trabalho Levantamento dos requisitos apontados pela alta direção Cruzamento dos requisitos com os processos do CobiT 4.1® Elaboração de questionários de avaliação de maturidade Análise de gap para situação de melhoria Realização de reuniões para a análise de maturidade dos processos Definição dos entrevistados para os 16 processos do CobiT 4.1® Consolidação dos resultados obtidos e elaboração do relatório final . CobiT® 4.1 x Objetivos Estratégicos . Metodologia de Avaliação de Maturidade • Pontuação de um nível de maturidade não-existente (0) a otimizado (5) Inexistente Inicial/Ad hoc Repetitivos. porém intuitivo Processo definido Gerenciado e Mensurável Otimizado . Leitura dos Resultados Nível de Maturidade do Processo Requisitos da Nota Seguinte Cumpridos Gap para a Nota Seguinte . Premissas • As informações apresentadas nas verdadeiras e validadas pelo cliente. reuniões foram consideradas • Apenas foram auditados os processos considerados principais em relação aos objetivos da alta direção. . GERIR SERVIÇOS DE TERCEIROS 33% DS5 .DEFINIR O PLANEJAMENTO ESTRATÉGICO DA TI 43% PO7 .GERIR OS RECURSOS HUMANOS DE TI 50% 0 Nível de Maturidade do Processo 1 2 Requisitos da Nota Seguinte Cumpridos 3 4 Gap para a nota seguinte 5 .Resultados Obtidos Visão Geral Principais Processos CobiT® frente aos objetivos estratégicos DS1 .DEFINIR E GERIR OS NÍVEIS DE SERVIÇO 50% DS2 .GARANTIR A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS 38% PO1 . Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI . •Não são atribuídas responsabilidades para monitorá-los. mesmo que apenas qualitativas e com metas definidas de modo impreciso. inconsistentes e sem frequência definida. . • Há consciência da necessidade de gerenciar os níveis de serviço e existe um processo informal e reativo para tal. • Os relatórios são informais.Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI • A gerência reconhece a necessidade de um processo para definir os SLAs. GAPS: • Não existem medições de desempenho. • As responsabilidades de definição e gerenciamento dos serviços não estão definidas. . • As práticas dependem da experiência individual e dos fornecedores. • É utilizado um contrato pro forma assinado.Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI • A avaliação dos serviços prestados é informal e reativa. • Relatórios dos serviços prestados são disponibilizados e não satisfazem aos objetivos do negócio. GAPS: • O processo para supervisionar os fornecedores de serviços terceirizados e entrega dos serviços é informal e não abrange análise de riscos associados. contendo termos e condições padronizados pelos distribuidores e vendedores. • Os relatórios de segurança de TI não existem. GAPS: • As responsabilidades pela segurança de TI não são atribuídas por um coordenador de segurança de TI. • A consciência da necessidade de segurança é fragmentada e limitada. • Políticas de segurança estão sendo desenvolvidas. . • Treinamento em segurança não está disponível. • A segurança de TI é considerada principalmente como sendo de responsabilidade e domínio de TI. mas as habilidades e ferramentas são inadequadas.Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI • A segurança de TI é tratada de forma reativa e não é mensurada. ainda que mal elaborados ou impertinentes. • As estratégias de recursos financeiros. documentada e conhecida por todo o pessoal envolvido.Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI • O processo do planejamento de TI é razoavelmente discutido e assegura que um planejamento adequado seja realizado. técnicos e humanos influenciam cada vez mais na aquisição de novos produtos e tecnologias. . • O planejamento estratégico de TI não segue uma abordagem estruturada. • O planejamento estratégico de TI é discutido nas reuniões de gerenciamento do negócio. GAPS: • Uma política não define quando e como realizar um planejamento estratégico de TI. • A estratégia geral de TI não inclui uma definição consistente dos riscos que a organização aceita correr por ser inovadora ou por seguir tendências. PO1 – Definir o Planejamento Estratégico da TI PO7 – Gerenciar os Recursos Humanos de TI GAPS: • Falta uma abordagem tática na admissão e no gerenciamento do pessoal de TI impulsionada pelas necessidades específicas de projetos.Resultados Obtidos DS1 – Definir e Gerenciar Níveis de Serviço DS2 – Gerir Serviços de Terceirizados DS5 – Garantir a Segurança dos Sistemas • A administração reconhece a necessidade de gerenciamento dos recursos humanos de TI. • Está sendo desenvolvida consciência do impacto das rápidas mudanças tecnológicas e de negócios e das soluções cada vez mais complexas que resultam em necessidade de novas habilidades e níveis mais elevados de competência. • É realizado treinamento para o pessoal novo. . • O processo de gerenciamento de recursos humanos é informal e reativo e está operacionalmente focado na admissão e no gerenciamento de pessoal de TI. que a partir de então recebe treinamento somente quando necessário. Resultados Obtidos Visão Geral . GARANTIR A CONTINUIDADE DOS SERVIÇOS 17% DS9 .Resultados Obtidos Processos Secundários Cobit® frente aos objetivos Visão Geral estratégicos AI2 .ADQUIRIR E MANTER A INFRAESTRUTURA TECNOLÓGICA 100% AI4 .GERIR MUDANÇAS 50% DS3 .GERIR A PERFORMANCE E A CAPACIDADE 17% DS4 .GERIR A ARQUITETURA 50% PO5 .AVALIAR E GERIR OS RISCOS DE TI 33% 0 Nível de Maturidade do Processo 1 2 Requisitos da Nota Seguinte Cumpridos 3 4 Gap para a nota seguinte 5 .POSSIBILITAR OPERAÇÕES E O USO 40% AI6 .GERIR A CONFIGURAÇÃO 60% ME2 .ADQUIRIR E MANTER SISTEMAS 80% AI3 .GERIR OS INVESTIMENTOS DE TI 50% PO9 .MONITORAR E AVALIAR O CONTROLE INTERNO 50% PO2 . Resultados Obtidos AI2 – Adquirir e Manter Software Aplicativo DS9 – Gerenciar a Configuração AI3 – Adquirir e Manter Infraestrutura de Tecnologia ME2 – Monitorar e Avaliar os Controles Internos AI4 – Habilitar Operação e Uso PO2 – Definir a Arquitetura da Informação AI6 – Gerenciar Mudanças DS3 – Gerenciar o Desempenho e a Capacidade DS4 – Assegurar a Continuidade dos Serviços PO5 – Gerenciar o Investimento de TI PO9 – Avaliar e Gerenciar os Riscos de TI . Resultados Obtidos Visão Geral . • Cenário onde práticas ainda estão em um estágio inicial e são feitas sob demanda. de forma desestruturada em sua maioria. • Baixa nota do processo DS1 – Definir e Gerenciar Níveis de Serviço impacta em problemas estruturais dentro da TI Inexistência de Níveis de Serviço Fraca Gestão de Fornecedores Não há um DBA .Conclusões • Maioria dos processos de Tecnologia da Informação estão no nível 1 de maturidade. Próximos Passos • Cruzamento do resultado da Análise de Maturidade do CobiT® com a Árvore de Relacionamento de Atividades. • Priorização de problemas a serem tratados • Tratamento dos problemas de processo via desenho de soluções • Tratamento de problemas de sistemas via elaboração da MDS .