O que é governança de TI?

Uma governança de TI eficaz é um componente central da estratégia de negócios geral e da governança corporativa, como uma política de governança, risco e conformidade (GRC). A governança da TI gerencia a governança e os riscos enquanto mantém a conformidade com as regulamentações do setor e do governo. Otimizar a governança de TI requer a combinação certa de investimentos em TI, políticas e pessoal. Ela ajuda as organizações a alinhar suas metas de TI com os objetivos de negócios.

Uma estratégia de TI abrangente com forte governança de TI pode simplificar a tomada de decisões de TI, impulsionando resultados em relação às principais metas de negócios. Ela está se tornando cada vez mais um componente das equipes de DevOps responsáveis pelas operações de TI. As equipes de DevOps trabalham de forma mais eficiente para criar, testar e entregar software.

À medida que as organizações aumentam seus investimentos em TI, a importância de uma política robusta de governança de TI cresce. Os diretores executivos de TI (CIOs) impulsionam a estratégia de governança de TI ao lado de outros stakeholders importantes na diretoria executiva.

Manter uma governança de TI forte ajuda as organizações a prosperar em várias áreas importantes.

Interrupções nos processos de TI de uma organização afetam todo o negócio. Portanto, as organizações tornam a resiliência um componente central de seus processos de governança de TI. As organizações podem orientar suas funções de TI para maximizar o tempo de atividade e criar backups e redundâncias adequados para manter o negócio em movimento.

Compreender os custos dos recursos de TI e como eles impactam o crescimento dos negócios é uma parte essencial do trabalho de qualquer CIO. Embora a tecnologia seja um componente importante de qualquer organização moderna, os CEOs querem saber que os diversos projetos, iniciativas e despesas de TI estão diretamente relacionados ao alcance das metas de negócios.

O uso crescente de dados de clientes para impulsionar operações de negócios na TI empresarial faz com que as agências reguladoras se concentrem mais em como as organizações gerenciam seus departamentos de TI. Organizações que possuem práticas sólidas de governança de TI têm menos probabilidade de enfrentar problemas de conformidade e, portanto, podem se concentrar mais em outras áreas de seus negócios.

As organizações cada vez mais dependem de dados de primeira e terceira parte, muitos dos quais são proprietários ou contêm informações privadas de consumidores. Cada vez mais, os agentes maliciosos têm como alvo as organizações que coletam esses dados valiosos. O gerenciamento e a mitigação de riscos de TI são cruciais; as organizações podem implementar políticas e procedimentos que protegem seus usuários. De acordo com uma pesquisa da CIO.com, os CEOs colocam o gerenciamento de riscos de TI¹ como a segunda maior prioridade, atrás apenas da transformação digital.

Várias organizações governamentais, não governamentais (ONGs) e empresas privadas são responsáveis por definir e manter padrões e diretrizes de governança de TI.

• ISACA: anteriormente conhecida como Information Systems Audit and Control Association, é uma organização que fornece credenciais para profissionais de TI em áreas chave de auditoria, cibersegurança e mais.
• Organização Internacional de Normalização: esta organização não governamental desenvolve padrões em várias unidades de negócios, incluindo operações de TI, para facilitar melhor o comércio e a cooperação. Ela emitiu vários padrões, incluindo o padrão de governança de TI ISO/IEC 38500, publicado em 2008, e o padrão ISO 27001 para gerenciamento de segurança da informação.
• Axelos: originalmente uma joint venture entre o governo do Reino Unido e a empresa Capita, a PeopleCert adquiriu a organização em julho de 2021. Ela é responsável por várias certificações, incluindo a biblioteca de infraestrutura de TI (ITIL).

Existem várias políticas e procedimentos de governança de TI que muitas organizações seguem.

Também conhecido como COBIT, é um framework de práticas aceitas e ferramentas que minimizam riscos, introduzem conformidade regulatória e impulsionam os objetivos de negócios.

Uma biblioteca de melhores práticas, esse framework ajuda as organizações a gerenciar melhor o suporte e os serviços de TI. A AXELOS é responsável por gerenciar as atualizações do ITIL. A mais recente, ITIL 4, foi lançada em 2019² para incluir novas ferramentas e tecnologias, como inteligência artificial e computação em nuvem.

Este framework envolve o planejamento, implementação, gerenciamento e otimização de serviços de TI para atender às necessidades dos usuários e ajudar as organizações a alcançar seus objetivos de negócios. O ITSM visa proporcionar a implementação, operação e gerenciamento ideais de todos os recursos de TI para cada usuário em toda a empresa. Os usuários podem incluir clientes, funcionários ou parceiros de negócios.

Os recursos de TI podem incluir qualquer hardware, software ou ativo computacional, como um notebook, aplicação de software, armazenamento em nuvem ou virtual server. Em algumas organizações, o DevOps é utilizado no lugar do ITSM ou como uma alternativa a ele. No entanto, muitas organizações veem o DevOps e o ITSM como complementares: o DevOps foca principalmente em velocidade e agilidade, enquanto o ITSM se concentra na satisfação do usuário e do cliente.

Este modelo, originalmente desenvolvido pelo Departamento de Defesa dos EUA, refere-se ao processo de desenvolvimento de software de uma organização. Os modelos CMMI atuais ajudam organizações de todos os tamanhos a construir e medir a maturidade de suas operações de TI e identificar áreas para melhorias.

• Alinhamento estratégico: este conceito envolve alinhar os objetivos de TI com as necessidades de negócios. Ao alinhar o que uma organização precisa para ter sucesso, ela pode alocar melhor os recursos de TI e criar a estrutura de governança de TI adequada para fazer isso acontecer.
• Cibersegurança: as organizações precisam priorizar a proteção da segurança da informação, dada a importância dos dados que seus clientes e parceiros confiam a elas. Ter uma postura robusta de cibersegurança protege esses dados e defende a organização de ataques cibernéticos catastróficos.
• Gerenciamento de recursos: as organizações devem monitorar consistentemente o uso de ferramentas e serviços valiosos, mas caros, que impulsionam o valor do negócio, como o uso de nuvem e armazenamento de dados. Uma organização que prioriza o gerenciamento de recursos pode identificar as iniciativas de TI adequadas e otimizar seus sistemas de TI para criar os processos de tomada de decisão corretos.
• Recuperação de desastres: as organizações precisam ter um plano robusto para quando as coisas dão errado. Uma falha catastrófica nos servidores ou bancos de dados das organizações pode levar à perda de dados de clientes ou de outra propriedade intelectual, aumento do downtime e outras interrupções nos negócios. A priorização da recuperação de desastres mantém as organizações funcionando mesmo em caso de ataque ou problema em seus sistemas.
• Conformidade regulatória: as organizações precisam manter conformidade com várias regulamentações nacionais e regionais. Uma estratégia de governança de TI bem mantida ajuda a organização a entender essas regulamentações e monitora ações e atividades para manter a conformidade diante de quaisquer mudanças nas políticas de TI.

A IA generativa é uma influência importante em todos os aspectos dos negócios modernos, incluindo TI. As organizações podem precisar repensar suas políticas de governança de TI na era da IA, especialmente se estiverem considerando o uso de ferramentas de terceiros, como o ChatGPT ou outras. A IA generativa, da forma como é construída hoje, levanta várias questões difíceis sobre uso justo, privacidade de dados e confiança na precisão dos resultados.

Organizações que adotam a IA generativa provavelmente precisam revisar suas políticas de governança de TI para verificar se precisam de novas regras para o uso da tecnologia. Além disso, a IA generativa pode ser uma ferramenta valiosa na construção de políticas de governança de TI, sugerindo componentes fundamentais ou fazendo perguntas que a equipe de governança de TI pode ter.