• Bookmark

Criação de uma estrutura de Governança e Gestão para
e-commerce através do COBIT 5

Por Chidi Henry Emeribe, CISA, COBIT 5 Foundation

COBIT Focus | 16 de março de 2015 Inglês | Francês | Italiano | Japonês | Espanhol

Uma empresa de Lagos, na Nigéria, está no ramo de vendas e distribuição de sua marca de sapatos através de lojas físicas na área da cidade. Em uma tentativa de ampliar suas operações para áreas além de suas lojas físicas e contar com melhor competitividade no mercado nigeriano, os Executivos de Negócio da empresa optaram por usar a Internet como a plataforma de escolha para este objetivo.


Uma consultoria foi contatada para ajudá-la a concretizar seu objetivo de usar a Internet como uma plataforma adicional de vendas de seu produto. A consultoria recebeu a seguinte diretriz do Conselho e da gerência da empresa:

  • Desenvolver um site de e-commerce para a empresa para atuar como uma vitrine para a marca de sapatos da empresa.
  • Fornecer uma estrutura de Governança e Gestão para a plataforma de e-commerce de forma a garantir que novos fatores de risco envolvidos na execução dos negócios via Internet como uma plataforma sejam gerenciados.
  • Garantir que a plataforma seja mantida nos custos e recursos otimizados.
  • Fornecer suporte para todo o projeto por um período prolongado de tempo de forma a atuar como o braço tecnológico da empresa fabricante de sapatos.

Alguns dos principais recursos do site incluem:

  • Uma vitrine que apresente um produto: neste caso, marcas de sapatos
  • A capacidade de navegar pelo catálogo de produtos, escolher uma marca de sapato, adicioná-la ao carrinho de compras e pagar com um cartão de crédito/débito
  • Exibir registro no site antes de processar com qualquer transação com informações do usuário coletadas no site
  • Concluir o processamento de pagamento por meio de um fornecedor terceirizado em conformidade com o padrão de segurança de dados da indústria de cartões de pagamento (PCI-DSS) situado em um país-sede de boa reputação.
  • Recursos do mecanismo de e-commerce:
    • Gerenciamento de estoques;
    • Gerenciamento de produtos;
    • Gerenciamento de pedidos;
    • Logística de envio.

Em outras palavras, além de ser uma vitrine para exibição e venda de produtos, o site também conta com todos os principais processos normalmente encontrados em uma pequena loja de varejo ou atacado.


O projeto do site tem um orçamento limitado. Por essa razão, a empresa optou por hospedar o site em uma plataforma de hospedagem compartilhada com um provedor de hospedagem na web confiável com o qual a consultoria faz negócios há 10 anos. O software de código aberto (OSS) Drupal foi escolhido como a plataforma de desenvolvido da web, enquanto o Drupal Ubercart é responsável pelo mecanismo de e-commerce. Essas escolhas de plataforma buscam otimizar custos ao mesmo tempo que fornecem uma garantia de que o risco de interrupções e ataques maliciosos pode ser prevenido de forma razoável.


A criticidade dos processos abrigados neste pequeno site de e-commerce gerou diversos desafios para a consultoria.


Os principais desafios foram:

  • Garantir confidencialidade, integridade e disponibilidade de todas as transações no site;
  • Garantir a privacidade de todas as informações de identificação pessoal (PII) armazenadas no site;
  • Evitar tempo de inatividade no site;
  • Gerenciar todos os prestadores de serviços terceirizados, tendo em vista a criticidade dos processos sob seu controle.

Para conseguir gerenciar esses desafios (fatores de risco) de forma eficiente ao otimizar custos e ainda agregar valor para todas as partes interessadas, a consultoria, como parte da ordem recebida pela empresa, optou por buscar orientação com a estrutura COBIT 5.


Superando desafios com o cascateamento de metas do COBIT 5

O COBIT 5 possui uma estrutura de Cascateamento de metas que pode ser usado para conectar as necessidades de partes interessadas em qualquer empresa ou projeto com metas corporativas específicas, que são ainda mais apoiadas por metas específicas relacionadas à TI. Essas metas relacionadas à TI são ainda vinculadas de forma a possibilitar metas que apoiam a realização de metas gerais e exigências de partes interessadas.1


Como partes interessadas neste projeto, as necessidades da empresa estão voltadas para alcançar os benefícios de gerenciar o site de e-commerce usando recursos ideais e garantindo que todos os riscos associados com a hospedagem do site na Internet sejam gerenciados.


Essas necessidades foram personalizadas para as seguintes metas corporativas do cascateamento de metas do COBIT 5:2

  1. Risco comercial gerenciado;
  2. Continuidade e disponibilidade de serviço comercial;
  3. Otimização de custos de prestação de serviço.

Essas metas corporativas são apoiadas pelas seguintes metas relacionadas à TI:3

  1. Risco comercial gerenciado relativo à TI;
  2. Transparência de custos de TI, benefícios e riscos;
  3. Segurança de informações, estrutura de processamento e aplicativos;
  4. Otimização de ativos de TI, recursos e capacidades;
  5. Disponibilidade de informações úteis e confiáveis para tomada de decisões;
  6. Funcionários de TI e empresa competentes e motivados.

As metas relacionadas à TI foram mapeadas para os seguintes processos, que são habilitadores do COBIT 5:4

  1. EDM02 Garantir entrega de benefícios
  2. EDM03 Garantir otimização de riscos
  3. EDM04 Garantir otimização de recursos
  4. EDM05 Garantir transparência de partes interessadas
  5. APO01 Gerenciar a estrutura de gestão de TI
  6. APO03 Gerenciar a arquitetura empresarial
  7. APO04 Gerenciar inovação
  8. APO06 Gerenciar orçamento e custos
  9. APO07 Gerenciar recursos humanos
  10. APO09 Gerenciar acordos de serviço
  11. APO12 Gerenciar risco
  12. APO13 Gerenciar segurança
  13. BAI01 Gerenciar programas e projetos
  14. BAI04 Gerenciar disponibilidade e capacidade
  15. BAI06 Gerenciar alterações
  16. BAI09 Gerenciar ativos
  17. BAI10 Gerenciar configuração
  18. DSS01 Gerenciar operações
  19. DSS02 Gerenciar solicitações e incidentes de serviço
  20. DSS03 Gerenciar problemas
  21. DSS04 Gerenciar continuidade
  22. DSS05 Gerenciar serviços de segurança
  23. DSS06 Gerenciar controles de processos comerciais
  24. MEA01 Monitorar, avaliar e analisar desempenho e conformidade
  25. MEA02 Monitorar, avaliar e analisar o sistema de controle interno
  26. MEA03 Monitorar, avaliar e analisar conformidade com exigências externas

O mapeamento oferece um contexto dos processos que eram necessários para garantir que o projeto de consultoria contasse com uma estrutura de Governança e Gestão.


As dimensões do habilitador e sua gestão de desempenho precisam ser focadas para tornar os processos extremamente robustos.


Os processos acima também precisam ser levados em conta com os outros habilitadores:

  1. Princípios, políticas e estruturas
  2. Estruturas organizacionais
  3. Cultura, ética e comportamento
  4. Informações
  5. Serviços, Infraestrutura e Aplicações
  6. Pessoal, habilidades e competências

Também há necessidade de foco nas dimensões do habilitador do COBIT 5 e sua gestão de desempenho.


Isso garante que a consultoria possua as estruturas de Governança e Gestão para garantir que as necessidades das partes interessadas para o site de e-commerce sejam tratadas com o melhor uso de recursos e todos os riscos associados à escolha da plataforma de e-commerce sejam otimizados.


Implementação

A implementação do COBIT 5 apresentou diversos desafios, incluindo:

  • Onde começar e o que implementar primeiro
  • Personalizar a terminologia de orientação do COBIT 5 para as exigências identificáveis e específicas da consultoria e seu ambiente em particular
  • Compactar e compartilhar o quadro RACI (Responsável, Atribuível, Consultado e Informado) do COBIT 5 entre um grupo bem menor de cargos
  • A maioria dos processos trata das mesmas metas relacionadas à TI

As seguintes atividades foram executadas para superar os obstáculos de implementação:

  • A consultoria adotou uma abordagem em fases para a implementação, optando por implementar processos e outros habilitadores que alcançaram benefícios rápidos, migrando depois para situações mais complexas. A prioridade foi dada para orientações que contribuíram para a confidencialidade, disponibilidade e integridade do projeto de e-commerce.
  • A consultoria aplicou a terminologia do COBIT 5 para suas terminologias específicas de metas corporativas e em entidades identificáveis.
  • O quadro RACI oferece percepções sobre os cargos organizacionais que devem estar em vigor para alcançar as metas de processos. Essas metas devem ser reduzidas para mapeamento com cargas existentes na consultoria. Embora houvesse sobreposições, isso reforçou a responsabilidade de processo dentro da consultoria.
  • Quando metas relacionadas à TI foram mapeadas para mais de uma meta de processo, a declaração de finalidade do processo e descrição de atividade foram usadas para escolher qual seria implementada como prioridade, tendo em mente o objetivo do projeto de e-commerce.

Os benefícios a seguir foram determinados inicialmente usando a implementação do COBIT 5:

  • Os quadros RACI personalizados da consultoria ajudaram a reforçar a responsabilidade de projeto em toda a empresa.
  • A orientação passo a passo das atividades do processo do COBIT 5 para realização de metas foi adotada pela consultoria e desenvolvida em uma lista de afazeres.
  • Metas e métricas de processos forneceram boas percepções sobre o que precisava ser alcançado.
  • Entradas/Saídas (E/Ss) de prática de governança forneceram uma fonte rica de orientação de recursos de ferramentas para alcançar objetivos de Governança e Gestão.

Após a implementação, os benefícios inicialmente identificáveis de se instituir uma estrutura de governança não estão sendo apenas alcançados com sucesso como também ajudaram a consultoria a manter processos viáveis para abordar não apenas o projeto de site de e-commerce, como também a execução diária de negócios em toda a empresa.


Um evento acionador

O projeto de site de e-commerce apresentou enormes desafios e gerou um novo risco para a operação da empresa. Por isso, agiu como um evento acionador para a consultoria adotar a governança e a gestão de seus processos. O COBIT 5 foi adotado como uma estrutura de orientação. No final, uma estrutura sustentável de governança e gestão foi definida para a empresa como um todo.


Os cargos organizacionais e responsabilidade de processo são agora definidos mais solidamente, processos foram criados e otimizados e as metas empresariais iniciais de gerenciar riscos comerciais, continuidade e disponibilidade de serviços comerciais e otimização de custos de prestação de serviços foram plenamente alcançadas.


Chidi Henry Emeribe, CISA, COBIT 5 Foundation

É atualmente o consultor-chefe da Greengate Consult Limited, uma empresa de TI e consultoria ambiental da Nigéria. Possui mais de 12 anos de experiência na indústria de TI. Sua experiência engloba áreas de segurança de informações, auditoria, governança e certificação. Também trabalhou amplamente nas áreas de instalação, manutenção e suporte a infraestrutura de sistemas de informação. Emeribe possui conhecimento prático de Segurança de Informações (IS) e gestão de ciclo de vida de infraestruturas, auditoria de IS, governança de TI, prestação e suporte de serviços de TI, proteção de ativos de informações, computação em nuvem e avaliações de capacidade de processo.


Notas

1 ISACA, COBIT 5, 2012, p. 17
2 Ibid, app. D, p. 55
3 Ibid, app. B, p. 49
4 Ibid, app. C, p. 51

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.