Um guia de apoio à implantação da norma ISO 31000 para gestão de riscos em processos de TI: um estudo de caso IFTO

SOUZA, Daniel Félix de

09 December 2016

Submitted by Fabio Sobreira Campos da Costa (fabio.sobreira@ufpe.br) on 2017-08-23T12:36:43Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Daniel_Felix_Souza_Versao_Final.pdf: 1840427 bytes, checksum: 48809bf9e2f28c62b0d6b33620e3b6c4 (MD5) / Made available in DSpace on 2017-08-23T12:36:43Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Daniel_Felix_Souza_Versao_Final.pdf: 1840427 bytes, checksum: 48809bf9e2f28c62b0d6b33620e3b6c4 (MD5) Previous issue date: 2016-12-09 / O aumento da demanda de soluções que aperfeiçoem os serviços oferecidos pelo governo à sociedade de maneira ágil e econômica, faz com que cresça o número de atividades críticas de TI (tecnologia da informação) que precisam ser gerenciadas. Logo, é um desafio para as organizações controlar estes processos de forma que sejam priorizadas e adequadamente gerenciadas as atividades que podem causar algum tipo de prejuízo. Nesse sentido, existem modelos de gestão de riscos que possibilitam um gerenciamento equilibrado dessas demandas levando em consideração as necessidades de cada organização. A implantação destes modelos é um grande desafio, pois em geral eles auxiliam a gestão de riscos apresentando “o que” e não “como” fazer. Assim, esta dissertação tem como objetivo propor um guia para apoiar a implantação da norma ISO 31000 (ABNT, 2009) para gerenciar riscos em processos de TI. Para a escolha dessa norma como referência desta pesquisa, foram comparados três modelos de gestão de riscos e sua relevância alcançou melhores resultados para proposta deste trabalho. Um estudo de caso foi realizado em uma organização pública com experiência na gestão de riscos corporativas. Ele teve a finalidade de identificar objetivos e características que um guia precisa satisfazer para apoiar a implantação de um modelo para gestão de riscos em processos de TI. Para obter tais informações, foram realizados grupos focais e entrevistas com especialistas da área gestão de riscos corporativa e de TI. A partir dos resultados do estudo, foi proposto um guia dividido em seis fases e duas atividades com exemplos práticos, para facilitar seu entendimento e aplicação. A avaliação do guia foi realizada por meio de uma pesquisa survey de natureza qualitativa, com a participação de sete gestores com formação em TI. Como resultado da avaliação do guia, constatou-se que o guia proposto contribui para apoiar a implantação de um modelo para gestão de riscos em processos de TI em organizações públicas, baseado em uma norma específica para este contexto. / The increase of the demand on solutions that improve the services that are offered by the government to the community in a fast and economical way increases the number of critical IT (information technology) activities which need to be managed. Therefore, it is a challenge for organizations to be able to control these processes in such a way that the activities that may cause any kind of detriment are prioritized and properly managed. In this sense, risk management models enable a balanced handling of those demands, taking into account the needs of each organization. The implementation of those models is a difficult task, because generally risk management models present “what” and not “how” to do. Thus, this dissertation has the goal to propose a guideline to support the implementation of the norm ISO 31000 (ABNT, 2009) to manage risks in IT processes. For a choice of this standard as reference for the research, three models of risk management were compared and their relevance achieved better results for the proposal of this work. A case study was carried out in a public organization with experience in corporative risk management. The goal of the study was to identify the objectives and characteristics that a guideline needs to have in order to support the implementation of a model for risk management in IT processes. Focus groups and interviews with experts in corporative risk management and IT fields were conducted to obtain such information. From the study results, we proposed a guide divided into six phases and two activities, with practical examples to facilitate its understanding and application. The guide assessment was performed through a survey of qualitative nature, with the participation of eight managers with IT expertise. As the outcome of the guide evaluation, it was verified that the proposed guide contributes to support the implementation of a model for managing risks in IT processes in public organizations, based on a specific standard for this context.

Gestão de Riscos

Processos de TI

Guia de apoio à implantação

ISO 31000:2009