estabelecer responsabilidades, aprovar investimentos, avaliar riscos, acompanhar resultados e garantir que a TI esteja alinhada aos objetivos da organização.

Essa diferença não significa separação total. Governança e gestão precisam caminhar juntas. A governança orienta, e a gestão executa. A gestão informa, e a governança acompanha. Se a gestão de TI identifica que um sistema está antigo e inseguro, a governança ajuda a decidir se ele será substituído, quando isso acontecerá, qual será o orçamento, quem aprovará a mudança e quais riscos serão considerados. Se a direção deseja lançar um novo serviço digital, a governança ajuda a avaliar se a estrutura tecnológica, os dados, os fornecedores e a segurança estão preparados.

O COBIT, framework desenvolvido pela ISACA, apresenta justamente essa visão de governar e gerenciar a informação e a tecnologia de forma integrada à organização. Ele trata a TI de maneira ampla, envolvendo áreas de negócio e áreas técnicas, e não apenas o departamento de tecnologia. O próprio material institucional da ISACA destaca que o COBIT permite governar e gerenciar a TI de forma holística, considerando áreas de negócio e funções de TI de ponta a ponta.

Para o aluno iniciante, essa ideia é muito importante: governança de TI não é assunto exclusivo de técnicos. Ela envolve diretores, gestores, coordenadores, usuários, fornecedores e todos que participam, direta ou indiretamente, das decisões sobre tecnologia. Afinal, quando uma decisão tecnológica é tomada, seus efeitos raramente ficam restritos à equipe de TI. Um sistema mal escolhido pode prejudicar o atendimento. Um acesso mal controlado pode expor dados. Um projeto sem planejamento pode gastar recursos sem trazer resultado. Uma falha de comunicação pode comprometer toda uma implantação.

A ISO/IEC 38500:2024 também reforça essa perspectiva ao apresentar princípios orientadores para membros de órgãos de governança e pessoas que os apoiam no uso eficaz, eficiente e aceitável da tecnologia da informação dentro das organizações. A norma se aplica tanto ao uso atual quanto ao uso futuro da TI, mostrando que a governança precisa olhar para o presente, mas também para a sustentabilidade das decisões tecnológicas ao longo do tempo.

Na prática, a governança de TI começa com perguntas simples. Quem pode aprovar a contratação de um novo sistema? Quem define quais dados cada colaborador pode acessar? Quem acompanha se os fornecedores estão cumprindo o combinado? Quem decide quais

demandas de TI são prioridade? Quem avalia se uma tecnologia está trazendo resultado? Quem responde se houver falha de segurança? Quando essas perguntas não têm resposta clara, a organização fica vulnerável ao improviso.

Imagine uma pequena instituição educacional que decide contratar uma nova plataforma de cursos. O setor pedagógico quer mais recursos para os alunos. O financeiro quer integração com pagamentos. O atendimento quer facilidade para consultar solicitações. A direção quer relatórios de desempenho. A equipe técnica se preocupa com segurança, suporte, disponibilidade e migração de dados. Se cada área analisar apenas seu próprio interesse, a escolha pode ser incompleta. A governança de TI ajuda a reunir essas necessidades, definir critérios e tomar uma decisão mais equilibrada.

Outro exemplo comum acontece com acessos a sistemas. Em muitas organizações, um colaborador recebe senha para determinada ferramenta, muda de função e continua com o mesmo acesso. Depois, sai da empresa e ninguém remove suas permissões. Esse tipo de falha não é apenas técnica; é também um problema de governança. Faltou uma regra clara sobre criação, revisão e encerramento de acessos. Faltou definir quem solicita, quem aprova, quem executa e quem confere.

A governança também ajuda a evitar decisões baseadas apenas em urgência. Sem critérios, a TI pode ser pressionada por várias áreas ao mesmo tempo. Um setor pede uma nova ferramenta, outro quer prioridade no suporte, outro solicita um relatório, outro exige uma alteração urgente no sistema. Todas as demandas parecem importantes, mas nem todas têm o mesmo impacto. A governança cria mecanismos para priorizar: o que afeta mais pessoas? O que representa maior risco? O que está mais ligado aos objetivos estratégicos? O que precisa ser resolvido imediatamente? O que pode ser planejado?

Essa organização não serve para burocratizar a TI, mas para torná-la mais justa, transparente e eficiente. Quando existem critérios, as pessoas compreendem melhor por que uma demanda foi priorizada e outra ficou para depois. A equipe de TI também trabalha com mais segurança, pois não depende apenas de pressões individuais. A decisão deixa de ser pessoal e passa a ser institucional.

Um dos elementos centrais da governança de TI é a definição de papéis e responsabilidades. Em uma organização, diferentes pessoas participam das decisões tecnológicas. A direção define prioridades estratégicas. Os gestores indicam necessidades de suas áreas. A TI

avalia viabilidade técnica, riscos e alternativas. Os usuários explicam dificuldades do dia a dia. Os fornecedores entregam produtos ou serviços. A governança organiza essa relação para que todos saibam seu papel.

Uma ferramenta simples para isso é a matriz de responsabilidades. Ela pode indicar quem solicita, quem aprova, quem executa, quem acompanha e quem deve ser informado. Por exemplo, se a empresa precisa criar um novo acesso a um sistema financeiro, o gestor da área pode solicitar, a direção ou responsável financeiro pode aprovar, a TI pode executar e a auditoria interna ou coordenação pode acompanhar periodicamente. Esse tipo de clareza evita confusão e reduz riscos.

A governança de TI também se apoia em políticas, normas e procedimentos. Esses documentos não precisam ser complicados, principalmente em organizações pequenas. Uma política pode dizer, de forma simples, como as senhas devem ser criadas, quem pode acessar dados sensíveis, como solicitar suporte, como contratar sistemas, como fazer backup, como usar e-mail institucional ou como agir diante de uma falha de segurança. O importante é que as regras sejam compreensíveis, aplicáveis e conhecidas pelas pessoas.

Muitas organizações têm problemas não porque faltam ferramentas, mas porque faltam combinações claras. Um colaborador salva arquivos importantes no computador pessoal porque ninguém explicou onde os documentos devem ficar. Um setor contrata uma ferramenta sem consultar a TI porque não existe processo de aprovação. Um gestor compartilha senha com a equipe porque não há orientação sobre acessos individuais. A governança atua justamente nesses pontos do cotidiano, transformando boas práticas em rotina.

Outro papel da governança é garantir que os investimentos em TI tragam valor. Tecnologia custa dinheiro, tempo e energia da equipe. Por isso, cada investimento precisa ser avaliado. A compra de computadores, a contratação de um sistema, a migração para a nuvem, a criação de um aplicativo ou a implantação de uma nova plataforma precisam responder a uma pergunta básica: que valor isso entrega para a organização? Esse valor pode aparecer como redução de custos, aumento de produtividade, melhoria no atendimento, segurança, agilidade, conformidade legal ou capacidade de crescimento.

Uma publicação da CIO define governança de TI como uma estrutura formal que ajuda as organizações a garantir que os investimentos em tecnologia sustentem os objetivos do negócio. Essa definição é útil porque

mostra que a governança não existe apenas para controlar, mas para conectar tecnologia e estratégia.

Além de valor, a governança precisa considerar riscos. Toda decisão tecnológica envolve algum risco: risco de indisponibilidade, vazamento de dados, dependência de fornecedor, perda de informações, baixa adesão dos usuários, custo maior que o previsto, incompatibilidade com sistemas existentes ou falha no suporte. Governar TI é olhar para esses riscos antes que eles se tornem problemas graves.

Um exemplo simples é o backup. Muitas organizações só percebem a importância do backup quando perdem dados. Mas uma governança mínima já deveria definir onde os dados são armazenados, com que frequência são copiados, quem é responsável pela verificação e como seria feita a recuperação em caso de falha. Não basta “ter backup”; é preciso saber se ele funciona, se está atualizado e se pode ser restaurado quando necessário.

A segurança da informação também depende de governança. Não adianta instalar ferramentas de proteção se os usuários compartilham senhas, se não há controle de acessos, se os fornecedores mantêm permissões antigas ou se a equipe não sabe como agir diante de um incidente. A segurança precisa ser orientada por decisões, responsabilidades e acompanhamento. O NIST Cybersecurity Framework 2.0, por exemplo, destaca a importância de integrar a segurança cibernética ao gerenciamento de riscos da organização, envolvendo governança, políticas, papéis e responsabilidades.

Outro ponto importante é a relação com fornecedores. Muitas organizações dependem de empresas externas para sistemas, hospedagem, suporte técnico, internet, plataformas educacionais, meios de pagamento ou armazenamento em nuvem. A governança de TI ajuda a acompanhar esses fornecedores. Isso inclui avaliar contratos, prazos, níveis de serviço, suporte, segurança, continuidade e responsabilidades. Uma organização não deve entregar parte importante da sua operação tecnológica a terceiros sem critérios claros.

A governança também contribui para a qualidade dos serviços de TI. Quando um sistema fica fora do ar, quando um chamado demora a ser respondido ou quando uma solicitação se perde, os usuários sentem que a TI não funciona bem. Porém, para melhorar, é preciso medir. A ITIL 4 trabalha com temas como melhoria contínua, acordos de nível de serviço, métricas e indicadores-chave de desempenho, mostrando que os serviços de TI precisam ser acompanhados de forma organizada.

Em uma organização

pequena, isso pode começar de forma simples. O setor de TI ou responsável pela tecnologia pode registrar chamados, acompanhar tempo de atendimento, identificar problemas recorrentes e criar orientações para dúvidas frequentes. Com o tempo, esses dados ajudam a melhorar o serviço. Se muitos usuários pedem troca de senha, talvez seja necessário melhorar o processo de recuperação. Se muitos chamados são sobre o mesmo sistema, talvez falte treinamento. Se um fornecedor demora a responder, talvez seja necessário rever contrato ou suporte.

A governança de TI também ajuda a organização a aprender com suas próprias experiências. Quando uma implantação dá errado, não basta culpar o sistema, o fornecedor ou os usuários. É preciso perguntar: o problema foi falta de planejamento? Falta de treinamento? Falta de comunicação? Escolha inadequada da ferramenta? Ausência de testes? Falha na definição de responsabilidades? Esse aprendizado evita repetir erros.

É importante destacar que governança não deve ser confundida com excesso de burocracia. Quando mal aplicada, ela pode realmente gerar lentidão, reuniões desnecessárias e documentos que ninguém usa. Mas a boa governança é diferente. Ela cria clareza, orienta decisões e protege a organização. O objetivo não é dificultar o trabalho, e sim garantir que as decisões tecnológicas sejam responsáveis, alinhadas e sustentáveis.

Para iniciantes, uma boa forma de aplicar a governança de TI é começar pelo básico. A organização pode criar regras simples para contratação de sistemas, controle de acessos, registro de chamados, backup, uso de equipamentos, proteção de dados e priorização de demandas. Também pode definir responsáveis por cada área, estabelecer indicadores simples e revisar periodicamente os principais riscos. Pequenas ações de governança já podem trazer grande melhoria.

Vamos imaginar uma instituição de cursos online que deseja melhorar sua governança de TI. Ela pode começar definindo que nenhuma nova ferramenta será contratada sem avaliação de necessidade, custo, segurança e integração com os processos existentes. Pode criar uma regra para que acessos sejam concedidos apenas mediante solicitação formal do gestor responsável. Pode estabelecer que todos os chamados de suporte sejam registrados em um único canal. Pode definir uma rotina de backup e revisão de permissões. Pode acompanhar mensalmente indicadores como tempo de resposta, disponibilidade da plataforma e principais problemas relatados pelos alunos.

Essas

medidas parecem simples, mas mudam a cultura da organização. A TI deixa de ser um espaço de improviso e passa a ser administrada com mais responsabilidade. As decisões ficam mais transparentes. Os riscos diminuem. Os usuários entendem melhor os procedimentos. A equipe técnica ganha mais previsibilidade. A direção consegue acompanhar melhor os resultados. A tecnologia passa a servir de maneira mais clara aos objetivos institucionais.

A governança de TI também fortalece a confiança. Quando alunos, clientes, colaboradores e parceiros percebem que a organização cuida bem dos seus sistemas, dados e processos, a credibilidade aumenta. Em um mundo cada vez mais digital, confiança é um ativo importante. Uma falha tecnológica pode afetar não apenas a operação, mas também a imagem da instituição. Por isso, governar bem a TI é também proteger a reputação da organização.

Ao final desta aula, é importante guardar uma ideia central: governança de TI não é algo distante, reservado apenas a grandes empresas ou especialistas. Ela pode e deve ser aplicada em qualquer organização que usa tecnologia para funcionar. Seu objetivo é garantir que a TI seja usada com responsabilidade, alinhamento, segurança, eficiência e foco em resultados.

A governança organiza a tomada de decisão. Define papéis. Estabelece critérios. Acompanha riscos. Mede resultados. Orienta investimentos. Melhora a comunicação entre áreas. E, principalmente, ajuda a transformar a tecnologia em uma parceira real da estratégia organizacional. Quando a governança existe, a TI deixa de ser apenas uma área que resolve problemas e passa a ser uma força que ajuda a organização a crescer com mais clareza, segurança e qualidade.

Referências bibliográficas

ISACA. COBIT: Control Objectives for Information and Related Technology. Material institucional sobre governança e gestão da informação e tecnologia empresarial.

ISO. ISO/IEC 38500:2024 — Tecnologia da Informação: Governança de TI para a organização. Organização Internacional de Normalização.

PEOPLECERT. ITIL 4 Foundation. Material institucional sobre gestão de serviços de tecnologia da informação, melhoria contínua, acordos de nível de serviço, métricas e indicadores.

NIST. Cybersecurity Framework 2.0. Instituto Nacional de Padrões e Tecnologia dos Estados Unidos.

CIO. Governança de TI: uma forma formal de alinhar TI e estratégia de negócios.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informação Gerenciais. São Paulo: Pearson.

TURBAN, Efraim;

VOLONINO, Linda. Tecnologia da Informação para Gestão. Porto Alegre: Bookman.

WEILL, Peter; ROSS, Jeanne W. Governança de TI: como as empresas com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São Paulo: M. Books.

Aula 5 — Gestão de serviços de TI

Quando uma pessoa pensa em Tecnologia da Informação, é comum imaginar computadores, redes, sistemas, cabos, servidores, senhas e suporte técnico. Tudo isso faz parte da rotina da TI, mas não representa o seu papel completo dentro de uma organização. Em uma visão mais moderna e estratégica, a TI não entrega apenas equipamentos ou soluções isoladas. Ela entrega serviços. Esses serviços ajudam pessoas, setores e instituições a realizarem melhor suas atividades.

Um serviço de TI pode ser algo muito simples, como o acesso à internet de uma empresa, o e-mail institucional, o suporte para troca de senha ou o uso de uma impressora compartilhada. Também pode ser algo mais amplo, como uma plataforma de cursos online, um sistema financeiro, um ambiente virtual de aprendizagem, um sistema de vendas, uma ferramenta de atendimento ao cliente ou uma estrutura de armazenamento em nuvem. Em todos esses casos, a tecnologia não existe apenas como recurso técnico. Ela existe para permitir que alguém realize uma tarefa, resolva um problema ou alcance um resultado.

A Gestão de Serviços de TI trata justamente da forma como esses serviços são planejados, entregues, acompanhados e melhorados. Seu objetivo não é apenas “fazer a tecnologia funcionar”, mas garantir que ela funcione de maneira útil, organizada, segura e alinhada às necessidades da organização. A ITIL 4, uma das referências mais conhecidas nessa área, apresenta um framework voltado à criação, entrega e gestão de serviços, incluindo conceitos como cadeia de valor de serviço, princípios orientadores, governança e dimensões da gestão de serviços.

Para entender melhor, imagine uma instituição de cursos online. O aluno não está interessado em saber quantos servidores existem, qual linguagem de programação foi usada ou como o banco de dados está estruturado. Ele quer conseguir acessar o curso, assistir às aulas, realizar a avaliação, receber suporte quando tiver dificuldade e solicitar seu certificado corretamente. Para o aluno, isso tudo forma uma experiência de serviço. A TI precisa garantir que essa experiência seja estável, clara e confiável.

Da mesma forma, uma equipe administrativa não quer apenas “um sistema”. Ela

mesma forma, uma equipe administrativa não quer apenas “um sistema”. Ela quer consultar informações rapidamente, registrar dados sem retrabalho, gerar relatórios confiáveis, evitar erros e atender melhor os usuários. O sistema é apenas parte do serviço. O serviço completo envolve tecnologia, pessoas, processos, suporte, comunicação, regras, prazos e melhoria contínua.

Essa é uma mudança importante de mentalidade. Quando a TI é vista apenas como área técnica, o foco costuma estar no equipamento ou no sistema. Quando a TI é vista como prestadora de serviços, o foco se amplia para o valor entregue ao usuário. A pergunta deixa de ser apenas “o sistema está no ar?” e passa a incluir outras questões: o usuário consegue utilizar o sistema com facilidade? O atendimento é rápido? As informações são confiáveis? Os problemas são resolvidos de forma organizada? O serviço ajuda a organização a cumprir seus objetivos?

A Gestão de Serviços de TI, portanto, aproxima a tecnologia das pessoas. Ela reconhece que um serviço só faz sentido quando atende a uma necessidade real. Um sistema pode estar tecnicamente funcionando, mas ainda assim ser ruim para o usuário se for confuso, lento, mal explicado ou desalinhado com o processo de trabalho. Por outro lado, uma solução simples pode gerar muito valor quando resolve uma dificuldade concreta do dia a dia.

Um dos primeiros conceitos importantes dessa aula é o de catálogo de serviços. O catálogo é uma lista organizada dos serviços que a TI oferece para a organização. Ele pode incluir, por exemplo, suporte ao usuário, criação de contas, acesso a sistemas, manutenção de equipamentos, recuperação de senha, configuração de e-mail, solicitação de relatórios, atendimento a problemas de rede, instalação de programas autorizados e suporte a plataformas digitais.

O catálogo de serviços ajuda a deixar claro o que a TI faz, quem pode solicitar cada serviço, como a solicitação deve ser feita, qual o prazo esperado de atendimento e quais informações são necessárias. Sem esse tipo de organização, os usuários enviam pedidos de qualquer forma, por qualquer canal, muitas vezes sem dados suficientes. A equipe de TI perde tempo tentando entender a demanda, enquanto o usuário fica frustrado pela demora.

Em uma pequena organização, o catálogo não precisa ser complexo. Pode começar como um documento simples, com os principais serviços, responsáveis e prazos. O importante é dar visibilidade e organizar a comunicação. Por exemplo, em vez de o

colaborador escrever apenas “meu acesso não funciona”, o catálogo pode orientar que ele informe o sistema utilizado, o tipo de erro, o horário em que o problema ocorreu e se há alguma mensagem na tela. Essa simples padronização já melhora muito o atendimento.

Outro conceito essencial é o de central de serviços ou service desk. A central de serviços é o ponto de contato entre os usuários e a TI. Ela recebe solicitações, registra chamados, orienta usuários, encaminha problemas e acompanha a resolução. Em organizações pequenas, essa função pode ser realizada por uma pessoa ou por uma equipe reduzida. Em organizações maiores, pode envolver sistemas especializados, filas de atendimento, níveis de suporte e indicadores de desempenho.

O mais importante é que exista um canal claro. Quando cada pessoa aciona a TI por um meio diferente, como mensagem pessoal, ligação, e-mail, conversa de corredor ou grupo informal, as demandas se perdem. Algumas são esquecidas, outras são duplicadas e outras são atendidas sem prioridade adequada. A central de serviços organiza esse fluxo e dá mais transparência para todos.

A ITIL 4 apresenta práticas de gestão que ajudam a estruturar esse tipo de trabalho. Em 2023, a PeopleCert destacou práticas revisadas como gerenciamento de incidentes, gerenciamento de problemas, gerenciamento de requisições de serviço, monitoramento e eventos, além da prática de service desk. Esses temas aparecem no cotidiano de qualquer organização que depende de tecnologia.

Um incidente é uma interrupção ou redução inesperada na qualidade de um serviço. Por exemplo: o sistema saiu do ar, a internet parou, o aluno não consegue acessar a plataforma, o e-mail institucional não abre, a impressora da secretaria não funciona ou o relatório apresenta erro. O objetivo do gerenciamento de incidentes é restaurar o serviço o mais rápido possível, reduzindo o impacto para os usuários.

É importante perceber que o foco do incidente é a retomada do funcionamento. Se uma plataforma de cursos fica indisponível no horário de maior acesso, a prioridade inicial é restabelecer o serviço. Depois, a equipe pode investigar a causa com mais profundidade. O usuário precisa de uma resposta prática, e a organização precisa reduzir o impacto.

Já o problema está relacionado à causa de incidentes recorrentes ou graves. Se o sistema cai uma vez, pode ser tratado como incidente. Mas se ele cai toda semana, é preciso investigar a causa. Pode haver falha de infraestrutura, erro de

configuração, limitação do fornecedor, excesso de acessos, falta de atualização ou outro motivo técnico. O gerenciamento de problemas busca compreender a origem das falhas para evitar que elas se repitam.

Essa diferença é muito útil para iniciantes. Resolver incidente é como apagar o fogo. Gerenciar problema é descobrir por que o fogo começou e impedir que volte a acontecer. Uma organização que só apaga incêndios nunca melhora de verdade. Ela vive em estado de urgência. A Gestão de Serviços de TI propõe um caminho mais maduro: atender rapidamente, registrar, analisar causas e melhorar continuamente.

Também existem as requisições de serviço, que não são falhas, mas pedidos comuns dos usuários. Por exemplo: criar um novo acesso, instalar um programa autorizado, liberar permissão em um sistema, configurar e-mail, alterar dados de cadastro, gerar um relatório ou orientar o uso de uma ferramenta. Esses pedidos fazem parte da rotina e precisam de processo claro.

Quando requisições simples não são organizadas, a TI fica sobrecarregada. O mesmo pedido chega várias vezes, por canais diferentes, sem informações completas. Para evitar isso, a organização pode padronizar formulários, criar modelos de solicitação e definir prazos. Isso melhora a produtividade da TI e também a experiência do usuário.

Outro ponto central da Gestão de Serviços de TI é o acordo de nível de serviço, conhecido pela sigla SLA. O SLA estabelece expectativas sobre a entrega de determinado serviço. Ele pode definir, por exemplo, prazo de resposta, prazo de solução, horário de atendimento, responsabilidades da TI e responsabilidades do usuário. A ideia não é criar rigidez desnecessária, mas deixar claro o que pode ser esperado.

Imagine que uma instituição defina que pedidos simples de recuperação de senha devem ser respondidos em até quatro horas úteis, enquanto falhas que impedem o acesso de muitos alunos à plataforma devem ser tratadas imediatamente. Essa diferenciação ajuda a organizar prioridades. Nem toda demanda tem o mesmo nível de urgência. Um problema que afeta toda a operação é diferente de uma dúvida individual que pode aguardar um pouco mais.

O SLA também protege a equipe de TI de expectativas irreais. Quando não há prazo definido, cada usuário imagina um tempo diferente. Para uma pessoa, uma resposta em duas horas pode ser rápida. Para outra, pode parecer lenta. Com critérios claros, todos compreendem melhor o funcionamento do serviço. Isso reduz conflitos e melhora a

comunicação.

Além dos prazos, a Gestão de Serviços de TI precisa trabalhar com indicadores. Indicadores mostram se os serviços estão funcionando bem. Alguns exemplos são: tempo médio de atendimento, número de chamados abertos, número de chamados resolvidos no prazo, quantidade de incidentes recorrentes, disponibilidade de sistemas, satisfação dos usuários, tempo médio de restauração de serviço e volume de requisições por área.

Sem indicadores, a TI pode trabalhar muito e ainda assim não conseguir demonstrar seu valor. A equipe pode resolver dezenas de chamados, mas a direção talvez não perceba o esforço. Ou, ao contrário, a gestão pode acreditar que tudo está bem, enquanto os usuários enfrentam dificuldades frequentes. Os indicadores ajudam a transformar percepções em informações mais concretas.

A norma ISO/IEC 20000-1:2018 também trata da gestão de serviços ao especificar requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviços. A norma inclui planejamento, desenho, transição, entrega e melhoria dos serviços para atender aos requisitos e entregar valor. Essa visão mostra que o serviço de TI não deve ser improvisado, mas estruturado e acompanhado ao longo do tempo.

A melhoria contínua é uma das ideias mais importantes da aula. Um serviço de TI nunca deve ser considerado “pronto para sempre”. As necessidades mudam, os sistemas mudam, os usuários mudam e os riscos também mudam. Por isso, a organização precisa revisar seus serviços, ouvir usuários, analisar indicadores e fazer ajustes.

Por exemplo, se muitos chamados são abertos com dúvidas sobre o mesmo procedimento, talvez o problema não esteja nos usuários, mas na falta de orientação clara. A solução pode ser criar um tutorial, melhorar a tela do sistema, oferecer treinamento ou automatizar parte do processo. Se muitos incidentes acontecem em determinado horário, pode haver sobrecarga de infraestrutura. Se o tempo de atendimento está alto, talvez seja necessário revisar prioridades ou distribuir melhor as tarefas.

A melhoria contínua exige humildade organizacional. A TI precisa reconhecer que sempre há algo a aprimorar. Os usuários, por sua vez, precisam entender que o serviço melhora quando as dificuldades são registradas e comunicadas de forma adequada. Reclamações soltas ajudam pouco. Registros organizados ajudam muito.

Outro aspecto essencial é a comunicação. Em muitos casos, o usuário fica mais insatisfeito pela falta de informação do que pelo

problema em si. Quando um sistema cai e ninguém explica o que está acontecendo, surgem ansiedade, boatos e reclamações. Já quando a TI informa que identificou o problema, está trabalhando na solução e dará nova atualização em determinado horário, a confiança aumenta.

Uma boa Gestão de Serviços de TI considera a experiência do usuário. Isso inclui clareza na linguagem, empatia no atendimento, orientação objetiva e acompanhamento até a resolução. O usuário nem sempre domina termos técnicos. Por isso, responder com explicações difíceis pode aumentar a distância entre TI e demais áreas. A linguagem precisa ser compreensível, respeitosa e adequada ao público.

Em uma instituição de ensino, por exemplo, um aluno que não consegue acessar uma aula pode estar ansioso, frustrado ou com prazo curto para concluir uma atividade. O suporte técnico precisa resolver o problema, mas também precisa acolher a situação com atenção. A qualidade do serviço envolve tanto a solução técnica quanto a forma de atendimento.

A Gestão de Serviços de TI também depende de organização interna. A equipe precisa registrar o que foi feito, manter histórico de chamados, documentar soluções frequentes, organizar senhas e acessos de forma segura, acompanhar fornecedores e revisar processos. Sem documentação, o conhecimento fica preso na cabeça de poucas pessoas. Se alguém sai da organização, muito se perde. Com registros simples, a equipe ganha continuidade.

Outro ponto importante é a relação entre TI e fornecedores. Muitos serviços dependem de terceiros: internet, hospedagem, sistemas, plataformas, suporte especializado, armazenamento em nuvem, ferramentas de pagamento e segurança. A organização precisa acompanhar se esses fornecedores cumprem prazos, oferecem suporte adequado, mantêm disponibilidade e protegem informações. Um serviço de TI pode falhar não por erro interno, mas por dependência mal administrada de um fornecedor.

Por isso, a gestão de serviços também se conecta à governança de TI. Não basta contratar uma ferramenta. É preciso saber quem acompanha o contrato, quem aciona o suporte, quais são os prazos prometidos, quais dados estão envolvidos, quais riscos existem e qual plano será adotado se o fornecedor falhar. A TI estratégica pensa no serviço como um todo, e não apenas na ferramenta contratada.

Vamos imaginar um exemplo prático. Uma escola online recebe muitas reclamações de alunos que não conseguem acessar seus certificados. Antes da Gestão de Serviços de TI, cada

reclamação chegava por um canal diferente. Alguns alunos mandavam e-mail, outros chamavam no WhatsApp, outros abriam mensagens nas redes sociais. A equipe respondia de forma desorganizada, e o problema se repetia.

Ao aplicar conceitos de gestão de serviços, a instituição criou um canal único de atendimento, classificou o pedido como requisição de serviço, definiu prazo de resposta, registrou os chamados, analisou as causas mais frequentes e percebeu que muitos alunos erravam o preenchimento de dados cadastrais. A solução não foi apenas “responder mais rápido”, mas melhorar o formulário, criar uma orientação clara e automatizar parte da conferência. Com isso, os chamados diminuíram e a experiência dos alunos melhorou.

Esse exemplo mostra que a Gestão de Serviços de TI não é apenas teoria. Ela ajuda a resolver problemas reais. Quando os serviços são organizados, a equipe trabalha melhor, os usuários recebem atendimento mais claro, os gestores acompanham indicadores e a organização reduz desperdícios.

Também é importante compreender que nem tudo precisa ser sofisticado no início. Uma pequena organização pode começar com medidas simples: criar um canal oficial de suporte, registrar solicitações, separar incidentes de requisições, definir prioridades, estabelecer prazos básicos, acompanhar indicadores mensais e criar uma lista dos serviços mais importantes. Com o tempo, essa estrutura pode evoluir.

A Gestão de Serviços de TI é, acima de tudo, uma forma de cuidar melhor da relação entre tecnologia e pessoas. Um serviço bem gerido não é apenas aquele que funciona tecnicamente, mas aquele que ajuda o usuário a realizar sua tarefa com segurança, clareza e confiança. A tecnologia deve facilitar, e não complicar. Deve apoiar, e não gerar mais confusão. Deve estar a serviço dos objetivos da organização.

Ao final desta aula, é importante guardar uma ideia central: a TI entrega valor por meio de serviços. Esses serviços precisam ser planejados, comunicados, medidos e melhorados. Quando isso acontece, a tecnologia deixa de ser percebida apenas como custo ou suporte emergencial e passa a ser reconhecida como parte essencial da qualidade, da produtividade e da estratégia da organização.

Em resumo, Gestão de Serviços de TI é organizar a tecnologia para que ela realmente ajude as pessoas. É saber o que a TI oferece, como os usuários solicitam ajuda, quais prazos são esperados, como os problemas são resolvidos, quais indicadores serão acompanhados e como os serviços

podem melhorar continuamente. Para iniciantes, esse é um passo fundamental: compreender que a boa TI não é apenas aquela que possui bons sistemas, mas aquela que entrega bons serviços.

Referências bibliográficas

PEOPLECERT. ITIL 4 Foundation. Material institucional sobre gestão de serviços de tecnologia da informação, cadeia de valor de serviço, princípios orientadores e governança.

PEOPLECERT. ITIL 4 Management Practices 2023. Material institucional sobre práticas de gerenciamento de incidentes, problemas, requisições de serviço, monitoramento e service desk.

ISO. ISO/IEC 20000-1:2018 — Tecnologia da Informação: Gestão de Serviços. Organização Internacional de Normalização.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informação Gerenciais. São Paulo: Pearson.

TURBAN, Efraim; VOLONINO, Linda. Tecnologia da Informação para Gestão. Porto Alegre: Bookman.

MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática: uma abordagem com base na ITIL. São Paulo: Novatec.

WEILL, Peter; ROSS, Jeanne W. Governança de TI: como as empresas com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São Paulo: M. Books.

Aula 6 — Segurança da informação e gestão de riscos

A segurança da informação é um dos temas mais importantes dentro da Gestão Estratégica de TI. Em uma organização moderna, praticamente tudo depende de informações: dados de clientes, alunos, pacientes, fornecedores, colaboradores, contratos, pagamentos, relatórios, senhas, documentos internos, históricos de atendimento e registros de atividades. Quando essas informações são perdidas, acessadas por pessoas não autorizadas, alteradas indevidamente ou ficam indisponíveis, a organização pode sofrer prejuízos financeiros, operacionais, legais e de imagem.

Por isso, segurança da informação não deve ser vista apenas como uma preocupação técnica. Ela não pertence somente ao “pessoal da TI”, nem se resume à instalação de antivírus ou à criação de senhas difíceis. A segurança da informação é uma responsabilidade organizacional. Envolve tecnologia, processos, pessoas, cultura, regras, treinamento, gestão de riscos e tomada de decisão. Uma empresa pode ter bons sistemas e, ainda assim, estar vulnerável se seus colaboradores compartilham senhas, se não há controle de acessos, se os backups não são testados ou se ninguém sabe como agir diante de um incidente.

De forma simples, podemos dizer que segurança da informação é o

conjunto de cuidados usados para proteger informações importantes contra perdas, alterações indevidas, acessos não autorizados, vazamentos, interrupções e usos inadequados. O objetivo não é impedir o trabalho das pessoas, mas garantir que elas possam trabalhar com segurança. Uma boa segurança não deve paralisar a organização; deve permitir que ela funcione com mais confiança.

Um dos conceitos mais conhecidos da área é a tríade da segurança da informação: confidencialidade, integridade e disponibilidade. Esses três princípios ajudam a entender o que precisa ser protegido. A confidencialidade significa que a informação deve ser acessada apenas por pessoas autorizadas. A integridade significa que a informação deve permanecer correta, completa e confiável. A disponibilidade significa que a informação deve estar acessível quando for necessária.

Imagine uma instituição de cursos online. A confidencialidade é importante para proteger dados pessoais dos alunos, como nome, CPF, e-mail, histórico de matrícula e informações de pagamento. A integridade é necessária para garantir que notas, certificados, cargas horárias e registros de conclusão não sejam alterados indevidamente. A disponibilidade é fundamental para que o aluno consiga acessar suas aulas, realizar avaliações e solicitar documentos quando precisar. Se qualquer um desses pilares falhar, a qualidade do serviço é prejudicada.

A norma ISO/IEC 27001:2022 é uma das principais referências internacionais sobre sistemas de gestão de segurança da informação. Segundo a ISO, ela define requisitos para um sistema de gestão de segurança da informação e orienta organizações de diferentes tamanhos e setores a estabelecer, implementar, manter e melhorar continuamente esse sistema, com base na gestão de riscos relacionados aos dados que a organização possui ou trata.

Esse ponto é muito importante: segurança da informação não é apenas uma lista de ferramentas. É um processo contínuo de gestão. A organização precisa conhecer seus ativos de informação, identificar ameaças, avaliar vulnerabilidades, definir controles, acompanhar resultados e melhorar suas práticas ao longo do tempo. Não adianta tomar uma providência isolada e achar que o assunto está resolvido para sempre. Novos riscos surgem, novos sistemas são adotados, novas pessoas entram na equipe e novas formas de ataque aparecem.

Para iniciantes, a palavra “risco” precisa ser compreendida de forma prática. Risco é a possibilidade de algo acontecer e causar

impacto negativo. Na área de TI, um risco pode ser a perda de dados por falta de backup, o vazamento de informações por uso inadequado de senhas, a indisponibilidade de um sistema por falha de infraestrutura, o acesso indevido por ex-colaborador, o golpe de phishing contra usuários, a infecção por malware ou a dependência excessiva de um fornecedor sem plano alternativo.

A gestão de riscos busca identificar esses possíveis problemas antes que eles causem danos. Ela não parte da ideia de que tudo será evitado, porque risco zero não existe. Seu objetivo é reduzir a probabilidade de ocorrência, diminuir impactos e preparar a organização para responder melhor quando algo acontecer. A ISO/IEC 27005:2022 trata especificamente da gestão de riscos de segurança da informação e cobre o ciclo de avaliação, tratamento, comunicação, monitoramento e revisão dos riscos, adaptado ao contexto da segurança da informação.

Uma forma simples de analisar riscos é fazer três perguntas. A primeira é: o que pode dar errado? A segunda é: qual seria o impacto se isso acontecesse? A terceira é: o que podemos fazer para evitar ou reduzir esse problema? Essas perguntas ajudam a transformar a segurança em algo mais concreto. Em vez de falar apenas “precisamos melhorar a segurança”, a organização passa a identificar riscos específicos e ações possíveis.

Por exemplo, se uma empresa percebe que todos os colaboradores usam a mesma senha para acessar determinado sistema, o risco é o acesso indevido e a dificuldade de saber quem realizou cada ação. O impacto pode ser alteração de informações, vazamento de dados ou uso indevido do sistema. A ação preventiva seria criar usuários individuais, definir permissões conforme a função, proibir o compartilhamento de senhas e, quando possível, ativar autenticação em múltiplos fatores.

Outro exemplo está nos backups. Muitas organizações acreditam que estão protegidas porque “alguém faz backup”. Mas a pergunta correta é mais ampla: o backup é feito com frequência? Onde ele fica armazenado? Quem tem acesso? Ele é protegido contra exclusão indevida? Já foi testado? Quanto tempo levaria para restaurar os dados? Um backup que nunca foi testado pode dar uma falsa sensação de segurança. Em uma crise, a organização pode descobrir tarde demais que os arquivos estavam incompletos ou corrompidos.

A Cartilha de Segurança para Internet, do CERT.br, reúne recomendações e materiais educativos sobre proteção de dispositivos, contas, dados, golpes, fraudes, backup,

Cartilha de Segurança para Internet, do CERT.br, reúne recomendações e materiais educativos sobre proteção de dispositivos, contas, dados, golpes, fraudes, backup, privacidade e segurança no uso da internet, sendo uma referência útil para ações de conscientização de usuários. Essa dimensão educativa é essencial, porque muitas falhas de segurança começam no comportamento humano: clicar em links suspeitos, abrir anexos desconhecidos, compartilhar senhas, usar senhas fracas, ignorar atualizações ou enviar dados sensíveis por canais inadequados.

A segurança da informação precisa considerar que as pessoas são parte central do processo. Não adianta criar regras se ninguém as entende. Não adianta exigir cuidado se a organização não orienta seus colaboradores. Muitas vezes, o usuário não comete uma falha por má intenção, mas por desconhecimento, pressa ou falta de orientação. Por isso, treinamentos simples, comunicados claros, exemplos práticos e linguagem acessível são medidas tão importantes quanto ferramentas técnicas.

Um tema bastante comum é o phishing. Esse tipo de golpe tenta enganar a pessoa para que ela forneça senhas, dados pessoais, informações financeiras ou clique em links maliciosos. O criminoso pode se passar por banco, fornecedor, colega de trabalho, plataforma conhecida, órgão público ou serviço de entrega. Em um ambiente organizacional, um único clique pode gerar grandes problemas, como roubo de credenciais, invasão de sistemas ou instalação de programas maliciosos.

Para reduzir esse risco, a organização deve orientar seus usuários a verificar remetentes, desconfiar de mensagens urgentes demais, evitar clicar em links suspeitos, não informar senhas por e-mail ou mensagem, acessar serviços pelos canais oficiais e comunicar tentativas de golpe. Também é importante que a empresa tenha filtros, autenticação forte, atualização de sistemas e procedimentos de resposta. A segurança funciona melhor quando une comportamento consciente e controles técnicos adequados.

Outro cuidado fundamental é o controle de acesso. Nem todos precisam acessar todas as informações. Um colaborador do atendimento talvez precise consultar dados cadastrais, mas não dados financeiros sensíveis. Um professor pode precisar ver desempenho dos alunos, mas não informações internas de pagamento. Um fornecedor pode precisar acessar apenas uma parte do sistema, por tempo limitado. A regra deve ser simples: cada pessoa deve ter acesso apenas ao necessário para realizar seu trabalho.

Esse princípio reduz riscos. Se uma conta for comprometida, o dano será menor se as permissões forem limitadas. Além disso, acessos devem ser revisados periodicamente. Pessoas mudam de função, deixam a organização, assumem novas responsabilidades ou não precisam mais de determinados sistemas. Se a empresa não revisa permissões, acaba acumulando acessos indevidos ao longo do tempo.

A Autoridade Nacional de Proteção de Dados disponibiliza guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte, com orientações e checklist de medidas de segurança. Esse tipo de material é especialmente relevante para pequenas organizações que tratam dados pessoais e precisam adotar medidas proporcionais à sua realidade.

No Brasil, esse cuidado se relaciona também com a proteção de dados pessoais. Organizações que coletam e utilizam dados de alunos, clientes, colaboradores ou usuários precisam adotar medidas de segurança compatíveis com suas atividades. Ainda que o objetivo desta aula não seja aprofundar a legislação, é importante compreender que proteger dados pessoais não é apenas uma boa prática técnica: é também uma responsabilidade institucional.

A gestão de riscos em segurança da informação também envolve continuidade de negócios. Isso significa pensar em como a organização continuará funcionando caso algo dê errado. Se o sistema principal ficar fora do ar, há plano alternativo? Se a internet falhar, existe uma segunda conexão ou procedimento emergencial? Se arquivos forem perdidos, há backup recuperável? Se um fornecedor interromper o serviço, quem será acionado? Se ocorrer um incidente de segurança, quem comunica, quem decide e quem executa as ações?

Muitas organizações só pensam nisso depois da crise. Mas a continuidade precisa ser planejada antes. Um plano simples pode definir quais serviços são mais críticos, quais dados precisam ser recuperados primeiro, quem são os responsáveis, quais contatos de emergência devem ser mantidos e quais procedimentos devem ser seguidos. Mesmo um plano básico já ajuda a evitar desespero e improviso.

O NIST Cybersecurity Framework 2.0 organiza resultados de segurança cibernética em seis funções principais: Governar, Identificar, Proteger, Detectar, Responder e Recuperar. Essa estrutura ajuda organizações a compreenderem e melhorarem a gestão dos riscos de segurança cibernética de forma integrada. Para iniciantes, essas funções podem ser entendidas como um ciclo de cuidado: definir

responsabilidades, conhecer o ambiente, proteger o que é importante, perceber sinais de problema, agir diante de incidentes e retomar a operação.

Governar significa definir papéis, políticas, responsabilidades e critérios. Identificar significa conhecer sistemas, dados, usuários, fornecedores e riscos. Proteger envolve controles como senhas, backup, treinamento, atualizações e permissões. Detectar significa perceber comportamentos estranhos, falhas, acessos suspeitos ou indisponibilidades. Responder é agir quando o incidente acontece. Recuperar é restaurar serviços, dados e confiança após o problema.

Essa lógica mostra que a segurança não é feita apenas antes do incidente. Ela também precisa existir durante e depois. Uma organização preparada não é aquela que acredita que nunca será atacada ou nunca terá falhas. É aquela que reduz riscos, monitora sinais, responde rapidamente e aprende com os acontecimentos.

A segurança da informação também precisa estar presente na escolha de fornecedores. Muitas empresas usam sistemas terceirizados, plataformas em nuvem, serviços de pagamento, ferramentas de atendimento, hospedagem, suporte externo e armazenamento online. Isso traz benefícios, mas também riscos. Antes de contratar, é importante avaliar segurança, reputação, suporte, contrato, localização dos dados, políticas de backup, controle de acesso e responsabilidades em caso de incidente.

Um erro comum é contratar uma solução apenas pelo preço ou pela aparência. A ferramenta pode parecer boa, mas não oferecer suporte adequado, não permitir controle de permissões, não informar como protege os dados ou não ter política clara de recuperação. A gestão estratégica de TI deve considerar esses pontos antes da contratação, porque um fornecedor frágil pode comprometer toda a operação.

Outro cuidado envolve atualizações. Sistemas desatualizados podem conter vulnerabilidades conhecidas, ou seja, falhas já identificadas que podem ser exploradas por atacantes. Atualizar sistemas, aplicativos, navegadores, antivírus e dispositivos é uma medida básica de segurança. Em organizações, essa prática deve ser planejada para evitar interrupções, mas não deve ser ignorada. Deixar tudo desatualizado por medo de mudança pode criar riscos ainda maiores.

A segurança também depende de classificação da informação. Nem toda informação tem o mesmo nível de sensibilidade. Um folder público de divulgação de curso não exige o mesmo cuidado que dados pessoais de alunos ou documentos

financeiros. Classificar informações ajuda a definir níveis de proteção. Dados públicos podem circular livremente. Dados internos precisam de cuidado. Dados confidenciais exigem controle mais rigoroso. Dados sensíveis ou críticos devem ter proteção especial.

Para uma instituição educacional, por exemplo, informações públicas podem ser descrições de cursos e calendários divulgados no site. Informações internas podem ser relatórios administrativos. Informações confidenciais podem incluir dados pessoais, notas, documentos, solicitações de certificados e registros financeiros. Quanto mais sensível a informação, maior deve ser o controle.

Um ponto que merece atenção é a cultura de segurança. Cultura é aquilo que as pessoas fazem mesmo quando ninguém está olhando. Se a organização valoriza segurança, os colaboradores tendem a cuidar melhor das senhas, comunicar situações suspeitas, respeitar permissões e seguir procedimentos. Se a organização trata segurança como exagero ou burocracia, as regras são ignoradas. Portanto, a liderança precisa dar exemplo.

A segurança da informação não deve ser apresentada como medo, mas como cuidado. Cuidar dos dados é cuidar das pessoas. Cuidar dos sistemas é cuidar da continuidade do serviço. Cuidar dos acessos é proteger a organização e seus usuários. Quando esse sentido é explicado, as pessoas tendem a colaborar mais. A segurança deixa de parecer obstáculo e passa a ser parte da qualidade.

Também é importante que as regras sejam realistas. Políticas muito difíceis de cumprir acabam sendo abandonadas. Se a organização exige procedimentos complicados demais, os usuários procuram atalhos inseguros. Por isso, as medidas precisam equilibrar proteção e usabilidade. Uma boa segurança não deve ser apenas forte; deve ser aplicável na rotina.

Vamos imaginar um caso simples. Uma pequena escola online percebe que vários colaboradores usam a mesma conta administrativa para acessar a plataforma de cursos. A justificativa é que “fica mais fácil”. Porém, se algo for alterado indevidamente, ninguém saberá quem fez. Se a senha vazar, várias áreas serão afetadas. Se alguém sair da equipe, a senha continuará conhecida por todos. A medida correta seria criar contas individuais, definir permissões por função e revisar acessos periodicamente.

Outro caso: uma clínica mantém todos os documentos em um único computador, sem backup externo. Durante uma falha no equipamento, perde parte dos arquivos de atendimento. Esse problema poderia ser evitado

computador, sem backup externo. Durante uma falha no equipamento, perde parte dos arquivos de atendimento. Esse problema poderia ser evitado com uma política simples de backup, armazenamento seguro e teste periódico de restauração. A tecnologia necessária talvez nem fosse complexa; faltou gestão do risco.

Esses exemplos mostram que segurança da informação não depende apenas de grandes investimentos. Muitas medidas iniciais são organizacionais: criar regras, orientar pessoas, controlar acessos, fazer backups, atualizar sistemas, registrar incidentes, revisar fornecedores e acompanhar riscos. Para pequenas organizações, começar pelo básico já representa um avanço importante.

No entanto, o básico precisa ser levado a sério. Uma senha compartilhada pode parecer detalhe, até causar um problema. Um backup não testado pode parecer suficiente, até falhar. Um acesso antigo pode parecer inofensivo, até ser usado indevidamente. Um treinamento adiado pode parecer economia de tempo, até alguém cair em um golpe. A gestão de riscos ajuda justamente a perceber que pequenas fragilidades podem gerar grandes consequências.

Ao final desta aula, a principal mensagem é que segurança da informação e gestão de riscos fazem parte da estratégia de TI. Elas protegem dados, pessoas, processos, serviços e a própria reputação da organização. Não se trata apenas de evitar ataques, mas de garantir confiança, continuidade e responsabilidade no uso da tecnologia.

Uma organização segura não é aquela que nunca enfrenta problemas, mas aquela que conhece seus riscos, prepara suas pessoas, protege seus ativos, responde com organização e melhora continuamente. Para quem está começando, esse é o aprendizado essencial: segurança da informação não é um produto que se compra uma vez. É uma prática permanente de cuidado, gestão e consciência coletiva.

Referências bibliográficas

ISO. ISO/IEC 27001:2022 — Segurança da informação, segurança cibernética e proteção da privacidade: sistemas de gestão de segurança da informação — requisitos.

ISO. ISO/IEC 27005:2022 — Segurança da informação, segurança cibernética e proteção da privacidade: orientação sobre gestão de riscos de segurança da informação.

NIST. Cybersecurity Framework 2.0. Instituto Nacional de Padrões e Tecnologia dos Estados Unidos.

CERT.br. Cartilha de Segurança para Internet. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.

ANPD. Guia orientativo sobre segurança da informação para agentes de tratamento

Guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte. Autoridade Nacional de Proteção de Dados.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informação Gerenciais. São Paulo: Pearson.

TURBAN, Efraim; VOLONINO, Linda. Tecnologia da Informação para Gestão. Porto Alegre: Bookman.

STALLINGS, William; BROWN, Lawrie. Segurança de Computadores: princípios e práticas. São Paulo: Pearson.

Estudo de caso — Módulo 2

Quando a falta de governança, serviços e segurança quase

parou uma escola online

A empresa fictícia Horizonte Digital Cursos Livres começou pequena, com poucos cursos e uma equipe muito próxima. No início, tudo parecia funcionar bem. Os alunos faziam matrícula pelo site, acessavam as aulas em uma plataforma simples, tiravam dúvidas por e-mail ou aplicativo de mensagem e, ao final, solicitavam seus certificados. Como o volume de atendimentos era baixo, a equipe resolvia quase tudo de maneira informal. Quando alguém tinha problema, chamava “o rapaz da TI”. Quando precisava de acesso a um sistema, pedia pelo WhatsApp. Quando surgia uma falha, todos tentavam resolver rapidamente, mesmo sem registro ou procedimento definido.

Com o passar do tempo, a escola cresceu. Novos cursos foram lançados, mais alunos se matricularam, o número de certificados aumentou e a equipe administrativa ficou maior. O que antes funcionava na base da conversa começou a gerar confusão. A TI recebia pedidos por vários canais diferentes. Alguns chamados eram esquecidos. Usuários antigos continuavam com acessos ativos. Sistemas eram contratados sem avaliação técnica. Não havia um catálogo de serviços. Os prazos de atendimento não eram claros. O backup existia, mas ninguém sabia se realmente funcionava.

A direção da Horizonte Digital acreditava que o principal problema era “falta de gente na TI”. Porém, aos poucos, percebeu que a questão era mais profunda. A empresa não tinha governança de TI, não fazia gestão adequada dos serviços tecnológicos e tratava segurança da informação como um assunto secundário. O Módulo 2 do curso ajuda justamente a compreender essa situação: não basta ter tecnologia; é preciso organizar decisões, serviços, responsabilidades, riscos e proteção das informações.

A base conceitual desse estudo de caso se relaciona a referências importantes da área. O COBIT, da ISACA, trata a governança e a gestão da informação e da tecnologia de forma integrada, considerando áreas de negócio e funções de TI de ponta a

ponta. A ITIL 4 trabalha conceitos fundamentais de gestão de serviços, como definição de serviço, valor para as partes interessadas e sistema de valor de serviço. O NIST Cybersecurity Framework 2.0 organiza a segurança cibernética em funções como Governar, Identificar, Proteger, Detectar, Responder e Recuperar. Já a ISO/IEC 27001 orienta a criação, manutenção e melhoria contínua de um sistema de gestão de segurança da informação.

A crise que revelou o problema

Em uma segunda-feira pela manhã, a equipe de atendimento começou a receber várias mensagens de alunos dizendo que não conseguiam acessar a plataforma. Alguns relatavam erro de login. Outros diziam que suas avaliações não apareciam. O setor pedagógico também percebeu inconsistências em alguns registros de conclusão de curso. Ao mesmo tempo, o financeiro informou que havia divergências entre pagamentos confirmados e certificados liberados.

A equipe entrou em alerta. O responsável pela TI, Carlos, tentou identificar o problema, mas encontrou várias dificuldades. Não havia registro centralizado dos incidentes. As mensagens estavam espalhadas entre e-mails, grupos de WhatsApp, conversas privadas e formulários do site. Algumas pessoas da equipe tinham acesso administrativo à plataforma, mas ninguém sabia exatamente quem havia feito determinadas alterações. Um fornecedor externo também possuía acesso ao sistema, mesmo depois de ter encerrado um contrato meses antes.

Durante a investigação, Carlos descobriu que uma colaboradora havia solicitado, semanas antes, a criação de novos perfis administrativos para agilizar o atendimento. Como não existia um processo formal de aprovação, os acessos foram criados rapidamente. Alguns perfis receberam permissões maiores do que o necessário. Em paralelo, um fornecedor antigo ainda mantinha uma conta ativa. Não havia registro de revisão periódica de acessos.

O problema técnico foi resolvido depois de algumas horas, mas a situação deixou a direção preocupada. Não se tratava apenas de uma instabilidade. A empresa havia percebido fragilidades sérias: ausência de governança, falta de controle de acessos, atendimento desorganizado, inexistência de indicadores e baixo cuidado com segurança da informação.

Erro 1 — Tratar governança de TI como burocracia desnecessária

O primeiro erro da Horizonte Digital foi acreditar que governança de TI era algo “grande demais” para uma escola online de pequeno e médio porte. A direção pensava que governança significava excesso de

reuniões, documentos complicados e lentidão. Por isso, as decisões sobre tecnologia eram tomadas de forma informal. Um setor contratava uma ferramenta, outro criava uma planilha paralela, outro pedia acesso direto ao fornecedor, e a TI só ficava sabendo depois.

Essa falta de governança gerou decisões desconectadas. A empresa tinha sistemas que não conversavam entre si, acessos sem controle, fornecedores sem acompanhamento e demandas sem prioridade. Quando tudo funciona bem, a informalidade parece prática. Mas, quando surge um problema, a organização descobre que não sabe quem aprovou, quem executou, quem acompanha e quem responde por cada decisão.

Para evitar esse erro, a empresa precisou entender que governança não é sinônimo de burocracia. Governança é clareza. É definir quem pode aprovar uma contratação de sistema, quem autoriza acessos, quem acompanha fornecedores, quais critérios orientam as prioridades e como os resultados serão avaliados. Mesmo em uma organização pequena, regras simples já fazem grande diferença.

A Horizonte Digital criou um pequeno comitê de decisões de TI, formado pela direção, coordenação administrativa, responsável técnico e representantes das áreas mais afetadas pelos sistemas. Esse comitê não se reunia para discutir tudo, mas para avaliar decisões importantes, como contratação de novas plataformas, mudanças em sistemas críticos, regras de acesso e riscos relevantes. Com isso, a TI deixou de ser apenas executora de pedidos e passou a participar das decisões antes que os problemas acontecessem.

Erro 2 — Criar acessos sem critérios claros

O segundo erro foi permitir que acessos fossem criados de maneira rápida, mas sem controle. A intenção parecia boa: agilizar o atendimento e evitar atrasos. Porém, na prática, a empresa concedia permissões sem avaliar necessidade real, nível de risco ou prazo de validade. Algumas pessoas tinham acesso a funções que não faziam parte do seu trabalho. Outras mantinham contas ativas mesmo depois de mudar de função. Fornecedores antigos continuavam cadastrados.

Esse erro é comum porque, no dia a dia, o acesso ao sistema costuma ser tratado como uma tarefa simples. Alguém pede, alguém libera e o trabalho segue. O problema é que acesso é poder. Quem acessa um sistema pode visualizar, alterar, excluir ou exportar informações. Quando esse acesso envolve dados de alunos, documentos, pagamentos ou certificados, o risco se torna ainda maior.

Para evitar esse erro, a empresa adotou o princípio do

menor privilégio. Cada usuário passou a ter apenas as permissões necessárias para realizar suas atividades. Além disso, a criação de acessos passou a exigir solicitação formal do gestor da área, aprovação do responsável e registro da data de criação. Quando alguém mudava de função ou saía da empresa, o acesso deveria ser revisado ou encerrado.

A organização também criou uma revisão mensal dos acessos administrativos. Essa medida simples ajudou a identificar contas sem uso, permissões excessivas e usuários que não precisavam mais de determinados sistemas. A segurança deixou de depender da memória das pessoas e passou a fazer parte da rotina.

Erro 3 — Não ter um canal único de atendimento de TI

O terceiro erro estava na gestão dos serviços de TI. A equipe recebia pedidos por todos os lados. Um colaborador mandava mensagem no WhatsApp, outro enviava e-mail, outro ligava, outro falava pessoalmente no corredor. Como não havia canal único, era impossível saber quantos chamados estavam abertos, quais eram urgentes, quem estava responsável por cada solicitação e quanto tempo a TI levava para resolver os problemas.

Esse tipo de desorganização prejudica todos. O usuário fica sem retorno. A TI se sente sobrecarregada. A direção não consegue medir a qualidade do serviço. As demandas mais barulhentas passam na frente das mais importantes. E problemas repetidos continuam acontecendo porque ninguém registra histórico suficiente para identificar causas.

Para evitar esse erro, a Horizonte Digital implantou um canal oficial de atendimento de TI. Todas as solicitações passaram a ser registradas em uma ferramenta simples de chamados. O objetivo não era complicar a vida dos colaboradores, mas organizar o fluxo. Cada chamado precisava informar o sistema afetado, o tipo de problema, a urgência, o usuário envolvido e, quando possível, imagem ou descrição do erro.

A empresa também separou os chamados em categorias: incidente, requisição de serviço, dúvida de uso, solicitação de acesso e melhoria. Essa classificação ajudou a TI a entender melhor sua demanda. Um incidente, como plataforma fora do ar, exigia resposta rápida. Uma requisição, como criação de usuário, seguia um prazo padrão. Uma melhoria, como alteração em relatório, entrava em planejamento.

Erro 4 — Confundir incidente com problema

O quarto erro foi tratar toda falha como caso isolado. Quando a plataforma saía do ar, a TI resolvia. Quando o aluno não conseguia acessar, a equipe ajudava. Quando um relatório

apresentava erro, alguém corrigia. Mas ninguém parava para perguntar por que aquilo se repetia.

Na Gestão de Serviços de TI, é importante diferenciar incidente e problema. O incidente é uma interrupção ou redução da qualidade de um serviço. O foco inicial é restaurar o funcionamento. O problema está ligado à causa de incidentes recorrentes ou significativos. A ITIL possui práticas específicas para gerenciamento de incidentes e gerenciamento de problemas, ambas relacionadas à cadeia de valor de serviço.

Na Horizonte Digital, muitos chamados de acesso eram resolvidos individualmente, mas a causa se repetia: o processo de recuperação de senha era confuso, os e-mails automáticos caíam em spam e a orientação enviada aos alunos era pouco clara. A TI apagava incêndios todos os dias, mas o incêndio sempre voltava.

Para evitar esse erro, a empresa passou a analisar incidentes recorrentes. Todo mês, a equipe verificava quais chamados mais apareciam. Ao perceber que muitos alunos tinham dificuldade de acesso, a solução não foi apenas responder chamados mais rápido. A empresa melhorou a tela de login, revisou o texto dos e-mails automáticos, criou uma página de ajuda e treinou o atendimento para orientar melhor os alunos.

Com isso, a quantidade de chamados caiu. A TI deixou de atuar apenas de forma reativa e passou a melhorar o serviço na origem.

Erro 5 — Não definir prazos e expectativas de atendimento

O quinto erro era a ausência de prazos claros. Para a equipe de atendimento, tudo parecia urgente. Para a TI, nem tudo podia ser resolvido no mesmo momento. Para a direção, era difícil saber se o suporte estava lento ou apenas sobrecarregado. Como não havia acordo de nível de serviço, as expectativas eram diferentes para cada pessoa.

Esse desalinhamento gerava conflitos. Um colaborador abria uma solicitação simples e cobrava resposta imediata. Enquanto isso, a TI precisava lidar com uma falha que afetava dezenas de alunos. Sem critérios, a equipe ficava pressionada e os usuários frustrados.

Para evitar esse erro, a empresa criou prazos básicos de atendimento. Problemas críticos, como indisponibilidade da plataforma, seriam tratados imediatamente. Problemas que afetavam muitos usuários teriam prioridade alta. Requisições simples, como criação de acesso, teriam prazo definido em horas úteis. Melhorias e relatórios seriam avaliados dentro do planejamento.

Esses prazos não resolveram todos os conflitos, mas trouxeram mais transparência. Os usuários passaram a

entender que prioridade não depende apenas de quem pediu primeiro, mas do impacto para o serviço e para a organização.

Erro 6 — Não medir a qualidade dos serviços de TI

O sexto erro foi não acompanhar indicadores. A direção perguntava se a TI estava melhorando, mas ninguém tinha dados confiáveis. A equipe dizia que trabalhava muito, e isso era verdade. Os usuários diziam que o atendimento demorava, e às vezes também era verdade. Sem indicadores, tudo virava opinião.

Para evitar esse erro, a Horizonte Digital definiu indicadores simples: número de chamados abertos por mês, tempo médio de primeira resposta, tempo médio de solução, percentual de chamados resolvidos no prazo, principais causas de incidentes, quantidade de chamados repetidos e nível de satisfação dos usuários.

Esses dados trouxeram descobertas importantes. A empresa percebeu que muitos chamados não eram falhas técnicas, mas dúvidas de uso. Isso mostrou a necessidade de treinamento e materiais de orientação. Também percebeu que alguns incidentes vinham sempre do mesmo fornecedor, o que levou a uma revisão contratual.

Medir não serviu para punir a equipe, mas para melhorar o serviço. A TI ganhou argumentos para pedir recursos, justificar prioridades e mostrar resultados.

Erro 7 — Deixar segurança da informação para depois

O sétimo erro foi um dos mais graves. A empresa só começou a falar de segurança depois que percebeu acessos indevidos e fragilidades nos registros. Antes disso, segurança era tratada como algo que poderia esperar. O foco estava no crescimento, no lançamento de cursos e no atendimento aos alunos.

Esse comportamento é comum. Muitas organizações só valorizam segurança depois de um susto. O problema é que, quando o incidente acontece, o prejuízo pode ser grande. Dados pessoais, registros acadêmicos, pagamentos e certificados precisam de proteção. A ISO/IEC 27001 destaca a importância de estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação, adequado a organizações de diferentes tamanhos e setores.

Para evitar esse erro, a Horizonte Digital começou pelo básico: senhas individuais, autenticação em duas etapas para contas críticas, revisão de permissões, backup regular, teste de restauração, política de uso de sistemas, orientação contra golpes digitais e registro de incidentes de segurança.

A empresa também criou uma regra simples: nenhuma conta administrativa poderia ser compartilhada. Isso ajudou a manter

rastreabilidade. Se uma alteração fosse feita, seria possível saber qual usuário a realizou.

Erro 8 — Ter backup, mas nunca testar

O oitavo erro foi acreditar que o backup existia apenas porque alguém dizia que existia. Durante a crise, a direção perguntou se seria possível restaurar dados antigos, caso fosse necessário. A resposta foi insegura: “acho que sim”. Ninguém sabia quando havia sido feito o último teste de restauração.

Esse é um erro perigoso. Backup sem teste pode ser apenas uma falsa proteção. O arquivo pode estar incompleto, corrompido, inacessível ou desatualizado. Em uma situação crítica, a organização pode descobrir que não consegue recuperar suas informações.

Para evitar esse erro, a empresa criou uma rotina de backup com verificação periódica. Além de copiar os dados, passou a testar a restauração em ambiente controlado. Também definiu quais informações eram mais críticas e deveriam ter prioridade em caso de recuperação.

Essa mudança trouxe segurança operacional. A equipe deixou de confiar apenas na esperança e passou a ter um procedimento claro.

Erro 9 — Não preparar resposta a incidentes

O nono erro apareceu durante a crise: ninguém sabia exatamente quem deveria comunicar os alunos, quem deveria falar com o fornecedor, quem decidiria se a plataforma seria retirada temporariamente do ar, quem registraria o incidente e quem faria a análise posterior.

A falta de plano aumentou a tensão. Enquanto a TI tentava resolver o problema, o atendimento recebia mensagens sem saber o que responder. A direção cobrava atualizações, mas não havia fluxo definido. O fornecedor foi acionado tarde porque ninguém sabia quem tinha o contato correto.

Para evitar esse erro, a Horizonte Digital criou um plano simples de resposta a incidentes. O documento indicava responsáveis, contatos, critérios de gravidade, canais de comunicação, passos iniciais e procedimentos de recuperação. O NIST CSF 2.0 ajuda a compreender essa lógica ao organizar a segurança em funções que incluem governar, identificar, proteger, detectar, responder e recuperar.

A empresa também decidiu realizar simulações simples. Uma vez por semestre, faria um exercício interno: “o que faremos se a plataforma ficar fora do ar?”, “como agir se houver suspeita de vazamento de dados?”, “quem comunica os usuários?”. Essas simulações ajudaram a preparar a equipe sem esperar uma crise real.

Como a empresa mudou sua forma de trabalhar

Depois do incidente, a Horizonte Digital não resolveu todos os

do incidente, a Horizonte Digital não resolveu todos os problemas de uma vez. Mas começou a tratar a TI com mais maturidade. O primeiro passo foi reconhecer que tecnologia não é apenas suporte técnico. Ela envolve decisões, serviços, riscos, pessoas e responsabilidades.

A empresa criou regras básicas de governança. Definiu quem aprova sistemas, quem autoriza acessos, quem acompanha fornecedores e quem avalia prioridades. Também organizou a gestão de serviços, com canal único de chamados, categorias de atendimento, prazos e indicadores. Na segurança, iniciou controles simples, mas consistentes: revisão de acessos, backup testado, autenticação forte, orientação aos usuários e plano de resposta a incidentes.

O resultado foi gradual. O atendimento ficou mais organizado. A TI passou a ter dados para planejar melhorias. A direção começou a compreender melhor os riscos. Os usuários passaram a saber como solicitar ajuda. O número de chamados repetidos diminuiu. A empresa também ganhou mais confiança para crescer, porque agora sua tecnologia tinha mais direção e controle.

Principais erros comuns e como evitá-los

Erro 1: achar que governança é burocracia.
Para evitar, a organização deve criar regras simples, claras e úteis para decisões de TI. Governança não precisa ser pesada; precisa definir responsabilidades e critérios.

Erro 2: liberar acessos sem controle.
Para evitar, cada usuário deve ter acesso individual, com permissões compatíveis com sua função. A organização deve revisar acessos periodicamente e remover permissões desnecessárias.

Erro 3: receber chamados por qualquer canal.
Para evitar, é importante criar um canal oficial de atendimento de TI. Isso permite registrar, acompanhar e medir as solicitações.

Erro 4: resolver incidentes sem investigar causas.
Para evitar, a equipe deve analisar incidentes recorrentes e buscar a origem dos problemas. Apagar incêndios é necessário, mas impedir que eles se repitam é estratégico.

Erro 5: não definir prazos de atendimento.
Para evitar, a organização deve estabelecer prazos básicos conforme a gravidade e o impacto da demanda.

Erro 6: não medir resultados.
Para evitar, a TI deve acompanhar indicadores simples, como tempo de resposta, tempo de solução, chamados recorrentes e satisfação dos usuários.

Erro 7: tratar segurança como assunto secundário.
Para evitar, a segurança deve fazer parte da rotina: controle de acessos, backup, treinamento, atualizações, autenticação forte e resposta a incidentes.

Erro 8:

confiar em backup não testado.
Para evitar, além de fazer backup, a organização deve testar periodicamente a restauração dos dados.

Erro 9: não ter plano de resposta a incidentes.
Para evitar, é necessário definir responsáveis, contatos, etapas de resposta, critérios de gravidade e plano de comunicação.

Encerramento reflexivo

O estudo de caso mostra que os problemas de TI raramente são apenas técnicos. Muitas falhas nascem da ausência de governança, da falta de processos, da comunicação desorganizada, da inexistência de indicadores e do cuidado insuficiente com segurança. A tecnologia pode até funcionar por algum tempo na base do improviso, mas, quando a organização cresce, o improviso começa a cobrar seu preço.

O Módulo 2 ensina que uma TI mais madura precisa de três pilares: governança, serviços bem geridos e segurança da informação. A governança orienta decisões. A gestão de serviços organiza o atendimento e melhora a experiência dos usuários. A segurança protege dados, sistemas e continuidade da organização.

A principal lição é que não basta resolver problemas rapidamente. É preciso entender por que eles acontecem, criar regras claras, medir resultados, proteger informações e preparar a organização para responder melhor aos riscos. Uma TI estratégica não é aquela que apenas apaga incêndios, mas aquela que ajuda a evitar que eles aconteçam novamente.