Arquitetura Corporativa

Como modelos corporativos contribuem para o sucesso de fusões, aquisições e desinvestimento

postado em 5 de jun de 2017 14:39 por Antonio Plais   [ 8 de jun de 2017 10:57 atualizado‎(s)‎ ]

Originalmente publicado por Marc Lankhorst* no Blog da BiZZdesign - Tradução autorizada

As organizações envolvidas em grandes mudanças estratégicas, como fusões, aquisições e desinvestimentos, em geral focam principalmente nos aspectos financeiros e de mercado para a mudança. Qual é o impacto na sua participação de mercado? Como você pode aumentar o poder de compra sobre os seus fornecedores? Quais reduções de custos podem ser realizadas através da exploração de sinergias? Problemas organizacionais e de recursos humanos também ocupam o topo da lista de preocupações dos executivos envolvidos.

No entanto, a integração nos níveis mais operacionais geralmente só é considerada bem mais tarde no processo. Os líderes de negócio precisam garantir a efetiva colaboração entre as partes interessadas através da organização, de forma que eles possam obter as percepções necessárias e melhorar a qualidade e a velocidade da tomada de decisões.

Desafios a resolver durante uma fusão ou aquisição

Combinar processos de negócio e sistemas de TI de diferentes empresas é complicado. Isto requer responder a perguntas como:
  • Quais capacidades da empresa alvo da incorporação são diferenciadoras, e quais são comuns e se sobrepõem às nossas próprias?
  • Quais são as sinergias potenciais entre os diferentes portfólios de produtos?
  • Como podemos consolidar os sistemas e reduzir o débito técnico?
  • Como podemos identificar as melhores práticas para nossos processos de negócio?

Desafios a resolver durante um desinvestimento

Em situações de desinvestimento, encontramos perguntas como:
  • Quais são os processos de negócio e sistemas de TI essenciais, e quais são redundantes?
  • Quais dependências no nosso negócio e panorama de TI são particularmente críticos ao vender parte da empresa para outra organização?
  • Como podemos definir claramente nosso futuro estado de negócios e de TI, após desinvestir parte do nosso negócio? Quais lacunas nós teremos que preencher agora?
  • Quais partes precisam ser duplicadas, porque são críticas tanto para a organização que está desinvestindo como para a empresa adquirente?
  • Como lidar com os dados envolvidos? O que deve ser transferido e o que deve ser mantido?

Como modelos ajudam a responder a estas questões?

Para suportar as organizações em tais situações complexas, modelos são um instrumento fundamental.
  • Modelos são mais do que figuras bonitas
Modelos fornecem informação precisa, bem definida e sem ambiguidade. Modelos podem ser verificados, visualizados, analisados, gerenciados, integrados, transformados, interpretados, e, muitas vezes, até executados.
  • Modelos podem ser usados em diferentes áreas de negócio e de tecnologia
As organizações usam diferentes tipos de modelos para os diferentes estágios de uma fusão, aquisição ou desinvestimento, tais como mapas de estratégia, diagramas de processo, visões de arquitetura, estruturas de composição de produtos, e organogramas.
  • Modelos permitem que você analise todos os relacionamentos entre as suas capacidades, produtos, processos, pessoas e sistemas
Modelos fornecem informações sobre como estas dependências conectam tudo desde a estratégia até as operações. Desta forma você pode, por exemplo, ver qual a contribuição de algum projeto de TI para a estratégia global do negócio, através de seus entregáveis, os aplicativos que ele afeta, os processos de negócio e produtos suportados por estes aplicativos, e as metas de negócio que eles ajudam a realizar.
  • Modelos suportam a tomada de decisões baseada em fatos
Modelos podem integrar dados de várias fontes, garantir a sua consistência, e fornecer entradas cruciais para a tomada de decisões bem fundamentada. Relacionar, por exemplo, dados financeiros com a informação estrutural obtida em um modelo de arquitetura é crucial para o cálculo das economias potenciais em um projeto de consolidação de TI, fornecendo dados muito melhores que simples estimativas grosseiras baseadas apenas em dados financeiros, sem levar em conta as dependências na sua arquitetura que podem impedir mesmo as mais simples soluções.
  • Modelos ajudam você a analisar o impacto das mudanças antes que você as aplique
Usar modelos para avaliar as conexões e dependências entre os vários aspectos e elementos da sua empresa é de grande ajuda para entender os efeitos, riscos e benefícios das mudanças. Fazer isto antes de entrar em uma fusão ou desinvestimento ajuda a mitigar os riscos associados com estas transformações de grande impacto.

Muitos destes aspectos são mostrados na figura abaixo, onde vemos um mapa de capacidades (simplificado) de uma empresa de seguros logo após uma fusão. Ele é usado para realçar onde o panorama de aplicativos subjacente que suporta estas capacidades exibe ineficiências, tais como duplicações. Desta forma, a direção pode rapidamente identificar onde concentrar sua atenção e quais capacidades podem ser afetadas por um esforço de consolidação de aplicativos.


Naturalmente, o uso de modelos requer um sólido suporte de ferramentas. A plataforma única BiZZdesign Enterprise Studio fornece suporte para a modelagem e análise através das diversas disciplinas envolvidas, indo desde o desenvolvimento da estratégia e do gerenciamento de portfólios até o gerenciamento da arquitetura, processos e dados. Isto permite que você tenha uma visão integrada da sua fusão, aquisição ou desinvestimento, com uma linha de visão clara desde a direção estratégica e o modelo de negócio da organização, através da sua arquitetura e desenho, até a priorização das suas iniciativas de mudança.

Benefícios para as Partes Interessadas

O uso de modelos pode beneficiar todas as partes interessadas, incluindo os tomadores de decisão no nível executivo; gerentes de unidades de negócio; gerentes de portfólio, programas e projetos; arquitetos e desenhistas; e mesmo aquelas envolvidas nas operações diárias. Elas podem ter suas próprias visões sobre as mudanças envolvidas, onde o Enterprise Studio apresenta aqueles aspectos relevantes para o seu trabalho de uma forma bastante amigável. Todas estas visões são baseadas em uma única fonte da verdade, garantindo a consistência e a transparência.

Os benefícios desta abordagem são claros:
  • Os acionistas vêm reduzido o tempo-para-o-valor de uma fusão através da exploração mais rápida das sinergias
  • A direção está no controle e tem os fatos necessários para decidir sobre custos, benefícios e riscos de uma aquisição, fusão ou desinvestimento
  • Os arquitetos e desenhistas têm a informação necessária para reduzir a complexidade e aumentar a sinergia
  • Gerentes de portfólio podem estabelecer as prioridades com base em dados acurados sobre custo, valor e risco
  • Gerentes de programas e projetos têm um escopo claro e sabem como as iniciativas pelas quais eles são responsáveis são interdependentes com outras iniciativas
  • Gerentes de operação sabem o que é crítico para o negócio e podem mitigar os riscos operacionais
  • Gerentes de risco e conformidade podem garantir que a empresa resultante atenda aos requisitos regulatórios internos e externos
Saiba mais como o BiZZdesign Enterprise Studio pode ajudá-lo a completar com sucesso uma fusão, aquisição ou desinvestimento, solicitando um contato ou uma demonstração.


Acelere as mudanças e fique no controle

https://sites.google.com/a/centus.com.br/bizzdesign/biblioteca/ebooks/empresa_adaptativa


Descubra o que é necessário para construir capacidades de mudança fortes enquanto gerencia orçamentos, riscos e conformidade

Saiba mais sobre a Empresa Adaptativa clicando aqui


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

Da Arquitetura da Segurança para a Arquitetura Segura

postado em 13 de abr de 2017 13:17 por Antonio Plais   [ 13 de abr de 2017 13:19 atualizado‎(s)‎ ]

Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução e reprodução autorizados.

A Arquitetura da Segurança ainda não é um aspecto integral do desenho de negócios

Em muitas organizações, segurança parece ser um campo do conhecimento completamente separado. É, normalmente, um desafio enorme integrar todos os aspectos da segurança nos trabalhos de desenho de negócios, que em geral é feito pelos formuladores de políticas, arquitetos e desenhistas. Em contradição com as previsões feitas por autoridades em arquitetura corporativa, o arquiteto de segurança ainda é um papel separado, embora importante, no desenho e controle da segurança, privacidade e continuidade cibernética. Mas, se vamos lutar para tornar este papel separado supérfluo, qual é a coisa certa a fazer?

Sete boas práticas: da arquitetura de segurança para a arquitetura segura

  1. Tarefas, papéis e responsabilidades bem definidas para o CISO e os Arquitetos Corporativos
  2. Transformar o DNA da sua organização através da introdução da "Segurança por Desenho"
  3. Estabelecer um programa contínuo de conscientização da segurança
  4. Criar um "laboratório criminal" interno
  5. Integrar a segurança no seu método de Arquitetura Corporativa
  6. Fornecer percepções através de todas as camadas da sua arquitetura
  7. Trabalhar com base em princípios


Tarefas, papéis e responsabilidades bem definidas para o CISO e os Arquitetos Corporativos

Em muitas organizações, o CISO (Chief Information Security Officer) e a equipe de arquitetura lutam para trabalhar juntos. Eles parecem defender seus territórios e gastam tempo e energia provando que o outro lado está errado. Arquitetos de segurança gastam uma enorme quantidade de tempo mantendo o passo e gerenciando as relações entre estes dois grupos. Sugere-se que uma definição mais precisa em relação aos papéis das duas equipes é uma boa prática para reduzir este problema.

Transformar o DNA da sua organização através da introdução da "Segurança por Desenho"

Não sugerimos que isto seja uma realização fácil, mas manipular o DNA da sua organização através da adição da preocupação com a segurança ao DNA é uma prática importante para realizar uma arquitetura segura. Em muitas organizações a segurança da informação não é parte do DNA da organização.

Estabelecer um programa contínuo de conscientização da segurança

A falta de conscientização com a segurança da informação é uma das razões pelas quais os arquitetos de segurança existem. As coisas não desenhadas para ser seguras por si mesmas. Ter um programa de conscientização intencivo e estruturado fornece uma ajuda consiterável para promover a conscientização sobre os riscos (mudança x impacto) que estão presentes dentro das organizações.

Criar um "laboratório criminal" interno

Um bom conselho é "pensar como um criminoso". É bastante engraçado, e também bastante útil. Eventualmente, alguns arquitetos de segurança são "criminosos de bom coração". Se todos os gerentes e desenhistas pensarem sobre seus ativos de dados a partir das perspectivas daqueles que ameaçam a organização, isso pode ajudá-los a ganhar conhecimento e conscientização, e considerar as medidas relevantes.

Integrar a segurança no seu método de Arquitetura Corporativa

A segurança é geralmente um aspecto dos métodos de arquitetura corporativa. Por exemplo, no TOGAF a segurança é considerada um aspecto de todas as fases no ciclo ADM. No entanto, os arquitetos de segurança também possuem seus próprios métodos distintos e particulares, como o SABSA ou o Open Security Architecture. Apesar de todos os métodos disponíveis, o desafio real para a organização reside na verdadeira integração da força destes frameworks dedicados nas suas abordagens de arquitetura corporativa. Preferencialmente, isto deveria ser feito em combinação com a seleção dos padrões corretos (ISO ou MIST). Isto é algo que pode realmente ajudar a criar uma arquitetura segura integrada, ao invés de desenvolver uma arquitetura de segurança separada.

Fornecer percepções através de todas as camadas da sua arquitetura

Para possibilitar a compreensão dos riscos e medidas necessários, as pessoas consideram que é essencial a tarefa de visualização dos aspectos de segurança através das camadas arquiteturais. Isto envolve não apenas as implicações técnicas que podem surgir a partir de testes de penetração (pentests), mas também, por exemplo, do impacto nos negócios dos riscos de autenticação. O ArchiMate pode desempenhar um papel crucial para que isso seja possível e realizável.

Trabalhar com base em princípios

Finalmente, o conceito de desenho baseado em princípios, ao invés do desenho baseado em regras, é de grande ajuda para mover em direção à integração dos aspectos de segurança em todas as disciplinas de desenho através do negócio. Gerentes de risco e arquitetos devem trabalhar juntos para determinar um conjunto de princípios que guiam o desenho da organização, ao invés de detalhar todos os requisitos em cada iniciativa ou projeto.

Concluindo

Usar estas melhores práticas pode ajudá-lo a se mover de uma arquitetura de segurança para uma arquitetura verdadeiramente segura! Fique ligado em nossas próximas postagens sobre este assunto, e acompanhe a série de postagens sobre o GDPR aqui.



*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na BiZZdesign

A Caixa de Ferramentas do Arquiteto de Negócios: Mapeamento de Informações

postado em 8 de mar de 2017 05:44 por Antonio Plais   [ 8 de mar de 2017 05:48 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst & Tim Vehof*, no blog da BiZZdesign - Tradução autorizada


Plantas de Negócios são instrumentos essenciais na caixa de ferramentoas de todo arquiteto de negócios. O Guide to the Business Architecture Body of Knowledge (BIZBOK Guide®) define quatro domínios centrais da arquitetura de negócios: Fluxos de Valor, Capacidades, Organização e Informação.


Figura 1. Domínios Centrais da Arquitetura de Negócios

Nas postagens anteriores, discutimos o mapeamento de Valor, o mapeamento de Capacidades, e o Mapeamento da Organização. Aqui, nós vamos elaborar o último domínio, Informação, que se tornou central no modelo de negócios de muitas empresas. Por exemplo, abordagens de Big Data a Analíticos são usadas para entender as necessidades e desejos dos clientes e oferecer soluções personalizadas pra eles. Assim, uma visão orientada para o negócio das informações é essencial.

Informação

Informação é a combinação de dados e um contexto para interpretação destes dados. A interpretação vem da associação entre os dados e as capacidades, processos e decisões de negócio, e estas associações fornecem o contexto para a interpretação dos dados. Informação acurada, oportuna e relevante é crucial para a boa tomada de decisões e para a inovação. O conhecimento resulta desta habilidade para aplicar a informação para resolver um problema ou criar valor.

"Informação e conhecimento são ativos chave na atual economia orientada para o trabalhador do conhecimento."

Embora dados seja, em geral, considerado um domínio da TI, informações de negócio são a linha de base a partir da qual o conhecimento de negócios evolui. A arquitetura de negócios requer uma forma para falar sobre conceitos de informação de negócios livre das restrições dos sistemas de TI. Por exemplo, na arquitetura de negócios é apropriado falar a respeito de Motivação do Cliente, um conceito de domínio que não é realizável por um sistema de TI porque não é (ainda) possível ler diretamente a mente de um cliente.

Embora conhecimento e sabedoria sejam construídos a partir da informação, eles normalmente caem no domínio do gerenciamento, porque eles requerem julgamento que interprete a informação de maneira que permita aos executivos tomar decisões altamente informadas.

Mapeamento de Informação

A arquitetura de negócios procura mapear as perspectivas do negócio. Estas perspectivas são originalmente objetos conceituais porque eles existem na mente do praticante. Quando objetos conceituais que designam informações são traduzidos em uma forma documentada, eles se tornam o mapa de informações.

No mapa de informações, os conceitos de informação representam o vocabulário de negócios. Tornar os conceitos tangíveis desta maneira permite discussões e a criação de um consenso - um entendimento do propósito dos objetos de negócio e seus relacionamentos através de formas e linhas nomeadas. Com efeito, mapas de informação são uma fundação importante para o trabalho de arquitetura de negócios.
 
O BIZBOK Guide® fornece três conceitos de informação fundamentais para criar um mapa de informações básico:
  • Conceitos do Domínio: Estes itens representam categorias de objetos de negócio, tais como, receitas, inventários, empregados, e tipos de ativos. Conceitos de domínio devem ser os conceitos iniciais elicitados para um mapa de informações, junto com definições e uma lista inicial de sinônimos.
  • Relacionamentos: Estes itens representam as conexões entre os conceitos de informação
  • Objetos de negócios distinguíveis: Estes são objetos de negócio identificáveis e distinguíveis, que pertencem ao domínio. Muitos nomes ou instâncias de objetos de negócio distinguíveis são determinados por padrões, tais como abreviaturas padrão da ISO para os países e jurisdições do mundo.
É comum começar a construção de um mapa de informações pela identificação e registro dos conceitos de domínio. Os conceitos de domínio representados no mapa de informações básico deveria ser de importância primária para o negócio.

Mapeamento de informações com ArchiMate®

Nós preferimos usar a semântica formal do ArchiMate para modelar as relações diretas entre cada instância de um domínio da arquitetura de negócios. Para traduzir os conceitos fundamentais do BIZBOK® para o ArchiMate, nós propomos usar o conceito de 'Objeto de Negócio' para representar conceitos de domínio e também objetos de negócio distinguíveis. De acordo com a especificação ArchiMate 3.0, um "objeto de negócio pode ser usado para representar ativos de informação que são relevantes a partir de um ponto de vista do negócio". A linguagem ArchiMate, em geral, foca na modelagem de tipos, não de instâncias, uma vez que isso é o mais relevante no nível de descrição da Arquitetura Corporativa. Assim, objetos de negócio normalmente modelam um tipo de objeto para o qual múltiplas instâncias podem existir no mundo real.

A figura abaixo apresenta um mapa de informações em ArchiMate, usando Objetos de Negócio:


Como mostrado acima, a linguagem ArchiMate permite que você use diversos relacionamentos entre os objetos de negócio. Por causa de sua semântica formal, mapas de informação ArchiMate fornecem uma percepção mais apurada da estrutura de seu panorama de informações.

Em seguida a estes objetos de negócios, o conceito de 'Significado' pode ser de grande ajuda. Ele representa "o conhecimento or experiência presente em, ou a interpretação dada a, um elemento central em um contexto particular", o que é útil se, por exemplo, você quiser representar diferentes interpretações dadas para o mesmo conceito ou objeto por diferentes partes interessadas.

Relacionando Mapas de Informação ArchiMate com outras técnicas

Junto com o ArchiMate, outras técnicas mais detalhadas para a modelagem da informação podem também ser usadas no mapeamento de informações. As duas técnicas mais usadas são a UML e os Diagramas de Entidade-Relacionamento (ERD).

A UML tem suas raízes no desenho orientado para objetos. Seus diagramas de classe são particularmente úteis para o mapeamento de informações. De fato, a representação dos objetos de negócio e seus relacionamentos no ArchiMate deve muito ao UML, sendo basicamente um modelo menos detalhado que omite coisas como métodos, atributos e cardinalidade dos relacionamentos.


ERDs possuem uma longa história no desenho de sistemas de informação. Eles são tipicamente usados em três níveis de desenho: conceitual, para descrever entidades de negócio como fizemos acima; lógico, para a modelagem dos relacionamentos e atributos destas entidades com maiores detalhes; e físico, para descrever o mapeamento para estruturas de bancos de dados. No contexto da arquitetura de negócios, diagramas conceituais e, às vezes, lógicos, são os mais úteis.


Mapeamento Cruzado

Junto com os mapas de informação em si, é também útil criar mapeamentos cruzados com os outros domínios da arquitetura. Por exemplo, é importante saber quais informações são cruciais para quais capacidades de negócio quando (re)desenhando sistemas de infromação. De forma similar, responsabilidades por e propriedade da informação podem ser modelados usando um mapeamento cruzado entre os domínios de informação e organização.

Em resumo...

Criar um mapa de informações abrangente e apropriadamente documentado pode permitir muitass atividades subsequentes, incluindo o alinhamento de requisitos de dados, desenho de serviços de aplicativos, e esforços de arquitetura de dados com acurária e eficiência aumentados. Desta forma, mapas de informação são uma adição indispensável para a caixa de ferramentas do arquiteto de negócios!



* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Tim Vehof é consultor, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.


BiZZdesign Enterprise Studio: Gerenciando a complexidade e as mudanças na Empresa


http://bizzdesign.centus.com.br/software
BiZZdesign Enterprise Studio: uma solução perfeita para a modelagem da arquitetura da sua empresa 
  • Compatível com TOGAF 9.1 e Archimate 3.0 
  • Integração com modelos de processos (BPMN), dados (UML e ERD), decisões (DMN) e motivações do negócio (Canvas) 
  • Suporte para a metodologia LEAN de melhoria de processos 
  • Suporte para trabalho em grupo e em ambiente de cloud-computing (SaaS) 
  • Gerenciamento de Portfólio Corporativo 
  • Gerenciamento de Riscos e Segurança
Saiba mais sobre o BiZZdesign Enterprise Studio clicando aqui

ArchiMate® 3.0 e Mapas da Jornada do Cliente

postado em 6 de mar de 2017 15:44 por Antonio Plais   [ 6 de mar de 2017 15:48 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst & Adina Aldea*, no blog da BiZZdesign - Tradução autorizada

Um Mapa da Jornada do Cliente é uma forma útil de representar graficamente a experiência do cliente de uma organização. Ele foca nos pontos de contato que caracterizam as interações dos clientes com os serviços da organização e ajuda você a otimizar esta experiência.

Os conceitos do ArchiMate podem facilmente ser usados em mapas da jornada do cliente. A espinha dorsal de um mapa da jornada do cliente é, naturalmente, o processo de negócio, com os estágios modelados como sub-processos. Os pontos de contato com o cliente são modelados como serviços de negócio e interfaces de negócio, para modelar tanto o comportamento da organização como os canais que ela usa no contato com o cliente. Mapas da jornada do cliente diferentes para o mesmo processo podem ser especificados para várias personas, que são, tipicamente, modelados como papéis de negócio.

Informações obtidas através de pesquisa com os clientes e outras avaliações da experiência do cliente (e.g. dados dos websites ou call centers, NPS-Net Promoter Score)é adicionado aos passos do processo, usando o mecanismo de perfil (profile) do ArchiMate para especificar os atributos relevantes. Alternativamente, você pode definir Métricas como especializações do conceito de Motivação, como descrito na Seção 15.2.5 do padrão ArchiMate 3.0. Diferentes métricas para diferentes aspectos da jornada do cliente podem ser associados com os passos na jornada. Esta informação deve ser avaliada, o que pode ser modelado através do conceito de Avaliação, e melhorias apropriadas para a experiência do cliente podem ser especificados como Requisitos.

Não existe um vocabulário padronizado e fixo para os mapas da jornada do cliente. A tabela abaixo mostra vários termos comuns e seu mapeamento para os conceitos apropriados do ArchiMate.

Mapa da jornada do cliente ArchiMate
Persona Papel de negócio
Jornada do cliente, Processo, Cenário Processo de negócio
Estágio Processo de negócio
Ponto de contato Serviço de negócio
Canal Interface de negócio
Experiência, Sentimento Métrica, ou atributo de perfil
Avaliação Avaliação
Oportunidade, Melhoria Requisito

Mapas da jornada do cliente são, geralmente, mostrados em um gráfico que mostra os pontos de contato no processo no eixo horizontal e a qualidade da experiência a partir do ponto de vista do cliente (e.g. em termos de atender ou exceder as expectativas) no eixo vertical.  Em torno disso, outros tipos de informação podem ser mostrados de várias formas, por exemplo, usando raias para mostrar os canais usados, e "carinhas" para mostrar como os clientes se sentem em relação a certos pontos de contato, como mostrado na figura abaixo.


Figura 1. Mapa da Jornada do Cliente

Isto não é, naturalmente, expressado na notação padrão do ArchiMate, mas é baseado em modelos ArchiMate subjacentes. Fique ligado para mais postagens mostrando como os modelos ArchiMate podem ser utilizados como base para diversas análises especializadas e avançadas da sua organização.



* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Adina Aldea é consultora, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.


 
http://bizzdesign.centus.com.br/biblioteca/empresa_adaptativa
eBook A Empresa Adaptativa - Prosperando em uma Era de Mudanças 

As organizações sempre tiveram que se adaptar a um mundo em mudança, mas o ambiente turbulento de hoje é mais demandante do que jamais foi. Sua organização precisa inovar mais rápido, em uma base contínua, enquanto mantém o controle sobre os riscos, orçamento e conformidade. 

Solicite sua cópia GRÁTIS aqui

ArchiMate® 3.0 e o Mapeamento de Valor

postado em 5 de mar de 2017 16:29 por Antonio Plais   [ 5 de mar de 2017 16:33 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst & Adina Aldea*, no blog da BiZZdesign - Tradução autorizada

Em diversas postagens anteriores, delineamos como você pode usar o ArchiMate 3 no contexto da arquitetura de negócios e do desenvolvimento da estratégia, tais como o Planejamento Baseado em Capacidades, e a combinação do ArchiMate com o Modelo de Motivação de Negócios, o Canvas de Modelo de Negócio, e o BSC-Balanced Scorecard. Nesta postagem, continuamos com esta série, mostrando como podemos descrever cadeias de valor, fluxos de valor, e redes de valor. O mapeamento de valor é uma técnica útil na arquitetura de negócios. Ele fornece percepções sobre o valor produzido pelas várias atividades da organização, como isto contribui para a sua proposição de valor, e como este valor é trocado com outros parceiros na rede de valor.

O exemplo clássico para isso é a Cadeia de Valor definido por Porter, a qual divide as atividades de uma empresa em criadoras de valor de de suporte, e sub-divide as primeiras nos estágios típicos de um processo de produção, como logística de entrada, operações, logística de saída, marketing e vendas, e serviços. Mais recentemente, abordagens como o e3value, o Metamodelo de Entrega de Valor (VDML-Value Delivery Metamodel) e o BIZBOK adotaram uma posição mais genérica e também discutiram a troca de valor em um ecossistema mais amplo. A tabela abaixo fornece um mapeamento geral destinado a suportar a maioria destas abordagens.

Mapa de valor ArchiMate
Proposição de valor Produto + Valor
Item de valor Valor
Fluxo de valor Processo de negócio (alto nível)
Atividade, Estágio de valor Processo ou Função de negócio
Troca de valor Fluxo + Valor associado
Ator, Unidade organizacional Ator de negócio
Papel Papel de negócio
Colaboração Colaboração de negócio
Capacidade Capacidade

O mapeamento mostrado nesta tabela usa principalmente conceitos da camada de negócios do ArchiMate para expressar mapas de valor. Lembre-se que o ArchiMate usa o mesmo conceito para todos os níveis de granularidade, i.e., um processo de negócios pode expressar um fluxo de valor completo, um estágio de valor neste fluxo, ou atividades dentro deste estágio, até a menor tarefa individual. Mais ainda, este mapeamento usa elementos de valor associados com produtos e com relacionamentos de fluxo para modelar as proposições e trocas de valor ao longo da cadeia, fluxo ou rede de valor. Isto mapeia bem para modelos típicos de Cadeia de Valor de Porter. Alternativamente, para uma visão um pouco mais abstrata, podemos mapear um estágio de valor para um agrupamento (nomeado) de capacidades no ArchiMate, e relacionar estes agrupamentos através de relacionamentos de fluxo com elementos de valor associados.

Uma Rede de Valor parcial, contendo diversos Atores, Trocas de Valor e Itens de Valor pode ser visto na figura abaixo:


Figura 1. Rede de Valor expressa em ArchiMate

A figura seguinte elabora a função de negócio Tratamento de Reclamações da figura anterior, e mostra um Fluxo de Valor e Trocas de Valor entre os diferentes estágios:


Figura 2. Fluxo de Valor expresso em ArchiMate

Usar o ArchiMate ajuda você a expressar e analisar o modelo de negócio de sua organização e como ela produz valor para as partes interessadas. Ele também permite que você foque nas atividades que são importantes para a criação de valor durante o planejamento e a mudança estratégica.



* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Adina Aldea é consultora, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.


 
eBook ArchiMate - Da Teoria à Prática

Inovação, regulações em constante mudança, novas possibilidades tecnológicas, uma nova direção estratégica; estas são algumas das razões pelas quais muitas organizações estão em constante movimento.

Este livro apresenta as melhores práticas dos autores, fruto da experiência do uso da linguagem ArchiMate em dezenas de projetos reais, em clientes dos mais diversos ramos de negócio. Uma leitura fundamental para quem quer se iniciar na prática da modelagem da arquitetura corporativa.

Solicite sua cópia GRÁTIS aqui

ArchiMate® 3.0 - Realização de Capacidades

postado em 3 de mar de 2017 13:16 por Antonio Plais   [ 3 de mar de 2017 13:20 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst & Adina Aldea*, no blog da BiZZdesign - Tradução autorizada

Como vimos na postagem anterior, a ArchiSurance quer estabelecer várias novas capacidades para suportar sua estratégia de 'Intimidade Digital com o Cliente', tais como Gerenciamento de Clientes Digitais, Seguros Orientados para Dados, Aquisição de Dados, e Análise de Dados. Posicionando isto no contexto das capacidades atuais leva à figura abaixo, onde usamos a função 'destaque' do BiZZdesign Enterprise Studio para enfatizar estes novos elementos:


Figura 1. Novas capacidades para a Intimidade Digital com o Cliente

Capacidades vs. Funções de Negócio

Observe que funções de negócio são diferentes de capacidades. Capacidades representam as habilidades atuais ou desejadas de uma organização, realizadas por suas pessoas, processos, informações, e tecnologia. Elas são focadas em resultados de negócio específicos, e são usadas para propósitos de planejamento estratégico. Em contraste, funções de negócio descrevem o trabalho que é realizado atualmente pela organização; elas são, em geral, gerenciadas de forma explícita, e estão alinhadas mais diretamente com a estrutura da organização. Cada capacidade aparece apenas uma vez em um mapa de capacidades, enquanto que em uma decomposição funcional da empresa a mesma sub-função pode ocorrer várias vezes.

Ao descrever a arquitetura de linha de base do negócio, o valor do mapa de capacidade reside principalmente na análise dos níveis de capacidade atuais vs. o desejado, e na descoberta de capacidades que a organização já possui mas não reconhece de maneira explícita. Capacidades, e níveis de capacidade, em uma arquitetura alvo do negócio proporcionam uma direção de alto nível para a mudança. Isto é o coração do planejamento baseado em capacidades.

Naturalmente, quando você desenha um mapa das capacidades atuais da organização, as funções de negócio atuais irão geralmente aparecer de forma proeminente, uma vez que o que você faz hoje deve, por definição, ser algo que você também é capaz de fazer. E várias funções de negócio (junto com outros elementos) contribuem para a realização de uma capacidade.

A figura abaixo mostra alguns dos relacionamentos entre várias capacidades primárias da ArchiSurance, mostradas na figura anterior, e as funções de negócio atuais. As novas sub-capacidades são parte das duas capacidades verdes nesta figura. Elas podem ser realizadas através da expansão das funções de negócio existentes (e seus processos relacionados), mas também podem precisar de novas funções e recursos. Por exemplo, a capacidade de Seguros Orientados por Dados, e suas sub-capacidades, podem requerer a criação de uma parte completamente nova da organização, e as funções de negócio Atuarial, Reclamações e Subscrição podem ser modificadas substancialmente.


Figura 2. Realização das capacidades

Estas capacidades precisam ser suportadas pelos recursos corretos, incluindo pessoal com o conhecimento e competência adequados para a nova era digital, dispositivos inteligentes para a aquisição de dados, e os próprios dados dos clientes.

Figura 3. Recursos atribuídos às capacidades

Os recursos, em si, são realizados pelo núcleo da arquitetura corporativa. Uma pequena parte disso é também mostrada no diagrama acima. Note que não são mostrados todos os elementos necessários para realizar estes recursos, mas somente uma pequena amostra representativa. Na prática, visões separadas são normalmente criadas para mostrar como cada capacidade e recurso individual é realizado.

Colocando todo junto, isto fornece uma linha de visão desde os seus diferentes ativos para cima, até as capacidades que eles suportam e até as estratégias, metas e resultados, como mostrado em uma postagem anterior. Você pode, inclusive, ir além, conectando modelos mais detalhados como, por exemplo, seus processos em BPMN, ou seus dados em UML, ao seu modelo de arquitetura no ArchiMate, simplesmente ligando estes modelos juntos no BiZZdesign Enterprise Studio. Desta forma, você obtém percepções dos efeitos das decisões estratégicas, e vice-versa, descobre novas opções e inovações proporcionadas pelos recursos que você emprega. 

Planejar, executar e controlar a mudança através da sua organização nunca foi tão fácil!



* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Adina Aldea é consultora, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

ArchiMate® 3.0 - Análise de Capacidades

postado em 2 de mar de 2017 14:00 por Antonio Plais   [ 3 de mar de 2017 13:21 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst & Adina Aldea*, no blog da BiZZdesign - Tradução autorizada

Em nossa postagem anterior, apresentamos uma breve visão geral das duas opções estratégicas que nossa seguradora exemplo ArchiSurance está explorando. Analisando a estratégia de excelência operacional, eles compararam sua eficiência contra a média da indústria: as capacidades que estão equiparadas à média são mostradas em azul, as capacidades acima da média em verde, e as capacidades abaixo da média em vermelho (ver Figura 1). As capacidades que estão mostradas em vermelho são onde a ArchiSurance espera encontrar espaço para melhorias no contexto da estratégia de excelência operacional.

Figura 1. Mapa de calor das capacidades

O exemplo abaixo mostra como você pode usar um gráfico de radar para para visualizar sua análise de capacidades com mais detalhes. Cada gráfico mostra o desempenho de uma capacidade atual e o desejado ao longo de diferentes eixos. O exemplo nesta página mostra esta noção de desenvolvimento incremental de uma capacidade. Para a capacidade de "Gerenciamento de reclamações", são definidas seis dimensões. A análise de linha de base para esta capacidade mostra valores para as diferentes dimensões, que são ligadas usando a linha vermelha. A maturidade necessária, quebrada em valores para as dimensões individuais, é indicada com a linha verde.

 

Figura 2. Análise de Capacidades

Para as diferentes dimensões da análise de capacidades, definimos um conceito de Métrica como uma especialização de Motivador, usando o mecanismo de personalização do ArchiMate 3.0. Métricas podem ser compostas, como mostrado na figura à direita, acima: a dimensão Processo da análise de capacidade consiste da média ponderada da Adaptabilidade, Maturidade, Desempenho e Variância do processo. Naturalmente, você pode definir suas próprias métricas de forma que elas suportem a direção estratégica da organização.

No BiZZdesign Enterprise Studio, você pode facilmente definir tais métricas. Elas podem ser baseadas em dados externos importados , bem como na análise dos seus modelos. Por exemplo, você pode traçar a importância dos aplicativos para a sua estratégia através dos processos que eles suportam, os quais contribuem para as capacidades necessárias para entregar os resultados de negócios almejados.

Em um sentido mais geral, capacidades se provam ser um bom ponto de partida para a alocação de capital alinhada com a estratégia da sua organização. Análises de capacidades podem ajudá-lo a estabelecer planos de investimento, por exemplo, para alocar mais orçamento para aquelas capacidades que precisam de uma melhoria substancial em mais de uma dimensão. Elas fornecem uma parte coerente do negócio que endereça resultados específicos. A funcionalidade de gerenciamento de portfólios do Enterprise Studio é perfeitamente adequada para suportar tais tomadas de decisão.

O próximo passo na implementação da estratégia da ArchiSurance é a realização destas capacidades e níveis de capacidade desejados. Mais ainda, a ArchiSurance precisa de novas capacidades para sua estratégia de 'Intimidade Digital com o Cliente'. Nós falaremos sobre isso na próxima postagem. Veremos, também, as diferenças entre capacidades e funções de negócio, um assunto sempre muito discutido.
 


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Adina Aldea é consultora, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

 
http://bizzdesign.centus.com.br/biblioteca/guia-rapido-archimate-30
Guia Rápido ArchiMate 3.0

Conheça todos os conceitos e relacionamentos da nova versão 3.0 da linguagem ArchiMate.

Solicite sua cópia GRÁTIS aqui

Você Está Pronto para o GDPR? Resultado do Teste

postado em 1 de mar de 2017 15:15 por Antonio Plais   [ 1 de mar de 2017 15:54 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

Nas duas postagens anteriores, discutimos o impacto da nova Regulamentação Geral de Proteção de Dados (GDPR-General Data Protection Regulation) e 8 passos que os arquitetos podem dar para ajudar suas organizações a se confirmar com esta regulamentação de largo alcance. Também publicamos nosso teste "Quão pronto você está para o GDPR?", que determina se a sua organização está se preparando de forma adequada para esta importante regulamentação. Se você ainda não fez o teste, você ainda pode fazê-lo clicando aqui. Os resultados preliminares (baseado em quase 200 respostas) nos forneceram algumas percepções interessantes sobre a conscientização dos respondentes sobre o GDPR e sobre a prontidão entre as organizações.

Somente metade dos respondentes estão conscientes do GDPR e
estão planejando trabalhar para a conformidade

Primeiramente, quase 95% dos respondentes indicam que suas organizações fazem negócios com empresas ou residentes na União Européia. todas estas organizações terão que se conformar com o GDPR, mesmo que elas estejam localizadas fora da União Européia.

Apesar disso, somente metade dos respondentes estão conscientes do problema e estão planejando ativamente ou trabalhando na conformidade. Este é um dado preocupante, dado os requisitos rigorosos do GDPR, as consequências financeiras e de reputação da não-conformidade, e o prazo restante até que o GDPR seja obrigatório (Maio de 2018)!


Figura 1. A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

Se olharmos os cargos dos respondentes, vemos algumas diferenças interessantes. Gerentes de Risco e de TI estão mais conscientes do GDPR e dizem ter um plano coerente para ação, mas os Arquitetos parecem estar menos preparados. Isto significa que os Arquitetos não estão informados sobre as iniciativas de seus Gerentes de Risco e TI? Se este é o caso, há uma oportunidade perdida, uma vez que a arquitetura tem muito a contribuir para tornar a organização pronta para o GDPR.

Entre os Gerentes de Negócio e Arquitetos, muitos estão conscientes, mas não sabem o que fazer a seguir. Para estes respondentes, os passos descritos na postagem anterior proporcionam uma ideia das primeiras ações que eles deveriam tomar.


Figura 2. A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

Menos de um terço está conforme com o critério 'consentimento informado'

Outra questão endereça o chamado 'consentimento informado'. Em essência, você não tem permissão para fazer nada com os dados que você coleta sobre residentes da União Européia sem o seu conhecimento e consentimento (opt-in, não opt-out!). O consentimento deve ser explícito; você não pode enterrar isto profundamente em algum acordo de licenciamento ou termos de uso. Na nossa pesquisa, menos de um terço dos respondentes parecem se conformar completamente com isso.


Figura 3. Residentes da União Européia acessam seu website ou usam seu app?

Embora o GDPR seja uma regulamentação da União Européia, ele se aplica a qualquer organização que armazene ou processe dados pessoais de residentes da União Européia, não importando onde a organização esteja localizada. Isto inclui muitas organizações nos Estados Unidos e em outras partes do mundo, como no Brasil. O alto número de organizações, tanto na União Européia como fora, que não sabem que dados pessoais eles usam é altamente preocupante.

Interessante, parece que os respondentes Americanos estão um pouco mais maduros em relação dos dados pessoais do que os Europeus, como mostrado abaixo (embora existam alguns mais atrasados).


Figura 4. Você sabe que dados pessoais, dados sensíveis à privacidade (de acordo com o GDPR) sua organização coleta, armazena ou processa?

No entanto, a conscientização dos Norte-Americanos sobre o impacto do GDPR é, em média, bem menor. Muitas empresas fora da União Européia podem assumir que ele não se aplica a elas, mas isto pode ser um erro. Qualquer organização que armazene ou use dados de residentes da União Européia está afetada. Mesmo a colocação de cockies de rastreamento no computador ou dispositivo de alguém residente na União Européia pode tornar a sua empresa sujeita ao GDPR.


Figura 5. 
A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

22% das organizações não têm ideia dos dados pessoais que eles armazenam

Talvez o resultado mais chocante é o percentual de organizações que não têm ideia dos dados pessoais que eles armazenam: 22% dos respondentes.


Figura 6. Você sabe que dados pessoais, dados sensíveis à privacidade (de acordo com o GDPR) sua organização coleta, armazena ou processa?

Este grupo também se sobrepõe em grande parte com os 25% que responderam, quando perguntados em que estágio da arquitetura e desenho de seus sistemas eles endereçam a privacidade e a segurança, que eles testam manualmente os problemas de segurança e conectam algumas medidas posteriormente, ao invés de levar isto em consideração como uma preocupação principal durante todo o processo de desenho e realização. Se você é um cliente de uma destas organizações, você deve estar seriamente preocupado. Mais ainda, se as autoridades responsáveis investigarem estas organizações, depois de um vazamento de dados, por exemplo, elas podem esperar penalidade severas.

O gráfico de dispersão abaixo mostra as multas máximas estimadas pelos respondentes versus a penalidade máxima real baseada na sua receita. O máximo real é 4% da receita anual, ou EUR 20 milhões, o que for maior. Como você pode ver, as estimativas da maioria das organizações são muito baixas.



Figura 7. Quanto você estima que seria a multa máxima para a sua empresa por não-conformidade com o GDPR?

Se você ainda não começou um programa para garantir a conformidade com o GDPR, está passando da hora de começar. Como explicamos anteriormente, os arquitetos têm um papel fundamental nisto. O BiZZdesign Enterprise Studio ajuda você a alavancar os modelos e dados existentes, analisar as preocupações de segurança e privacidade, e definir as medidas e controles corretos. Isto lhe dá um início rápido para a melhoria da segurança de dados e garantia da conformidade regulatória. Os dias da proteção leniente de dados estão definitivamente no passado, então, comece hoje!


 Teste: Quão pronto você está para o GDPR?

 

Descubra se a sua organização está preparada para a Regulação de Proteção de Dados Gerais.

Teste você mesmo e descubra quais ações tomar.

Faça o Teste


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

Gerenciamento de Portfólios Corporativos: A Perspectiva dos Usuários

postado em 23 de fev de 2017 04:44 por Antonio Plais

Originalmente postado por Marc Lankhorst & Sven van Dijk*, no blog da BiZZdesign - Tradução autorizada

O Gerenciamento de Portfólios Corporativos (EPM-Enterprise Portfolio Management) é a disciplina que suporta a alocação dos investimentos pelas várias categorias de ativos da organização, tais como capacidades, aplicativos, ou infraestrutura. O EPM ajuda a criar um conjunto saudável de programas e projetos que realizam os objetivos estratégicos.

A abordagem EPM da BiZZdesign endereça as perspectivas de três importantes grupos de usuários:
  • Alta direção: Em geral, a relação com o gerenciamento estratégico é fraca e pouco clara. Como consequência, a tomada de decisão sobre os investimentos é orientada por casos de negócio (business cases) qualitativos, ou por influência política e poder. A arquitetura corporativa e o gerenciamento de portfólios precisam estar alinhados para garantir uma tomada de decisões consistente e evitar iniciativas de mudança que são contra-produtivas.
  • Gerentes de TI e de portfólios de projetos: O impacto das decisões de investimentos em projetos e programas na organização precisam ser analisados tanto no nível estratégico como no nível de aplicativos e de infraestrutura. Percepções limitadas sobre a qualidade, custos, benefícios e riscos dos ativos e projetos geralmente prejudicam a tomada de decisões. O gerenciamento do portfólio de projetos ajuda a fornecer as percepções e a transparência necessárias.
  • Gerentes de projetos: As diversas iniciativas de mudança têm que trabalhar em conjunto para realizar os objetivos estratégicos. Mas, em geral, existem dependências ocultas entre os projetos ou aplicativos. Mais ainda, a contribuição dos projetos individuais para os objetivos totais não é sempre clara, tornando difícil priorizá-los e planejá-los, e avaliar seus resultados contra os seus objetivos.
O gráfico de bolhas visualiza os custos, benefícios e riscos dos projetos em um portfólio

Nossa abordagem de EPM ajuda a alta direção a responder perguntas como:
  • Como os investimentos contribuem para a estratégia da organização? Isto requer um linha de visão clara entre os objetivos, as capacidades necessárias para atingir estes objetivos, e os investimentos em ativos e iniciativas que criam, suportam ou melhoram as capacidades.
  • Como eu consigo ter uma visão geral integral dos investimentos propostos? Isto inclui painéis de controle de gerenciamento que forneçam percepções e suportem a tomada de decisões.
  • Como eu priorizo entre os investimentos?
Gerentes de portfólio recebem ajuda para responder às seguintes questões:
  • Qual é o escopo do meu portfólio? Por exemplo, em termos de projetos, aplicativos ou capacidades?
  • Como os elementos do meu portfólio estão relacionados? Com cada um, com os objetivos da organização, e com o resto da empresa?
  • Como avaliar estes elementos de acordo com critérios adequados? Isto inclui métricas como custo, tamanho, valor de negócio, risco, e conformidade.
O EPM auxilia os gerentes de programas nas seguintes questões:
  • Como os diferentes elementos do programa estão relacionados? Quais são as suas dependências? Isto inclui, por exemplo, o sequenciamento dos projetos e das dependências entre os aplicativos.
  • Como eu aloco os recursos escassos de uma maneira ótima?
  • Como eu mantenho o acompanhamento do valor de negócio realizado pelos projetos no meu programa?
Além destes três grupos, os arquitetos corporativos têm um importante papel para garantir a coerência necessária para um gerenciamento de portfólios ótimo. Na arquitetura corporativa, a informação necessária para o EPM é reunida de uma maneira integrada.

Diversas outras partes da organização são também envolvidas no gerenciamento de portfólios, por exemplo, porque elas fornecem as entradas necessárias nas quais as decisões são baseadas. Esta abordagem racional para a tomada de decisões não é isenta de armadilhas, no entanto, uma vez que nem todos na organização se beneficiam delas. Nós encontramos pelo menos três fontes de resistência a esta abordagem:
  • Conhecimento = Poder - O EPM requer a agregação de informações de diferentes fontes, que podem ter relutância em fornecer estas informações, uma vez que esta informação lhes dá influência ou poder dentro da organização.
  • Transparência = Ameaça - O EPM pode desnudar ineficiências, gastos excessivos, problemas de qualidade e outros, e as pessoas pode sentir medo de serem culpadas por isto.
  • Dinheiro = Poder - A alocação do orçamento é normalmente baseada na estrutura organizacional, e.g. unidades de negócio ou departamentos. Isto geralmente não é a maneira mais eficiente de distribuir os investimentos, mas mudar isto pode criar resistência entre as partes interessadas, porque eles perdem o controle sobre os seus 'próprios' orçamentos.
Lidar com estes tipos de resistência é uma preocupação comum para o gerenciamento de mudanças. Isto está fora do escopo da abordagem do gerenciamento de portfólios, mas você deve estas consciente dos potenciais problemas que isto pode causar.




* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia, e Sven van Dijk é consultor, da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.



Obtenha o controle sobre a sua alocação de recursos

http://bizzdesign.centus.com.br/biblioteca/apm


Descubra o que é necessário para ter o controle sobre suas decisões de investimento e tomar decisões baseadas em fatos transparentes e significativos para a sua empresa.

Saiba mais sobre o Gerenciamento de Portfólios Corporativos clicando aqui

8 Passos que os Arquitetos Corporativos Podem Dar Para Lidar com o GDPR

postado em 22 de fev de 2017 05:17 por Antonio Plais   [ 10 de abr de 2017 14:15 atualizado‎(s)‎ ]

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

Em uma postagem anterior, descrevemos a nova Regulação de Proteção de dados Geral (GDPR-General Data Protection Regulation) da União Européia (EU), que entrará em vigor em maio de 2018, e destacamos seus profundos efeitos sobre as organizações ao redor do mundo. Esta regulação, e Diretivas da EU relacionadas, como a Diretiva ePrivacy e a Diretiva Network and Information System Security (NIS), forçam as organizações a repensar como elas lidam com dados pessoais e privados. Nesta postagem, abordaremos os passos que você, como um arquiteto corporativo, pode dar para ajudar a sua organização a se conformar com estas regulações.

Por que a Arquitetura é Importante?

Para garantir que a sua organização está conforme, você precisa de uma visão ampla de como os dados pessoais são usados e porque eles são coletados, como eles são processados, quem tem acesso a eles, onde eles são armazenados, quais terceiros estão envolvidos, que ameaças internas e externas existem, e muito mais. Arquitetos corporativos possuem uma visão abrangente e integrada única de suas organizações, e possuem os modelos e ferramentas à sua disposição para avaliar, melhorar e garantir a proteção dos dados.

Mais ainda, o GDPR não apenas exige a conformidade, mas também requer que você demonstre a conformidade. A arquitetura e os modelos da arquitetura são a maior fonte desta informação, em particular quando você precisa de uma visão conectada e coerente de tudo o que está relacionado com dados pessoais.

Passos a Dar

1. Na maioria das organizações, os arquitetos corporativos não têm a responsabilidade final por garantir a conformidade regulatória. Esta responsabilidade pode estar nas mãos de seu Departamento Jurídico, Diretor de Riscos, Diretor de Conformidade, Diretor de Segurança da Informação, ou com o novo Diretor de Proteção de Dados, requerido pelo GDPR. Se aproximar destes diretores, e fazer com que eles se conscientizem da contribuição potencial que a arquitetura pode trazer, é o primeiro passo.

2. Qualquer trabalho destinado a garantir a conformidade se apoiará em uma boa visão geral dos dados pessoais envolvidos. Criar um 'inventário de privacidade' é um ponto crucial:

a. Identifique todos os dados considerados 'pessoais' de acordo com o GDPR
b. Classifique estes dados em relação à sua sensibilidade à privacidade. Torne isso parte do seu processo normal de segurança, onde você atribui outras atributos de segurança da informação como confidencialidade, integridade e disponibilidade
c. Descreva o propósito para o qual este dado foi coletado, e garanta que você tem (ou obtenha) o consenso dos sujeitos de dados (as pessoas!) para usá-los desta forma
d. Preste atenção adicional às categorias especiais de dados pessoais, tais como dados relacionados à saúde, biométricos, políticos, religiosos, étnicos, ou associação sindical. O Uso destes dados é explicitamente proibido pelo GDPR, a não ser que circunstâncias especiais muito específicas se apliquem

Figura 1. Exemplo de classificação de dados, com as cores baseadas na sensibilidade da privacidade

3. Analise o uso dos dados pessoais e, se possível, alavanque seus modelos de arquitetura existentes para fornecer a estrutura para suas análises:

a. Comece com as áreas de alto risco e com os tipos de dados mais sensíveis. Onde eles são armazenados e usados?
b. Modele os fluxos de dados: quais aplicativos, processos, pessoas e terceiros usam estes dados, em que locais, para que propósito?

Figura 2. Panorama de aplicativos com cores baseadas na classificação de privacidade dos dados usados

4. Avalie os riscos dos dados sensíveis, em particular em relação aos direitos e liberdades dos sujeitos de dados:

a. Onde você vê vulnerabilidades no seu panorama de TI e de negócios?
b. Quais são as ameaças comuns que podem explorar estas vulnerabilidades?
c. Quais são as potenciais consequências?

Você pode usar a funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do BiZZdesign Enterprise Studio para fazer análises avançadas dos riscos, com base nos padrões ArchiMate e Open FAIR do The Open Group. Os mapas de calor abaixo são um exemplo do tipo de saída que pode ser criado. A BiZZdesign fornece para seus clientes conteúdo pré-populado contendo ameaças de segurança de informações e continuidade dos negócios comuns, e os controles prescritos pelo padrão ISO/IEC 27001. Isto dá a você um poderoso e útil ponto de partida, de maneira que você não tenha que reinventar a roda.


Figura 3. Mapas de calor de avaliação de riscos

5. Defina controles e medidas mitigadoras. Use padrões comuns como o ISO/IEC 27001 como a base para identificar controles úteis. Mais importante, você deve fazer isto o mais cedo possível durante o processo de desenho ou mudança de seus aplicativos, para promover uma abordagem de proteção-de-dados-por-desenho (o que é explicitamente mencionado no GDPR) e evitar a criação de medidas em um estágio posterior, com todo o retrabalho, custo e risco associado.

6. Priorize os riscos, aloque os orçamentos e planeje os requisitos para as mudanças e melhorias:

a. Avalie os custos das medidas contra os riscos (a perda esperada) para focar seu orçamento naquilo que realmente conta
b. Integre sua tomada de decisões com o seu gerenciamento de portfólios e roteiros de programas e projetos geral. Por exemplo, você deve evitar gastar muito em manter um aplicativo que será desativado em pouco tempo, e você deve combinar melhorias relacionadas com a segurança com outras mudanças

A funcionalidade de Gerenciamento de Portfólios do Enterprise Studio é muito útil neste estágio. Painéis de controle claros ajudam a direção a decidir sobre as prioridades e investimentos, levando todos os ângulos de avaliação em consideração, permitindo que você filtre e foque naquilo que é essencial (veja abaixo):


Figura 4. Gráfico do ciclo de vida dos aplicativos, filtrado por aplicativos de alto risco e alto custo

7. Implemente os controles e medidas que você definiu para a sua organização, processos e sistemas, e teste sua segurança. Afinal, isto é o que conta!

8. Demonstre a conformidade para as autoridades reguladoras, mostrando como você processa os dados pessoais, como você lida com os riscos, e quais medidas mitigadoras você implementou.

Naturalmente, esta não é uma abordagem a ser realizada uma única vez; você deve revisitar os passos acima para garantir que você continua conforme e integrar isto no seu framework de governança. Estes passos são também particularmente relevantes quando você realiza sua Avaliação de Impacto da Proteção de Data (DPIA-Data Protection Impact Assessment), que é requerida pelo GDPR para qualquer implementação de um novo sistema que use dados pessoais.

As soluções da BiZZdesign ajudam você a alavancar a arquitetura e os modelos existentes de portfólios e dados, para dar a você um início rápido para melhorar sua segurança de dados e garantir a conformidade regulatória. Nossa abordagem integrada ajuda você a investir em segurança onde ela conta, e evitar as penalidades e os riscos de reputação da não conformidade, ou pior, de um vazamento de informações. Veja, na próxima postagem, uma análise dos resultados parciais da pesquisa abaixo.

Maio de 2018 está mais próximo do que você pensa, e um bocado de trabalho pode ser necessário, então, não hesite: COMECE AGORA!


 Gravação do webinar: Você está preparado para o GDPR?

http://cta-service-cms2.hubspot.com/ctas/v2/public/cs/c/?cta_guid=c5785520-22ac-49e7-8ea2-9684b6fed658&placement_guid=27a08681-2d5c-44f0-b25b-87926c03b3de&portal_id=442574&redirect_url=APefjpGBpZ_zmfh5vIFX9jjqpFtXZY0avXXE-TYOcYBlVyqatP-xck9IZ4pOEFtdBY4oeo_XqPcbMFSUri89EV4ZEUjwKr894R2mHa6KCnNXEXG_xolh7Gor5RcFc1MQ7__lF8vLY8OU1YG02W9L3SVU2elZiD3JoGiGmbn9o0JA50S_m9yymMyaA3Yqfeifru71hEwzuTqM5pi5ZkzCzQCqpWGe48ZVSXQ_0sVTnec296ebQto9Il_KS5K9LW87kpo02ur1YMhu7hIqtxaaShX1ikm7hWjO7CDHarrVWhMopKLFxuV9T4TqlWJ7ONRMFEc3x0l9-fdy&hsutk=9b10a3b3a11fb35d41cf11e696c351aa&canon=http%3A%2F%2Fblog.bizzdesign.com%2F8-steps-enterprise-architects-can-take-to-deal-with-gdpr&utm_referrer=http%3A%2F%2Fblog.bizzdesign.com%2Ftopic%2Fgovernance-risk-compliance&__hstc=122831636.9b10a3b3a11fb35d41cf11e696c351aa.1486692647809.1487622352888.1487762415333.22&__hssc=122831636.4.1487762415333&__hsfp=677730402
 

Veja esta gravação e descubra como os arquitetos corporativos podem alavancar os modelos de arquitetura corporativa de risco e segurança e como o Enterprise Studio pode ajudá-lo.

Assista o webinar


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.

1-10 of 31