Your SlideShare is downloading. ×
0
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

NBR/ISO 27002, COBIT e ITIL

7,013

Published on

Published in: Technology
0 Comments
13 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,013
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
62
Comments
0
Likes
13
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. AUDITORIA DE TECNOLOGIA DAINFORMAÇÃONBR-ISO 27002,ITIL, COBIT & CAATS Prof. Ciro Bacilla cbacilla@gmail.com
  • 2. Tópicos a serem abordados neste encontro Gestão de serviços de TI baseado em ITIL Gestão de TI baseada no COBIT NBR-ISO 27002-2005 (antiga 17799-2005) Auditoria da Informação - CAATS 2 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 3. ITIL - Information Technology Infrastructure Library Conjunto de Melhores Práticas que orientam o Gerenciamento de Serviço de TI Consiste em uma série de publicações que fornecem recomendações para o provisionamento da Qualidade dos Serviços de TI, e dos Processos e recursos necessários para suportá-los. 5 livros da ITIL Lifecycle Publication Suite (ITIL v3):  Service Strategy  Service Design  Service Transition  Service Operation  Continual Service Improvement - cbacilla@gmail.com 3 MBA - Auditoria de TI - Prof. Ciro Bacilla Prof. Ciro Bacilla
  • 4. ITIL – Pra quê usar? Como foca na medição contínua e na melhoria da qualidade dos serviços entregues pela área de TI, de uma perspectiva do negócio e do cliente, proporciona uma série de benefícios às empresas, incluindo:  Aumento da satisfação dos clientes em relação aos serviços prestados pela TI  Aumento da disponibilidade dos serviços, levando diretamente a aumento dos lucros e resultados  Economia advinda da redução de retrabalho, tempo perdido, melhoria do gerenciamento e uso de recursos  Melhoria do tempo de disponibilização de novos produtos e serviços e 4 Melhoria da tomada deProf. Ciro Bacillaecbacilla@gmail.com de riscos Bacilla MBA - Auditoria de TI - decisão - otimização Prof. Ciro
  • 5. ITILNão é possível gerenciar o que não conseguimos controlar; Não é possível controlar o que não conseguimos medir; Não é possível medir o que não conseguimos definir. Peter Drucker 5 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 6. ITIL Gerenciamento de Serviços  Conjunto especializado de habilidades organizacionais para fornecer valor a Clientes na forma de Serviços.  Engloba muito mais que simplesmente a entrega de serviços. Cada serviço, processo ou componente de infraestrutura tem um Ciclo de Vida, e a abordagem do Ciclo de Vida do Gerenciamento de Serviço considera a Estratégia, Desenho, Transição, Operação e Melhoria Continuada de Serviços de TI. Serviço:  Um meio de fornecer algo que um Cliente perceba como tendo certo valor, facilitando a obtenção de Resultados que os Clientes desejam, sem que eles tenham que arcar com a propriedade de determinados Custos e Riscos. 6 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 7. 7 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 8. Modelo ITIL v3 8 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 9. ITIL v3 – Estratégia de Serviços Primeiro volume do ITIL, fornece uma visão do ITIL® que alinha negócio e TI de modo que cada um extraia o que de melhor existe no outro. Assegura que cada estágio do ciclo de vida do serviço mantenha-se focado no business case e esteja relacionado a todos os elementos de processos complementares que se seguem. Os conceitos e a orientação incluídos são:  Estratégia e planejamento de valor do Gerenciamento de Serviços  Vinculação de planos e direções de negócios a estratégia de serviços de TI  Planejamento e implementação de estratégia de serviços  Riscos e fatores críticos de sucesso 9 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 10. ITIL v3 – Estratégia de Serviços Compreender as necessidades da ESTRATÉGIA DO SERVIÇO antes de iniciar a execução das atividades Compreender a importância dessa fase no resultado que será alcançado tanto pela tecnologia como para o negócio Entender a participação na composição do ciclo de vida Processos dessa fase:  Gerenciamento do portfólio de serviços  Gerenciamento da demanda  Gerenciamento financeiro 10 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 11. Propostas da Estratégia de Serviços Operar e crescer com sucesso e sustentabilidade a longo prazo Fazer com que o gerenciamento de serviços seja visto como um ativo Compreender o relacionamento entre serviços, processos e modelo de negócio Estabelecer as metas de TI e alinhá-las com as metas do negócio Auxiliar ainda nas questões abaixo:  Que serviços devem ser oferecidos, e para quem?  O que temos de diferente em relação à concorrência?  Como geramos valor para os clientes?  Como conseguimos patrocínio para os serviços?  Como montar um caso para investimento estratégico?  Como definir a qualidade do serviço?  Como aperfeiçoar a qualidade do serviço? 11  Como administrar os recursos necessários? MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 12. ITIL v3 – Estratégia de Serviços A Estratégia de Serviços trabalha com a análise estratégica, planejamento, posicionamento e implementações relativas aos modelos de serviço de TI, estratégias e objetivos Fornece a direção para efetivamente alavancar as capacidades de Gerenciamento de Serviços para entregar valor aos clientes e mostrar o valor dos fornecedores de serviço Os itens relativos a Pessoas, Processos e Produtos abaixo devem ser combinados para a operacionalização dessa Unidade com a TI: Pessoas  Processos  Service Definition Manager  Portfolio Management  Financial Management  Service Research Manager  Demand Management  Financial Analysis Manager  Produtos  Service Marketing Manager  Service Request & Planning Tools  Service Forecast Manager  Service Knowledge & Configuration 12 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Management Tools Prof. Ciro Bacilla
  • 13. ITIL v3 – Estratégia de Serviços• Estabelece a Estratégia de maneira geral para Serviços de TI e para o Geren- ciamento de Serviço de TI. 13 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 14. ITIL v3 – Desenho do Serviço Busca satisfazer os requisitos de negócio atuais e futuros Fornece orientação sobre a produção e a manutenção de documentos, arquiteturas e políticas de TI para o desenho de soluções e processos de serviços de TI apropriados e inovadores. Os conceitos e a orientação incluídos são:  Objetivos e elementos do desenho do serviço  Seleção do modelo de desenho do serviço  Modelos de custo  Análise de benefícios/riscos  Implementação do desenho do serviço  Medição e controle 14 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 15. ITIL v3 – Desenho do Serviço Fornece o direcionamento para o desenvolvimento do serviço a ser entregue para o usuário. Trabalha com métodos específicos para planejar o que foi definido na fase da estratégia. Aqui se encontram os conceitos de disponibilidade, capacidade e continuidade dos serviços Os processos dessa fase são os seguintes:  Gerenciamento do Nível do Serviço (SLM)  Gerenciamento do Catálogo de Serviços (SCM)  Gerenciamento de Disponibilidade (AM)  Gerenciamento de Segurança da Informação (ISM)  Gerenciamento da Capacidade (CM)  Gerenciamento da Continuidade dos serviços de TI (ITCM) 15 GerenciamentoAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com  MBA - dos Fornecedores (SM) Prof. Ciro Bacilla
  • 16. ITIL v3 – Desenho do Serviço Conceitos  Provedores e fornecedores  SLAs, OLAs e UCs  Pessoas, Processos, Produtos e Parceiros  Aspectos do Desenho  Insourcing, Outsourcing e Multisourcing Principais aspectos  Identificação dos requisitos do negócio  Portfólio do serviço  Mensuração do design  Arquitetura tecnológica 16 Desenho do processoTI - Prof. Ciro Bacilla - cbacilla@gmail.com  MBA - Auditoria de Prof. Ciro Bacilla
  • 17. ITIL v3 – Desenho do Serviço  O Desenho do Serviço (Service Design) traduz os objetivos e o planejamento estratégico e cria os desenhos e as especificações para execução através da Transição de Serviço Pessoas  Processos  Security Engineering Manager  Service Catalogue Management  Desktop Engineering Manager  Service Level Management  Network Engineering Manager  Capacity Management  Systems, Servers & Storage Engineering  Availability Management Manager  Continuity Management  Applications Engineering Manager  Information Security Management  Supplier Management  Produtos  Service Catalogue Tools  Service Level Management Tools  Capacity Planning Tools 17   Service Modeling Tools MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla Service Knowledge & Configuration Management Tools
  • 18. ITIL v3 – Service Design18 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 19. ITIL v3 – Transição do Serviço Aborda a função de gerenciamento de mudança de longo prazo, mais abrangente, e as práticas de liberação, levando em contra riscos, benefícios, mecanismo de entrega e facilidade das operações contínuas dos serviços. Fornece atividades de processos e orientação para a transição de serviços no ambiente corporativo. Os conceitos e a orientação incluídos nessa fase são:  Gerenciamento de mudança organizacional e cultural  Gerenciamento do conhecimento  Sistemas de gerenciamento de conhecimento de serviço  Métodos, práticas e ferramentas  Medição e controle 19 Melhores práticasAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com  MBA - complementares Prof. Ciro Bacilla
  • 20. ITIL v3 – Transição do Serviço Capta a lógica estabelecida pelo DESENHO DO SERVIÇO e efetivamente implementa os pacotes recebidos É nessa fase que os serviços saem do projeto e passam para a produção Fase essencial para o negócio e deve ser tratada com bastante critério e responsabilidade Proposta dessa fase:  Planejar e gerenciar a capacidade e recursos necessários para empacotar, construir, testar e distribuir uma liberação em produção  Fornecer uma estrutura consistente e rigorosa para avaliar a capacidade de serviço e perfil de risco  Estabelecer e manter a integridade de todos os Ativos de Serviço e configurações identificadas  Fornecer conhecimento e informação de boa qualidade  Fornecer mecanismos de construção e instalação eficientes e repetitíveis  Garantir que o processo possa ser gerenciado, operado e suportado de acordo com os requisitos e limitações especificados dentro do Desenho 20 de Serviço MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 21. ITIL v3 – Transição do Serviço A Transição do Serviço fornece a orientação baseada no Desenho do Serviço, assegurando que o serviço entregue a estratégia pretendida e possa ser operado e mantido eficientemente Pessoas  Processos  Security Asset Manager  Support & Transition Management  Change Management  Desktop Asset Manager  Asset & Configuration Management  Network Asset Manager  Release & Deploy Management  Systems, Servers & Storage Asset Manager  Validation Management  Applications Asset Manager  Evaluation Management  Knowledge Management  Produtos  Asset Management Tool  Service provision Tool  Run Book Task Automation Tools  Service Knowledge & Configuration 21 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Tools Prof. Ciro Bacilla Management
  • 22. ITIL v3 –Service Transition22 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 23. ITIL v3 – Operação do Serviço Ao manter o foco nas atividades de processos de entrega e controle, pode-se alcançar cotidianamente um estado consistente, altamente desejável, de gerenciamento de serviços. Orientações baseada em uma seleção de pontos de controle familiares de suporte a serviço e entrega de serviço Os conceitos e a orientação incluídos são:  Gerenciamento de aplicação  Gerenciamento de mudança  Gerenciamento de operações  Processos e funções de controle  Práticas escalonáveis  Medição e controle 23 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 24. ITIL v3 – Operação do Serviço Nessa fase os serviços entregues pela Transição serão suportados pelas equipes de TI Fase onde o cliente efetivamente sente os resultados das fases anteriores do Ciclo de Vida do Serviço (Service Lifecycle), pois recebe não somente o serviço mas também o modelo de suporte para os serviços Processos de Service Operation  Gerenciamento de Eventos (Event Mgmt)  Gerenciamento de Incidentes (Incident Mgmt)  Gerenciamento de Acesso (Access Mgmt)  Gerenciamento de Problemas (Problem Mgmt)  Requisições de Serviço (Request Fullfilment) Funções de Service Operation  Service Desk  Gerenciamento Técnico (Tech Mgmt)  Gerenciamento de Operações (Operations Mgmt) 24 Gerenciamento -de Aplicações (Applications Mgmt)  MBA Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 25. ITIL v3 – Operação do Serviço A Operação do Serviço fornece um guia para gerenciar um serviço no dia-a-dia da produção. Fornece também orientações no suporte a operações de por meio de novos modelos e arquiteturas tais como serviços compartilhados, utility computing, web services, e mobile commerce Pessoas  Processos  Event Management  Security Operation Manager  Incident Management  Desktop Operations Manager  Problem Management  Network Operations Manager  Fulfillment Management  Access Management  Systems, Server & Storage Operations Manager  Service Desk Function Management  Applications Operations Manager  Service Operations Function Management  Technical Operations Function Management  Application Operations Function Management  Produtos  Service Desk with Incident Management Tool  Problem Management Tool  Event Management Tool  Run Book Technology Troubleshooting Tool  Run Book Application Troubleshooting Tool 25 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com  Prof. Ciro Bacilla Service Knowledge & Configuration Management Tools
  • 26. ITIL v3 – Service Operation26 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 27. ITIL v3 – Melhoria Contínua do Serviço Lado a lado com a entrega de atividades de processos repetíveis e consistentes como parte da qualidade do serviço, ITIL® sempre enfatizou a importância de aprimoramentos contínuos. Enfoca os elementos de processos envolvidos em identificar e introduzir aprimoramentos ao gerenciamento de serviços, também aborda a extinção de serviço. Os conceitos e a orientação incluídos são:  Alavancas de negócio e tecnológicas para aprimoramentos  Justificativa  Aprimoramentos do negócio, financeiros e organizacionais  Métodos, práticas e ferramentas  Medição e controle  Melhores práticas complementares 27 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 28. ITIL v3 – Melhoria Contínua do Serviço Nessa fase os processos e serviços entregues aos usuários e clientes de TI passam por uma análise criteriosa de qualidade Busca-se maior desempenho com menores custos para otimizar os processos de negócio e gerar valor para a organização Objetivos do CSI (Continuous Service Mgmt):  Revisar e analisar e fazer recomendações de cada fase do ciclo de vida  Revisar e analisar os resultados obtidos com os acordos de nível de serviço (SLAs)  Melhorar a qualidade dos serviços de TI  Melhorar a eficiência dos processos capacitadores do ITSM  Otimizar o custo-eficiência da entrega dos serviços  Garantir métodos viáveis para gerenciamento da qualidade dos serviços Fornece ainda direcionamento para:  Melhoria dos serviços  Melhoria da eficiência e eficácia dos processos  Melhoria de todas as fases do ciclo de vida 28 Medição dosMBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com  processos e serviços Prof. Ciro Bacilla
  • 29. ITIL v3 – Melhoria Contínua do Serviço A Melhoria Contínua do Serviço (Continual Service Improvement) fornece orientações para medir a performance dos serviços através do Ciclo de Vida do Serviço, sugerindo melhorias na qualidade do serviço, eficiência operacional e continuidade dos negócios Pessoas  Service Measurement Manager  Quality Measurement Manager  Compliance Measurement Manager  Security Measurement Manager  Resource Measurement Manager Processos  IT Governance Management (using COBIT best practices)  IT Resource Management (using PMI methods)  IT Quality Management (using Six Sigma methods)  IT Security Management (using ISO standards) Produtos  Compliance Management & Measurement Tools 29 Service KnowledgeAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com  MBA - & Configuration Management Tools Prof. Ciro Bacilla
  • 30. ITIL v3 – Continuous Service Management• Definição de metas a • Execução das tarefas serem alcançadas definidas no planejamento• Definição do método para • Coleta dos dados para alcançá-las próxima etapa de verificação do processo • Educação, treinamento e conscientização Plan Do Act Check• Definir soluções que • Verificar se o executado está eliminem as causas da conforme o planejado falha • Se a meta foi alcançada,• Avaliar a viabilidade para dentro do método definido que as ações sejam 30 implantadas • Identificar osProf. Ciro Bacilla MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com ou no método desvios na meta
  • 31. ITIL v3 – Continuous Service Management Os sete passos da Melhoria Contínua do Serviço Definir o que deve ser medido Determinar o que pode ser medido IDENTIFICAR: Visão e Estratégia Metas Operacionais e Táticas Coletar os dados sobre os processos Processar os dados coletados Analisar as informações geradas pela fase anterior Definir os planos de ação para correção e/ou melhorias Implementar a correção31 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 32. 32 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 33. COBIT33 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 34. TransformingEnterprise IT
  • 35. A TI requer supervisão executiva Por bons motivos:• As dificuldades de uma companhia fabricante de vestuário na instalação de um software de cadeia de produção custaram aprox. US$ 200 milhões• Uma empresa de capital aberto admitiu que um colapso virtual do seu sistema de relatórios financeiro reduziu seu valor de mercado em um terço em um único dia• Um colapso operacional após a fusão de duas empresas de transporte foi rastreado como sendo a incapacidade de coordenar os seus sistemas de TI 2009 ISACA All Rights reserved. 35
  • 36. A supervisão pode levar à criação de valor A TI também pode fornecer benefícios significativos:• A transformação da cadeia de abastecimento de uma grande companhia aérea melhorou a previsão da demanda, reduziu os custos de aquisição e aumentou os níveis de serviço, com diminuição de custos• Uma empresa de produtos de tecnologia e serviços economizou US$ 12 bilhões em dois anos, conectando peças díspares da sua cadeia de suprimentos, consequentemente reduzindo os níveis de inventário 2009 ISACA All Rights reserved. 36
  • 37. Governança de TI é o ponto chave• As empresas estão sacrificando dinheiro, produtividade e vantagem competitiva por não implementar a governança de TI eficaz• Os executivos precisam de uma maneira melhor de: • Dirigir a TI para obtenção de benefícios – Medir o valor fornecido pela TI – Gerenciar os riscos pertinentes à área de TI 2009 ISACA All Rights reserved. 37
  • 38. ®COBIT é um roteiro para a boa governança de TI• Aceito mundialmente como um conjunto de ferramentas que garante que a área de TI está trabalhando efetivamente• Funciona como um framework abrangente• Fornece linguagem comum para se comunicar metas, objetivos e resultados esperados para todos os interessados• Baseado em, e integrado a, padrões de indústria e boas práticas em: – Alinhamento estratégico da TI com os objetivos de negócio – Valor dos serviços prestados e novos projetos – Gerenciamento de risco – Gerenciamento de recursos – Gerenciamento de desempenho (Performance) 2009 ISACA All Rights reserved. 38
  • 39. Desenvolvido pelo líder em governança de TI Control Objectives for Information and related Technology Associação de 86.000 membros. Líder mundial em governança de TI, controle, segurança e garantia de serviços. Oferece os exames de certificação CISA, CISM e CGEIT. 2009 ISACA All Rights reserved. 39
  • 40. ®Benefícios do COBIT para os NegóciosCOBIT® fornece orientação para a gestãoexecutiva para governança de TI dentro daempresa • Instrumentos mais eficazes para a TI dar suporte aos objetivos de negócio • Custos do ciclo de vida de TI mais transparentes e previsíveis • Informações da TI mais oportunas e confiáveis • Maior qualidade de serviços de TI e projetos mais bem sucedidos • Gerenciamento mais efetivo dos riscos relacionados à área de TI 2009 ISACA All Rights reserved. 40
  • 41. Harmonizando os elementos da Governança de TI IT Governance Gerenciamento de Recursos 2009 ISACA All Rights reserved. 41
  • 42. Olhando mais de perto o 2009 ISACA All Rights reserved. 42
  • 43. COBIT® Responde questões-chave dos Negócios Is my information technology organisation doing the right things? Are we doing them the right way? Are we getting them done well? Are we getting the benefits? * * Based on the “Four Ares” as described by John Thorp in his book The Information Paradox, written jointly with Fujitsu, first published in 1998 and revised in 2003 2009 ISACA All Rights reserved. 43
  • 44. ® O Framework COBIT2009 ISACA All Rights reserved. 44
  • 45. ® COBIT Define Processos, Objetivos e MétricasRelacionamentoentre Processos,Objetivos eMétricas (DS5) 2009 ISACA All Rights reserved. 45
  • 46. Definição de Responsabilidades para Cada ProcessoModelo de matriz de autoridade que pode ser utilizada dentro daorganização para definir papéis e responsabilidades específicas.Identifica quem é• (Responsible) - Responsável por executar a tarefa, isto é, a própria pessoa a fazer o trabalho Modelo RACI para completar a tarefa• Accountable - Cobrado pela tarefa que está sendo executada. É quem entrega o trabalho, mesmo Funções que outras pessoas estejam executando• Consulted - Consultado(s) cuja entrada é usada para completar a tarefa, assim, a comunicação com este grupo será de 2 vias• Informed – Informado(s) sobre o status da tarefa. A comunicação é de mão única (ida). Atividades A/Vincular os objetivos de negócio aos objetivos da TI. C I R I C A/Identificar dependências críticas e desempenho atual. C C R R C C C C C CCriar um planejamento estratégico de TI. A C C R I C C C C I CCriar planos táticos da TI. C I A C C C C C R IAnalisar portfolios de programas e gerenciar C I I A R R C R C C Iportfolios de projetos e de serviços. 2009 ISACA All Rights reserved. 46
  • 47. ® Produtos COBIT e suas Audiências PrimáriasOS produtos COBITforam organizados emtrês níveis, projetadospara apoiar:• A gerência executiva e conselhos• Negócios e gerenciamento de TI• A governança, controle, segurança e profissionais de segurança COBIT User Guide for Service Managers COBIT and Application Controls COBIT, Risk IT and Implementing and Val IT frameworks Continually Improving IT Governance 2009 ISACA All Rights reserved. 47
  • 48. ® COBIT Harmoniza com Outros Padrões• COBIT é frequentemente usado no mais alto nível de governança de TI• Harmoniza as práticas e normas, tais como ITIL, ISO 27001 e 27002 e PMBOK – Melhora seu alinhamento às necessidades do negócio – Abrange ampla gama de atividades relacionadas a TI– Projetado para ser complementar a, e usado em 27001/2 conjunto com, outras normas e boas práticas 2009 ISACA All Rights reserved. 48
  • 49. ® Os 4 Domínios Interrelacionados do COBIT• Para governar efetivamente a área de TI, é importante Planejar e Organizar (PO) considerar as atividades e os riscos da TI que precisam ser gerenciados. Adquirir e Entregar e• Geralmente ordenados nos domínios de responsabili- Implementar Dar Suporte dade: planejar, criar, (AI) (DS) executar e monitorar.• No framework COBIT, estes domínios são denominados Monitorar e Avaliar (ME) • Planejar e Organizar (PO), que norteia a entrega de soluções (AI) e entrega de serviço (DS) • Entregar e Dar Suporte (DS), que recebe as • Adquirir e Implementar soluções e as faz usáveis pelos usuários e (AI), que fornece as soluções e • Monitorar e Avaliar (ME), o qual monitora as encaminha para serem todos os processos e assegura que a transformadas em serviços direção fornecida está sendo seguida 2009 ISACA All Rights reserved. 49
  • 50. Fronteiras de Controle de Negócios, Gerais e de Aplicação Responsabilidade Responsabilidade Responsabilidade do Negócio da TI do Negócio Controles Controles Controles de Negócio Gerais de TI de Negócio Requisitos Funcionais Serviços Requisitos Automatizados de Controle Controles de Aplicação 2009 ISACA All Rights reserved. 50
  • 51. Utilizado por organizações em todo o mundo‘Continuamos a recomendar que as empresas utilizem [COBIT] paradesafiar os seus procedimentos de governança de TI já estabelecidos e melhorar os controles que já possuem.’ —Gartner (para estudos de caso completos, visite www.isaca.org/cobitcasestudies) 2009 ISACA All Rights reserved. 51
  • 52. Para Saber MaisVisite www.isaca.org/cobit para fazer o download do framework COBIT® 2009 ISACA All Rights reserved. 52
  • 53. ® COBIT : Revisando O que faz?• Aumenta a ... e a ... da área de TI• Ajuda a TI a compreender as ...• Posiciona as práticas de modo a atender as necessidades do negócio tão eficientemente quanto possível• Garante o alinhamento dos negócios e da ...• Ajuda os executivos a compreender e gerir investimentos de TI em todo seu ... 2009 ISACA All Rights reserved. 53
  • 54. ® COBIT : Revisando Como Suporta a Governança de TI?• COBIT suporta a ... de TI ao fornecer um ... para garantir que: • A área de TI está ... com o negócio • A TI possibilita a ... do negócio e maximiza os benefícios • Os ... de TI são usados com responsabilidade • Os ... de TI são gerenciados apropriadamente 2009 ISACA All Rights reserved. 54
  • 55. ® COBIT : RevisandoQuais os benefícios de se implementar o COBIT?• Os benefícios de implementar o COBIT incluem:• Uma linguagem comum para executivos de gestão e os profissionais de TI• Um melhor entendimento de como o negócio e de TI podem trabalhar juntos para implementação bem sucedida das iniciativas de TI• Maior eficiência e otimização de custos• Redução do ...• Desenvolvimento de políticas claras• Auditorias mais eficientes e bem-sucedidas• Apropriação e responsabilidades claras, com base na orientação do processo 2009 ISACA All Rights reserved. 55
  • 56. ITIL v3 e CobiT 4.1: Como usar em conjunto? 27001/256 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 57. ITIL© V3 - Cobit© 4th Mapping Service Service Service Service Continual Mapeamento ITIL v3 x CobiT 4.1 Service Strategy Design Transition Operation Improve-mentMapeamento ITIL v3 x CobiT 4.1 Service Asset & Configuration Mgmt Service Measurement & Control Transition Planning & Support Release & Deployment Mgmt Return on Investment on CSI Service Validation & Testing Information Security Mgmt IT Service Continuity Mgmt IT Financial Management Service Catalogue Mgmt Service Portfolio Mgmt Incident Management Strategy Generation Service Level Mgmt Request Fulfilment Knowledge Mgmt Availability Mgmt Service Reporting Demand Mgmt Capacity Mgmt Problem Mgmt Supplier Mgmt Change Mgmt Access Mgmt Event Mgmt Evaluation PO Plan & Organise PO1 Define a Strategic IT Plan x x PO2 Define the Information Architecture x x x x x PO3 Determine Technological Direction x x x x PO4 Define the IT Processes, Organisation and Relationships x x x x x x x x x x x x x PO5 Manage the IT Investment x x x PO6 Communicate Management Aims and Direction x x x x x PO7 Manage IT Human Resources x PO8 Manage Quality x x x x x x x x x x x x x x x x x x x x x x PO9 Assess and Manage IT Risks x x x x x x x x x x x x x x x PO10 Manage Projects x x x x x AI Acquire & Implement AI1 Identify Automated Solutions x x x x AI2 Acquire and Maintain Application Software x x AI3 Acquire and Maintain Technology Infrastructure x x x x AI4 Enable Operation and Use x x x x x AI5 Procure IT Resources x x AI6 Manage Changes x x x AI7 Install and Accredit Solutions and Changes x x x x DS Deliver & Support DS1 Define and Manage Service Levels x x x DS2 Manage Third-Party Services x x DS3 Manage Performance and Capacity x x DS4 Ensure Continuous Service x DS5 Ensure Systems Security x DS6 Identify and Allocate Costs x DS7 Educate and Train Users x x DS8 Manage Service Desk and Incidents x x DS9 Manage the Configuration x DS10 Manage Problems x DS11 Manage Data x DS12 Manage Physical Environment x x x DS13 Manage Operations x x x x ME Monitor and Evaluate 57 ME1 ME2 ME3 ME4 Monitor and Evaluate IT Performance MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Monitor and Evaluate Internal Control Ensure Regulatory Compliance Provide IT Governance x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Prof. Ciro xBacilla x x x x x x
  • 58. Próximo passo: NBR-ISO 27002 Norma equivalente à ISO/IEC 17799:2005 A segunda edição cancela e substitui a edição anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi tecnicamente revisada 58 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 59. NBR-ISO 27002 – Ponto de Partida da Segurança da Informação Controles baseados em requisitos legais e nas melhores práticas Requisitos legais:  Proteção de dados e privacidade de informações pessoais (ver 15.1.4);  Proteção de registros organizacionais (ver 15.1.3);  Direitos de propriedade intelectual (ver 15.1.2). Melhores práticas:  Documento da política de segurança da informação (ver 5.1.1);  Atribuição de responsabilidades para a segurança da informação (ver 6.1.3);  Conscientização, educação e treinamento em segurança da informação (ver 8.2.2);  Processamento correto nas aplicações (ver 12.2);  Gestão de vulnerabilidades técnicas (ver 12.6);  Gestão da continuidade do negócio (ver seção 14);  Gestão de incidentes de segurança da informação e melhorias (ver 13.2). 59 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 60. NBR-ISO 27002 – Fatores Críticos de Sucesso (i) Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; Comprometimento e apoio visível de todos os níveis gerenciais; Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; 60 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 61. NBR-ISO 27002 – Fatores Críticos de Sucesso (ii) Distribuição de diretrizes e normas sobre a política de segurança da informação para lodos os gerentes, funcionários e outras partes envolvidas; Provisão de recursos financeiros para as atividades da gestão de segurança da informação; Provisão de conscientização, treinamento e educação adequados; Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. 61 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 62. NBR-ISO 27002 – Estrutura da Norma Estruturada em 11 seções subdivididas em categorias Cada categoria principal de segurança da informação contém:  Um objetivo de controle que define o que deve ser alcançado e  Um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. Seções da ISO 27002  Política de Segurança da Informação (1)  Organizando a Segurança da Informação (2)  Gestão de Ativos (2)  Segurança em Recursos Humanos (3)  Segurança Física e do Ambiente (2)  Gestão das Operações e Comunicações (10)  Controle de Acesso (7)  Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6)  Gestão de Incidentes de Segurança da Informação (2)  Gestão da Continuidade do Negócio (1)  Conformidade (3) 62 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 63. NBR-ISO 27002 – Seções e Categorias Documento da política de segurança da informação Política de Política de segurança dasegurança da informação informação Análise critica da política de segurança da Informação 63 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 64. NBR-ISO 27002 – Seções e Categorias Comprometimento da direção com a segurança da informação Coordenação da segurança da informação Atribuição de responsabilidades para a segurança da informação Processo de autorização para os recursos de processamento da informação Organização interna Acordos de confidencialidade Contato com autoridades Organizando a Contato com grupos especiaissegurança da informação Análise crítica independente de segurança da informação Identificação dos riscos relacionados com partes externas Identificando a segurança da informação, Partes externas quando tratando com os clientes64 MBA - Auditoria de TI - Prof. Ciro Bacilla - Identificando segurança da informação nos cbacilla@gmail.com Prof. Ciro Bacilla acordos com terceiros
  • 65. NBR-ISO 27002 – Seções e Categorias Inventário dos ativos Responsabilidade Proprietário dos pelos ativos ativos Uso aceitável dosGestão de ativos ativos Recomendações para classificação Classificação da informação Rótulos e tratamento da informação65 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 66. NBR-ISO 27002 – Seções e Categorias Papéis e responsabilidades Antes da Seleção contratação Termos e condições de contratação Responsabilidades da direçãoSegurança em Durante a Conscientização, educação e treinamento em recursos contratação segurança da informação humanos Processo disciplinar Encerramento de atividades Encerramento ou mudança da Devolução de ativos contratação Retirada de direitos de acesso66 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 67. NBR-ISO 27002 – Seções e Categorias Perímetro de segurança física Controles de entrada física Segurança em escritórios, salas e instalações Áreas seguras Proteção contra ameaças externas e do meio ambiente Trabalhando em áreas seguras Acesso do público, áreas de entrega e de carregamentoSegurança física e do ambiente Instalação e proteção do equipamento Utilidades Segurança do cabeamento Segurança de Manutenção dos equipamentos equipamentos Segurança de equipamentos fora das dependências da organização Reutilização e alienação segura de equipamentos Remoção de propriedade 67 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 68. NBR-ISO 27002 – Seções e Categorias Documentação dos procedimentos de operação Procedimentos e Gestão de mudanças responsabilidades operacionais Segregação de funções Separação dos recursos de desenvolvimento, teste e de produção Entrega de serviços Gerenciamento de serviços Monitoramento e análise crítica de serviços terceirizados terceirizados Gerenciamento de mudanças para serviços terceirizados Planejamento e aceitação dos Gestão de capacidade sistemas Aceitação de sistemas Proteção contra códigos Controles contra códigos maliciosos maliciosos e códigos móveis Controles contra códigos móveis Cópias de segurança Cópias de segurança das informações Gerenciamento da segurança em Controles de redes Gerenciamento das redes Segurança dos serviços de rede operações e Gerenciamento de mídias removíveis Descarte de mídias comunicações Manuseio de mídias Procedimentos para tratamento de informação Segurança da documentação dos sistemas Políticas e procedimentos para troca de informações Acordos para a troca de informações Troca de informações Mídias em trânsito Mensagens eletrônicas Sistemas de informações do negócio Comércio eletrônico Serviços de comércio eletrônico Transações on-line Informações publicamente disponíveis Registros de auditoria Monitoramento do uso do sistema Proteção das informações dos registros (log) Monitoramento Registros (log) de administrador e operador Registros (log) de falhas68 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Sincronização dos relógios Prof. Ciro Bacilla
  • 69. NBR-ISO 27002 – Seções e Categorias Requisitos de negócio para controle Política de controle de acesso de acesso Registro de usuário Gerenciamento de privilégios Gerenciamento de acesso do usuário Gerenciamento de senha do usuário Análise critica dos direitos de acesso de usuário Uso de senhas Responsabilidades dos usuários Equipamento de usuário sem monitoração Política de mesa limpa e tela limpa Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Controle de acesso à rede Proteção de portas de configuração e diagnóstico remotosControle de Segregação de redes acessos Controle de conexão de rede Controle de roteamento de redes Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Controle de acesso ao sistema Sistema de gerenciamento de senha operacional Uso de utilitários de sistema Limite de tempo de sessão Limitação de horário de conexão Controle de acesso à aplicação e à Restrição de acesso à informação informação Isolamento de sistemas sensíveis 69 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com e comunicação móvel Bacilla Computação móvel e trabalho remoto Computação Prof. Ciro Trabalho remoto
  • 70. NBR-ISO 27002 – Seções e Categorias Validação dos dados de entrada Controle do processamento interno Processamento correto nas aplicações Integridade de mensagens Validação de dados de saída Política para o uso de controles criptográficos Controles criptográficos Gerenciamento de chaves Controle de software operacional Segurança dos arquivos do Proteção dos dados para teste de sistema sistema Controle de acesso ao código-fonte de programa Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Segurança em processos de Restrições sobre mudanças em desenvolvimento e de suporte pacotes de software Vazamento de informações Desenvolvimento terceirizado de software Gestão de vulnerabilidades70 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com técnicas Prof. Ciro Bacilla Controle de vulnerabilidades técnicas
  • 71. NBR-ISO 27002 – Seções e Categorias Notificação de eventos de segurança da informação Notificação de fragilidades e eventos de segurança da Informação Notificando fragilidades de segurança da informação Gestão de incidentes desegurança da informação Responsabilidades e procedimentos Gestão de incidentes de Aprendendo com os incidentes segurança da informação e de segurança da informação melhorias Coleta de evidências71 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 72. NBR-ISO 27002 – Seções e Categorias Incluindo segurança da informação no processo de gestão da continuidade de negócio Continuidade de negócios e análise/avaliação de riscos Gestão da Aspectos da gestão da Desenvolvimento e implementação decontinuidade do continuidade do negócio, relativos planos de continuidade relativos à negócio à segurança da informação segurança da informação Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos 72 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com continuidade do Bacilla planos de Prof. Ciro negócio
  • 73. NBR-ISO 27002 – Seções e Categorias Identificação da legislação aplicável Direitos de propriedade intelectual Conformidade com requisitos legais Proteção de registros organizacionais Proteção de dados e privacidade de informações pessoais Prevenção de mau uso de recursos de processamento da informação Regulamentação de controles de criptografia Conformidade com normas e políticas de segurança da Conformidade com as políticas e normas deConformidade informação e conformidade técnica segurança da informação Considerações quanto à Verificação da conformidade técnica auditoria de sistemas de informação Controles de auditoria de sistemas de informação Proteção de ferramentas de auditoria de sistemas de informação73 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
  • 74. Finalizando: CAATS74 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla

×