Curso completo COBIT 4.1

33,555 views
33,413 views

Published on

CURSO ONLINE PARA COBIT 5, aqui: http://goo.gl/EQNtMf

Mais apostilas, vídeos e artigos sobre COBIT: http://goo.gl/u7pb1l

Para mais conteúdo em gestão e governança de TI, visite nosso site: http://www.portalgsti.com.br/

Published in: Technology
6 Comments
32 Likes
Statistics
Notes
No Downloads
Views
Total views
33,555
On SlideShare
0
From Embeds
0
Number of Embeds
11,995
Actions
Shares
0
Downloads
2,486
Comments
6
Likes
32
Embeds 0
No embeds

No notes for slide

Curso completo COBIT 4.1

  1. 1. Curso COBIT 4.1 Foundation Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 1 COBIT 4.1
  2. 2. www.portalgsti.com.brPor Fernando Palma Módulo 1 – Apresentação do Curso Neste módulo, você irá conhecer todo o conteúdo do curso e recursos quais terá acesso. Obs.: COBIT® é uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e marcas registradas podem ser mencionados no decorrer destes slides, tais marcas são utilizadas apenas com finalidade de ensino, em benefício exclusivo do dono da marca, sem intenção de infringir suas regras de utilização.
  3. 3. www.portalgsti.com.brPor Fernando Palma Agenda Objetivos Estrutura Conteúdo
  4. 4. www.portalgsti.com.brPor Fernando Palma Estrutura do curso O curso tem o objetivo de habilitar o aluno as seguintes tópicos Conhecimento do Framework do COBIT e Governança de TI Preparação para a certificação COBIT Foundation Utilização do COBIT na prática
  5. 5. www.portalgsti.com.brPor Fernando Palma Agenda Objetivos Estrutura Conteúdo
  6. 6. www.portalgsti.com.brPor Fernando Palma Estrutura do curso Este curso é composto de: 1. Material Didático - Slides 2. Exercícios de Simulado 3. Exercícios Práticos 4. Exemplos reais
  7. 7. www.portalgsti.com.brPor Fernando Palma Agenda Objetivos Estrutura Conteúdo
  8. 8. www.portalgsti.com.brPor Fernando Palma Módulo 1 – Apresentação do Curso Módulo 2 - Introdução a Governança de TI Módulo 3 - O que é o COBIT, conceitos básicos e estrutura Módulo 4 - Introdução aos processos do COBIT  Módulo 5 - Principais processos - Parte 1  Módulo 6 - Principais processos – Parte 2  Módulo 7- BSC e COBIT (utilizando o Balanced scorecards para priorizar processos do COBIT)  Módulo 8 - Produtos da ITGI que suportam o framework do COBIT Obs.: é recomendável que o aluno conheça conceitos de processos e pelo menos um modelo de gestão como o ITIL e PMBOK
  9. 9. www.portalgsti.com.brPor Fernando Palma Agenda Objetivos Estrutura Conteúdo
  10. 10. Fim Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 1
  11. 11. Curso COBIT 4.1 Foundation Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 2
  12. 12. www.portalgsti.com.brPor Fernando Palma Módulo 2 – Introdução a Governança de TI Neste módulo você irá conhecer a origem e motivação da Governança de TI, seus objetivos, conceitos e relação com a Governança Coorporativa. Será também abordada a importância que a Tecnologia tem par as organizações e os desafios vividos por este setor / prestador de serviços
  13. 13. www.portalgsti.com.brPor Fernando Palma Agenda A importância do Setor de TI Os Desafios da TI O que é Governança de TI Motivação Governança de TI e COBIT
  14. 14. www.portalgsti.com.brPor Fernando Palma Provedor de Tecnologia Maturidade de TI Provedor de Serviços Parceiro Estratégico Tempo GIETI GSTI Governança TI GIETI: Gerenciamento de Infra-estrutura TI GSTI: Gerenciamento de Serviços de TI Provedor de Tecnologia .Busca Eficiência .Independente do Negocio .TI nível operacional Provedor de serviços . Pessoas, processos e produtos . TI tática Parceiro Estratégico .Busca crescimento do Negócio .TI é integrada ao negócio .TI Estratégica 14 A Importância do Setor de TI
  15. 15. www.portalgsti.com.brPor Fernando Palma A importância do setor de TI nas empresas O que o setor de TI representa para a empresa? Re: depende da visão e necessidade que a empresa tem sob TI TI TI TI TI TI TI Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico Área de atuação de TI dentro da empresa
  16. 16. www.portalgsti.com.brPor Fernando Palma A importância do setor de TI nas empresas Alinhamento entre TI e área de Negócio Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico TI Negócio TI Negócio NegócioTI
  17. 17. www.portalgsti.com.brPor Fernando Palma Provedor de Tecnologia •TI é vista apenas como uma sustentação da operação da Empresa •O setor é visto como um custo •Orçamentos são produzidos em comparação com o mercado •Gerentes são técnicos e têm visão interna Provedor de Serviços •TI é vista como um serviço prestado •Os processos de TI devem responder a processos de negócio •Busca eficiência dos processos, através de cumprimento de metas •Orçamentos são baseados nas metas estabelecidas para o setor Parceiro Estratégico •TI é vista como oportunidade de crescimento •O setor é visto como investimento •Busca crescimento do negócio e orçamentos são baseados e seus objetivos •Diretores de TI ou CIO´s são solucionadores de problemas do negócio A importância do setor de TI nas empresas
  18. 18. www.portalgsti.com.brPor Fernando Palma Alguns possíveis impactos da ineficiência de TI Perda de Oportunidades de Crescimento Perda de Credibilidade Multas contratuais Perda de Lucros Fim da empresa A importância do setor de TI nas empresas
  19. 19. www.portalgsti.com.brPor Fernando Palma Agenda A importância do Setor de TI Os Desafios da TI O que é Governança de TI Motivação Governança de TI e COBIT
  20. 20. www.portalgsti.com.brPor Fernando Palma Os desafios da TI Alinhar os objetivos de TI aos objetivos de Negócio Entregar valor Demonstrar o Retorno de Investimento (ROI) Diminuir Custos Gerenciar Segurança da Informação
  21. 21. www.portalgsti.com.brPor Fernando Palma Os desafios da TI Gerenciar a complexidade da Infra Estrutura de TI Entregar projetos dentro do custo, tempo e qualidade Gerenciar fornecedores externos Manter a disponibilidade dos serviços Estar em conformidade com regulamentos
  22. 22. www.portalgsti.com.brPor Fernando Palma Os desafios da TI Para conviver com estes desafios o setor de TI precisa: Definir metas alinhadas com as metas de negócio Priorizar recursos e projetos de TI Dirigir e controlar processos para alcançar metas Definir papéis e responsabilidades Manter conhecimento técnico e de boas práticas de gestão
  23. 23. www.portalgsti.com.brPor Fernando Palma Agenda A importância do Setor de TI Os Desafios da TI O que é Governança de TI Motivação Governança de TI e COBIT
  24. 24. www.portalgsti.com.brPor Fernando Palma O que é Governança de TI Consiste de liderança, estruturas organizacionais e processos que garantam que a organização de TI suporte e amplie as estratégias e objetivos da empresa A Governança de TI é de responsabilidade da alta administração da empresa Faz parte da Governança Empresarial, que por sua vez subdivide-se em Governança de Negócios e Governança Coorporativa A Governança de TI deve estar alinhada tanto a Governança de Negócios (metas de performance) quanto a Governança Coorporativa (requisitos obrigatórios e geração de valor)
  25. 25. www.portalgsti.com.brPor Fernando Palma O que é Governança de TI Tipos de Governança Governança Empresarial Governança Coorporativa Governança de Negócios Governança de TI
  26. 26. www.portalgsti.com.brPor Fernando Palma O que é Governança de TI Tipos de GovernançaGovernança de Negócios •Visa cumprir as metas de performance do negócio da empresa •Preocupa-se com Geração de Valor •Busca crescimento da empresa Governança Coorporativa •Visa o cumprimento de requisitos obrigatórios •Preocupa-se com a conformidade em relação a legislação e regulamentos internos e externos •Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos Governança de TI •Preocupa-se em atender todos os objetivos empresariais •Preocupa-se com conformidade e performance •É parte da Governança Empresarial, mas pode ser também mencionada como parte Da Governança Coorporativa Tipos de Governança
  27. 27. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) Multas contratuais é um dos possíveis impactos que pode ser resultante de uma má eficiência do setor de TI 2. ( ) Entregar valor e reduzir custos são dois entre os maiores desafios vividos por TI 3. ( ) A Governança de TI é parte da Governança Coorporativa 4. ( ) A Governança de TI é parte da Governança Empresarial
  28. 28. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( V ) Multas contratuais é um dos possíveis impactos que pode ser resultante de uma má eficiência do setor de TI 2. ( V ) Entregar valor e reduzir custos são dois entre os maiores desafios vividos por TI 3. ( V ) A Governança de TI é parte da Governança Coorporativa 4. ( V ) A Governança de TI é parte da Governança Empresarial
  29. 29. www.portalgsti.com.brPor Fernando Palma Agenda A importância do Setor de TI Os Desafios da TI O que é Governança de TI Motivação Governança de TI e COBIT
  30. 30. www.portalgsti.com.brPor Fernando Palma Motivação Meados de 2001, ocorreram escândalos coorporativos: Enron – maior empresa de energia dos EUA no ramo energético; • Série de denuncias fraudes fiscais, ocasionando no fechamento da empresa com dívida de 13 bilhões; • Muitas empresas e investidores faliram junto; Worldcom – 20 mil demitidos • A empresa declarou como investimento o que era na realidade uma despesa, distorcendo os ganhos financeiros da empresa para atrair investidores;
  31. 31. www.portalgsti.com.brPor Fernando Palma Motivação O senador americano Paul Sarbanes e o deputado Michael Oxley decretam decretaram o ato Sarbanes-Oxley (2002); A lei se aplica a qualquer empresa americana de capital aberto (ações negociadas na bolsa de valores); A lei responsabiliza criminalmente os Executivos das empresas; Obriga as empresas a exercer controles financeiros e portanto aplicar uma estrutura de Governança Coorporativa; O framework recomendado para cumprir os requisitos, através de uma governança coorporativa é o COSO Sarbanes-Oxley
  32. 32. www.portalgsti.com.brPor Fernando Palma Motivação Para manter os controles efetivos sob a informação financeira a organização precisa garantir requisitos da informação, tais como: Eficácia Eficiência Integridade Disponibilidade Confiabilidade Sarbanes-Oxley  Governança de TI  Não é possível manter os requisitos da informação sem exercer controles sob a tecnologia da informação : sistemas, infra- estrutura, bancos de dados ;
  33. 33. www.portalgsti.com.brPor Fernando Palma Agenda A importância do Setor de TI Os Desafios da TI O que é Governança de TI Motivação Governança de TI e COBIT
  34. 34. www.portalgsti.com.brPor Fernando Palma COSO BSC O que é Governança de TI Modelos e frameworks utilizados Governança Coorporativa Governança de Negócios Governança de TI
  35. 35. www.portalgsti.com.brPor Fernando Palma O que é Governança de TI Princípios da Governança de TI (Segundo o framework do COBIT) Direção Controle Responsabilidade Prestação de contas Alinhamento das atividades de TI
  36. 36. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI
  37. 37. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI  Consiste em alinhar os objetivos de TI aos objetivos de Negócio; Para tanto, é preciso que o Plano Estratégico de TI seja baseado no Plano Estratégico de Negócio; Foco em soluções que contribuam para o crescimento da empresa ou cumprimento de requisitos; Pode ser utilizado o BSC para desdobrar a estratégia da organização;
  38. 38. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI  Foca na otimização de custos para fornecer maior valor; Busca a compreensão dos níveis de serviço necessários para entregar valor a área de negócio;
  39. 39. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI  Requer Conscientização dos gestores da empresa e compreensão clara do apetite para riscos; Foco nos planos de recuperação para manter continuidade do negócio; Exige transparência, avaliação e conscientização contínua;
  40. 40. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI  Foca na otimização da alocação de recursos; Maximização da eficiência dos recursos; Inclui preocupações com treinamentos; Engloba ainda controle de serviços terceirizados;
  41. 41. www.portalgsti.com.brPor Fernando Palma Áreas de foco da Governança de TI Áreas de foco da Governança de TI, segundo o COBIT: Gerenciamento de recursos Domínios Governança de TI  Acompanha e monitora a implantação da estratégia, condução dos projetos, uso dos recursos e desempenho dos processos; Pode ser utilizado um BSC de TI para definir e acompanhar metas; Inclui realização de auditorias;
  42. 42. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) A direção é um dos princípios da Governança de TI 2. ( ) Os domínios da Governança de TI são:  Alinhamento Estratégico  Entrega de Valor  Gerenciamento de Riscos  Gerenciamento de Recursos  Monitoramento de Desempenho 3. ( ) Um dos focos do domínio de Gerenciamento de Recursos é planejar a recuperação dos serviços de TI para manter a continuidade do negócio;
  43. 43. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( V ) A direção é um dos princípios da Governança de TI 2. ( V ) Os domínios da Governança de TI são:  Alinhamento Estratégico  Entrega de Valor  Gerenciamento de Riscos  Gerenciamento de Recursos  Monitoramento de Desempenho 3. ( F ) Um dos focos do domínio de Gerenciamento de Recursos é planejar a recuperação dos serviços de TI para manter a continuidade do negócio; Esta preocupação faz parte do domínio de gerenciamento de riscos
  44. 44. Fim do módulo Perguntas? Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 2
  45. 45. Por Fernando Palma www.portalgsti.com.br Curso COBIT 4.1 Foundation Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 3
  46. 46. www.portalgsti.com.brPor Fernando Palma Módulo 3 – Introdução ao COBIT  Neste módulo, você irá conhecer a definição do COBIT, seus benefícios, a estrutura do COBIT e suas características
  47. 47. www.portalgsti.com.brPor Fernando Palma Agenda O que é COBIT Características Estrutura
  48. 48. www.portalgsti.com.brPor Fernando Palma O que é COBIT  COBIT Significa Control Objectives for Information and Related Tecnology  Traduzindo: Objetivos de Controle para a Informação e Tecnologia Relacionada  É baseado em práticas utilizadas por organizações que foram reunidas e desenvolvidas em um framework baseado em controles, pela ITGI (antes ISACA) ITGI: IT Governance Institute ISACA: Information Systems Audit and Control Association
  49. 49. www.portalgsti.com.brPor Fernando Palma O que é COBIT  Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org Adotado mundialmente Inicialmente era um modelo voltado para auditoria, hoje é considerado um framework de Governança de TI O COBIT pode ser utilizado para alinhar os objetivos de negócio (obtidos através de planejamento estratégico) aos objetivos de TI Fornece apoio a Governança de TI, Gerenciamento de projetos de TI e de Serviços de TI Pode ser utilizado para qualquer empresa, qualquer tamanho
  50. 50. www.portalgsti.com.brPor Fernando Palma O que NÃO é o COBIT  Não é uma norma Não é considerado um modelo de auditoria
  51. 51. www.portalgsti.com.brPor Fernando Palma O que é COBIT “Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação." Missão do COBIT (ITGI)
  52. 52. www.portalgsti.com.brPor Fernando Palma O que é COBIT Benefícios  É aceito por órgãos reguladores É compatível com outros modelos e frameworks de qualidade e governança de TI e coorporativa Facilita auditorias internas e externas Pode ser utilizado como passo inicial para a aplicação de projetos de governança de TI Baseado em praticas vividas, experimentadas e documentadas por especialistas
  53. 53. www.portalgsti.com.brPor Fernando Palma Agenda O que é COBIT Características Estrutura
  54. 54. www.portalgsti.com.brPor Fernando Palma Características  Principais Características do COBIT: Focado no Negócio Orientado a Processos Baseado em Controles Orientado por Métricas
  55. 55. www.portalgsti.com.brPor Fernando Palma Características  O COBIT deve ser utilizado “de fora para dentro”, ou seja, da área de Negócio para a área de TI; Deve ser baseado em objetivos de Negócio da empresa  Os Objetivos de negócio incluem: requisitos obrigatórios e requisitos de negócio (regulamentos e performance) Os processos buscam traduzir os objetivos de processo em objetivos de TI Focado no Negócio Orientado a Processos Baseado em Controles Orientado por Métricas
  56. 56. www.portalgsti.com.brPor Fernando Palma Características O COBIT divide os objetivos de controle em 34 processos; Os processos estão distribuídos em 04 domínios  Os domínios são: 1. Organização e Planejamento 2. Aquisição e Implementação 3. Entrega e Suporte 4. Monitoração e Avaliação Focado no Negócio Orientado a Processos Baseado em Controles Orientado por Métricas
  57. 57. www.portalgsti.com.brPor Fernando Palma Características Para cada processo de TI, existem objetivos de controle definidos  São ao todo 210 objetivos de controle Cada objetivo de controle contém, ainda, práticas de controle para auxiliar sua utilização Focado no Negócio Orientado a Processos Baseado em Controles Orientado por Métricas
  58. 58. www.portalgsti.com.brPor Fernando Palma Características Sugere um conjunto de indicadores que permitem medir o desempenho das atividades  São Indicadores de Performance e Indicadores e Meta (eficiência e eficácia) Focado no Negócio Orientado a Processos Baseado em Controles Orientado por Métricas
  59. 59. www.portalgsti.com.brPor Fernando Palma CMMI Características Foco do COBIT O COBIT foca em “O que precisa ser alcançado” em vez de “Como alcançar”. Para complementar o COBIT, existem outros padrões de gestão e boas práticas que podem ser utilizados. ISO 20.000 ITIL BS 25999 PMBOK ISO 9001 PRINCE 2 COBIT O QUÊ? COMO? ISO 27002
  60. 60. www.portalgsti.com.brPor Fernando Palma Características Framework de Controle O COBIT suporta os 05 requisitos que um framework de controle deve ter Focado no Negócio Orientado a Processos Linguagem em comum Requisitos Regulatórios Aceitabilidade Geral
  61. 61. www.portalgsti.com.brPor Fernando Palma Características Foi projetado para ser utilizado por Gestores Executivos: para garantia de cumprimento de requisitos, gestão de risco e controle da performance de TI Gestores de Negócio e Usuários: para obterem transparência e certificarem dos controles fornecidos pelo setor de TI Gestores de TI: para demonstrar que os serviços de TI atendem as expectativas de Negócio Auditores de TI: para contribuir com modelos de auditoria e subsidiar opiniões
  62. 62. www.portalgsti.com.brPor Fernando Palma Características Premissa do COBIT COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo de negócio com o fim de atingir-se os objetivos do negócio Recursos de TI Processos de TI Processos de Negócio Informação Metas Gerenciados por Fornecem Para Para atingir
  63. 63. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) O COBIT deve ser utilizado apenas por grandes empresas, que precisam atender a regulamentos financeiros 2. ( ) A sigla COBIT significa Objetivos de Controle para a Informação e Tecnologia Relacionada 3. ( ) O COBIT pode fornecer apoio a gestão de projetos de TI 4. ( ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI 5. ( ) O COBIT pode fornecer apoio a Governança de TI 6. ( ) São três as principais características do COBIT • Focado em negócio • Orientado a Processos • Baseado em controles
  64. 64. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 7. ( ) Cada objetivo de controle dentro dos processos do COBIT contém práticas de controle específicas 8. ( ) Um dos benefícios do COBIT é que ele pode ser implementado rapidamente 9. ( ) O modelo do CMMI não é compatível com o COBIT 10. ( ) As boas práticas de gerenciamento de projetos do PMBOK são compatíveis com o framework do COBIT, pois podem agir de forma complementar 11. ( ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis interessados no framework do COBIT 12. ( ) A premissa do COBIT é que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo de negócio com o fim de atingir-se os objetivos do negócio
  65. 65. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( F ) O COBIT deve ser utilizado apenas por grandes empresas, que precisam atender a regulamentos financeiros Pode ser utilizado pro qualquer empresa, qualquer tamanho. Os objetivos de controle não são projetados para atender apenas a regulamentos, mas também objetivos de performance de negócio. 2. ( V ) A sigla COBIT significa Objetivos de Controle para a Informação e Tecnologia Relacionada 3. ( V ) O COBIT pode fornecer apoio a gestão de projetos de TI 4. ( V ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI 5. ( V ) O COBIT pode fornecer apoio a Governança de TI • Baseado em controles
  66. 66. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 6. ( F ) São três as principais características do COBIT • Focado em negócio • Orientado a processos • Baseado em controles São quatro principais características. Faltou : orientado por métricas 7. ( V ) Cada objetivo de controle dentro dos processos do COBIT contém práticas de controle específicas 8. ( F ) Um dos benefícios do COBIT é que ele pode ser implementado rapidamente Nada garante uma rápida implementação 9. ( F ) O modelo do CMMI não é compatível com o COBIT O COBIT é compatível com a maior parte dos padrões de mercado e pode funcionar como um complemento, fornecendo pontos de controle e diretrizes
  67. 67. www.portalgsti.com.brPor Fernando Palma 10. ( V ) As boas práticas de Gerenciamento de projetos do PMBOK são compatíveis com o framework do COBIT, pois podem agir de forma complementar 11. ( V ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis interessados no framework do COBIT 12. ( V )A premissa do COBIT é que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo de negócio com o fim de atingir-se os objetivos do negócio Verdadeiro ou Falso? - Respostas
  68. 68. www.portalgsti.com.brPor Fernando Palma Agenda O que é COBIT Características Estrutura
  69. 69. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os componentes chave da estrutura do COBIT Critérios da Informação ProcessosdeTI RecursosdeTI Domínios Processos Atividades Aplicações Informação Infraestrutura Pessoas
  70. 70. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os componentes chave da estrutura do COBIT Critérios da Informação ProcessosdeTI RecursosdeTI Domínios Processos Atividades Aplicações Informação Infraestrutura Pessoas
  71. 71. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os Processos de TI Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar Os quatro Domínios do COBIT
  72. 72. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os Processos de TI Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar Os quatro Domínios do COBIT
  73. 73. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT É o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI Planejar e Organizar É o domínio onde deve ser desenvolvido o Plano Estratégico de TI, alinhado ao Plano Estratégico de Negócio Garante que toda a organização conheça as metas estratégicas
  74. 74. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Processos:Planejar e Organizar PO1 Definir um Plano Estratégico de TI P02 Definir a Arquitetura da Informação PO3 Determinar o Direcionamento Tecnológico PO4 Definir os Processos, Organização e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar as Diretrizes e Expectativas da Diretoria PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos
  75. 75. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os Processos de TI Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar Os quatro Domínios do COBIT
  76. 76. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT É o domínio que tem o foco no desenvolvimento ou aquisição da solução Adquirir e Implementar Garante que mudanças necessárias em sistemas serão tratadas Cobre também a validação das soluções implantadas e modificações
  77. 77. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Processos:Adquirir e Implementar AI1 Identificar Solução Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças
  78. 78. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os Processos de TI Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar Os quatro Domínios do COBIT
  79. 79. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT É o domínio que mantém foco na operação, comunicação e funcionamento dos serviços Entregar e Suportar Deve garantir que os serviços de TI estão alinhados ao negócio conforme planejado e desenvolvido nos domínios anteriores Deve trabalhar de forma a otimizar custos, treinar equipe e manter a estabilidade e qualidade dos serviços
  80. 80. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Processos:Entregar e Suportar DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços de Terceiros DS3 Gerenciar Capacidade e Desempenho DS4 Assegurar Continuidade de Serviços DS5 Assegurar a Segurança dos Serviços DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar os Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS13 Gerenciar as Operações
  81. 81. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os Processos de TI Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar Os quatro Domínios do COBIT
  82. 82. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT É o domínio que mantém foco na avaliação constante dos processos de TI Monitorar e Avaliar Este domínio endereça o gerenciamento de desempenho e Governança de TI Responsável por monitorar os controles internos
  83. 83. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Processos:Monitorar e Avaliar ME1 Monitorar e Avaliar o Desempenho ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover a Governança de TI
  84. 84. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os componentes chave da estrutura do COBIT Critérios da Informação ProcessosdeTI RecursosdeTI Domínios Processos Atividades Aplicações Informação Infraestrutura Pessoas
  85. 85. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os recursos de TI precisam ser gerenciados por processos para gerar informação aos processos de negócio que buscam atingir aos objetivos Aplicativos •Sistemas de Informação para processar as informações Informações •Dados que são processados por todos os sistemas de informação Infraestrutura •Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede Pessoas •Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os serviços
  86. 86. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Os componentes chave da estrutura do COBIT Critérios da Informação ProcessosdeTI RecursosdeTI Domínios Processos Atividades Aplicações Informação Infraestrutura Pessoas
  87. 87. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Requisitos do Negócio para a informação • Qualidade (relacionado a SLA) • Entrega (relacionado a tempo) • Custo Requisitos da Qualidade • Eficácia e Eficiência operacional • Confiabilidade da Informação • Cumprimento de regulamentos Requisitos Fiduciários • Confidencialidade • Integridade • Disponibilidade Requisitos de Segurança
  88. 88. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Critérios da Informação do COBIT para atender ao negócio • Eficácia • Eficiência Requisitos da Qualidade • Conformidade • Confiabilidade Requisitos Fiduciários • Confidencialidade • Integridade • Disponibilidade Requisitos de Segurança
  89. 89. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Requisitos de Qualidade • Eficácia está relacionado com atingir ao objetivo. • Informação eficaz é aquela que é entregue de um modo correto, consistente e útil Eficácia • Capacidade de atingir o objetivo com a melhor performance possível • Pode estar relacionado com menor tempo ou custo e esforço (recursos) Eficiência
  90. 90. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Requisitos Fiduciários • Disponibilizar informações que comprovem o cumprimento dos regulamentos Conformidade • Informação confiável é a informação livre de falhas • Informação apropriada Confiabilidade
  91. 91. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Requisitos de Segurança • Informação disponível apenas a quem tem direito Confidencialida de • Exatidão da informaçãoIntegridade • Capacidade da informação de estar disponível no momento que requisitadaDisponibilidade
  92. 92. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) Os principais componentes do COBIT são: • Processos de TI • Recursos de TI • Critérios da Informação 2. ( ) Os processos de TI estão subdivididos em cinco domínios 3. ( ) O domínio Adquirir e Implementar é o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI 4. ( ) Gerenciar serviços de Terceiros é um processo pertencente ao Domínio Entregar e Suportar 5. ( ) Segundo o framework do COBIT, os requisitos da Informação de TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
  93. 93. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 6. ( ) Os requisitos da Qualidade, segundo o framework do COBIT são: Eficiência e Efetividade 7. ( ) Os requisitos de Segurança, segundo o framweork do COBIT são: Confidencialidade, Integridade e Confiabilidade 8. ( ) Conformidade é um requisito Fiduciário, segundo o framework do COBIT 9. ( ) Aplicações, Informação, Infraestrutura e documentos, são os recursos de TI definidos pelo modelo do COBIT
  94. 94. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( V ) Os principais componentes do COBIT são: • Processos de TI • Recursos de TI • Critérios da Informação 2. ( F ) Os processos de TI estão subdivididos em cinco domínios Quatro Domínios 3. ( F ) O domínio Adquirir e Implementar é o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI Este é o foco do domínio Planejar e Organizar 4. ( V ) Gerenciar serviços de Terceiros é um processo pertencente ao Domínio Entregar e Suportar 5. ( V ) Segundo o framework do COBIT, os requisitos da Informação de TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
  95. 95. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 6. ( F ) Os requisitos da Qualidade, segundo o framework do COBIT são: Eficiência e Efetividade Eficácia e Eficiência 7. ( F ) Os requisitos de Segurança, segundo o framweork do COBIT são: Confidencialidade, Integridade e Confiabilidade Confidencialidade, Integridade e Disponibilidade (lembrar da sigla CID). Confiabilidade é um requisito fiduciário 8. ( V ) Conformidade é um requisito Fiduciário, segundo o framework do COBIT 9. ( F ) Aplicações, Informação, Infraestrutura e Documentos, são os recursos de TI definidos pelo modelo do COBIT Todos os itens estão corretos, exceto “documentos”. O elemento de recursos de TI que está faltando é “Pessoas”
  96. 96. Fim do módulo Perguntas? Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 3
  97. 97. Curso COBIT 4.1 Foundation Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 4
  98. 98. www.portalgsti.com.brPor Fernando Palma Módulo 4 – Introdução aos Processos COBIT  Neste módulo, você irá conhecer estrutura dos processos do COBIT, suas subdivisões; irá conhecer características dos processos como requisitos genéricos e níveis de maturidade; irá entender cada um dos processos do COBIT através de uma breve descrição de cada um deles
  99. 99. www.portalgsti.com.brPor Fernando Palma Agenda Organização dos Processos do COBIT Características e escopo Descrição dos Processos
  100. 100. www.portalgsti.com.brPor Fernando Palma Processos do COBIT Estruturação dos processos do COBIT 4 Domínios 34 Processos de TI 210 Objetivos de Controle Mais de 1.500 Práticas de Controle 03 a 15 por Processo de TI 03 a 10 por Objetivo de controle
  101. 101. www.portalgsti.com.brPor Fernando Palma Processos do COBIT 4 Domínios São os domínios vistos do módulo anterior 1. Planejar e Organizar 2. Adquirir e Implementar 3. Entregar e Suportar 4. Monitorar e Avaliar
  102. 102. www.portalgsti.com.brPor Fernando Palma Processos do COBIT 34 Processos de TI O COBIT não irá definir a estruturação do processo em si, mas o que deve ser controlado, medido e alcançado Nomenclaturas: PO1, PO2, PO3, PO4...
  103. 103. www.portalgsti.com.brPor Fernando Palma 210 Objetivos de Controle Cada processo de TI possui, no mínimo, 3 objetivos de controle Os objetivos de controle podem ser utilizados para avaliar o nível de maturidade do processo de TI Nomenclaturas: PO1.1, PO2.4, PO3.1, PO4.3... Processos do COBIT
  104. 104. www.portalgsti.com.brPor Fernando Palma Mais de 1.500 Práticas de Controle As práticas auxiliam a alcançar os objetivos de controle As práticas de controle não fazem parte do framework publico co COBIT Pode ser adquirida pelo site da ISACA Processos do COBIT
  105. 105. www.portalgsti.com.brPor Fernando Palma Agenda Organização dos Processos do COBIT Características e escopo Descrição dos Processos
  106. 106. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Requisitos de Controle Genéricos Cada processo do COBIT possui requisitos de controle genéricos identificados por PC(n), que indica o número de controle do processo. Eles devem ser considerados junto com os objetivos de controle dos processos para que se tenha uma visão completa dos requisitos de controle PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance
  107. 107. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance  Define e comunica as metas e objetivos específicos Objetivos devem ser: específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT) Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas
  108. 108. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance Designa um proprietário para cada processo de TI Define os papéis e responsabilidades de cada proprietário de processo Inclui, por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelos resultados finais, medidas da performance do processo e a identificação de oportunidades de melhorias.
  109. 109. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance  Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados  Fornece uma seqüência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
  110. 110. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance  Define as atividades-chaves e as entregas do processo.  Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chave e sua documentação bem como a responsabilização pelo processo e suas entregas
  111. 111. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance  Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI para garantir que eles são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento.  Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente  Assegura que as políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.
  112. 112. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance  Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos  Definem como os dados são obtidos  Compara as medições reais com as metas e toma medidas quanto aos desvios quando necessário
  113. 113. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Nível de Maturidade dos Processos O COBIT demonstra como os níveis de Maturidade podem ser mensurados para cada processo. O objetivo é conhecer a situação atual e utilizar o framework para estabelecer e chegar à situação pretendida. Nível 0 Inexistente Nível 1 Inicial Nível 2 Repetível Nível 3 Definido Nível 4 Gerenciado Nível 5 Otimizado Modelo de Maturidade Genérico dos Processos
  114. 114. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Modelo de Maturidade Genérico dos Processos Nível 0 Inexistente Nível 1 Inicial Nível 2 Repetível Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada. Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado. Os processos evoluíram para um estágio onde procedimentos similares são seguidos. Não existe um treinamento formal ou comunicação dos procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.
  115. 115. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Nível de Maturidade dos Processos Nível 3 Definido Nível 4 Gerenciado Nível 5 Otimizado Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes. A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada. Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.
  116. 116. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Matriz RACI – Matriz de Responsabilidades É uma ferramenta utilizada pelo COBIT, assim como em outros modelos, para definir as responsabilidades. Para cada processo dentro do framework do COBIT, existem sugestões de responsabilidades a serem atribuídas. • Responsible: quem faz (Responsável por executar, o executor) • Accontable: responde pela atividade (dono), é a Autoridade, o Responsabilizado • Consulted: deve ser consultado • Informed: deve ser Informado
  117. 117. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Matriz RACI – Matriz de Responsabilidades (Exemplo) Gerente do Projeto Analista de Sistema Analista de Testes Gerente de Configuração Planejamento A/R I I I Análise de Requisitos A/I/C R I - Codificação A/I I/C - - Testes A/I/C I/C R Implantação A I/C I I/C Versionamento A/I I/C - R Monitoração e Controle A/R I - - Processo de Desenvolvimento de Sistemas
  118. 118. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Medidas de Controle As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o framework mapeia o nível em que o processo atende a cada um dos requisitos. Primário Impacta diretamente no requisito da informação a qual se refere Secundário Impacta indiretamente ou parcialmente no critério de informação a qual se refere Em branco Pode ser aplicável, entretanto os requisitos são mais satisfeitos por outra medida de controle ou mesmo por outro processo Requisito P Eficácia P Eficiência S Confidencialidade Integridade S Disponibilidade Conformidade Confiabilidade
  119. 119. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Medidas de Controle (Exemplo) Requisito P Eficácia S Eficiência Confidencialidade S Integridade S Disponibilidade Conformidade Confiabilidade AI7 Instalar e Homologar Soluções e Mudanças Descrição Novos sistemas precisam ser colocados em operação uma vez concluído seu desenvolvimento. É necessária a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós- implementação.
  120. 120. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Metas e Métricas (diretrizes de gerenciamento) O COBIT utiliza dois tipos de métricas: Medidas de Resultado (na versão anterior, conhecida como KGI) e Indicadores de Performance (na versão anterior, conhecido como KPI). Medidas de Resultado (OM) Indicam se os objetivos foram atingidos. Esses podem ser medidos somente após os fatos e portanto são chamados de indicadores históricos (lag indicators). Indicadores de Performance (PI) Indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators). OM = Outcame Masures PI= Performance Indicators
  121. 121. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Medidas de Resultado e Indicadores (Exemplo) Medidas de Resultado Indicadores de Performance  Número de projetos que foram entregues dentro do cronograma  Quantidade de incidentes ocorridos no período de um mês  Quantidade de falhas de segurança detectadas em um determinado sistema no ultimo semestre  Número de projetos que estão dentro do cronograma  Tempo decorrido de um determinado incidente até o momento (antes de ser encerrado)  Quantidade de erros encontrado durante uma homologação que ainda está ocorrendo
  122. 122. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  Níveis das Metas e Métricas (03 níveis) Metas e métricas de TI Metas e métricas de Processos Metas e métricas de atividades Metas de Negócio • O que o negócio espera de TI • As metas dos processos para que TI atinja os resultados • O que as atividades precisam entregar para suportar metas do processo
  123. 123. www.portalgsti.com.brPor Fernando Palma Características e Escopo dos Processos  RESUMO – características e escopo PC1 Metas e Objetivos do Processo PC2 Propriedades do Processo PC3 Repetibilidade do Processo PC 4 Papéis e Responsabilidades PC 5 Políticas Planos e Procedimentos PC6 Melhoria do Processo de Performance Requisitos de Controle Genéricos Nível 0 Inexistente Nível 1 Inicial Nível 2 Repetível Nível 3 Definido Nível 4 Gerenciado Nível 5 Otimizado Nível de Maturidade Gerente do Projeto Analista de Sistema Analista de Testes Gerente de Configuraç ão Planejament o A/R I I I Análise de Requisitos A/I/C R I - Codificação A/I I/C - - Testes A/I/C I/C R Implantação A I/C I I/C Versioname nto A/I I/C - R Monitoração e Controle A/R I - - Matriz RACI Primário Impacta diretamente no requisito da informação a qual se refere Secundário Impacta indiretamente ou parcialmente no critério de informação a qual se refere Em branco Pode ser aplicável, entretanto os requisitos são mais satisfeitos por outra medida de controle ou mesmo por outro processo Nível de Medidas de controle Indicadores de Performance (PI) Medidas de Resultado (OM) Indicam se os objetivos foram atingidos. Esses podem ser medidos somente após os fatos e portanto são chamados de indicadores históricos (lag indicators). Indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators). Metas e Métricas Metas e métricas de TI Metas e métricas de Processo s Metas e métricas de atividade s
  124. 124. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) Os processos do COBIT estão divididos em 04 domínios 2. ( ) Os domínios dos processos do COBIT são: • Planejar e Organizar • Adquirir e Implementar • Entregar e Monitorar • Suportar e Avaliar 3. ( ) As práticas de controle estão subdivididas em, no mínimo, três objetivos de controle 4. ( ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5 Políticas Planos e Procedimentos” 5. ( ) O requisito genérico PC2 Propriedades do Processo trata sobre atribuição das responsabilidades do dono do processo.
  125. 125. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 6. ( ) As medidas de controle para TI satisfazem todos os requisitos da informação no mesmo grau. 7. ( ) O COBIT estabelece 05 níveis de maturidade para avaliar os processos, descrevendo as características de cada nível 8. ( ) A descrição ao lado corresponde ao nível 3 de maturidade : “Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado.” 9. ( ) A descrição ao lado pertence ao nível 4 de maturidade: “Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. “
  126. 126. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 10. ( ) A descrição ao lado corresponde ao nível 0 de Maturidade: “Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.” 11. ( ) No modelo RACI, o “R” (responsável) é quem Será responsabilizado pela atividade, é quem responde por ela. 12. ( ) Quando uma medida de controle de um processo impacta em nível secundário um requisito da informação, significa que ele impacta indiretamente ou parcialmente no critério de informação a qual se refere. 13. ( ) Medidas de resultado indicam objetivos a serem atingidos.
  127. 127. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( V ) Os processos do COBIT estão divididos em 04 domínios 2. ( F ) Os domínios dos processos do COBIT são: • Planejar e Organizar • Adquirir e Implementar • Entregar e Monitorar e Suportar • Suportar e Avaliar Monitorar e 3. ( F ) As práticas de controle estão subdivididas em, no mínimo, três objetivos de controle Os processos estão subdivididos em , no mínimo, três objetivos de controle. Um objetivo de controle possui práticas de controle que auxiliam sua implementação. 4. ( V ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5 Políticas Planos e Procedimentos” 5. ( V ) O requisito genérico PC2 Propriedades do Processo trata sobre atribuição das responsabilidades do dono do processo
  128. 128. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 6. ( F ) As medidas de controle para TI satisfazem todos os requisitos da informação no mesmo grau. As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o framework mapeia o nível em que o processo atende a cada um dos requisitos. 7. ( F ) O COBIT estabelece 05 níveis de maturidade para avaliar os processos, descrevendo as características de cada nível. São 06 níveis de maturidade: do nível zero ao nível cinco. 8. ( F ) A descrição ao lado corresponde ao nível 3 de maturidade : “Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado.” Essa descrição corresponde ao nível 1 9. ( F ) A descrição ao lado pertence ao nível 4 de maturidade: “Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. “ Essa descrição corresponde ao nível 5
  129. 129. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 10. ( V ) A descrição ao lado corresponde ao nível 0 de Maturidade: “Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.” 11. ( F ) No modelo RACI, o “R” (responsável) é quem Será responsabilizado pela atividade, é quem responde por ela. “R” corresponde a “Responsible”: quem faz (Responsável por executar, o executor). O responsabilizado é o “A” ,“Accontable “ , quem responde pela atividade ou processo. 12. ( V ) Quando uma medida de controle de um processo impacta em nível secundário um requisito da informação, significa que ele impacta indiretamente ou parcialmente no critério de informação a qual se refere. 13. ( V ) Medidas de resultado indicam objetivos a serem atingidos.
  130. 130. www.portalgsti.com.brPor Fernando Palma Agenda Organização dos Processos do COBIT Características e escopo Descrição dos Processos
  131. 131. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar PO1 ao PO10
  132. 132. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO1 Definir um Plano Estratégico de TI O planejamento estratégico de TI é necessário para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratégias de negócio. A função de TI e as partes interessadas pelo negócio são responsáveis por garantir a otimização do valor a ser obtido do portfólio de projetos e serviços. O plano estratégico deve melhorar o entendimento das partes interessadas no que diz respeito a oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível de investimento requerido. A estratégia e as prioridades de negócio devem ser refletidas nos portfólios e executadas por meio de planos táticos de TI que estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos por ambos, negócio e TI. Importante conhecer a descrição Importante conhecer todo o processo
  133. 133. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO2 Definir a Arequitetura da Informação Os sistemas de informação devem criar e atualizar regularmente um modelo de informação do negócio e definir os sistemas apropriados para otimizar o uso dessa informação. Isso abrange o desenvolvimento de um dicionário de dados corporativo com as regras de sintaxe de dados, o esquema de classificação de dados e os níveis de segurança da organização. Esse processo melhora a qualidade de decisão do gerenciamento certificando-se de que informações seguras e confiáveis sejam fornecidas e permite racionalizar os recursos de sistemas de informação para atender às estratégias de negócio de forma apropriada. Esse processo de TI também é necessário para permitir um maior grau de responsabilização pela integridade e a segurança dos dados e melhorar a efetividade e o controle do compartilhamento da informação através das aplicações e entidades. Importante conhecer a descrição Importante conhecer todo o processo
  134. 134. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO3 Determinar as Diretrizes da Tecnologia Os responsáveis pelos serviços de informação determinam um direcionamento tecnológico que suporta o negócio. Isso demanda a criação de um plano de infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano é atualizado regularmente e abrange aspectos como arquitetura de sistemas, direcionamento tecnológico, plano de aquisições, padrões, estratégias de migração e contingência. Isso permite respostas rápidas a mudanças em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas de informação, bem como melhor interoperabilidade entre plataformas e aplicações. Importante conhecer a descrição Importante conhecer todo o processo
  135. 135. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO4 Definir os Processos, Organização e Relacionamentos de TI Uma organização de TI é definida considerando os requisitos de pessoal, habilidades, funções, autoridade, papéis e responsabilidades, rastreabilidade e supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI que assegure transparência e controle, assim como o envolvimento de executivos sênior e a Direção do negócio. Um comitê estratégico deve assegurar a supervisão da Direção de TI, e um ou mais comitês dos quais as áreas de negócio e TI participem devem definir a priorização dos recursos de TI em linha com as necessidades do negócio. Os processos, as políticas administrativas e os procedimentos precisam estar estabelecidos para todas as funções, com especial atenção às de controle, garantia da qualidade, gestão de risco, segurança da informação, propriedade de sistemas e dados e segregação de funções. Para assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida nos processos de decisão relevantes. Importante conhecer a descrição Importante conhecer todo o processo
  136. 136. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO5 Gerenciar o Investimento de TI Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento. As partes interessadas são consultadas para identificar e controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e iniciar ações de correção quando necessário. O processo promove a parceria entre a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de TI, provê transparência, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os investimentos em TI. Importante conhecer a descrição Importante conhecer todo o processo
  137. 137. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO6 Comunicar Metas e Diretrizes Gerenciais A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado pela Direção deve ser implementado para articular missão, metas, políticas, procedimentos etc. A comunicação apóia o alcance dos objetivos de TI e assegura a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das diretrizes. O processo deve assegurar conformidade com leis e regulamentos relevantes. Importante conhecer a descrição Importante conhecer todo o processo PO7 Gerenciar Recursos Humanos Adquirir, manter e motivar uma força de trabalho competente para criar e entregar serviços de TI para o negócio. Isso é alcançado seguindo práticas definidas e acordadas de recrutamento, treinamento, avaliação de desempenho, promoção e desligamento. Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentes da motivação e da competência dessas pessoas.
  138. 138. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO8 Gerenciar a Qualidade Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito através de planejamento, implementação e manutenção de um sistema de gestão de qualidade que gere requisitos, procedimentos e políticas de qualidade claros. Requisitos de qualidade devem ser definidos e comunicados em indicadores quantificáveis e atingíveis. A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados às partes interessadas. A gestão da qualidade é essencial para assegurar que a TI esteja fornecendo valor para o negócio, melhoria contínua e transparência para as partes interessadas. Importante conhecer a descrição Importante conhecer todo o processo
  139. 139. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO9 Avaliar e Gerenciar Riscos de TI Criar e manter uma estrutura de gestão de risco. Esta estrutura documenta um nível comum e acordado de riscos de TI, estratégias de mitigação e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de risco devem ser adotadas para minimizar o risco residual a níveis aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis. Importante conhecer a descrição Importante conhecer todo o processo
  140. 140. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos PO10 Gerenciar Projetos Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta priorização e a coordenação de todos os projetos. A estrutura deve incluir um plano mestre, atribuição de recursos, definição dos resultados a serem entregues, provação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco de custos inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação, melhora o envolvimento das áreas de negócio e dos usuários finais, assegura o valor e a qualidade dos resultados do projeto e maximiza a contribuição para os programas de investimentos em TI. Importante conhecer a descrição Importante conhecer todo o processo
  141. 141. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar AI1 ao AI7
  142. 142. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos AI1 Identificar Soluções Automatizadas A necessidade de uma nova aplicação ou função requer uma análise prévia à aquisição ou ao desenvolvimento para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente. Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo- benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos esses passos permitem às organizações minimizar os custos de aquisição e implementação de soluções e permitem ao negócio alcançar seus objetivos. Importante conhecer a descrição Importante conhecer todo o processo
  143. 143. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos AI2 Adquirir e Manter Software Aplicativo As aplicações devem ser disponibilizadas em alinhamento com os requisitos do negócio. Este processo contempla o projeto das aplicações, a inclusão de controles e requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões. Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas. Importante conhecer a descrição Importante conhecer todo o processo AI3 Adquirir e Manter Infraestrutura de Tecnologia As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia. Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnológico contínuo às aplicações de negócio.
  144. 144. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos AI4 Habilitar Operação e Uso Conhecimento sobre novos sistemas deve estar disponível. Este processo requer a elaboração de documentação e manuais para usuários e para TI e a promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e infraestrutura. Importante conhecer a descrição Importante conhecer todo o processo AI5 Adquirir Recursos de TI Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser adquiridos. Isso requer a definição e a aplicação de procedimentos de aquisição, a seleção de fornecedores, o estabelecimento de arranjos contratuais e a aquisição propriamente dita. Assim assegura-se que a organização tenha todos os recursos de TI necessários a tempo e com boa relação custo-benefício.
  145. 145. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos AI6 Gerenciar Mudanças Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção. Importante conhecer a descrição Importante conhecer todo o processo
  146. 146. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos AI7 Instalar e Homologar Soluções de Mudanças Novos sistemas precisam ser colocados em operação uma vez concluído seu desenvolvimento. É necessária a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação. Isso assegura que os sistemas operacionais estejam alinhados com as expectativas e os resultados acordados. Importante conhecer a descrição Importante conhecer todo o processo
  147. 147. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar DS1 ao DS13
  148. 148. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS1 Definir e Gerenciar Níveis de Serviços A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os serviços necessários é possibilitada por um acordo definido e documentado que aborda os serviços de TI e os níveis de serviço esperados. Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço. Este processo permite o alinhamento entre os serviços de TI e os respectivos requisitos do negócio. Importante conhecer a descrição Importante conhecer todo o processo DS2 Gerenciar Serviços de Terceiros A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negócio requer um processo efetivo de gestão da terceirização. Esse processo é realizado definindo-se claramente os papéis, responsabilidades e expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade. A gestão eficaz dos serviços terceirizados minimiza os riscos de negócio associados aos fornecedores que não cumprem seu papel.
  149. 149. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS3 Gerenciar o Desempenho e a Capacidade A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo que realize análises críticas periódicas do desempenho e da capacidade atuais dos recursos de TI. Esse processo inclui a previsão de necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingência. Esse processo assegura que os recursos de informação que suportam os requisitos do negócio estejam sempre disponíveis. Importante conhecer a descrição Importante conhecer todo o processo DS4 Assegurar a Continuidade dos Serviços Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e teste de um plano de continuidade de TI, armazenamento de cópias de segurança (backup) em instalações remotas (offsite) e realizar treinamentos periódicos do plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio.
  150. 150. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS5 Garantir a Segurança de Sistemas Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança. Importante conhecer a descrição Importante conhecer todo o processo
  151. 151. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS6 Identificar e Alocar Custos A necessidade de um sistema justo e equitativo de alocação de custo de TI para o negócio requer avaliação precisa dos custos de TI e acordo com os usuários do negócio sobre uma alocação razoável. Este processo contempla a construção e a operação de um sistema para capturar, alocar e reportar os custos de TI aos usuários dos serviços. Um sistema de alocação justo permite à empresa tomar decisões mais embasadas sobre o uso dos serviços. Importante conhecer a descrição Importante conhecer todo o processo
  152. 152. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS7 Educar e Treinar os Usuários A educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles dentro da própria TI, requer a identificação das necessidades de treinamento de cada grupo de usuário. Como complemento à identificação dessas necessidades, esse processo compreende a definição e a execução de uma estratégia eficaz de treinamento e medição dos resultados. Um programa de treinamento eficaz aumenta o uso efetivo da tecnologia através da redução dos erros de usuário, aumento da produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário). Importante conhecer a descrição Importante conhecer todo o processo
  153. 153. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS8 Gerenciar Central de Serviços e Incidentes A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI requer uma central de serviço (service desk) e processos de gerenciamento de incidentes bem projetados e implementados. Esse processo inclui a implementação de uma central de serviços capacitada para o tratamento de incidentes, incluindo registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução. Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários. Complementarmente, as áreas de negócio podem tratar as causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos. Importante conhecer a descrição Importante conhecer todo o processo
  154. 154. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS9 Gerenciar Configuração Assegurar a integridade das configurações de hardware e software requer o estabelecimento e a manutenção de um repositório de configuração preciso e completo. Esse processo inclui a coleta inicial das informações de configuração, o estabelecimento de um perfil básico, a verificação e a auditoria das informações de configuração e a atualização do repositório de configuração conforme necessário. Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do sistema, minimiza as questões de produção e soluciona problemas com mais rapidez. Importante conhecer a descrição Importante conhecer todo o processo
  155. 155. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS10 Gerenciar Problemas O efetivo gerenciamento de problemas requer identificação e classificação dos problemas, análise de causas-raiz e respectiva resolução. O processo de gerenciamento de problemas também contempla a identificação de recomendações para melhoria, manutenção dos registros de problemas e revisão da situação das ações corretivas. Um processo efetivo de gerenciamento de problemas melhora os níveis de serviço, reduz os custos e aumenta a conveniência e a satisfação do cliente. Importante conhecer a descrição Importante conhecer todo o processo
  156. 156. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS11 Gerenciar Dados O efetivo gerenciamento de dados requer a identificação dos requisitos de dados. O processo de gerenciamento de dados também contempla o estabelecimento de procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança (backup), recuperação de dados e a dispensa de mídias de forma adequada. O efetivo gerenciamento de dados ajuda a assegurar a qualidade, a rapidez e disponibilidade dos dados de negócio. Importante conhecer a descrição Importante conhecer todo o processo
  157. 157. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos DS12 Gerenciar o Ambiente Físico A proteção de pessoas e equipamento de informática requer instalações físicas bem planejadas e gerenciadas. O processo de gerenciamento do ambiente físico inclui a definição dos requisitos do local físico, a escolha de instalações apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos físicos. O gerenciamento eficaz do ambiente físico reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas. Importante conhecer a descrição Importante conhecer todo o processo DS13 Gerenciar as Operações O processamento preciso e completo de dados requer um gerenciamento eficaz do processamento de dados e diligente manutenção de hardware. Este processo inclui a definição de políticas e procedimentos de operações para o gerenciamento eficaz do processamento agendado, proteção de resultados sigilosos, o monitoramento de infraestrutura e manutenção preventiva de hardware. O efetivo gerenciamento de operações ajuda a manter a integridade dos dados e reduzir atrasos e custos de operação de TI.
  158. 158. www.portalgsti.com.brPor Fernando Palma Estrutura do COBIT Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar ME1 ao ME4
  159. 159. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos ME1 Monitorar e Avaliar o Desempenho de TI A gestão eficaz de desempenho de TI exige um processo de monitoramento. Esse processo inclui a definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados. O monitoramento é necessário para assegurar que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas. Importante conhecer a descrição Importante conhecer todo o processo ME2 Monitorar e Avaliar os Controles Internos Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido. Esse processo inclui o monitoramento e reporte das exceções de controle, dos resultados de auto avaliação e avaliação de terceiros. Um benefício importante do monitoramento dos controles internos é assegurar uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos aplicáveis.
  160. 160. www.portalgsti.com.brPor Fernando Palma Descrição dos Processos ME3 Assegurar a Conformidade com Requisitos Externos A supervisão eficaz da conformidade requer o estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais. Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios. Importante conhecer a descrição Importante conhecer todo o processo ME4 Prover Governança de TI O estabelecimento de uma efetiva estrutura de governança envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.
  161. 161. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) Definir os sistemas apropriados para otimizar o uso dessa informação faz parte dos objetivos do processo PO2 Definir a Arequitetura da Informação . 2. ( ) Definir um plano estratégico é um objetivo que está contido em um processo do domínio Adquirir e Implementar. 3. ( ) Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos é um objetivo do PO3 Gerenciar Projetos. 4. ( ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois processos pertencentes ao domínio de Aquisição e Implementação. 5. ( ) O processo DS5 Garantir a Segurança de Sistemas traz como benefício a proteção todos os ativos de TI e minimiza o impacto sobre os negócios.
  162. 162. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( V ) Definir os sistemas apropriados para otimizar o uso dessa informação faz parte dos objetivos do processo PO2 Definir a Arequitetura da Informação . 2. ( F ) Definir um plano estratégico é um objetivo que está contido em um processo do domínio Adquirir e Implementar. Está Contido no domínio de Planejamento e Organização, no PO1 3. ( F ) Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos é um objetivo do PO3 Gerenciar Projetos. O processo é o PO10 4. ( V ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois processos pertencentes ao domínio de Aquisição e Implementação. 5. ( V ) O processo DS5 Garantir a Segurança de Sistemas traz como benefício a proteção todos os ativos de TI e minimiza o impacto sobre os negócios.
  163. 163. Fim do módulo Perguntas? Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 4
  164. 164. Curso COBIT 4.1 Foundation Instrutor: Fernando Palma fpalma@portalgsti.com.br www.portalgsti.com.br Módulo 5
  165. 165. www.portalgsti.com.brPor Fernando Palma Módulo 4 – Introdução aos Processos COBIT  Neste módulo, você irá conhecer os processos mais importantes do framework do COBIT.
  166. 166. www.portalgsti.com.brPor Fernando Palma Agenda  Processos Definir um Plano Estratégico de TI Gerenciar Projetos Habilitar Operação em Uso Gerenciar Mudanças Definir e Gerenciar Níveis de Serviço Gerenciar Serviços de Terceiros Monitorar e Avaliar o desempenho de TI
  167. 167. www.portalgsti.com.brPor Fernando Palma Os Processos a serem vistos Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar PO1 •Definir um Plano Estratégico de TI PO10 •Gerenciar Projetos AI4 •Habilitar Operação em Uso AI6 •Gerenciar Mudanças DS2 •Definir e Gerenciar Níveis de Serviço DS1 •Gerenciar Serviços de Terceiros ME1 •Monitorar e Avaliar o Desempenho de TI
  168. 168. www.portalgsti.com.brPor Fernando Palma Agenda  Processos Definir um Plano Estratégico de TI Gerenciar Projetos Habilitar Operação em Uso Gerenciar Mudanças Definir e Gerenciar Níveis de Serviço Gerenciar Serviços de Terceiros Monitorar e Avaliar o desempenho de TI
  169. 169. www.portalgsti.com.brPor Fernando Palma Os Processos a serem vistos Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar PO1 •Definir um Plano Estratégico de TI PO10 •Gerenciar Projetos AI4 •Habilitar operação em uso AI6 •Gerenciar Mudanças DS1 •Definir e Gerenciar Níveis de Serviço DS2 •Gerenciar Serviços de Terceiros ME1 •Monitorar e Avaliar o desempenho de TI
  170. 170. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Objetivos Melhorar o entendimento das partes interessadas Criar objetivos de TI alinhado aos objetivos de negócio Esclarecer o nível de investimento requerido Refletir no Portfólio de TI a estratégia da organização Realizar planos aceitos tanto por TI quanto área de Negócio
  171. 171. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Critérios da Informação que o processo satisfaz Requisito P Eficácia S Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade  Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI.
  172. 172. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Áreas de Foco da Governança que o Processo satisfaz Domínios Governança de TI Gerenciamento de recursos Primário Secundário
  173. 173. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Comprometimento da Alta Direção do alinhamento do planejamento estratégico de TI com as necessidades atuais e futuras; Entendimento da capacidade atual de TI; Estabelecimento de um esquema de priorização de objetivos de negócio, que quantifique os requisitos de negócio; Atividades necessárias Os objetivos desse processo são alcançados através de:
  174. 174. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Objetivos de Controle  PO1.1 Gerenciamento de Valor da TI Trabalhar na direção do Negócio Reconhecer os investimentos obrigatórios Reconhecer os Investimentos Sustentáveis Prévia advertência do impacto de qualquer desvio do plano, incluindo custo, cronograma ou funcionalidade  Estabelecer avaliação adequada, transparente, repetível e comparável de estudos de caso de negócio PO1.2 Alinhamento entre TI e Negócio  Estabelecer processos de educação bi-direcional  Envolvimento recíproco no planejamento estratégico
  175. 175. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Objetivos de Controle  PO1.3 Avaliação da Capacidade e Desempenho Correntes  Avaliar a capacidade e o desempenho atuais das entregas de soluções e serviços  Estabelecer um modelo com o qual os requisitos futuros podem ser comparados  Definir o desempenho: funcionalidades, estabilidade, complexidade, custos, pontos fortes e fragilidades  PO1.4 Plano Estratégico de TI  Criar um Plano Estratégico de TI  Envolver partes interessadas  Descrever como TI contribui para os objetivos de Negócio  Quais os custos e riscos relacionados  Contemplar o orçamento operacional e de investimento  Contemplar como a TI aplicará os programas de investimentos
  176. 176. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Objetivos de Controle  PO1.5 Planos Táticos de TI  Criar um portfólio de planos táticos de TI derivados do plano estratégico de TI  Descrever quais são as iniciativas de TI requeridas  Descrever quais os recursos necessários  Como o uso de recursos e os benefícios alcançados serão monitorados e administrados  Os planos de projeto serão baseados nos planos táticos  PO1.6 Gerenciamento do Portfólio de TI  Gerenciar o portfólio dos programas de investimentos de TI  Esclarecer os resultados de negócio desejados  Entender o esforço necessário para atingir os resultados  Atribuir responsabilidades com medidas de suporte  Definir projetos dentro do programa
  177. 177. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Entradas Origem Entrada PO5 Relatórios de custo/benefício; PO9 Avaliação de riscos; PO10 Portfólio de projetos de TI atualizado; DS1 Requisitos novos ou atualizados de serviços; Portfólio de Serviços de TI atualizado; ** Estratégia e Prioridades de Negócio; ** Portfólio de Programas; ME1 Informações de desempenho para planejamento de TI; ME4 Relatórios de Status de governança de TI;
  178. 178. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Saídas Saída Destino Planejamento estratégico de TI; PO2 PO6 PO8 PO9 AI1 DS1 Planejamento tático de TI; PO2 PO6 PO9 AI1 Portfólio de projetos de TI; PO5 PO6 PO10AI6 Portfólio de serviços de TI; PO5 PO6 PO9 DS1 Estratégia de fornecimento de TI; DS2 Estratégia de aquisição de TI; AI5
  179. 179. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Matriz RACI Vincular objetivos de negócio com objetivos de TI; C I A/R R C Identificar as dependências críticas e o desempenho atual; C C R A/R C C C C C C Produzir um plano estratégico de TI; A C C R I C C C C I C Produzir um plano tático de TI; C I A C C C C C R I Analisar o portfólio de programas e gerenciar portfólio de projetos e serviços; C I I A R R C R C C I
  180. 180. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI  Níveis de Maturidade Nível 0 Inexistente Nível 1 Inicial Nível 2 Repetível O plano estratégico de TI não é executado. A Direção não está conscientizada de que o planejamento estratégico de TI é necessário para sustentar as metas de negócio. A necessidade de um planejamento estratégico de TI é conhecida pela Direção de TI. O planejamento de TI é realizado caso a caso, em resposta a um requisito específico de negócio. O alinhamento de requisitos de negócio, aplicações e tecnologia ocorre de forma reativa O planejamento estratégico de TI é compartilhado com a Direção do Negócio conforme a necessidade. A atualização dos planos de TI acontece em resposta aos pedidos da Direção. As decisões estratégicas são tomadas projeto a projeto, sem consistência com uma estratégia corporativa.
  181. 181. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI  Níveis de Maturidade Nível 3 Definido Nível 4 Gerenciado Nível 5 Otimizado Uma política define quando e como realizar um planejamento estratégico de TI. O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. O processo do planejamento é adequado. Entretanto, a implementação do processo fica a critério de cada Direção e não há procedimentos para examinar o processo. O planejamento estratégico de TI é uma prática padrão cujas exceções são detectadas pela Direção. O planejamento estratégico de TI é uma função da Direção com nível sênior de responsabilidade. A Direção é capaz de monitorar o processo de planejamento estratégico de TI, tomar decisões baseadas nesse processo e medir sua efetividade. O planejamento estratégico de TI é um processo documentado e dinâmico, sempre considerado no estabelecimento dos objetivos de negócio, e resulta em valor de negócio identificável através dos investimentos em TI. As considerações de risco e o valor agregado são continuamente atualizados no processo de planejamento estratégico de TI.
  182. 182. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Grau de aprovação por proprietários de negócios dos planos estratégicos/táticos de TI; Grau de conformidade com requisitos do negócio e de governança; Nível de satisfação do negócio com o estado atual (quantidade, escopo, etc) dos projetos e aplicações em portfólio; Metas e Métricas de TI TI pode ser mensurada (em relação ao alinhamento com negócio) por:
  183. 183. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI Percentual dos objetivos de TI no plano estratégico de TI que sustentam o plano estratégico de negócio; Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI; Metas e Métricas de do Processo Processo pode ser medido por:
  184. 184. www.portalgsti.com.brPor Fernando Palma Definir um Plano Estratégico de TI  Demora entre a atualização dos planos estratégicos/ táticos de negócio e a atualização dos planos estratégicos/táticos de TI  Percentual de reuniões de planejamento estratégico/ tático de TI em que representantes das áreas de negócios participaram ativamente;  Percentual de planos táticos de TI em conformidade com as estruturas predefinidas desses planos Metas e Métricas das atividades As atividades do processo podem ser medidas por:
  185. 185. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 1. ( ) Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de negócio alinhados com objetivos de TI 2. ( ) A premissa do processo PO1. Definir um Plano Estratégico de TI é que “Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da informação que são satisfeitos pro este processos, sendo o primeiro satisfeito primariamente e o segundo secundário, respectivamente. 3. ( ) Processo PO1. Definir um Plano Estratégico de TI pertence ao domínio Planejar e Organizar. 4. ( ) O Portfólio de Serviços de TI atualizado é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI
  186. 186. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? 5. ( ) A estratégia de aquisição de TI é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI . 6. ( ) O processo PO1. Definir um Plano Estratégico de TI é um dos únicos que possui matriz RACI bem definida. 7. ( ) A afirmação ao lado pertence ao nível três de maturidade, quando relacionada ao processo PO1. Definir um Plano Estratégico de TI : “O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. “ 8. ( ) “Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI” é uma possível métrica para o processo PO1. Definir um Plano Estratégico de TI
  187. 187. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 1. ( F ) Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de negócio alinhados com objetivos de TI Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de TI alinhados com objetivos de Negócio 2. ( V ) A premissa do processo PO1. Definir um Plano Estratégico de TI é que “Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da informação que são satisfeitos pro este processos, sendo o primeiro satisfeito primariamente e o segundo secundário, respectivamente. 3. ( V ) Processo PO1. Definir um Plano Estratégico de TI pertence ao domínio Planejar e Organizar. 4. ( V ) O Portfólio de Serviços de TI atualizado é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI
  188. 188. www.portalgsti.com.brPor Fernando Palma Verdadeiro ou Falso? - Respostas 5. ( V ) A estratégia de aquisição de TI é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI . 6. ( F ) O processo PO1. Definir um Plano Estratégico de TI é um dos únicos que possui matriz RACI bem definida. Todos processos devem possuir uma matriz RACI bem definida 7. ( V ) A afirmação ao lado pertence ao nível três de maturidade, quando relacionada ao processo PO1. Definir um Plano Estratégico de TI : “O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. “ 8. ( V ) “Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI” é uma possível métrica para o processo PO1. Definir um Plano Estratégico de TI
  189. 189. www.portalgsti.com.brPor Fernando Palma Agenda  Processos Definir um Plano Estratégico de TI Gerenciar Projetos Habilitar Operação em Uso Gerenciar Mudanças Definir e Gerenciar Níveis de Serviço Gerenciar Serviços de Terceiros Monitorar e Avaliar o desempenho de TI
  190. 190. www.portalgsti.com.brPor Fernando Palma Os Processos a serem vistos Planejar e Organizar Adquirir e Implementar Monitorar e Avaliar Entregar e Suportar PO1 •Definir um Plano Estratégico de TI PO10 •Gerenciar Projetos AI4 •Habilitar operação em uso AI6 •Gerenciar Mudanças DS1 •Definir e Gerenciar Níveis de Serviço DS2 •Gerenciar Serviços de Terceiros ME1 •Monitorar e Avaliar o desempenho de TI
  191. 191. www.portalgsti.com.brPor Fernando Palma Gerenciar Projetos Objetivos  Estabelecer um programa de projetos alinhado com a estratégia de TI  Estabelecer uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI Assegurar a correta priorização e a coordenação de todos os projetos  Reduzir o risco de custos inesperados e de cancelamentos de projeto
  192. 192. www.portalgsti.com.brPor Fernando Palma Gerenciar Projetos Critérios da Informação que o processo satisfaz Requisito P Eficácia P Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade  O processo de Gerenciamento de Projetos deve garantir que resultados de projetos dentro do tempo, do orçamento e da qualidade acordados.
  193. 193. www.portalgsti.com.brPor Fernando Palma Gerenciar Projetos Áreas de Foco da Governança que o Processo satisfaz Domínios Governança de TI Gerenciamento de recursos Primário Secundário Gerenciamento de recursos
  194. 194. www.portalgsti.com.brPor Fernando Palma Gerenciar Projetos Definição e implantação de programas, estruturas e abordagens de projeto; Publicação de diretrizes de gestão de projeto; Realização de planejamento de projeto para todo o portfólio de projetos; Atividades necessárias Os objetivos desse processo são alcançados através de:
  195. 195. www.portalgsti.com.brPor Fernando Palma Gerenciar Projetos Objetivos de Controle  PO10.1 Estrutura de Gestão de Programas  Manter o programa de projetos  Identificar, definir, avaliar, priorizar, selecionar, iniciar, gerenciar e controlando projetos  Coordenar as atividades e interdependências de múltiplos projetos  Resolver requisitos e conflitos de recursos  Assegurar que os projetos sustentem os objetivos dos programas PO1.2 Estrutura de Gestão de Projetos  Manter uma estrutura de gestão de projetos  Estabelecer os métodos a serem adotados e aplicados a cada projeto  Estrutura e as metodologias de suporte devem ser integradas aos processos de gerenciamento de programas

×