SlideShare a Scribd company logo

CObIT Module - OverView

Jairo Willian Pereira
Jairo Willian Pereira

O documento resume a metodologia COBIT, que fornece um conjunto de objetivos de controle para governança e gestão de tecnologia da informação. O COBIT é dividido em 4 domínios principais: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento explica como utilizar a metodologia COBIT para identificar riscos e preocupações de TI e melhorar a governança e gestão de TI de uma organização.

Technology
1 of 46
Download to read offline
Pós-Graduação 2009 COBIT Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
Índice COBIT 1. Introdução 2. Domínios e processos de Tecnologia 3. Requisitos de Negócio 4. Requisitos e Conceitos 5. Domínio e objetivos de Controle 6. Como utilizar a metodologia 7. Porque adotar a metodologia 8. Exercício 9. Links 10. Dúvidas 41 CON – A4
Introdução  COBIT Control OBjectives to Information and related Technologies Baseado nas definições da ISACA (Information Systems Audit and Control Association) 42 CON – A4
Introdução  ISACA • + 34.000 profissionais (TI, Segurança e Auditores) • Presente em mais de 100 países; • Total de 180 capítulos • Oferece preparação para a certificação:  CISA – Certified Information Systems Auditor  CISM – Certified Information Security Manager • Programas específicos excelência IT Governance 43 CON – A4
Introdução  Missão COBIT “Pesquisar, desenvolver, publicar e promover um conjunto de Objetivos de Controle, com autoridade e foco internacional, aceitos e aplicáveis à Tecnologia da Informação, para o uso rotineiro de gerentes de negócio, auditores e profissionais de segurança da informação.”  Visão COBIT “Ser modelo para Governança em TI” 44 CON – A4
Introdução  Pontos fortes x fracos ? Fortalezas Fraquezas ! - Processos Operação; - Segurança; ITIL - Serviços (D&S). - Desenvolvimento. IT Mgmt - Controles; - São linhas gerais (macro); CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls - Auditoria. - Segurança. - Controles; - Um guia genérico; 2700x - Recomendações; - Sem material específico. Security Mgmt - Segurança. - Processos & Procedimentos 45 CON – A4
Introdução  Objetivo de Controle “A formalização sobre “resultado desejado” ou “propósito a ser alcançado” pela implementação de procedimentos de Controle em atividades específicas à Tecnologia da Informação” 46 CON – A4
Introdução  Divisões COBIT • Sumário Executivo  Alta Administração: CEO / CIO • Governance & Control Framework (Estrutura)  Diretores de TI e Auditoria de Sistemas ( • Objetivos de Controle  Gerência de TI e Auditoria de Sistemas • Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)  Profissionais de Auditoria (business process and goals) 47 CON – A4
Introdução  Divisões COBIT • Diretrizes de Gerência  Gerência de Negócios (Operacional), Diretoria,  Gerência de TI, Gerência de Controles/Auditoria • Conjunto de Ferramentas de Implementação  Diretor de TI e Auditoria / Controle  Gerência de TI e Gerência de Auditoria / Controles 48 CON – A4
Introdução  Regra fundamental Para prover informações relevantes para a corporação cumprir seus objetivos, os recursos tecnológicos precisam ser administrados por um conjunto de processos agrupados naturalmente. 49 CON – A4
Domínio e processos de tecnologia  O cubo COBIT (3 eixos) [ 4 x 34 x 210 ] 50 CON – A4
Processos de Tecnologia  Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 51 CON – A4
Metodologia, Estrutura e escopo Escopo Estrutura Domínios Processos Objetivos 52 CON – A4
Metodologia, Estrutura e escopo 53 CON – A4
Metodologia, Estrutura e escopo ... 54 CON – A4
Requisitos de Negócio  Critérios para Informações (fiduciários) • Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas de forma oportuna, correta, consistente e prontas para uso. • Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e econômico dos recursos disponíveis. • Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração, tomada de decisão e operação da organização. Elaboração de relatórios, Informações aos órgãos reguladores, Ações estratégicas, táticas ou operacionais • Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio. 55 CON – A4
Requisitos de Negócio  Critérios para Informações (segurança) • Confidentiality – Confidencialidade Refere-se à proteção de informações confidenciais contra divulgação não autorizada. • Integrity – Integridade Refere-se à integridade das informações, bem como à sua validade com base no conjunto de valores e expectativas do negócio. • Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que forem necessárias ao processo de negócio. 56 CON – A4
Requisitos de Negócio  Critérios para Informações (qualidade) • Quality - Qualidade Condição na qual é oferecido o “entregável”. • Costs – Custos Valor envolvido na “informação” referenciado. Pode ser mensurável ou imensurável. • Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados, previamente ou ASAP. 57 CON – A4
Requisitos e Conceitos  Recursos de Tecnologia • Data – Dados Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc. • Application Systems - Sistemas Aplicativos Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados. • Technology - Tecnologia Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc. 58 CON – A4
Requisitos e Conceitos  Recursos de Tecnologia • Facilities (Instalações) Ambientes ou instalações que comportam e apoiam os sistemas de informática. • People (Pessoas) Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática. 59 CON – A4
Domínio e processos de tecnologia  Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 60 CON – A4
Domínio dos objetivos de Controle  Domínios COBIT 1. Planejamento e Organização Planning & Organization [PO] 2. Aquisição e Implantação Acquisition & Implementation [AI] 3. Entrega e Suporte Delivery & Support [DS] 4. Monitoração e Avaliação Monitoring & Evaluate [ME] 61 CON – A4
Domínio dos objetivos de Controle  1. Planejamento e Organização [PO] • Estratégia e planejamento tático de tecnologia • Suporte aos objetivos de negócio da companhia • Planejamento, comunicação e gerenciamento • Organização e infra-estrutura tecnológica adequada 62 CON – A4
Domínio dos objetivos de Controle  1. Planejamento e Organização [PO] PO1 Definição de um Plano Estratégico de tecnologia PO2 Definição da arquitetura de Informação PO3 Definição da diretrizes tecnológicas PO4 Definição Processos de TI, organização e relacionamentos PO5 Administração do investimento em tecnologia PO6 Comunicação das metas e instruções administrativas PO7 Administração de Recursos Humanos PO8 Garantia de conformidade com requisitos externos PO9 Avaliação de riscos PO10 Administração de projetos PO11 Administração de qualidade 63 CON – A4
Domínio dos objetivos de Controle  2. Aquisição e Implantação [AI] • Realização da estratégia de tecnologia • Soluções identificadas, desenvolvidas, ou adquiridas e implantadas • Soluções integradas com o processo de negócio • Controles sobre mudanças, problemas e manutenção 64 CON – A4
Domínio dos objetivos de Controle  2. Aquisição e Implantação [AI] AI1 Identificação de soluções “automatizadas” AI2 Aquisição e manutenção de software aplicativo AI3 Aquisição e manutenção da infra-estrutura de tecnologia AI4 Desenvolvimento/manutenção - procedimentos/documentação AI5 Seleção de recursos de TI AI6 Gestão de mudanças AI7 Instalar e credenciar Soluções e Mudanças 65 CON – A4
Domínio dos objetivos de Controle  3. Entrega e Suporte [DS] • Entrega efetiva dos serviços requeridos • Treinamento e Segurança na operação • Estabelecimento de processos de apoio • Incidentes e Problemas 66 CON – A4
Domínio dos objetivos de Controle  3. Entrega e Suporte [DS] DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s) DS2 Administração dos serviços de terceiros DS3 Administração de desempenho e capacidade DS4 Garantia da continuidade de serviço DS5 Garantia de segurança de sistemas DS6 Identificação e alocação de custos DS7 Educação e treinamento de usuários DS8 Administrando Service-Desk e Incidentes DS9 Administração da configuração DS10 Gerenciamento de problemas DS11 Administração dados, DS12 Instalações e DS13 Operações 67 CON – A4
Domínio dos objetivos de Controle  4. Monitoração [ME] • Avaliação freqüente de todos processos de tecnologia • Conformidade com os controles • Qualidade dos controles • Governança 68 CON – A4
Domínio dos objetivos de Controle  4. Monitoração [ME] ME1 Monitoração e Avaliação da performance de TI ME2 Monitoração e Avaliação dos Controles Internos ME3 Obter garantia independente/conformidade ME4 Prever Governança em TI 69 CON – A4
Como utilizar a Metodologia  Selecionando os Business Drivers Através de entrevistas realizadas com os responsáveis pelas linhas de negócio, consultas ao Business Plan e análise dos materiais sobre as tendências de negócio e mercado, definem-se os Direcionadores de Negócio (Business Drivers) 70 CON – A4
Como utilizar a Metodologia  Selecionando os IT Drivers Tendo como referência os Direcionadores de Negócio (Business drivers) identificados anteriormente, relacionar os Direcionadores de Tecnologia (IT drivers) que suportam ou viabilizam os Business Drivers identificados. 71 CON – A4
Como utilizar a Metodologia  Questionários/Auto-Avaliações – Objetivos: • Identificar quem são os responsáveis pelos assuntos; • Definir qual a importância dos assuntos; • Verificar se existem controles ou monitoração. Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia. Após o preenchimento da tabela, consegue-se ter uma idéia das preocupações mais relevantes 72 CON – A4
Como utilizar a Metodologia  Assess Risks 73 CON – A4
Como utilizar a Metodologia  Identificação - preocupações tecnológicas 74 CON – A4
Como utilizar a Metodologia  Zoom  75 CON – A4
Como utilizar a Metodologia  Atendendo os resultados… • Selecionar Business drivers com maior # de IT drivers suportando-o  maiores preocupações da administração  pontos de maior risco potencial. • Dentre os IT drivers que suportam o Business driver escolhido com:  alto número de fatores de risco associados,  Empates - considerar o domínio com maior risco ao negócio • Dentre os domínios de fatores de risco:  o domínio que apresenta a maior incidência de riscos ao IT Driver • Dentro do domínio de risco escolhido  selecionar fator de risco que atenda maior # preocupações de TI 76 CON – A4
Porque adotar a Metodologia?  Porque adotar a metodologia? • Ênfase na administração corporativa • Gerenciamento das responsabilidades por recursos • Necessidades específicas - controle de recursos tecnológicos • Soluções orientadas ao negócio da companhia • Estrutura consolidada para a avaliação de riscos • Melhor comunicação entre administração e envolvidos • Identificar real nível de maturidade e evidência dos controles 77 CON – A4
Porque adotar a Metodologia?  COBIT para o Security Officer • Pode ser usado como um modelo para um programa de segurança da informação, visando INTEGRAR segurança com os objetivos de TI relacionados aos negócios • Utilize o COBIT para estruturar a Política, as Normas e os Procedimentos de Segurança da Informação 78 CON – A4
Porque adotar a Metodologia?  Mitos do COBIT • Ferramenta exclusiva de “Compliance”; • Implantação depende Auditoria; • Concorrência com a Norma BS7799; • Bom nível de abstração e aplicabilidade; • Simples, rápido e barato. 79 CON – A4
Porque adotar a Metodologia? 80 CON – A4
Exercício 1  Who made Who? 81 CON – A4
Exercício 2  Definir: • Modelo de negócio; • Processo de Tecnologia; • Atividade relacionada; • Recurso de Tecnologia; • Mapear 3 “preocupações” considerando critério Segurança; • Documentar e “amarrar” relacionamento. 82 CON – A4
Links http://www.bsi-global.com/ http://www.iec.ch http://www.iso.org http://www.controlit.org http://www.abnt.org.br http://www.isaca.org/cobit http://www.foxit.net http://www.ietf.com http://www.dvorax.com.br 83 CON – A4
Dúvidas ? 84 CON – A4
Fim 85 CON – A1

Recommended

GTI/ERP 06/12 Gestão de TI
GTI/ERP 06/12 Gestão de TIGTI/ERP 06/12 Gestão de TI
GTI/ERP 06/12 Gestão de TIFelipe Pereira
 
Governança ti tcu - cobit
Governança ti tcu - cobitGovernança ti tcu - cobit
Governança ti tcu - cobitGustavo Loureiro
 
Governanca de ti parte 1 - introducao
Governanca de ti parte 1 - introducaoGovernanca de ti parte 1 - introducao
Governanca de ti parte 1 - introducaocemill
 
Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Rildo (@rildosan) Santos
 
Aula 01 conceitos do cobit
Aula 01 conceitos do cobitAula 01 conceitos do cobit
Aula 01 conceitos do cobitMaurilio Benevento
 
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Introdução gestão-e-governança-de-ti
Introdução gestão-e-governança-de-tiIntrodução gestão-e-governança-de-ti
Introdução gestão-e-governança-de-tiJoão Góis
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)Rafaela Machado
 

Recommended

GTI/ERP 06/12 Gestão de TI
GTI/ERP 06/12 Gestão de TIGTI/ERP 06/12 Gestão de TI
GTI/ERP 06/12 Gestão de TIFelipe Pereira
 
Governança ti tcu - cobit
Governança ti tcu - cobitGovernança ti tcu - cobit
Governança ti tcu - cobitGustavo Loureiro
 
Governanca de ti parte 1 - introducao
Governanca de ti parte 1 - introducaoGovernanca de ti parte 1 - introducao
Governanca de ti parte 1 - introducaocemill
 
Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Rildo (@rildosan) Santos
 
Aula 01 conceitos do cobit
Aula 01 conceitos do cobitAula 01 conceitos do cobit
Aula 01 conceitos do cobitMaurilio Benevento
 
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Introdução gestão-e-governança-de-ti
Introdução gestão-e-governança-de-tiIntrodução gestão-e-governança-de-ti
Introdução gestão-e-governança-de-tiJoão Góis
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)Rafaela Machado
 
ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão GeralCarlos Teixeira
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TISandro Servino
 
Workshop missão salesiana
Workshop missão salesianaWorkshop missão salesiana
Workshop missão salesianaDiego Franco
 
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITILNBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITILCiro Bacilla
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobitMaurilio Benevento
 
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...Kharylim Machado Sea
 
Cobit
CobitCobit
CobitTI Infnet
 
Governança cobit
Governança cobitGovernança cobit
Governança cobitfernandao777
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TIAlexandre Afonso
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
Técnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas tiTécnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas tiAdrianoHenriqueVieir
 
Uma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb TiUma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb TiMarcelo Salles
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de tilcumaio
 
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Sustentare Escola de Negócios
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
895 artigo seget_cobit
895 artigo seget_cobit895 artigo seget_cobit
895 artigo seget_cobitEdvaldo Fonseca
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Augusto Seixas
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e DatagovernanceMário Sérgio
 
Cobit2
Cobit2Cobit2
Cobit2Universal.org.mx
 

More Related Content

What's hot

Workshop missão salesiana
Workshop missão salesianaWorkshop missão salesiana
Workshop missão salesianaDiego Franco
 
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITILNBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITILCiro Bacilla
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobitMaurilio Benevento
 
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...Kharylim Machado Sea
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
Técnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas tiTécnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas tiAdrianoHenriqueVieir
 
Uma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb TiUma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb TiMarcelo Salles
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de tilcumaio
 
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Sustentare Escola de Negócios
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 

What's hot (19)

ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão Geral
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 
Workshop missão salesiana
Workshop missão salesianaWorkshop missão salesiana
Workshop missão salesiana
 
NBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITILNBR/ISO 27002, COBIT e ITIL
NBR/ISO 27002, COBIT e ITIL
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...
Sistemas de Informação 2 - Aula13 - psi cap10 sistemas de infomração gerencia...
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobit
 
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
Análise da Maturidade dos Processos de Negócio do CPD da UFS através do Estud...
 
Cobit
CobitCobit
Cobit
 
Governança cobit
Governança cobitGovernança cobit
Governança cobit
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TI
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Técnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas tiTécnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas ti
 
Uma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb TiUma Abordagem Em Gerencia De Conf Em Amb Ti
Uma Abordagem Em Gerencia De Conf Em Amb Ti
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
 
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
895 artigo seget_cobit
895 artigo seget_cobit895 artigo seget_cobit
895 artigo seget_cobit
 

Similar to CObIT Module - OverView

Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Augusto Seixas
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e DatagovernanceMário Sérgio
 
GovernaçA De T Ic
GovernaçA De T IcGovernaçA De T Ic
GovernaçA De T Icmarciolins
 
Curso preparatorio para a certificacao COBIT 4.1 Foundation
Curso preparatorio para a certificacao COBIT 4.1 Foundation Curso preparatorio para a certificacao COBIT 4.1 Foundation
Curso preparatorio para a certificacao COBIT 4.1 Foundation Grupo Treinar
 
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...CompanyWeb
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Vicente Willians Nunes
 
Melhores Práticas de TI.ppt
Melhores Práticas de TI.pptMelhores Práticas de TI.ppt
Melhores Práticas de TI.pptssuser235fe81
 
895 artigo seget_cobit
895 artigo seget_cobit895 artigo seget_cobit
895 artigo seget_cobitvigattinhow
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaPaulo Nascimento
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaAlessandro Almeida
 
Aula_11_GovernancaTI.pdf
Aula_11_GovernancaTI.pdfAula_11_GovernancaTI.pdf
Aula_11_GovernancaTI.pdfMaritzaDiaz76
 
Taking - Business Intelligence
Taking - Business IntelligenceTaking - Business Intelligence
Taking - Business IntelligenceTaking
 

Similar to CObIT Module - OverView (20)

Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
 
Cobit2
Cobit2Cobit2
Cobit2
 
GovernaçA De T Ic
GovernaçA De T IcGovernaçA De T Ic
GovernaçA De T Ic
 
Curso preparatorio para a certificacao COBIT 4.1 Foundation
Curso preparatorio para a certificacao COBIT 4.1 Foundation Curso preparatorio para a certificacao COBIT 4.1 Foundation
Curso preparatorio para a certificacao COBIT 4.1 Foundation
 
Slides SENAC Aula 2
Slides SENAC Aula 2Slides SENAC Aula 2
Slides SENAC Aula 2
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
 
Melhores Práticas de TI.ppt
Melhores Práticas de TI.pptMelhores Práticas de TI.ppt
Melhores Práticas de TI.ppt
 
895 artigo seget_cobit
895 artigo seget_cobit895 artigo seget_cobit
895 artigo seget_cobit
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
Apresentação Cobit
Apresentação CobitApresentação Cobit
Apresentação Cobit
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª Aula
 
Gti aula 6
Gti aula 6Gti aula 6
Gti aula 6
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Aula_11_GovernancaTI.pdf
Aula_11_GovernancaTI.pdfAula_11_GovernancaTI.pdf
Aula_11_GovernancaTI.pdf
 
Curso gestao servicos modulo 1 - v1
Curso gestao servicos modulo 1 - v1Curso gestao servicos modulo 1 - v1
Curso gestao servicos modulo 1 - v1
 
Taking - Business Intelligence
Taking - Business IntelligenceTaking - Business Intelligence
Taking - Business Intelligence
 

More from Jairo Willian Pereira

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewJairo Willian Pereira
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewJairo Willian Pereira
 

More from Jairo Willian Pereira (8)

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - Overview
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
 
Brazilian Legislation - OverView
Brazilian Legislation - OverViewBrazilian Legislation - OverView
Brazilian Legislation - OverView
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
 

CObIT Module - OverView

  • 1. Pós-Graduação 2009 COBIT Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. Índice COBIT 1. Introdução 2. Domínios e processos de Tecnologia 3. Requisitos de Negócio 4. Requisitos e Conceitos 5. Domínio e objetivos de Controle 6. Como utilizar a metodologia 7. Porque adotar a metodologia 8. Exercício 9. Links 10. Dúvidas 41 CON – A4
  • 3. Introdução  COBIT Control OBjectives to Information and related Technologies Baseado nas definições da ISACA (Information Systems Audit and Control Association) 42 CON – A4
  • 4. Introdução  ISACA • + 34.000 profissionais (TI, Segurança e Auditores) • Presente em mais de 100 países; • Total de 180 capítulos • Oferece preparação para a certificação:  CISA – Certified Information Systems Auditor  CISM – Certified Information Security Manager • Programas específicos excelência IT Governance 43 CON – A4
  • 5. Introdução  Missão COBIT “Pesquisar, desenvolver, publicar e promover um conjunto de Objetivos de Controle, com autoridade e foco internacional, aceitos e aplicáveis à Tecnologia da Informação, para o uso rotineiro de gerentes de negócio, auditores e profissionais de segurança da informação.”  Visão COBIT “Ser modelo para Governança em TI” 44 CON – A4
  • 6. Introdução  Pontos fortes x fracos ? Fortalezas Fraquezas ! - Processos Operação; - Segurança; ITIL - Serviços (D&S). - Desenvolvimento. IT Mgmt - Controles; - São linhas gerais (macro); CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls - Auditoria. - Segurança. - Controles; - Um guia genérico; 2700x - Recomendações; - Sem material específico. Security Mgmt - Segurança. - Processos & Procedimentos 45 CON – A4
  • 7. Introdução  Objetivo de Controle “A formalização sobre “resultado desejado” ou “propósito a ser alcançado” pela implementação de procedimentos de Controle em atividades específicas à Tecnologia da Informação” 46 CON – A4
  • 8. Introdução  Divisões COBIT • Sumário Executivo  Alta Administração: CEO / CIO • Governance & Control Framework (Estrutura)  Diretores de TI e Auditoria de Sistemas ( • Objetivos de Controle  Gerência de TI e Auditoria de Sistemas • Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)  Profissionais de Auditoria (business process and goals) 47 CON – A4
  • 9. Introdução  Divisões COBIT • Diretrizes de Gerência  Gerência de Negócios (Operacional), Diretoria,  Gerência de TI, Gerência de Controles/Auditoria • Conjunto de Ferramentas de Implementação  Diretor de TI e Auditoria / Controle  Gerência de TI e Gerência de Auditoria / Controles 48 CON – A4
  • 10. Introdução  Regra fundamental Para prover informações relevantes para a corporação cumprir seus objetivos, os recursos tecnológicos precisam ser administrados por um conjunto de processos agrupados naturalmente. 49 CON – A4
  • 11. Domínio e processos de tecnologia  O cubo COBIT (3 eixos) [ 4 x 34 x 210 ] 50 CON – A4
  • 12. Processos de Tecnologia  Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 51 CON – A4
  • 13. Metodologia, Estrutura e escopo Escopo Estrutura Domínios Processos Objetivos 52 CON – A4
  • 14. Metodologia, Estrutura e escopo 53 CON – A4
  • 15. Metodologia, Estrutura e escopo ... 54 CON – A4
  • 16. Requisitos de Negócio  Critérios para Informações (fiduciários) • Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas de forma oportuna, correta, consistente e prontas para uso. • Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e econômico dos recursos disponíveis. • Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração, tomada de decisão e operação da organização. Elaboração de relatórios, Informações aos órgãos reguladores, Ações estratégicas, táticas ou operacionais • Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio. 55 CON – A4
  • 17. Requisitos de Negócio  Critérios para Informações (segurança) • Confidentiality – Confidencialidade Refere-se à proteção de informações confidenciais contra divulgação não autorizada. • Integrity – Integridade Refere-se à integridade das informações, bem como à sua validade com base no conjunto de valores e expectativas do negócio. • Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que forem necessárias ao processo de negócio. 56 CON – A4
  • 18. Requisitos de Negócio  Critérios para Informações (qualidade) • Quality - Qualidade Condição na qual é oferecido o “entregável”. • Costs – Custos Valor envolvido na “informação” referenciado. Pode ser mensurável ou imensurável. • Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados, previamente ou ASAP. 57 CON – A4
  • 19. Requisitos e Conceitos  Recursos de Tecnologia • Data – Dados Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc. • Application Systems - Sistemas Aplicativos Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados. • Technology - Tecnologia Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc. 58 CON – A4
  • 20. Requisitos e Conceitos  Recursos de Tecnologia • Facilities (Instalações) Ambientes ou instalações que comportam e apoiam os sistemas de informática. • People (Pessoas) Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática. 59 CON – A4
  • 21. Domínio e processos de tecnologia  Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 60 CON – A4
  • 22. Domínio dos objetivos de Controle  Domínios COBIT 1. Planejamento e Organização Planning & Organization [PO] 2. Aquisição e Implantação Acquisition & Implementation [AI] 3. Entrega e Suporte Delivery & Support [DS] 4. Monitoração e Avaliação Monitoring & Evaluate [ME] 61 CON – A4
  • 23. Domínio dos objetivos de Controle  1. Planejamento e Organização [PO] • Estratégia e planejamento tático de tecnologia • Suporte aos objetivos de negócio da companhia • Planejamento, comunicação e gerenciamento • Organização e infra-estrutura tecnológica adequada 62 CON – A4
  • 24. Domínio dos objetivos de Controle  1. Planejamento e Organização [PO] PO1 Definição de um Plano Estratégico de tecnologia PO2 Definição da arquitetura de Informação PO3 Definição da diretrizes tecnológicas PO4 Definição Processos de TI, organização e relacionamentos PO5 Administração do investimento em tecnologia PO6 Comunicação das metas e instruções administrativas PO7 Administração de Recursos Humanos PO8 Garantia de conformidade com requisitos externos PO9 Avaliação de riscos PO10 Administração de projetos PO11 Administração de qualidade 63 CON – A4
  • 25. Domínio dos objetivos de Controle  2. Aquisição e Implantação [AI] • Realização da estratégia de tecnologia • Soluções identificadas, desenvolvidas, ou adquiridas e implantadas • Soluções integradas com o processo de negócio • Controles sobre mudanças, problemas e manutenção 64 CON – A4
  • 26. Domínio dos objetivos de Controle  2. Aquisição e Implantação [AI] AI1 Identificação de soluções “automatizadas” AI2 Aquisição e manutenção de software aplicativo AI3 Aquisição e manutenção da infra-estrutura de tecnologia AI4 Desenvolvimento/manutenção - procedimentos/documentação AI5 Seleção de recursos de TI AI6 Gestão de mudanças AI7 Instalar e credenciar Soluções e Mudanças 65 CON – A4
  • 27. Domínio dos objetivos de Controle  3. Entrega e Suporte [DS] • Entrega efetiva dos serviços requeridos • Treinamento e Segurança na operação • Estabelecimento de processos de apoio • Incidentes e Problemas 66 CON – A4
  • 28. Domínio dos objetivos de Controle  3. Entrega e Suporte [DS] DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s) DS2 Administração dos serviços de terceiros DS3 Administração de desempenho e capacidade DS4 Garantia da continuidade de serviço DS5 Garantia de segurança de sistemas DS6 Identificação e alocação de custos DS7 Educação e treinamento de usuários DS8 Administrando Service-Desk e Incidentes DS9 Administração da configuração DS10 Gerenciamento de problemas DS11 Administração dados, DS12 Instalações e DS13 Operações 67 CON – A4
  • 29. Domínio dos objetivos de Controle  4. Monitoração [ME] • Avaliação freqüente de todos processos de tecnologia • Conformidade com os controles • Qualidade dos controles • Governança 68 CON – A4
  • 30. Domínio dos objetivos de Controle  4. Monitoração [ME] ME1 Monitoração e Avaliação da performance de TI ME2 Monitoração e Avaliação dos Controles Internos ME3 Obter garantia independente/conformidade ME4 Prever Governança em TI 69 CON – A4
  • 31. Como utilizar a Metodologia  Selecionando os Business Drivers Através de entrevistas realizadas com os responsáveis pelas linhas de negócio, consultas ao Business Plan e análise dos materiais sobre as tendências de negócio e mercado, definem-se os Direcionadores de Negócio (Business Drivers) 70 CON – A4
  • 32. Como utilizar a Metodologia  Selecionando os IT Drivers Tendo como referência os Direcionadores de Negócio (Business drivers) identificados anteriormente, relacionar os Direcionadores de Tecnologia (IT drivers) que suportam ou viabilizam os Business Drivers identificados. 71 CON – A4
  • 33. Como utilizar a Metodologia  Questionários/Auto-Avaliações – Objetivos: • Identificar quem são os responsáveis pelos assuntos; • Definir qual a importância dos assuntos; • Verificar se existem controles ou monitoração. Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia. Após o preenchimento da tabela, consegue-se ter uma idéia das preocupações mais relevantes 72 CON – A4
  • 34. Como utilizar a Metodologia  Assess Risks 73 CON – A4
  • 35. Como utilizar a Metodologia  Identificação - preocupações tecnológicas 74 CON – A4
  • 36. Como utilizar a Metodologia  Zoom  75 CON – A4
  • 37. Como utilizar a Metodologia  Atendendo os resultados… • Selecionar Business drivers com maior # de IT drivers suportando-o  maiores preocupações da administração  pontos de maior risco potencial. • Dentre os IT drivers que suportam o Business driver escolhido com:  alto número de fatores de risco associados,  Empates - considerar o domínio com maior risco ao negócio • Dentre os domínios de fatores de risco:  o domínio que apresenta a maior incidência de riscos ao IT Driver • Dentro do domínio de risco escolhido  selecionar fator de risco que atenda maior # preocupações de TI 76 CON – A4
  • 38. Porque adotar a Metodologia?  Porque adotar a metodologia? • Ênfase na administração corporativa • Gerenciamento das responsabilidades por recursos • Necessidades específicas - controle de recursos tecnológicos • Soluções orientadas ao negócio da companhia • Estrutura consolidada para a avaliação de riscos • Melhor comunicação entre administração e envolvidos • Identificar real nível de maturidade e evidência dos controles 77 CON – A4
  • 39. Porque adotar a Metodologia?  COBIT para o Security Officer • Pode ser usado como um modelo para um programa de segurança da informação, visando INTEGRAR segurança com os objetivos de TI relacionados aos negócios • Utilize o COBIT para estruturar a Política, as Normas e os Procedimentos de Segurança da Informação 78 CON – A4
  • 40. Porque adotar a Metodologia?  Mitos do COBIT • Ferramenta exclusiva de “Compliance”; • Implantação depende Auditoria; • Concorrência com a Norma BS7799; • Bom nível de abstração e aplicabilidade; • Simples, rápido e barato. 79 CON – A4
  • 41. Porque adotar a Metodologia? 80 CON – A4
  • 42. Exercício 1  Who made Who? 81 CON – A4
  • 43. Exercício 2  Definir: • Modelo de negócio; • Processo de Tecnologia; • Atividade relacionada; • Recurso de Tecnologia; • Mapear 3 “preocupações” considerando critério Segurança; • Documentar e “amarrar” relacionamento. 82 CON – A4
  • 45. Dúvidas ? 84 CON – A4
  • 46. Fim 85 CON – A1