O documento resume a metodologia COBIT, que fornece um conjunto de objetivos de controle para governança e gestão de tecnologia da informação. O COBIT é dividido em 4 domínios principais: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento explica como utilizar a metodologia COBIT para identificar riscos e preocupações de TI e melhorar a governança e gestão de TI de uma organização.
2. Índice COBIT
1. Introdução
2. Domínios e processos de Tecnologia
3. Requisitos de Negócio
4. Requisitos e Conceitos
5. Domínio e objetivos de Controle
6. Como utilizar a metodologia
7. Porque adotar a metodologia
8. Exercício
9. Links
10. Dúvidas
41 CON – A4
3. Introdução
COBIT
Control OBjectives to Information
and related Technologies
Baseado nas definições da ISACA
(Information Systems Audit and Control Association)
42 CON – A4
4. Introdução
ISACA
• + 34.000 profissionais (TI, Segurança e Auditores)
• Presente em mais de 100 países;
• Total de 180 capítulos
• Oferece preparação para a certificação:
CISA – Certified Information Systems Auditor
CISM – Certified Information Security Manager
• Programas específicos excelência IT Governance
43 CON – A4
5. Introdução
Missão COBIT
“Pesquisar, desenvolver, publicar e promover um conjunto de
Objetivos de Controle, com autoridade e foco internacional,
aceitos e aplicáveis à Tecnologia da Informação, para o uso
rotineiro de gerentes de negócio, auditores e profissionais
de segurança da informação.”
Visão COBIT
“Ser modelo para Governança em TI”
44 CON – A4
6. Introdução
Pontos fortes x fracos
? Fortalezas Fraquezas !
- Processos Operação; - Segurança;
ITIL - Serviços (D&S). - Desenvolvimento.
IT Mgmt
- Controles; - São linhas gerais (macro);
CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls
- Auditoria. - Segurança.
- Controles; - Um guia genérico;
2700x - Recomendações; - Sem material específico. Security Mgmt
- Segurança. - Processos & Procedimentos
45 CON – A4
7. Introdução
Objetivo de Controle
“A formalização sobre “resultado desejado”
ou “propósito a ser alcançado” pela
implementação de procedimentos de
Controle em atividades específicas à
Tecnologia da Informação”
46 CON – A4
8. Introdução
Divisões COBIT
• Sumário Executivo
Alta Administração: CEO / CIO
• Governance & Control Framework (Estrutura)
Diretores de TI e Auditoria de Sistemas (
• Objetivos de Controle
Gerência de TI e Auditoria de Sistemas
• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)
Profissionais de Auditoria (business process and goals)
47 CON – A4
9. Introdução
Divisões COBIT
• Diretrizes de Gerência
Gerência de Negócios (Operacional), Diretoria,
Gerência de TI, Gerência de Controles/Auditoria
• Conjunto de Ferramentas de Implementação
Diretor de TI e Auditoria / Controle
Gerência de TI e Gerência de Auditoria / Controles
48 CON – A4
10. Introdução
Regra fundamental
Para prover informações relevantes para
a corporação cumprir seus objetivos,
os recursos tecnológicos precisam
ser administrados por um conjunto de
processos agrupados naturalmente.
49 CON – A4
11. Domínio e processos de tecnologia
O cubo COBIT
(3 eixos)
[ 4 x 34 x 210 ]
50 CON – A4
12. Processos de Tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
51 CON – A4
16. Requisitos de Negócio
Critérios para Informações (fiduciários)
• Effectiveness - Eficácia
Informações relevantes e pertinentes ao processo de negócio, fornecidas
de forma oportuna, correta, consistente e prontas para uso.
• Efficiency - Eficiência
Refere-se ao fornecimento de informações através do uso mais produtivo e
econômico dos recursos disponíveis.
• Reliability of information - Confiabilidade da Informação
Refere-se a sistemas que forneçam informações adequadas à administração,
tomada de decisão e operação da organização.
Elaboração de relatórios,
Informações aos órgãos reguladores,
Ações estratégicas, táticas ou operacionais
• Compliance - Aderência
Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.
55 CON – A4
17. Requisitos de Negócio
Critérios para Informações (segurança)
• Confidentiality – Confidencialidade
Refere-se à proteção de informações confidenciais contra divulgação
não autorizada.
• Integrity – Integridade
Refere-se à integridade das informações, bem como à sua validade
com base no conjunto de valores e expectativas do negócio.
• Availability – Disponibilidade
Refere-se à disponibilidade das informações no momento em que
forem necessárias ao processo de negócio.
56 CON – A4
18. Requisitos de Negócio
Critérios para Informações (qualidade)
• Quality - Qualidade
Condição na qual é oferecido o “entregável”.
• Costs – Custos
Valor envolvido na “informação” referenciado. Pode ser mensurável
ou imensurável.
• Forecast - Prazo
Quão próximo ou previsível encontram-se os dados solicitados,
previamente ou ASAP.
57 CON – A4
19. Requisitos e Conceitos
Recursos de Tecnologia
• Data – Dados
Objetos de dados no seu sentido mais amplo: externos e internos,
estruturados e não-estruturados, gráficos, som, texto, imagem, etc.
• Application Systems - Sistemas Aplicativos
Sistemas aplicativos representados pelo conjunto dos procedimentos
manuais e computadorizados.
• Technology - Tecnologia
Hardware, sistemas operacionais, sistemas gerenciadores de banco
de dados, de rede, multimedia, etc.
58 CON – A4
20. Requisitos e Conceitos
Recursos de Tecnologia
• Facilities (Instalações)
Ambientes ou instalações que comportam e apoiam os sistemas de
informática.
• People (Pessoas)
Capacidade, conscientização e produtividade do pessoal para o
planejamento, organização, aquisição, entrega, apoio e monitoração
dos sistemas e serviços de informática.
59 CON – A4
21. Domínio e processos de tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
60 CON – A4
22. Domínio dos objetivos de Controle
Domínios COBIT
1. Planejamento e Organização
Planning & Organization [PO]
2. Aquisição e Implantação
Acquisition & Implementation [AI]
3. Entrega e Suporte
Delivery & Support [DS]
4. Monitoração e Avaliação
Monitoring & Evaluate [ME]
61 CON – A4
23. Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
• Estratégia e planejamento tático de tecnologia
• Suporte aos objetivos de negócio da companhia
• Planejamento, comunicação e gerenciamento
• Organização e infra-estrutura tecnológica adequada
62 CON – A4
24. Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
PO1 Definição de um Plano Estratégico de tecnologia
PO2 Definição da arquitetura de Informação
PO3 Definição da diretrizes tecnológicas
PO4 Definição Processos de TI, organização e relacionamentos
PO5 Administração do investimento em tecnologia
PO6 Comunicação das metas e instruções administrativas
PO7 Administração de Recursos Humanos
PO8 Garantia de conformidade com requisitos externos
PO9 Avaliação de riscos
PO10 Administração de projetos
PO11 Administração de qualidade
63 CON – A4
25. Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
• Realização da estratégia de tecnologia
• Soluções identificadas, desenvolvidas, ou adquiridas e
implantadas
• Soluções integradas com o processo de negócio
• Controles sobre mudanças, problemas e manutenção
64 CON – A4
26. Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
AI1 Identificação de soluções “automatizadas”
AI2 Aquisição e manutenção de software aplicativo
AI3 Aquisição e manutenção da infra-estrutura de tecnologia
AI4 Desenvolvimento/manutenção - procedimentos/documentação
AI5 Seleção de recursos de TI
AI6 Gestão de mudanças
AI7 Instalar e credenciar Soluções e Mudanças
65 CON – A4
27. Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
• Entrega efetiva dos serviços requeridos
• Treinamento e Segurança na operação
• Estabelecimento de processos de apoio
• Incidentes e Problemas
66 CON – A4
28. Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)
DS2 Administração dos serviços de terceiros
DS3 Administração de desempenho e capacidade
DS4 Garantia da continuidade de serviço
DS5 Garantia de segurança de sistemas
DS6 Identificação e alocação de custos
DS7 Educação e treinamento de usuários
DS8 Administrando Service-Desk e Incidentes
DS9 Administração da configuração
DS10 Gerenciamento de problemas
DS11 Administração dados, DS12 Instalações e DS13 Operações
67 CON – A4
29. Domínio dos objetivos de Controle
4. Monitoração [ME]
• Avaliação freqüente de todos processos de tecnologia
• Conformidade com os controles
• Qualidade dos controles
• Governança
68 CON – A4
30. Domínio dos objetivos de Controle
4. Monitoração [ME]
ME1 Monitoração e Avaliação da performance de TI
ME2 Monitoração e Avaliação dos Controles Internos
ME3 Obter garantia independente/conformidade
ME4 Prever Governança em TI
69 CON – A4
31. Como utilizar a Metodologia
Selecionando os Business Drivers
Através de entrevistas realizadas com os
responsáveis pelas linhas de negócio, consultas
ao Business Plan e análise dos materiais sobre
as tendências de negócio e mercado, definem-se
os Direcionadores de Negócio (Business Drivers)
70 CON – A4
32. Como utilizar a Metodologia
Selecionando os IT Drivers
Tendo como referência os Direcionadores de
Negócio (Business drivers) identificados
anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou
viabilizam os Business Drivers identificados.
71 CON – A4
33. Como utilizar a Metodologia
Questionários/Auto-Avaliações – Objetivos:
• Identificar quem são os responsáveis pelos assuntos;
• Definir qual a importância dos assuntos;
• Verificar se existem controles ou monitoração.
Este é um bom momento para saber como está o conhecimento
da administração do que está sendo feito em tecnologia.
Após o preenchimento da tabela, consegue-se ter uma idéia
das preocupações mais relevantes
72 CON – A4
37. Como utilizar a Metodologia
Atendendo os resultados…
• Selecionar Business drivers com maior # de IT drivers suportando-o
maiores preocupações da administração
pontos de maior risco potencial.
• Dentre os IT drivers que suportam o Business driver escolhido com:
alto número de fatores de risco associados,
Empates - considerar o domínio com maior risco ao negócio
• Dentre os domínios de fatores de risco:
o domínio que apresenta a maior incidência de riscos ao IT
Driver
• Dentro do domínio de risco escolhido
selecionar fator de risco que atenda maior # preocupações de TI
76 CON – A4
38. Porque adotar a Metodologia?
Porque adotar a metodologia?
• Ênfase na administração corporativa
• Gerenciamento das responsabilidades por recursos
• Necessidades específicas - controle de recursos tecnológicos
• Soluções orientadas ao negócio da companhia
• Estrutura consolidada para a avaliação de riscos
• Melhor comunicação entre administração e envolvidos
• Identificar real nível de maturidade e evidência dos controles
77 CON – A4
39. Porque adotar a Metodologia?
COBIT para o Security Officer
• Pode ser usado como um modelo para um programa de
segurança da informação, visando INTEGRAR segurança
com os objetivos de TI relacionados aos negócios
• Utilize o COBIT para estruturar a Política, as Normas e os
Procedimentos de Segurança da Informação
78 CON – A4
40. Porque adotar a Metodologia?
Mitos do COBIT
• Ferramenta exclusiva de “Compliance”;
• Implantação depende Auditoria;
• Concorrência com a Norma BS7799;
• Bom nível de abstração e aplicabilidade;
• Simples, rápido e barato.
79 CON – A4