Post on 30-May-2018
8/14/2019 Cobit, Itil,Sas70
1/32
UNIVERSIDADE VEIGA DE ALMEIDABACHARELADO EM SISTEMAS DE INFORMAO
TRABALHO DE AUDITORIA DE SISTEMAS
Swellen Polide Dezerbelles
Trabalho apresentado Prof.: Ms.
Myrna Amorim como meio de avaliao
parcial da disciplina auditoria e segurana de
sistemas.
Cabo Frio, Dezembro de 2009.
8/14/2019 Cobit, Itil,Sas70
2/32
SUMRIO
1 INTRODUO .......................................................................................................... 4
2 SAS 70: A DECLARAO DE AUDITORIA PADRO ...................................6
3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA DA TI ...................................8
3.1 ITIL V3 ......................................................................................................................9
3.2 CICLODEVIDADOSERVIO (SERVICE LIFECYCLE) .......................................................... 10
3.3 GOVERNANA............................................................................................................. 11
3.1.1 Camada Ttica ............................................................................................12
3.1.1.1 Gerncia de Nvel de Servio ...............................................................12
3.1.1.2 Gerncia de capacidade ......................................................................... 13
3.1.1.3 Gerncia de Continuidades ....................................................................13
3.1.1.4 Gerncia de Disponibilidade ................................................................. 14
3.1.2 Camada Operacional ...................................................................................14
3.1.1.5 Central de Servios ................................................................................14
3.1.1.6 Gerncia de Incidentes .......................................................................... 15
3.1.1.7 Gerncia de Problemas ..........................................................................15
3.1.1.8 Gerncia de Configurao .....................................................................16
3.1.1.9 Gerncia de Mudanas .......................................................................... 16
3.1.1.10 Gerncia de Liberaes ....................................................................... 16
3.4 MODELODE MATURIDADE............................................................................................17
3.5 BENEFCIOSDO ITIL ................................................................................................... 18
3.6 DESVANTAGENSDO ITIL ............................................................................................. 19
2
8/14/2019 Cobit, Itil,Sas70
3/32
4 COBIT: OBJETIVOS DE CONTROLE PARA TI ...........................................20
4.1 OS MODELOSDE PROCESSOSDE TI .............................................................................21
4.1.1.1 Planejar e organizar ...............................................................................22
4.1.1.2 Adquirir e Implementar ......................................................................22
4.1.1.3 Entregar e Dar Suporte .........................................................................23
4.1.1.4 Monitorar e Avaliar ...........................................................................24
4.2 MODELODEMATURIDADEDE TI ....................................................................................26
4.3 BENEFCIOSDO COBIT .................................................................................................28
4.4 DESVANTAGENSDO COBIT ...........................................................................................29
5 CONCLUSO ..........................................................................................................30REFERNCIAS BIBLIOGRFICAS......................................................................31
3
8/14/2019 Cobit, Itil,Sas70
4/32
1 INTRODUO
Atualmente, com o avano constante da tecnologia impossvel imaginar umaempresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados
operacionais e fornecer informaes gerenciais aos executivos para tomadas de decises.
Sendo assim, torna-se cada vez mais necessrio administrar toda esta tecnologia, a fim de
garantir que o uso da mesma contribua para o comprimento dos objetivos da empresa. Mas
como fazer isso?
A administrao da TI, incluindo profissionais especializados requer altos
investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentosde TI por duvidarem dos reais benefcios que essa implantao poder fornecer. No entanto, a
ausncia deste investimento pode ser o fator chave para o fracasso de um empreendimento em
um mercado que esta a cada vez mais competitivo. Com base nisso, e para melhorar todo o
processo de anlise de riscos e tomada de deciso necessrio gerenciar e controlar as
iniciativas de TI, garantindo assim o retorno de investimentos e melhorias nos processos
empresariais. Esse novo conceito de gerncia conhecido por: governana de TI.
Alm do termo governana de TI encontramos outros muito famosos, como ITIL,CobiT, Sarbanes-Oxley1(SOX ou Sarbox), Balanced Scorecard2 (BSC), CMMI3, PMI4. Cada
uma dessas siglas ou termos se refere a uma parte especfica da governana. Neste trabalho,
veremos as principais caractersticas de dois desses termos: ITIL e CobiT.
1 Lei estadunidenseque visa garantir a criao de mecanismos deauditoriae segurana confiveis nasempresas .2
Metodologia usada na gesto de negcios, do servio e infra-estrutura.3 Modelo de referncia que contm prticas maturidade de uma organizao.4 Voltado ao gerenciamento de projetos.
4
http://www.itil.org.uk/http://www.sei.cmu.edu/cmmi/http://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Seguran%C3%A7ahttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Ger%C3%AAncia_de_projetoshttp://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Seguran%C3%A7ahttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Ger%C3%AAncia_de_projetoshttp://www.itil.org.uk/http://www.sei.cmu.edu/cmmi/8/14/2019 Cobit, Itil,Sas70
5/32
Um outro tema a ser debatido neste trabalho, ser o SAS 70. Embora os termos aqui
debatidos no estejam diretamente relacionados, se utilizados em conjunto, tornam-se
verdadeiros aliados na hora de alcanar os objetivos da empresa.
5
8/14/2019 Cobit, Itil,Sas70
6/32
2 SAS 70: A DECLARAO DE AUDITORIAPADRO
O SAS 70 (Statement on Auditing Standards n. 70) um relatrio formal sobre o
desenho, implementao e efetividade operacional dos controles de uma organizao de
servios (prestadora de servios).
Se uma empresa fornece servios a uma outra e se esse determinado servio afeta de
alguma forma as finanas desta empresa-cliente, esta poder solicitar um relatrio sobre os
controles internos da empresa prestadora de servio, para que este possa ser utilizado por sua
administrao ou seus auditores quando desejado. basicamente um documento que visa
averiguar a existncia dos controles da empresa (prestadora de servio) bem como a eficincia
e eficcia do trabalho prestado. Entendido isso, cabe perguntar, a quem so endereados os
servios SAS 70? Geralmente empresas que prestam servios de processamento de dados,
folha de pagamento, contabilidade e outros processos especficos de negcio.
Atualmente, segundo Vitor Albanese5, qualquer organizao terceirizada que fornece
servios para uma outra empresa est sendo solicitada a fornecer relatrios SAS 70. E este
documento tem se tornado um pr-requisito para contratar um prestador de servios.
As principais informaes para um auditor desenvolver um relatrio SAS 70 so
obtidas por meio de discusses com a administrao, supervisores e staff, e por meio da
inspeo de documentao relevante, como fluxogramas de sistemas, narrativas processuais,
dirios operacionais, e outros meios. Toda a informao que recolhida compilada em dois
tipos de relatrios. Estes relatrios so chamados de: tipo I e tipo II.
O relatrio de tipo inclui informaes referentes aos controles e procedimentos
utilizados para a realizao do servio contratado e tambm a avaliao das polticas da
5 Diretor administrativo de servios de administrao e operaes da Eisner.
6
8/14/2019 Cobit, Itil,Sas70
7/32
empresa H partes neste relatrio que so opcionais, como por exemplo, os testes que so
executados pelo revisor de contas. J o relatrio de tipo II, bastante similar ao do tipo I. A
principal diferena que neste, obrigatoriamente deve-se realizar testes sobre os controles
colocados em operao, esses testes verificaro a eficincia operacional da empresa, ou seja,
analisaro se os controles testados estavam operando com a eficincia necessria para
constatar que os objetivos de controle esperados foram atingidos durante o perodo de testes.
Segundo Vitor Albanese, muitas empresas-clientes esto solicitando de seus
prestadores de servios o relatrio de tipo II, pois este exigido pelo governo com base no
desenvolvimento e implementao da Lei Sarbanes-Oxley.
Benefcios
Para a empresa prestadora de servio, os benefcios vo alm da necessidade dos
clientes. Com o SAS 70 a empresa obtm ganho por realizar um monitoramento contnuo de
seus prprios processos e cria um ambiente de negcios transparente que por sua vez favorece
a realizao de novos negcios. J para a empresa-cliente o maior ganho est relacionado
qualidade do servio contratado e a segurana de sua prpria empresa.
7
8/14/2019 Cobit, Itil,Sas70
8/32
3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURADA TI
Desenvolvido no final dos anos 80 pela CCTA (Central Computer and
Telecommunications Agency) e atualmente sob custdia da OGC6 (Office for Government
Commerce) da Inglaterra. O ITIL, foi criado a fim de garantir que as organizaes do setor
pblico ingls tivessem o mximo de eficincia com o menor custo possvel e que a soluo
para essa demanda fosse totalmente independente de possveis provedores, descrevendo
detalhadamente diversas atividades importantes para a TI, como tarefas, procedimentos e
responsabilidades.Segundo a Pink Elephant7, a filosofia ITIL adota uma estratgia orientada a processos
que considera o gerenciamento de servios em TI constitudo de processos relacionados e
altamente integrados. Um de seus propsitos sintonizar a gesto da tecnologia com as
necessidades dos negcios, focando a qualidade dos servios prestados. Para atingir os
objetivos do gerenciamento de servios em TI, os processos devem utilizar o trip: pessoas,
processos e produtos, de forma eficaz, eficiente e econmica. O ITIL define o que deve ser
feito, ficando a cargo das organizaes a definio de como ser feito.
Sendo assim, o principal objetivo do ITIL o de fornecer um modelo para o
gerenciamento dos servios de TI, promovendo o alinhamento estratgico entre as reas de
negcio e as reas de TI da organizao, criando formas de comunicao e entendimento entre
ambas.
6 Organizao do governo do Reino Unido responsvel por tarefas que aumentam a eficincia e efetividade de processos denegcio do governo.7 Empresa de capital privado com o objetivo de aprimorar a qualidade dos servios de TI atravs da utilizao de um conjuntode melhores prticas, incluindo o ITIL.
8
http://pt.wikipedia.org/wiki/OGChttp://pt.wikipedia.org/wiki/Reino_Unidohttp://pt.wikipedia.org/wiki/Reino_Unidohttp://pt.wikipedia.org/wiki/OGC8/14/2019 Cobit, Itil,Sas70
9/32
Atualmente existem trs organizaes principais que regulam as prticas do ITIL:
OGC - Os direitos autorais do ITIL so de propriedade do governo britnico, visto que
o mesmo foi criado pela CCTA, este passou a fazer parte da OGC em 1 de abril de
2001.
ITSMF - O ITSMF (Information Technology Service Management Forum) um
grupo internacional de usurios independentes reconhecido mundialmente, que
promove a troca de conhecimentos relacionados a TI. Esse grupo ministra palestras,
seminrios e tambm publicam boletins informativos e operam um website para
divulgao de informaes.
EXIN e ISEB - A fundao holandesa EXIN (Exameninstituut voor Informatica) e o
conselho de exame de sistemas de informao (ISEB - Information Systems
Examination Board) britnico, desenvolveram um sistema de certificao para o
gerenciamento de servios em TI. Promovem certificaes em trs nveis: Diploma de
fundamentos, de profissionais e de mestre (para gerentes).
3.1 ITIL v3
De meados da dcada de 80 at o final da dcada de 90, o ITIL seguiu sua verso
original com 40 livros. A verso 2.0, e mais conhecida, possui 10 livros. Em 2006 foi ento
projetada a verso 3.0, reunindo o que havia de melhor nas verses anteriores, agregando os
domnios em 5 livros:
Estratgia de Servios (Service Strategy): esse livro aborda principalmente as
estratgias, polticas e restries sobre os servios. Inclui tambm temas como reao
de estratgias, implementao, redes de valor, portflio de servios, gerenciamento,
gesto financeira, anlise de mercado e ROI.
Design de Servios (Service Design): a abordagem nesse livro engloba polticas,
planejamento e implementao. baseado nos cinco aspectos principais de design de
9
8/14/2019 Cobit, Itil,Sas70
10/32
servios: disponibilidade, capacidade, continuidade, gerenciamento de nvel de
servios e outsourcing. Tambm esto presentes informaes sobre gerenciamento de
fornecedores e de segurana da informao.
Transio de Servios (Service Transition): Apresenta um novo conceito sobre o
sistema de gerenciamento do conhecimento dos servios. Tambm inclui abordagem
sobre mudanas, riscos e garantia de qualidade. Os processos endereados so
planejamento e suporte, gerenciamento de mudanas, gerenciamento de ativos e
configuraes, entre outros.
Operaes de Servios (Service Operations): operaes cotidianas de suporte so o
conceito principal desse livro. Monitoramento de problema e balanceamento entre
disponibilidade de servio e custo, so considerados. Existe foco principal em
gerenciamento de service desk e requisies de servios, separadamente de
gerenciamento de incidentes e de problemas, que tambm tm espao.
Melhorias Contnuas de Servios (Continual Service Improvement): a nfase deste
livro est nas aes planejar, fazer, checar e agir, de forma a identificar e atuar emmelhorias contnuas dos processos detalhados nos quatro livros anteriores. Melhorias
nesses aspectos tambm levam a servios aprimorados aos clientes e usurios.
At a verso 2.0 o ITIL focava o alinhamento entre TI e negcios. Na verso 3.0 o
foco a integrao entre eles. Para obter essa integrao, passou a ser utilizado nesta verso o
conceito de um ciclo de vida do servio (Service LifeCycle), que trata do servio desde a
identificao da sua necessidade at sua implementao.Na verso 3.0, a tendncia que a TI passe a ser vista como tecnologia de negcios ao
invs de tecnologia da informao. Desse modo, dever adicionar valor ao negcio ao invs
de apenas suport-los.
3.2 Ciclo de vida do servio (Service LifeCycle)
10
8/14/2019 Cobit, Itil,Sas70
11/32
Os principais passos previstos no Service Lifecycle so:
Identificao do servio
Desenvolvimento do servio
Posicionamento do servio
Consumo do servio
Gerenciamento do servio
Cada um desses passos envolve papis e responsabilidades diferentes, sendo assim so
necessrios profissionais que sejam aptos a realizar a tarefa de cada rea em especfico. Sendoestes, profissionais de soluo, infra-estrutura, desenvolvedores de servios, arquitetos de
enterprise, responsveis pelo negcio, entre outros.
Cada um dos passos do ciclo de vida de um servio, pode se sobrepor em momentos
de desenvolvimento, testes, homologao e uso em produo. Cada empresa pode aplicar
regras diferentes para o controle desses passos. Para gerenciar o ciclo de vida de um servio
pode ser necessrio e cmodo utilizar uma ferramenta de governana, como o Oracle
Enterprise Repository (OER), que auxilia a empresa em todo esse processo.
3.3 Governana
O ITIL possui sua governana baseada em duas camadas que compe a estrutura de
suas gerncias: Uma ttica e a outra operacional. A figura a seguir ilustra como se relacionam
essas estruturas de gerncia e controle mostrando, inclusive, o papel do GRC (gerncia de
relacionamento com o cliente).
11
8/14/2019 Cobit, Itil,Sas70
12/32
Fig 1: As gerncias do ITIL e seus relacionamentos. Adaptado por Matheus Canto de:
http://governadeti.blogspot.com.
3.1.1 Camada Ttica
3.1.1.1 Gerncia de Nvel de Servio
O planejamento, a coordenao, a elaborao, a monitorao e o feedback dos ANS
(acordos de nvel de servio), somados as possveis revises dos ANS, formam a gerncia de
nvel de servio (GNS), que tambm pode ser entendida como sendo a garantia da qualidade edos custos firmados num ANS no qual estariam baseadas as relaes entre servios e clientes.
preciso considerar os seguintes fatores quando se define os nveis de servio:
Custos
Continuidade
Disponibilidade
Desempenho
12
8/14/2019 Cobit, Itil,Sas70
13/32
Flexibilidade
Estabilidade
O Gerenciamento de nvel de servio inclui elaborar e manter acordos de nvel de
servio, acordos de nvel operacional, contratos de apoio e planos de qualidade de servio.
3.1.1.2 Gerncia de capacidade
Engloba a monitorao, anlise e planejamento do uso dos recursos da TI, a gerncia
da capacidade identifica quais so os servios requeridos e como dar suporte a eles.
Sem um processo bem definido e implementado da gerncia de nvel de servio, agerncia de capacidade tambm no trar os benefcios esperados para a empresa. A gerncia
de nvel de servio deve contribuir fornecendo para a capacidade, o correto entendimento dos
objetivos de negcio. Com essa viso, a gerncia de capacidade ser muito mais eficiente e
eficaz para prover demanda atual e futura dos negcios.
3.1.1.3 Gerncia de Continuidades
O processo de Gerenciamento de Continuidade de Servios de TI pesquisa, desenvolve
e implanta as opes de recuperao quando a interrupo de um servio atinge um ponto
crtico j definido anteriormente. Com isso, possvel afirmar que O objetivo do
Gerenciamento de Continuidade de Servios de TI planejar, cobrir e recuperar-se de uma
crise de TI que necessite que o trabalho seja movido a um sistema alternativo de forma
transparente.
A gerncia de continuidade de servios de TI pode beneficiar a empresa da seguinte
forma:
Melhor gerenciamento de riscos
Credibilidade organizacional
Vantagem competitiva
Recuperao dos sistemas de TI de uma forma controlada
Interrupo mnima do negcio
13
8/14/2019 Cobit, Itil,Sas70
14/32
3.1.1.4 Gerncia de Disponibilidade
O gerenciamento de disponibilidade responsvel por garantir que os servios estejam
disponveis. Estabelece nveis para que os objetivos de otimizao possam ser atendidosatravs do levantamento de requisitos de disponibilidade e da anlise da capacidade da infra-
estrutura da TI, onde, possveis lacunas seriam preenchidas por alternativas consideradas
viveis dentro do planejamento, envolvendo os conceitos de disponibilidade, confiabilidade e
sustentabilidade.
O gerenciamento de disponibilidade apresenta uma estreita relao com o
gerenciamento de capacidade para atingir o seu objetivo. Esta relao no pode garantir a
disponibilidade de um servio quando a capacidade insuficiente.O Gerenciamento de Disponibilidade pode beneficiar a empresa da seguinte forma:
Os servios de TI so administrados para atingir objetivos especficos de
disponibilidade
Melhoria da qualidade do servio, pois est mais controlado
Menor necessidade de suporte reativo a problemas
Menor custo de manuteno e tempo de queda Os recursos de TI so utilizados com maior eficincia
3.1.2 Camada Operacional
3.1.1.5 Central de Servios
A central de servios ou service desk, atua como uma linha de frente para os outros
departamentos de TI e capaz de lidar com inmeras dvidas dos clientes sem precisar
contatar pessoas especializadas. Para os usurios, pode ser considerada como um ponto nico
de contato com a empresa de TI, direcionando o usurio para rea correta. Alm disso, pode
ser atribudo central de servios a funo de acompanhamento a chamadas originadas dentro
da prpria organizao de TI.
A central de servios lida com atividades relacionadas a diversos processos bsicos do
ITIL como o gerenciamento de incidentes, o gerenciamento de liberaes e o gerenciamento
de mudanas.
14
8/14/2019 Cobit, Itil,Sas70
15/32
3.1.1.6 Gerncia de Incidentes
A central de servios responsvel pelo monitoramento da soluo de todos os
incidentes registrados - como resultado, esta passa a ser a proprietria de todos os incidentes.
A gerncia de incidentes tem como foco principal restabeler o servio o mais rpido
possvel minimizando o impacto negativo no negcio, uma soluo de
contorno ou reparo rpido fazendo com que o cliente volte a trabalhar de modo
alternativo. Incidentes que no podem ser resolvidos imediatamente pelo service deskpodem
ser designados a grupos de especialistas. A gerncia de incidentes inclui as seguintesatividades:
Registro de alerta de incidentes
Suporte e classificao de incidentes
Investigao e diagnstico
Resoluo e recuperao
Acompanhamento de incidente e comunicao ao cliente/usurio
Propriedade do incidente, monitoramento e fechamento
3.1.1.7 Gerncia de Problemas
O objetivo da gerncia de problemas minimizar o impacto de incidentes e problemas
no negcio causados por erros na infra-estrutura e evitar a ocorrncia de incidentes,
problemas e erros. Para isso deve resolver a causa dos erros e encontrar solues permanentespara estas. As causas das falhas so identificadas e so recomendadas alteraes nos itens de
configurao (CIs) para o gerenciamento de mudanas.
O gerenciamento de problemas difere do gerenciamento de incidentes no sentido de
que seu objetivo principal a deteco da origem do incidente e sua subseqente resoluo e
preveno, sendo esse um processo a nvel de empresa. Este objetivo pode estar em conflito
direto com o gerenciamento do incidente cujo objetivo principal restabelecer, na medida do
possvel, o servio ao nvel estabelecido no ANS, sendo esse um processo a nvel de usurio.
15
8/14/2019 Cobit, Itil,Sas70
16/32
3.1.1.8 Gerncia de Configurao
A gerncia de configuraes fornece controle direto sobre os ativos de TI e melhora a
habilidade do fornecedor de servios para entregar servios de TI com qualidade de uma
maneira econmica e efetiva. A gerncia de configuraes deve trabalhar prximo do
gerenciamento de mudanas.
Todos os componentes da infra-estrutura de TI devem ser registrados no banco de
dados do gerenciamento de configuraes (CMDB). As responsabilidades da gerncia de
configuraes relacionadas ao CMDB so: o planejamento, a identificao, o controle, acontagem de status e a verificao e exames.
Essa gerncia ainda acrescenta alguns benefcios como: o fornecimento de
informaes precisas dos CIs e suas documentaes, o controle dos CIs, a facilitao da
aderncia a obrigaes legais, ajuda com o planejamento financeiro e despesas, a visibilidade
das mudanas do software, contribuies com o plano de contingncia, suporte e
melhoramento do gerenciamento de releases, a permisso para que a organizao execute
anlises de impacto e mudanas programadas de modo seguro e eficiente e o fornecimento dedados e tendncias para a gerncia de problemas.
3.1.1.9 Gerncia de Mudanas
O objetivo da gerncia de mudanas gerenciar todas as mudanas que possam vir a
interferir a entrega do servio.
As principais atribuies ou responsabilidades dessa gerncia so caracterizadas comosendo o recebimento e registro de requisies de mudanas, a avaliao das implicaes, o
custo/benefcio e riscos das mudanas propostas, o planejamento das mudanas, a
coordenao e o controle da implementao, a monitorao e os relatrios, as revises ps-
implementao, a instaurao do conselho controlador de mudanas e um comit de
emergncias.
3.1.1.10 Gerncia de Liberaes
16
8/14/2019 Cobit, Itil,Sas70
17/32
A gerncia de liberaes ou verses (ou releases), responsvel pelo controle de
licenas referentes a recursos de software e hardware pertencentes a TI, procura assegurar que
somente verses autorizadas estejam disponveis para utilizao. Tambm responsvel pelo
planejamento, desenho, construo, configurao, preparao e programao da liberao e
testes de hardware e software, assegurando desta forma, componentes necessrios para que os
incidentes e instalaes possam ser tratados rapidamente.
3.4 Modelo de Maturidade
O ITIL pode ser independente quanto ao modelo de maturidade a ser utilizado. Para
cada uma das gerncias, existe uma classificao dentro dos nveis de maturidade, com isso,os nveis de maturidade apontam direes para a evoluo de servios, tarefas, processos e/ou
procedimentos.
Na adoo do ITIL, pode-se escolher como modelo de maturidade o PMF - Process
Maturity Framework (Modelo de Maturidade de Processos), que possui 5 nveis e parte
integrante do prprio ITIL, ou pode-se utilizar tambm um dos modelos disponibilizados,
como o CMM, CobiT e ISO 15504.
Neste trabalho ser abordada a maturidade segundo a viso do PMF.Segundo Matheus Canto, o PMF pressupe que est sendo utilizado in loco um
sistema de gesto de qualidade (QMS - Quality Management System), e que o objetivo
melhorar um ou mais aspectos de eficincia, eficcia, economia ou a equidade dos processos.
O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros,
enquanto o PMF do ITIL define vrias dimenses que compreendem cada nvel.
O PMF avalia a maturidade das gerncias, de acordo com os seguintes fatores:
Viso e estratgia
Direcionamento (Steering)
Processos
Pessoas processos;
Tecnologia
Cultura
17
8/14/2019 Cobit, Itil,Sas70
18/32
A Figura 2 detalha os cinco nveis bsicos de maturidade abordados pelo PMF,
incluindo seus enfoques para uma melhor gesto.
Fig 2: Detalhamento dos nveis de maturidade. Adaptado por Matheus Canto de:http://www.isdbrasil.com.br./
3.5 Benefcios do ITIL
O ITIL baseado na necessidade de fornecer os servios com alta qualidade, s
vantagens dessa prtica so enormes. Entre elas, as principais so:
Alinhamento dos servios de TI com as necessidades do negcio
Melhoria da qualidade dos servios de TI
Reduo de custos
Processos cada vez mais eficientes e eficazes
Gerenciamento da empresa de maneira global
18
8/14/2019 Cobit, Itil,Sas70
19/32
Reduo no nmero de incidentes
Reduo da dependncia sobre as pessoas chaves
Riscos na infra-estrutura e dependncias so facilmente identificveis
3.6 Desvantagens do ITIL
Segundo Carla Farinha, a maior desvantagem do ITIL est na burocracia de seusprocessos, ela ainda afirma que o conjunto de melhores prticas no passa de uma lista de
itens que a organizao deve seguir. As prticas do ITIL no so implementadas e sim usadas
para criar a mudana organizacional, ou seja, ITIL no orienta como aplicar efetivamente
essas tcnicas, cada organizao deve desenhar as suas baseando-se nas necessidades e
objetivos.
Uma outra desvantagem do ITIL que, enquanto alguns tpicos so cobertos
extensivamente e definidos como de alto valor, outros tpicos podem no receber suficienteateno quando se trata da qualidade, o que leva desigualdade entre os processos.
19
8/14/2019 Cobit, Itil,Sas70
20/32
4 COBIT: OBJETIVOS DE CONTROLE PARATI
O CobiT pode ser definido como um guia para a implementao de controles e
mtricas para o gerenciamento da rea de tecnologia da informao (TI) como um todo.
Embora tenha sido desenvolvido e recomendado pelo ISACF (http://ww.isaca.org) atualmente
passou a ser mantido pelo ITGI - IT Governance Institute.
Segundo Luciana Costa, um modelo utilizado internacionalmente como um
instrumento (de fomento) da Governana de TI, contendo prticas, tcnicas de controle e
gerenciamento, a fim de: auxiliar na preparao para auditorias, acompanhamento,
monitoramento, avaliao dos processos de TI e finalmente, auxiliar no alcance de metas na
organizao. Para isso, no determina como os processos devem ser estruturados, e sim, como
utiliz-los da melhor forma a fim de gerar as informaes que a empresa realmente necessita
para que suas metas sejam cumpridas.
Especialistas em gesto e institutos independentes recomendam o uso do
Cobit como meio para otimizar os investimentos de TI, melhorando oretorno sobre o investimento ROI percebido, fornecendo mtricas paraavaliao de performance (KPI) , de resultados (KGI) e nvel do maturidade(modelo de maturidade).
(Renato Sona Gonalves8, http://governadeti.blogspot.com/2008/03/cobit-aguarde.html)
Criado para apoiar os profissionais no controle e gerenciamento dos processos de TI
de forma lgica e estruturada, procura ocupar o espao entre a gesto de riscos voltada para o
8 Analista de Sistemas, com especializao em Gesto de Projetos, pela Unicamp. Gerente de Sistemas do Grupo JulioSimes.
20
http://ww.isaca.org/http://governadeti.blogspot.com/http://ww.isaca.org/http://governadeti.blogspot.com/8/14/2019 Cobit, Itil,Sas70
21/32
negcio (atendida pela metodologia COSO), a gesto de servios em TI (ITIL) e a gesto da
segurana da informao (tratada pela BS7799 ou ISO/IEC 17799 - verso internacional).
Buscando fornecer informaes detalhadas para gerenciar os processos de negcios de
uma empresa, auxilia os seguintes profissionais de TI:
Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma
organizao.
Usurios que precisam ter garantias de que os servios de TI do qual dependem os
seus produtos esto sendo bem gerenciados.
Auditores que podem se apoiar nas recomendaes do COBIT para avaliar o nvel da
gesto de TI e aconselhar o controle interno de uma organizao.
4.1 Os Modelos de Processos de TI
O CobiT consiste de trs modelos: modelo de processos de TI (framework), modelo
para governana de TI e o modelo de maturidade de TI.
4.1.1 Modelo de processos de TI (Framework)
Este modelo consiste em um conjunto de 318 Controles, distribudos em 34 processos
que so agrupados em 4 domnios que integram um ciclo de vida que pode ser repetido no
sistema de gesto de TI. Onde cada um desses domnios visa um objetivo de controle em
especfico. Esses objetivos de controle, se atingidos, garantem o alinhamento da TI aos
objetivos do negcio. A responsabilidade pelo sucesso dos sistemas de controles , portanto,
da alta direo, a qual deve torn-los efetivos.
Os quatro domnios do CobiT:
Planejar e Organizar
Adquirir e Implementar
Entregar e Dar Suporte
Monitorar e Avaliar
21
8/14/2019 Cobit, Itil,Sas70
22/32
4.1.1.1 Planejar e organizar
Esse domnio cobre o uso da informao e da tecnologia disponvel na empresa e
como estas podem ser utilizadas para que a empresa atinja seus objetivos e metas. Para isso,considera tambm a forma organizacional e a infra-estrutura de TI desta determinada
organizao. Atravs da anlise, planejamento e organizao de cada uma dessas reas
possvel obter inmeros benefcios e atingir as metas estabelecidas.
A tabela seguinte lista os objetivos de controle de alto nvel para o domnio do
Planejamento e Organizao:
OBJETIVOS DE CONTROLE DE ALTO NVELPlanejar e Organizar
PO1 Definir um Plano Estratgico de TI e Orientaes
PO2 Definir a Arquitetura de Informao
PO3 Determinar o Gerenciamento Tecnolgico
PO4 Definir os Processos de TI, Organizao e Relacionamentos
PO5 Gerenciar o Investimento em TI
PO6 Comunicar os Objetivos de Gerenciamento e Orientar
PO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a Qualidade
PO9 Estimar e Gerenciar os Riscos de TI
PO10 Gerenciar ProjetosFonte: http://pt.wikipedia.org/wiki/CobiT
4.1.1.2 Adquirir e Implementar
As solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim
como devem ser implantadas e integradas dentro de um processo de negcios. Segundo Paulo
Csar Rodrigues9, esse domnio tambm foca o desenvolvimento do plano de manuteno que
a companhia adota para prolongar a vida do sistema de TI e seus componentes. Qualquer
mudana na manuteno garantida por este domnio, aps mudana, o domnio passa a
assegurar que a soluo continue a atender os objetivos de negcio. Os objetivos de alto nvel
do domnio de aquisio e implementao seriam:
9 Dono e profissional atuante da Confidentia IT Solutions - Governana, Riscos, Conformidade .
22
http://www.via6.com/perfil.php?mid=104079http://www.via6.com/perfil.php?mid=1040798/14/2019 Cobit, Itil,Sas70
23/32
OBJETIVOS DE CONTROLE DE ALTO NVELAdquirir e Implementar
AI1 Identificar Solues Automatizadas
AI2 Adquirir e Manter Software de Aplicao
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operao e Uso
AI5 Obter Recursos de TI
AI6 Gerenciar Mudanas
AI7 Instalar e Credenciar Solues e Mudanas
Fonte: http://pt.wikipedia.org/wiki/CobiT
4.1.1.3 Entregar e Dar Suporte
Foca aspectos de entrega de TI, se preocupa com a entrega real dos servios
solicitados, o que inclui o service delivery, o gerenciamento da segurana, o servio de
suporte aos usurios, entre outros. Desta forma, cobre a execuo de aplicaes dentro dosistema e seus resultados, assim como o suporte dos processos que habilitam a execuo de
forma eficiente e efetiva. A seguir a tabela com os objetivos de controle de alto nvel desse
domnio.
OBJETIVOS DE CONTROLE DE ALTO NVELEntregar e Dar Suporte
DS1 Definir e Gerenciar Nveis de ServioDS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Performace e Capacidade
DS4 Assegurar Servio Contnuo
DS5 Assegurar Segurana de Sistema
DS6 Identificar e Alocar Recursos
DS7 Treinar Usurios
DS8 Gerenciar Servios de Escritrio e Incidentes
DS9 Gerenciar a Configurao
23
8/14/2019 Cobit, Itil,Sas70
24/32
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Fsico
DS13 Gerenciar OperaesFonte: http://pt.wikipedia.org/wiki/CobiT
4.1.1.4 Monitorar e Avaliar
Monitora o sistema implantado e avalia se o atual sistema de TI atinge os objetivos
desejados. Todos os processos de TI necessitam ser auditados/avaliados regularmente em suaqualidade e adequao com requerimentos de controle. Este domnio enderea o
gerenciamento de performance, monitoramento de controle internos, cobre as questes de
estimativa independentemente da efetividade do sistema de TI e sua capacidade de atingir os
objetivos de negcio, controlando os processos internos da companhia atravs de auditores
internos e externos.
OBJETIVOS DE CONTROLE DE ALTO NVELMonitorar e Avaliar
M1 Monitorar os processos
M2 Assegurar avaliao dos controles internos
M3 Obter avaliao independente
M4 Prover auditoria independente
Fonte: http://pt.wikipedia.org/wiki/CobiT
4.1.2 O Modelo de Governana de TI
Esse modelo constitudo pela unio de 3 componentes em especfico:
Fatores Crticos de Sucesso FCS (CSFs - Critical Success Factors) - So os pontos
chave que definem o sucesso ou o fracasso de um objetivo definido. Define o que h
24
8/14/2019 Cobit, Itil,Sas70
25/32
de mais importante a ser feito para permitir que uma tarefa ou processo sejam
concludos.
Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - Permitem medir em que
grau os novos processos implementados responderam aos requisitos de negcio.
Utilizados para reconhecer se as metas definidas foram alcanadas.
Indicadores de Desempenho - IdD (KPIs - Key Performance Indicators) - medem o
nvel de desempenho do processo, focando no como e indicando como os
processos de TI permitem que o objetivo seja alcanado.
Um Processo deve alcanar os objetivos de negcio definidos nos indicadores de
metas (IdM). Um habilitador, resultante da combinao dos recursos de TI necessrios e dos
fatores crticos de sucesso (FCS) fornece a informao segundo os critrios necessrios e
monitorado por indicadores de desempenho (IdD).
Esses critrios podem ser: eficcia, eficincia, confidencialidade, integridade,
disponibilidade e confiabilidade. A combinao desses elementos depende da natureza do
processo de TI.
25
8/14/2019 Cobit, Itil,Sas70
26/32
Fig 3: Os componentes de um processo de TI. Adaptado por Matheus Canto de:
http://www.vhmartins.com/cobit2.htm
4.2 Modelo de maturidade de TI
O modelo de maturidade fornecido, como uma ferramenta distinta para cada um dos
34 processos do COBIT. A partir dos nveis de maturidade descritos para cada um desses
processos, possvel identificar:
Um mtodo para auto-avaliao. Situa a organizao quanto a seusprocessos;
Um mtodo para utilizar os resultados da auto-avaliao. Pode ser
usado para estabelecer metas para desenvolvimentos futuros, baseando-se
principalmente na posio em que a empresa deseja alcanar na escala, no
necessariamente no nvel 5;
Um mtodo para planejar projetos que atinjam as metas estabelecidas
previamente. Esse planejamento teria como base a diferena entre as metas e a
situao atual da empresa.
Um mtodo para priorizar projetos baseado na sua classificao e na
anlise dos benefcios versus os custos.
Segundo o ITGI10, os nveis de maturidade dos processos de TI descrevem perfis de
processos que possam ser reconhecidos pelas organizaes. Esses nveis no estabelecem
patamares evolutivos, onde no se pode alcanar um nvel superior sem antes passar pelos
inferiores.
O CobiT utiliza uma escala de seis nveis, conforme o modelo de Maturidade abaixo:10 Instituto de Governana de TI.
26
8/14/2019 Cobit, Itil,Sas70
27/32
Fonte: COBIT Management Guidelines July 2000
0 Inexistente - A organizao no reconhece a existncia de um processo a ser
gerenciado.
1 Inicial - Os processos so eventuais (ad hoc) e no organizados.No h
processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas em bases
isoladas ou caso a caso.
2 Repetitivo -Os processos so estruturados e procedimentos similares so seguidos
por diferentes indivduos para a mesma tarefa. No h treinamento ou divulgao formais de
procedimentos padronizados e as responsabilidades so deixadas a cargo das pessoas. H forte
dependncia do conhecimento individual. Existe alguma documentao.
3 Definido - Os processos so padronizados, documentados e comunicados.
Entretanto deixa a cargo dos indivduos seguirem ou no os processos, isso dificulta a
deteco de desvios.
4 Gerenciado - Existe a possibilidade de monitorar o cumprimento dos
procedimentos e adotar medidas quando os processos aparentarem no funcionar
efetivamente. Os processos esto sob constante melhoria e propiciam boas prticas.
Automao e ferramentas so utilizadas de forma limitada ou fragmentada.
5 Otimizado -Os processos foram refinados at alcanar as melhores prticas, com
base no resultado de melhoria contnua e comparaes com outras organizaes. A TI
543210
Inexistente Inicial Repetitivo Definido Administrado Otimizado
Situao atual da organizao
Padro de mercado
Melhores prticas
Estratgia da organizao
27
8/14/2019 Cobit, Itil,Sas70
28/32
utilizada como uma forma integrada para automatizar os fluxos dos procedimentos
(workflow), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a
empresa gil para adaptaes.
4.3 Benefcios do CobiT
Com a evoluo da tecnologia, as empresas ficaram dependentes de todos os tipos de
artifcios para driblar o acesso de terceiros aos seus dados privados, ou seja, atualmente
necessrio que as empresas utilizem de toda a tecnologia necessria para implementar controles
de segurana eficazes.
Segundo Mayer Fagundes11, as recomendaes de gerenciamento do CobiT com
orientao no modelo de maturidade em governana auxiliam os gerentes de TI no
cumprimento de seus objetivos alinhados com os objetivos da organizao.
Os guia de gerenciamento do CobiT foca na gerncia por desempenho usando os
princpios do BSC (Balanced Scorecard). Que por sua vez, possuem mtodos que incluem:
definio da estratgia empresarial, gerncia do negcio, gerncia de servios e gesto da
qualidade. Identificam e medem os resultados dos processos, avaliando seu desempenho e
alinhamento com os objetivos dos negcios da empresa.Se implementado da maneira correta, os benefcios do CobiT podem ser inmeros,
entre eles:
Diminuio no volume de relatrios para a tomada de deciso
Aumento no foco das aes gerenciais
Melhoria na comunicao de tarefas e metas Facilidade no entendimento dos dados e informaes
Reduo na quantidade de trabalho
Ganho na produtividade gerencial
11Diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos mercados de gerao e distribuiode energia e na rea de telecomunicaes.
28
http://pt.wikipedia.org/wiki/Estrat%C3%A9gia_empresarialhttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Estrat%C3%A9gia_empresarialhttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidade8/14/2019 Cobit, Itil,Sas70
29/32
4.4 Desvantagens do CobiT
Apesar do CobiT ser aplicvel a todos os setores da empresa, apresenta falhas quando
passamos a observar alm dos processos. Analisando de uma maneira geral, possvel afirmar
que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente),
pois seu foco est ligado s reas de nvel estratgico e ttico da mesma.
29
8/14/2019 Cobit, Itil,Sas70
30/32
5 CONCLUSO
Levando todos os aspectos aqui levantados quanto a governana de TI, mais
especificamente sobre o ITIL e CobiT, possvel notar que estas metodologias inovaram area de TI, contribuindo desta forma, no somente com as empresas, mas tambm com os
profissionais desta rea. Por um lado, a governana promove um novo foco das atividades do
setor para que este se alinhe estrategicamente com os objetivos da empresa, promovendo
melhor desempenho, reduo de custos e melhoria dos servios. Por outro lado, melhora a
vida do profissional de TI, j que este passa de uma vida de estresse e tenso, para um
ambiente de trabalho controlado e estabilizado.
O ITIL est consolidado na TI no que se refere a servios e suporte, e o CobiT,consolidado no que se refere a processos, onde o foco ser sempre o aspecto gerencial e
operacional. Esses modelos so complementares, possuem pontos distintos que completam
um ao outro. O uso adequado destas metodologias em conjunto, favorece a administrao da
empresa a ponto de diminuir o volume de relatrios, aumentar o foco das decises gerenciais,
reduzir custos e trabalho, melhorar a comunicao, entre outros.
So complementares, principalmente por causa dos seus objetivos e foco,uma vez que o ITIL, pelo que foi apresentado, seria o "como fazer" enquantoo CobiT seria o "o que fazer" para a TI no que se refere a servios e
processos.(MatheusCanto, CobiT x ITIL: um estudo comparativo)
Alm de ter abordado duas das principais metodologias da governana de TI, este
trabalho tambm deu uma breve descrio do relatrio formal de auditoria para empresas
prestadoras de servio, o SAS 70.
30
8/14/2019 Cobit, Itil,Sas70
31/32
REFERNCIAS BIBLIOGRFICAS
ANDRADE, Vera. Descomplicando o ITIL. Disponvel em:
http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdf.
Acesso realizado em: 23/11/09
CANTO, Matheus. CobiT X ITIL: estudo comparativo. Disponvel em:
http://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdf .
Acesso realizado em: 03/11/09
CAVALCANTE. Gerenciamento da Continuidade de Servios de TI. Disponvel em:
http://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-
continuidade.pdf. Acesso realizado em: 16/11/09
COBIT Management Guidelines July 2000. Disponvel em:http://www.madah.com.br/Cobit_Modelo_Maturidade.doc. Acesso realizado em:
16/11/09
ELEPHANT, Pink. O QUE ITIL?. Disponvel em:
http://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp . Acesso realizado
em: 16/11/09
31
http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asphttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asphttp://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp8/14/2019 Cobit, Itil,Sas70
32/32
FARINHA, Carla. Adoo de ITIL em grandes empresas. Disponvel em:
http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdf. Acesso realizado em:16/11/09
FERRO, Francisco. A Gesto dos Nveis de Servio (SLM). Disponvel em:
http://www.sqs.pt/ARTIGO-3-ITIL.pdf. Acesso realizado em: 03/11/09
HILZENDEGER, Julio. Governana de TI O Modelo COBIT. Disponvel em:
http://www.baguete.com.br/colunasDetalhes.php?id=3211 em 16/11/09
SILVA, Marcelo. Entendendo o conceito do Valor de TI. Disponvel em:
http://marceloegito.wordpress.com/ . Acesso realizado em: 11/11/09
VERNAY, Diogo. Gerenciamento de Incidentes - ITIL. Disponvel em:
http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html .
Acesso realizado em: 25/11/09
http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdfhttp://www.sqs.pt/ARTIGO-3-ITIL.pdfhttp://www.baguete.com.br/colunasDetalhes.php?id=3211http://marceloegito.wordpress.com/2008/11/03/entendendo-o-conceito-do-%E2%80%9Cvalor-de-ti%E2%80%9D/http://marceloegito.wordpress.com/http://marceloegito.wordpress.com/http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdfhttp://www.sqs.pt/ARTIGO-3-ITIL.pdfhttp://www.baguete.com.br/colunasDetalhes.php?id=3211http://marceloegito.wordpress.com/2008/11/03/entendendo-o-conceito-do-%E2%80%9Cvalor-de-ti%E2%80%9D/http://marceloegito.wordpress.com/http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html