CObIT Module - OverView
-
Upload
jairo-willian-pereira -
Category
Technology
-
view
430 -
download
1
description
Transcript of CObIT Module - OverView
Pós-Graduação 2009
COBIT
Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
CON – A4 41
Índice COBIT
1. Introdução
2. Domínios e processos de Tecnologia
3. Requisitos de Negócio
4. Requisitos e Conceitos
5. Domínio e objetivos de Controle
6. Como utilizar a metodologia
7. Porque adotar a metodologia
8. Exercício
9. Links
10. Dúvidas
CON – A4 42
Introdução
COBIT
Control OBjectives to Information
and related Technologies
Baseado nas definições da ISACA
(Information Systems Audit and Control Association)
CON – A4 43
Introdução
ISACA
• + 34.000 profissionais (TI, Segurança e Auditores)
• Presente em mais de 100 países;
• Total de 180 capítulos
• Oferece preparação para a certificação: CISA – Certified Information Systems Auditor
CISM – Certified Information Security Manager
• Programas específicos excelência IT Governance
CON – A4 44
Introdução
Missão COBIT
“Pesquisar, desenvolver, publicar e promover um conjunto de
Objetivos de Controle, com autoridade e foco internacional,
aceitos e aplicáveis à Tecnologia da Informação, para o uso
rotineiro de gerentes de negócio, auditores e profissionais
de segurança da informação.”
Visão COBIT
“Ser modelo para Governança em TI”
CON – A4 45
Introdução
? Fortalezas Fraquezas !
ITIL - Processos Operação; - Serviços (D&S).
- Segurança; - Desenvolvimento.
IT Mgmt
CObIT - Controles; - Métricas; - Auditoria.
- São linhas gerais (macro); - Não indicam "como fazer“; - Segurança.
IT Audit&Controls
2700x - Controles; - Recomendações; - Segurança.
- Um guia genérico; - Sem material específico. - Processos & Procedimentos
Security Mgmt
Pontos fortes x fracos
CON – A4 46
Introdução
Objetivo de Controle
“A formalização sobre “resultado desejado”
ou “propósito a ser alcançado” pela
implementação de procedimentos de
Controle em atividades específicas à
Tecnologia da Informação”
CON – A4 47
Introdução
Divisões COBIT
• Sumário Executivo
Alta Administração: CEO / CIO
• Governance & Control Framework (Estrutura)
Diretores de TI e Auditoria de Sistemas (
• Objetivos de Controle
Gerência de TI e Auditoria de Sistemas
• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)
Profissionais de Auditoria (business process and goals)
CON – A4 48
Introdução
Divisões COBIT
• Diretrizes de Gerência
Gerência de Negócios (Operacional), Diretoria,
Gerência de TI, Gerência de Controles/Auditoria
• Conjunto de Ferramentas de Implementação
Diretor de TI e Auditoria / Controle
Gerência de TI e Gerência de Auditoria / Controles
CON – A4 49
Introdução
Regra fundamental
Para prover informações relevantes para
a corporação cumprir seus objetivos,
os recursos tecnológicos precisam
ser administrados por um conjunto de
processos agrupados naturalmente.
CON – A4 50
Domínio e processos de tecnologia
O cubo COBIT
(3 eixos)
[ 4 x 34 x 210 ]
CON – A4 51
Processos de Tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um resultado mensurável.
CON – A4 52
Metodologia, Estrutura e escopo
Escopo
Estrutura
Domínios
Processos
Objetivos
CON – A4 53
Metodologia, Estrutura e escopo
CON – A4 54
Metodologia, Estrutura e escopo
...
CON – A4 55
Requisitos de Negócio
Critérios para Informações (fiduciários)
• Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas
de forma oportuna, correta, consistente e prontas para uso. • Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e
econômico dos recursos disponíveis. • Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração,
tomada de decisão e operação da organização.
Elaboração de relatórios,
Informações aos órgãos reguladores,
Ações estratégicas, táticas ou operacionais
• Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.
CON – A4 56
Requisitos de Negócio
Critérios para Informações (segurança)
• Confidentiality – Confidencialidade
Refere-se à proteção de informações confidenciais contra divulgação
não autorizada.
• Integrity – Integridade
Refere-se à integridade das informações, bem como à sua validade
com base no conjunto de valores e expectativas do negócio.
• Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que
forem necessárias ao processo de negócio.
CON – A4 57
Requisitos de Negócio
Critérios para Informações (qualidade)
• Quality - Qualidade
Condição na qual é oferecido o “entregável”.
• Costs – Custos
Valor envolvido na “informação” referenciado. Pode ser mensurável
ou imensurável.
• Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados,
previamente ou ASAP.
CON – A4 58
Requisitos e Conceitos
Recursos de Tecnologia
• Data – Dados
Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc.
• Application Systems - Sistemas Aplicativos
Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados.
• Technology - Tecnologia
Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc.
CON – A4 59
Requisitos e Conceitos
Recursos de Tecnologia
• Facilities (Instalações)
Ambientes ou instalações que comportam e apoiam os sistemas de informática.
• People (Pessoas)
Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática.
CON – A4 60
Domínio e processos de tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um resultado mensurável.
CON – A4 61
Domínio dos objetivos de Controle
Domínios COBIT
1. Planejamento e Organização Planning & Organization [PO]
2. Aquisição e Implantação Acquisition & Implementation [AI]
3. Entrega e Suporte Delivery & Support [DS]
4. Monitoração e Avaliação Monitoring & Evaluate [ME]
CON – A4 62
Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
• Estratégia e planejamento tático de tecnologia
• Suporte aos objetivos de negócio da companhia
• Planejamento, comunicação e gerenciamento
• Organização e infra-estrutura tecnológica adequada
CON – A4 63
Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
PO1 Definição de um Plano Estratégico de tecnologia
PO2 Definição da arquitetura de Informação
PO3 Definição da diretrizes tecnológicas
PO4 Definição Processos de TI, organização e relacionamentos
PO5 Administração do investimento em tecnologia
PO6 Comunicação das metas e instruções administrativas
PO7 Administração de Recursos Humanos
PO8 Garantia de conformidade com requisitos externos
PO9 Avaliação de riscos
PO10 Administração de projetos
PO11 Administração de qualidade
CON – A4 64
Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
• Realização da estratégia de tecnologia
• Soluções identificadas, desenvolvidas, ou adquiridas e
implantadas
• Soluções integradas com o processo de negócio
• Controles sobre mudanças, problemas e manutenção
CON – A4 65
Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
AI1 Identificação de soluções “automatizadas”
AI2 Aquisição e manutenção de software aplicativo
AI3 Aquisição e manutenção da infra-estrutura de tecnologia
AI4 Desenvolvimento/manutenção - procedimentos/documentação
AI5 Seleção de recursos de TI
AI6 Gestão de mudanças
AI7 Instalar e credenciar Soluções e Mudanças
CON – A4 66
Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
• Entrega efetiva dos serviços requeridos
• Treinamento e Segurança na operação
• Estabelecimento de processos de apoio
• Incidentes e Problemas
CON – A4 67
Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)
DS2 Administração dos serviços de terceiros
DS3 Administração de desempenho e capacidade
DS4 Garantia da continuidade de serviço
DS5 Garantia de segurança de sistemas
DS6 Identificação e alocação de custos
DS7 Educação e treinamento de usuários
DS8 Administrando Service-Desk e Incidentes
DS9 Administração da configuração
DS10 Gerenciamento de problemas
DS11 Administração dados, DS12 Instalações e DS13 Operações
CON – A4 68
Domínio dos objetivos de Controle
4. Monitoração [ME]
• Avaliação freqüente de todos processos de tecnologia
• Conformidade com os controles
• Qualidade dos controles
• Governança
CON – A4 69
Domínio dos objetivos de Controle
4. Monitoração [ME]
ME1 Monitoração e Avaliação da performance de TI
ME2 Monitoração e Avaliação dos Controles Internos
ME3 Obter garantia independente/conformidade
ME4 Prever Governança em TI
CON – A4 70
Como utilizar a Metodologia
Selecionando os Business Drivers
Através de entrevistas realizadas com os
responsáveis pelas linhas de negócio, consultas
ao Business Plan e análise dos materiais sobre
as tendências de negócio e mercado, definem-se
os Direcionadores de Negócio (Business Drivers)
CON – A4 71
Como utilizar a Metodologia
Selecionando os IT Drivers
Tendo como referência os Direcionadores de
Negócio (Business drivers) identificados
anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou
viabilizam os Business Drivers identificados.
CON – A4 72
Como utilizar a Metodologia
Questionários/Auto-Avaliações – Objetivos:
• Identificar quem são os responsáveis pelos assuntos;
• Definir qual a importância dos assuntos;
• Verificar se existem controles ou monitoração.
Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia.
Após o preenchimento da tabela, consegue-se ter uma idéia
das preocupações mais relevantes
CON – A4 73
Como utilizar a Metodologia
Assess Risks
CON – A4 74
Como utilizar a Metodologia
Identificação - preocupações tecnológicas
CON – A4 75
Como utilizar a Metodologia
Zoom
CON – A4 76
Como utilizar a Metodologia
Atendendo os resultados…
• Selecionar Business drivers com maior # de IT drivers suportando-o maiores preocupações da administração pontos de maior risco potencial.
• Dentre os IT drivers que suportam o Business driver escolhido com: alto número de fatores de risco associados, Empates - considerar o domínio com maior risco ao negócio
• Dentre os domínios de fatores de risco: o domínio que apresenta a maior incidência de riscos ao IT
Driver
• Dentro do domínio de risco escolhido
selecionar fator de risco que atenda maior # preocupações de TI
CON – A4 77
Porque adotar a Metodologia?
Porque adotar a metodologia?
• Ênfase na administração corporativa
• Gerenciamento das responsabilidades por recursos
• Necessidades específicas - controle de recursos tecnológicos
• Soluções orientadas ao negócio da companhia
• Estrutura consolidada para a avaliação de riscos
• Melhor comunicação entre administração e envolvidos
• Identificar real nível de maturidade e evidência dos controles
CON – A4 78
Porque adotar a Metodologia?
COBIT para o Security Officer
• Pode ser usado como um modelo para um programa de
segurança da informação, visando INTEGRAR segurança
com os objetivos de TI relacionados aos negócios
• Utilize o COBIT para estruturar a Política, as Normas e os
Procedimentos de Segurança da Informação
CON – A4 79
Porque adotar a Metodologia?
Mitos do COBIT
• Ferramenta exclusiva de “Compliance”;
• Implantação depende Auditoria;
• Concorrência com a Norma BS7799;
• Bom nível de abstração e aplicabilidade;
• Simples, rápido e barato.
CON – A4 80
Porque adotar a Metodologia?
CON – A4 81
Exercício 1
Who made Who?
CON – A4 82
Exercício 2
Definir:
• Modelo de negócio;
• Processo de Tecnologia;
• Atividade relacionada;
• Recurso de Tecnologia;
• Mapear 3 “preocupações” considerando critério Segurança;
• Documentar e “amarrar” relacionamento.
CON – A4 83
Links
http://www.bsi-global.com/
http://www.iec.ch
http://www.iso.org
http://www.controlit.org
http://www.abnt.org.br
http://www.isaca.org/cobit
http://www.foxit.net
http://www.ietf.com
http://www.dvorax.com.br
CON – A4 84
Dúvidas ?