Baixe o app para aproveitar ainda mais
Prévia do material em texto
COBIT 2019 Fundamentos da Governança de TI Apostila do aluno – V1.0 PUBLICAÇÕES ESSENCIAIS COBIT FRAMEWORK Introdução e Metodologia 1 COBIT FRAMEWORK Objetivos de Governança e Gerenciamento 2 COBIT DESIGN GUIDE 3 COBIT IMPLEMENTATION GUIDE 4 1996 1998 2005/72000 2012 2019 CobiT 1 CobiT 2 CobiT 3 CobiT 4/4.1 COBIT 5 COBIT 2019 Auditoria Controle Gerenciamento Governança de TI Governança Empresarial de Tecnologia e Informação EVOLUÇÃO DO COBIT CERTIFICAÇÕES COBIT 2019 COBIT 2019 Design and Implementation USD $275 Obrigatório COBIT 2019 Foundation 3 horas 60 questões 60% para aprovação Implementing NIST with COBIT 2019 COBIT 2019 Foundation USD $175 Não há pré-requisitos 2 horas 75 questões 65% para aprovação Contexto da Governança Empresarial de Tecnologia e Informação Governança Empresarial de TI Alinhamento TI/Negócio Criação de Valor Dada a centralidade da I&T para a gestão de riscos corporativos e geração de valor, um foco específico na governança empresarial da informação e tecnologia (Enteprise Governance of Information and Technology) surgiu nas últimas três décadas. EGIT é parte integrante da governança corporativa. É exercido pelo conselho que supervisiona a definição e implementação de processos, estruturas e mecanismos relacionais na organização que permitem que os negócios e as pessoas de TI executem suas responsabilidades no suporte ao alinhamento de negócios / TI e na criação de valor de negócios a partir de I&T investimentos empresariais. Benefícios da Governança da Informação e Tecnologia Fundamentalmente, a EGIT está preocupada com a entrega de valor da transformação digital e a mitigação dos riscos de negócios que resultam da transformação digital. Mais especificamente, três resultados principais podem ser esperados após a adoção bem-sucedida do EGIT: Ø Realização de benefícios - Consiste na criação de valor para a empresa por meio de I&T, mantendo e aumentando o valor derivado dos investimentos existentes em I & T11 e eliminando iniciativas e ativos de TI que não estão criando valor suficiente. Ø Otimização de risco - Envolve lidar com o risco do negócio associado ao uso, propriedade, operação, envolvimento, influência e adoção de I&T dentro de uma empresa. Ø Otimização de recursos - Garante que os recursos adequados estejam disponíveis para executar o plano estratégico e que recursos suficientes, apropriados e eficazes sejam fornecidos. O COBIT: ü É amplamente aceito e adotado ü É eficaz ü Auxilia a otimizar riscos e recursos ü É amplo e abrangente ü Oferece métodos de implementação ü Esta alinhado com os principais padrões e métodos O COBIT NÃO É: • Uma descrição completa de todo o ambiente de TI de uma empresa • Um framework para organizar processos de negócio • Um framework técnico de TI para gerenciar toda a tecnologia • Uma prescrição sobre as decisões de TI A QUEM O COBIT INTERESSA? PARTE INTERESSADA BENEFÍCIO DO COBIT Partes interessadas Internas Boards Fornece insights sobre como obter valor através do uso de TI e orienta sobre responsabilidades do board Executivos (Executive Management) Fornece orientação sobre como organizar e monitorar o desempenho da TI por toda a empresa Gerentes de negócio Ajuda a entender como obter soluções de TI que a empresa necessita e como explorar melhor novas tecnologias para novas oportunidades estratégicas Gerentes de TI Fornece orientação sobre a melhor forma de construir e estruturar o departamento de TI, gerenciar o desempenho da TI, realizar uma operação efetiva e eficiente de TI, controlar custos de TI, alinhas a estratégia de TI com as prioridades de negócio, etc. Provedores de acreditação (Assurance Providers) Ajuda a gerenciar a dependência dos provedores de serviço externos, garantir a acreditação sobre a TI, e garantir a existência de um sistema efetivo e eficiente de controles internos Gerenciamento de riscos Ajuda a garantir a identificação e o gerenciamento de riscos relacionados à TI Partes interessadas Externas Reguladores Ajuda a garantir que a empresa esteja em conformidade com regras aplicáveis e regulações e tenha em funcionamento o correto sistema de governança para gerenciar e sustentar a conformidade Parceiros de negócio Ajuda a garantir que as operações de parceiros de negócio sejam seguras, confiáveis e em conformidade com as regras e regulações aplicáveis Fornecedores de TI (IT vendors) Ajuda a garantir que as operações de fornecedores de TI sejam seguras, confiáveis e em conformidade com as regras e regulações aplicáveis PRINCÍPIOS de um Sistema de Governança 1. Prover Valor às Partes Interessadas 2. Abordagem Holística 3. Sistema de Governança Dinâmico 4. Governança Distinta do Gerenciamento 5. Adaptado para as Necessidades das Empresas 6. Sistema de Governança de Fim-a-Fim 1. Baseado em um modelo conceitual 2. Aberto e flexível 3. Alinhado com Principais Padrões PRINCÍPIOS de um Framework de Governança EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados BAI01 – Programas Gerenciados BAI02 – Definição de requisitos Gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada EDM – Avaliar, Direcionar e Monitorar APO Alinhar, Planejar e Organizar BAI – Construir, Adquirir e Implementar DSS – Entregar, Servir e Suportar MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT ESTRUTURA PADRÃO DE OBJETIVOS DE GOVERNANÇA E GERENCIAMENTO Detalhamento dos Componentes Processo Estruturas organizacionais Itens e fluxos de informação Pessoas, habilidades e competências Políticas e procedimentos Cultura, ética e comportamento Serviços, infraestrutura e aplicações Cascateamento de metas Metas empresariais Metas de alinhamento Exemplos de métricas Informação de alto nível Nome do domínio Área de foco Nome do objetivo Descrição Declaração de propósito Esta estrutura pode ser melhor visualizada na publicação COBIT 2019 Framework – Governance and Management Objectives EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Domínio EDM – Evaluate, Direct and Monitor (Avaliar, Direcionar e Monitorar) Neste domínio, o comitê de governançaavalia as opções estratégicas, direciona a alta gestão sobre essas estratégias escolhidas e monitora o resultado esperado pelas estratégias. O monitoramento é um componente importante deste domínio. Os líderes devem monitorar o progresso e a realização da estratégia. Se a empresa não for capaz de cumprir a meta estratégica, algumas decisões devem ser tomadas sobre uma nova meta ou então orientações adicionais devem ser dadas sobre como atingir essa meta. EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Analisar e articular os requisitos para a governança empresarial de TI. Implementar e manter componentes de governança com clareza de autoridade e responsabilidades para atingir a missão, metas e objetivos da empresa. Propósito: Fornece uma abordagem consistente, integrada e alinhada com a abordagem de governança corporativa. As decisões relacionadas a TI são feitas de acordo com as estratégias e objetivos da empresa e o valor desejado é realizado. Para esse fim, certifique-se de que os processos relacionados a TI sejam supervisionados de forma eficaz e transparente; o cumprimento dos requisitos legais, contratuais e regulamentares é confirmado; e os requisitos de governança para membros do conselho sejam atendidos. EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Otimizar o valor para o negócio a partir de investimentos em processos de negócios, serviços de TI e ativos de TI. Propósito: Garantir o valor ideal das iniciativas, serviços e ativos habilitados por TI para, entrega econômica de soluções e serviços; e uma imagem confiável e precisa dos custos e prováveis benefícios para que as necessidades dos negócios sejam apoiadas de forma eficaz e eficiente. EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Garantir que o apetite e a tolerância ao risco da empresa sejam compreendidos, articulados e comunicados, e que o risco ao valor empresarial relacionado ao uso de TI seja identificado e gerenciado. Propósito: Certificar-se de que o risco empresarial relacionado à TI não exceda o apetite de risco e a tolerância ao risco da empresa, o impacto do risco de TI para o valor da empresa seja identificado e gerenciado, e o potencial de falhas de conformidade seja minimizado. EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Assegurar que os recursos adequados e suficientes relacionados ao negócio e à TI (pessoas, processos e tecnologia) estejam disponíveis para apoiar os objetivos corporativos de forma eficaz e, a um custo ideal. Propósito: Assegurar-se de que as necessidades de recursos da empresa sejam atendidas da maneira ideal, os custos de TI sejamo otimizados, e haja uma maior probabilidade de realização de benefícios e prontidão para mudanças futuras. EDM01 – Definição e Manutenção de um Framework de Governança Assegurada EDM02 – Entrega de Benefícios Assegurada EDM03 – Otimização de Riscos Assegurada EDM04 – Otimização de Recursos Assegurada EDM05 – Engajamento com as Partes Assegurado EDM – Avaliar, Direcionar e Monitorar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Assegurar que as partes interessadas sejam identificadas e engajadas no sistema de governança de TI e que o desempenho e a medição e o relatório de conformidade da empresa são transparentes, com as partes interessadas aprovando as metas e métricas e as ações corretivas necessárias. Propósito: Assegurar que as partes interessadas apoiam a estratégia e o roteiro de TI, a comunicação com as partes interessadas é eficaz e oportuna, e a base para relatórios é estabelecida para aumentar o desempenho. Identificar áreas para melhoria e confirmar que os objetivos e estratégias relacionados à TI estão em consonância com a estratégia da empresa. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Domínio APO – Align, Plan and Organize (Alinhar, Planejar e Organizar) Abordar a organização geral, a estratégia e as atividades de suporte necessárias para a TI. A gestão vai alinhar os objetivos estratégicos que foram definidos. Eles serão responsáveis por alinhar a organização para atingir esses objetivos de maneira eficiente e eficaz. Isso significa que o planejamento e a organização são componentes necessários para estarem alinhados ao direcionamento estratégico definido pelo corpo diretivo. É nesse domínio que as atividades de suporte necessárias para que a TI cumpra e concretize as metas de negócios são coordenadas, planejadas e organizadas. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Desenhar o sistema de gerenciamento corporativo para TI com base em metas corporativas e outros fatores de design. Com base neste desenho, implementar todos os componentes necessários do sistema de gerenciamento. Propósito: Implementar uma abordagem de gerenciamento consistente para que os requisitos de governança corporativa sejam atendidos, abrangendo componentes de governança, como processos de gerenciamento; estruturas organizacionais; papéis e responsabilidades; atividades confiáveis e repetíveis; itens de informação; políticas e procedimentos; habilidades e competências; cultura e comportamento; e serviços, infraestrutura e aplicações. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APOAlinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Fornecer uma visão holística do ambiente atual de negócios e TI, da direção futura e das iniciativas necessárias para migrar para o ambiente futuro desejado. Certificar-se de que o nível desejado de digitalização seja essencial para a direção futura e para a estratégia de TI. Avaliar a atual maturidade digital da organização e desenvolver um roteiro para fechar as lacunas. Com o negócio, repensar as operações internas, bem como as atividades voltadas para o cliente. Garantir o foco na jornada de transformação em toda a organização. Aproveitar os blocos de construção da arquitetura corporativa, componentes de governança e o ecossistema da organização, incluindo serviços fornecidos externamente e capacidades relacionadas, para permitir uma resposta confiável, mas ágil e eficiente aos objetivos estratégicos. Propósito: Apoiar a estratégia de transformação digital da organização e entregue o valor desejado através de um roteiro de mudanças incrementais. Usar uma abordagem holística de TI, garantindo que cada iniciativa esteja claramente conectada a uma estratégia abrangente. Possibilitar mudanças em todos os diferentes aspectos da organização, desde canais e processos até dados, cultura, habilidades, modelo operacional e incentivos. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Estabelecer uma arquitetura comum que consiste em camadas de processo de negócios, informações, dados, aplicação e arquitetura tecnológica. Criar modelos e práticas-chave que descrevam as arquiteturas de base e de destino, em consonância com a estratégia corporativa e de TI. Definir requisitos para taxonomia, normas, diretrizes, procedimentos, modelos e ferramentas e fornecer uma vinculação para esses componentes. Melhorar o alinhamento, aumentar a agilidade, melhorar a qualidade das informações e gerar potencial redução de custos por meio de iniciativas como o reutilização de componentes de blocos de construção. Propósito: Representar os diferentes blocos de construção que compõem a empresa e suas inter-relações, bem como os princípios que norteiam seu design e evolução ao longo do tempo, para possibilitar uma entrega padrão, responsiva e eficiente de objetivos operacionais e estratégicos. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Manter uma consciência sobre tendências de TI e serviços relacionados e monitorar tendências tecnológicas emergentes. Identificar proativamente oportunidades de inovação e planejar como se beneficiar da inovação em relação às necessidades dos negócios e à estratégia de TI definida. Analisar quais oportunidades de inovação ou melhoria de negócios podem ser criadas por tecnologias emergentes, serviços ou inovação de negócios habilitada por TI; através de tecnologias estabelecidas existentes; e pela inovação de processos de negócios e TI. Influenciar o planejamento estratégico e as decisões de arquitetura empresarial. Propósito: Alcançar vantagem competitiva, inovação nos negócios, melhor experiência do cliente e melhor eficácia operacional e eficiência, explorando desenvolvimentos de TI e tecnologias emergentes. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Executar a direção estratégica definida para investimentos em consonância com a visão de arquitetura corporativa e o roteiro de TI. Considerar as diferentes categorias de investimentos e os recursos e restrições de financiamento. Avaliar, priorizar e equilibrar programas e serviços, gerenciando a demanda dentro das restrições de recursos e financiamento, a partir de seu alinhamento com objetivos estratégicos, valor empresarial e risco. Mover programas selecionados para o portfólio de produtos ou serviços ativos para execução. Monitorar o desempenho do portfólio global de produtos e serviços e programas, propondo ajustes conforme necessário em resposta ao desempenho do programa, produto ou serviço ou mudança de prioridades empresariais. Propósito: Otimizar o desempenho do portfólio geral de programas em resposta ao desempenho individual do programa, produtos e serviços e mudança de prioridades e demanda corporativa. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar as atividades financeiras relacionadas à TI tanto no negócio quanto nas funções de TI, abrangendo a gestão orçamentária, de custo e benefício, priorização de gastos através do uso de práticas orçamentárias formais e de um sistema justo e equitativo de alocação de custos para a empresa. Consultar as partes interessadas para identificar e controlar os custos e benefícios totais no contexto dos planos estratégicos e táticos de ITI Inicie a ação corretiva quando necessário. Propósito: Promover uma parceria entre as partes interessadas da TI e da empresa para permitir o uso efetivo e eficiente dos recursos relacionados à TI e fornecer transparência e responsabilização do custo e valor dos negócios de soluções e serviços. Permitir que a empresa tome decisões informadas sobre o uso de soluções e serviços de TI. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Fornecer uma abordagem estruturada para garantir o melhor recrutamento/aquisição, planejamento, avaliação e desenvolvimentode recursos humanos (tanto internos quanto externos). Propósito: Otimizar recursos humanos para atender aos objetivos corporativos. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar o relacionamento com as partes interessadas em negócios de forma formalizada e transparente, garantindo confiança mútua e foco combinado no alcance das metas estratégicas dentro das restrições dos orçamentos e da tolerância ao risco. Relações baseadas em comunicação aberta e transparente, uma linguagem comum, e a vontade de tomar posse e responsabilização por decisões-chave de ambos os lados. As empresas e a TI devem trabalhar juntas para criar resultados corporativos bem-sucedidos em apoio aos objetivos da empresa. Propósito: Possibilitar o conhecimento, habilidades e comportamentos certos para criar melhores resultados, maior confiança, confiança mútua e uso efetivo de recursos que estimulem uma relação produtiva com as partes interessadas do negócio. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Alinhar os produtos e serviços habilitador por TI e níveis de serviço com as necessidades e expectativas das empresas, incluindo identificação, especificação, design, publicação, acordo e monitoramento de produtos e serviços de I&T, níveis de serviços e indicadores de desempenho. Propósito: Certificar-se de que os produtos, serviços e níveis de serviços da TI atendam às necessidades atuais e futuras da empresa. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar produtos e serviços relacionados à TI fornecidos por todos os tipos de fornecedores para atender aos requisitos corporativos. Isso inclui a busca e seleção de fornecedores, gerenciamento de relacionamentos, gerenciamento de contratos e revisão e monitoramento do desempenho do fornecedor e do ecossistema de fornecedores (incluindo cadeia de suprimentos upstream) para eficácia e conformidade. Propósito: Otimizar os recursos disponíveis de TI para suportar a estratégia e o roteiro de TI, minimizar o risco associado à fornecedores não-compromissados ou incompatíveis e garantir preços competitivos. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Definir e comunicar os requisitos de qualidade em todos os processos, procedimentos e resultados corporativos relacionados. Possibilitar controles, monitoramento contínuo e uso de práticas e padrões comprovados em esforços contínuos de melhoria e eficiência. Propósito: Garantir uma entrega consistente de soluções e serviços tecnológicos para atender aos requisitos de qualidade da empresa e satisfazer as necessidades das partes interessadas. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Identificar, avaliar e reduzir continuamente o risco relacionado à I&T dentro dos níveis de tolerância estabelecidos pela gestão executiva empresarial. Propósito: Integrar a gestão do risco corporativo relacionado à TI com o ERM (Global Enterprise Risk Management, gerenciamento global de riscos corporativos) e equilibrar os custos e benefícios da gestão do risco corporativo relacionados à TI APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Definir, operar e monitorar um sistema de gerenciamento de segurança da informação. Propósito: Manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite ao risco da empresa. APO01 – Framework de Gerenciamento de TI Gerenciado APO02 – Estratégia Gerenciada APO03 – Arquitetura Empresarial Gerenciada APO04 – Inovação Gerenciada APO05 – Portfolio Gerenciado APO06 – Orçamento e Custos Gerenciados APO07 – Recursos Humanos Gerenciados APO08 – Relacionamentos Gerenciados APO09 – Acordos de Serviço Gerenciados APO10 – Terceiros Gerenciados APO11 – Qualidade Gerenciada APO12 – Risco Gerenciado APO13 – Segurança Gerenciada APO14 – Dados Gerenciados APO Alinhar, Planejar e Organizar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Alcançar e sustentar uma gestão eficaz dos ativos de dados corporativos ao longo do ciclo de vida dos dados, desde a criação até a entrega, manutenção e arquivamento. Propósito: Garantir a utilização efetiva dos ativos de dados críticos para atingir metas e objetivos corporativos. MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Domínio BAI – Buid, Acquire and Implement (Construir, Adquirir e Implementar) Trata da definição, aquisição e implementação de soluções de TI integradas nos processos de negócio. A partir daí, uma vez que os objetivos e metas estratégicas tenham sido alinhados com os objetivos estratégicos globais, planejados e organizados, o domínio BAI irá construir, adquirir e implementar soluções deTI para serem integradas nos processos de negócio. Esta é a parte onde as soluções técnicas serão construídas ou adquiridas e implementadas dentro da empresa para interagir com processos e outros componentes como pessoas e informações. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar todos os programas do portfolio de investimentos em alinhamento com a estratégia empresarial e de forma coordenada, com base em uma abordagem padrão de gestão de programas. Iniciar, planejar, controlar e executar programas e monitorar o valor esperado do programa. Propósito: Realizar o valor desejado do negócio e reduzir o risco de atrasos inesperados, custos e erosão de valor. Para isso, melhorar as comunicações e o envolvimento dos usuários finais e do negócio, garantir o valor e a qualidade das entregas de programas e acompanhar projetos dentro dos programas e maximizar a contribuição do programa para o portfolio de investimentos. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Identificar soluções e analise requisitos antes da aquisição ou criação para garantir que elas estejam alinhadas com os requisitos estratégicos da empresa abrangendo processos de negócios, aplicativos, informações/dados, infraestrutura e serviços. Coordenar a revisão de opções viáveis com as partes interessadas afetadas, incluindo custos e benefícios relativos, análise de risco e aprovação de requisitos e soluções propostas. Propósito: Criar soluções ideais que atendam às necessidades da empresa, minimizando riscos. MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Estabelecer e manter produtos e serviços identificados (tecnologia, processos de negócios e fluxos de trabalho) em consonância com os requisitos corporativos que abrangendo design, desenvolvimento, compras/sourcing e parcerias com fornecedores. Gerenciar configuração, preparação de testes, testes, gerenciamento de requisitos e manutenção de processos de negócios, aplicativos, informações/dados, infraestrutura e serviços. Propósito: Garantir a entrega ágil e escalável de produtos e serviços digitais. Estabelecer soluções oportunas e econômicas (tecnologia, processos de negócios e fluxos de trabalho) capazes de suportar objetivos corporativos estratégicos e operacionais. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade com a provisão econômica de serviços. Incluir avaliação dos recursos atuais, previsão de necessidades futuras com base nos requisitos dos negócios, análise dos impactos dos negócios e avaliação de riscos para planejar e implementar ações para atender aos requisitos identificados. Propósito: Manter disponibilidade de serviços, gestão eficiente de recursos e otimização do desempenho do sistema através da previsão de requisitos futuros de desempenho e capacidade. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Maximizar a probabilidade de implementar com sucesso a mudança organizacional empresarial sustentável em toda a empresa rapidamente e com risco reduzido. Cobrir o ciclo de vida completo da mudança e todas as partes interessadas afetadas no negócio e na TI. Propósito: Preparar e comprometer as partes interessadas para a mudança de negócios e reduzir o risco de fracasso. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar todas as mudanças de forma controlada, incluindo mudanças padrão e mudanças emergenciais relacionadas a processos de negócios, aplicativos e infraestrutura. Isso inclui padrões e procedimentos de mudança, avaliação de impacto, priorização e autorização, alterações emergenciais, rastreamento, emissão de relatórios, fechamento e documentação. Propósito: Possibilitar a entrega rápida e confiável de mudanças para o negócio. Mitigar o risco de impactar negativamente a estabilidade ou integridade do ambiente alterado. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Aceitar formalmente e fazer novas soluções operacionais. Inclui planejamento de implementação, conversão de sistemas e dados, testes de aceitação, comunicação, preparação de liberações, promoção à produção de processos de negócios e serviços de TI novos ou modificados, suporte à produção antecipada e revisão pós- implementação. Propósito: Implementar soluções com segurança e em consonância com as expectativas e resultados acordados. BAI01 – Programas Gerenciados BAI02 – Definiçãode requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Manter a disponibilidade de informações relevantes, atuais, validadas e confiáveis de conhecimento e gestão para apoiar todas as atividades do processo e facilitar a tomada de decisão relacionada à governança e gerenciamento de TI. Planejar para identificação, coleta, organização, manutenção, uso e descontinuação de conhecimento. Propósito: Fornecer os conhecimentos e informações necessários para apoiar toda a equipe na governança e gerenciamento empresarial de TI e permitir a tomada de decisões informadas. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar ativos de TI durante seu ciclo de vida para garantir que seu uso ofereça valor a um custo ideal, permanecendo operacionais (adequados para o propósito) e sejam contabilizados e protegidos fisicamente. Certificar que os ativos que são fundamentais para suportar a capacidade de serviço são confiáveis e disponíveis. Gerenciar licenças de software para garantir que o número ideal seja adquirido, retido e implantado em relação ao uso necessário do negócio, e o software instalado esteja em conformidade com os contratos de licença. Propósito: Contabilizar todos os ativos de TI e otimizar o valor fornecido pelo seu uso. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Definir e manter descrições e relacionamentos entre os principais recursos e recursos necessários para fornecer serviços habilitados por TI. Inclui coletar informações de configuração, estabelecer linhas de base, verificar e auditar informações de configuração e atualizar o repositório de configuração. Propósito: Fornecer informações suficientes sobre os ativos do serviço para permitir que o serviço seja gerenciado efetivamente. Avaliar o impacto das mudanças e lidar com incidentes de serviço. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Gerenciar todos os projetos iniciados dentro da empresa em alinhamento com a estratégia empresarial e de forma coordenada com base na abordagem padrão de gerenciamento de projetos. Iniciar, planejar, controlar e executar projetos e fechar com uma revisão pós-implementação. Propósito: Realizar os resultados definidos do projeto e reduza o risco de atrasos inesperados, custos e erosão de valor, melhorando as comunicações e o envolvimento de empresas e usuários finais. Garantir o valor e a qualidade dos produtos de projeto e maximizar sua contribuição para os programas definidos e portfólio de investimentos. BAI01 – Programas Gerenciados BAI02 – Definição de requisitos gerenciada BAI03 – Identificação e Construção de Soluções Gerenciada BAI04 – Disponibilidade e capacidade gerenciada BAI05– Mudança Organizacional Gerenciada BAI06– Mudanças de TI Gerenciadas BAI07– Aceite e Transição de Mudanças de TI Gerenciadas BAI08 – Conhecimento Gerenciado BAI09 – Ativos Gerenciados BAI10 – Configuração Gerenciada BAI11 – Projetos Gerenciados BAI – Construir, Adquirir e Implementar DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Domínio DSS – Deliver, Service and Suport (Entregar, Servir e Suportar) Endereça o suporte a serviços de TI e sua entrega operacional. Isso também inclui segurança. Assim que as soluções de TI forem construídas ou adquiridas e implementadas, elas serão entregues dentro da organização. Este dominio atende a apoia as operações de TI. DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Coordenar e executar as atividades e procedimentos operacionais necessários para fornecer serviços internos e terceirizados de TI. Inclui a execução de procedimentos operacionais padrão predefinidos e as atividades de monitoramento necessárias. Propósito: Entregar resultados operacionais de produtos e serviços de TI conforme planejado. DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Fornecer resposta oportuna e eficaz às requisições dos usuários e resolução de todos os tipos de incidentes. Restaurar o serviço normal; registrar e atender requisições dos usuários; e registrar, investigar, diagnosticar, escalar e resolver incidentes. Propósito: Alcançar o aumento da produtividade e minimizar interrupções através da resolução rápida de requisições e incidentes de usuários. Avaliar o impacto das mudanças e lidar com incidentes de serviço. Resolver as requisições dos usuários e restaurar o serviço em resposta a incidentes. DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Identificar e classificar problemas e suas causas raízes. Fornecer resolução oportuna para evitar incidentes recorrentes. Fornecer recomendações para melhorias. Propósito: Aumentar a disponibilidade, melhorar os níveis de serviço, reduzir custos, melhorar a conveniência e a satisfação dos clientes, reduzindo o número de problemas operacionais e identificarcausas raízes como parte da resolução de problemas. DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Estabelecer e manter um plano para permitir que o negócio e as organizações de TI respondam a incidentes e se adaptem rapidamente às interrupções. Isso permitirá operações contínuas de processos de negócios críticos e serviços de I&T necessários e manterá a disponibilidade de recursos, ativos e informações em um nível aceitável para a empresa. Propósito: Adaptar-se rapidamente, continuar as operações de negócios e manter a disponibilidade de recursos e informações em um nível aceitável para a empresa em caso de uma interrupção significativa (por exemplo, ameaças, oportunidades, demandas). DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Proteger as informações corporativas para manter o nível de risco de segurança da informação aceitável para a empresa de acordo com a política de segurança. Estabelecer e manter funções de segurança da informação e privilégios de acesso. Realizar o monitoramento de segurança. Propósito: Minimizar o impacto dos negócios das vulnerabilidades e incidentes de segurança da informação operacional. DSS01 – Operações Gerenciadas DSS02 – Incidentes e Requisições de Serviço Gerenciados DSS03 – Problemas Gerenciados DSS04 – Continuidade Gerenciada DSS05 – Serviços de Segurança Gerenciados DSS06 – Controles de Processos de Negócio Gerenciados DSS – Entregar, Servir e Suportar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Definir e manter controles adequados de processos de negócios para garantir que informações relacionadas e processadas por processos de negócios internos ou terceirizados satisfaçam todos os requisitos relevantes de controle de informações. Identificar os requisitos relevantes de controle de informações. Gerenciar e operar controles adequados de entrada, throughput e saída (controles de aplicativos) para garantir que o processamento de informações e informações satisfaça esses requisitos. Propósito: Manter a integridade das informações e a segurança dos ativos de informação tratados dentro dos processos de negócios na empresa ou em sua operação terceirizada. . MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Domínio MEA – Monitor, Evaluate and Assess (Monitorar, Analisar e Avaliar) Endereça a monitoração do desempenho e da conformidade da TI com relação a metas de desempenho e objetivos de controle internos, e requisitos externos. O monitoramento do desempenho e da conformidade da TI com as metas estabelecidas é essencial. Não faz sentido investir tempo definindo uma direção estratégica, alinhando e organizando os recursos de TI para o objetivo estratégico, construindo e implementando as soluções e dando suporte e atendendo ativos de TI sem monitorar para ver se seus recursos de TI estão realmente atendendo as metas e objetivos internos. Também é importante monitorar quaisquer lacunas que possam levar a uma não conformidade com seu plano de governança de TI ou leis e regulamentos. Dentro deste domínio, você também pode abordar o desempenho de TI em termos de eficácia e eficiência para fazer quaisquer melhorias, se necessário, para minimizar riscos e maximizar o valor do negócio. MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Coletar, validar e avaliar metas e métricas de empresariais e de alinhamento. Monitorar se os processos e práticas estão se apresentando contra metas e métricas de desempenho e conformidade acordadas. Fornecer relatórios que são sistemáticos e oportunos. Propósito: Proporcionar transparência de desempenho e conformidade e impulsionar o cumprimento de metas. MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Monitorar e avaliar continuamente o ambiente de controle, incluindo auto avaliações e autoconsciência. Permitir que a gestão identifique as deficiências de controle e ineficiências e inicie ações de melhoria. Planejar, organizar e manter padrões para avaliação de controle interno e eficácia do controle de processos. Propósito: Obter transparência para as principais partes interessadas sobre a adequação do sistema de controles internos e, assim, fornecer confiança nas operações, confiança na realização de objetivos empresariais e uma compreensão adequada do risco residual. MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Avaliar se os processos de TI e os processos de negócios suportados pela TI estão em conformidade com leis, regulamentos e requisitos contratuais. Obter garantia de que os requisitos foram identificados e cumpridos; integrar a conformidade de TI com a conformidade corporativa global. Propósito: Certificar-se de que a empresa esteja em conformidade com todos os requisitos externos aplicáveis. MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado MEA02 – Sistema de Controle Interno Gerenciado MEA03 – Conformidade com Regulações Externas Gerenciada MEA04 – Garantia Gerenciada MEA – Monitorar, Analisar e Avaliar MODELO ESSENCIAL DO COBIT COBIT CORE MODEL Descrição: Planejar, definir escopo e executar iniciativas de garantia para cumprir requisitos internos, leis, regulamentos e objetivos estratégicos. Permitir que a gestão ofereça garantia adequada e sustentável para a empresa, realizando revisões e atividades independentes de garantia. Propósito: Permitir que a organização crie e desenvolva iniciativas de garantia eficientes e eficazes, fornecendo orientações sobre planejamento, escopo, execução e acompanhamento de revisões de garantia, utilizando um roteiro baseado em abordagens de garantia bem aceitas. Estruturas organizacionais Cultura, ética e comportamento Informação Processos Princípios, políticas e procedimentos Pessoas, habilidades e competências COMPONENTES DE UM SISTEMA DE GOVERNANÇA Serviços, infraestrutura e aplicações COMPONENTS OF A GOVERNANCE SYSTEM Metas Empresariais Cenário de Ameaças Questões Relacionadas à TI Estratégia Empresarial Perfil de Risco Requisitos de Compliance Modelo de Sourcing para TI FATORES DE DESENHO Papel da TI DESIGN FACTORS Métodos de implementação de TI Tamanho da empresa Estratégia de adoção de tecnologias FATORES DE DESENHO ESTRATÉGIA EMPRESARIAL Arquétipo da Estratégia Explicação Crescimento / Aquisição A empresa tem como foco o crescimento (receitas) Inovação / Diferenciação A empresatem como foco oferecer produtos e serviços diferenciados e/ou inovadores aos seus clientes Liderança de custos A empresa tem como foco minimizar os custos no curto prazo Estabilidade / Serviço ao Cliente A empresa tem como foco fornecer serviços estáveis e orientados ao cliente. FATORES DE DESENHO METAS EMPRESARIAIS Referência Dimensão do Balanced Scorecard (BSC) Meta Empresarial EG01 Financeiro (Financial) Portfolio de produtos e serviços competitivos EG02 Financeiro (Financial) Riscos de negócio gerenciados EG03 Financeiro (Financial) Conformidade com leis e regulações externas EG04 Financeiro (Financial) Qualidade da informação financeira EG05 Cliente (Customer) Cultura de serviço orientada ao cliente EG06 Cliente (Customer) Continuidade e disponibilidade de serviço de negócio EG07 Cliente (Customer) Qualidade da informação gerencial EG08 Processos Internos (Internal) Otimização da funcionalidade de processos internos de negócio EG09 Processos Internos (Internal) Otimização dos custos de processos de negócio EG10 Processos Internos (Internal) Habilidades, motivação e produtividade de equipe EG11 Processos Internos (Growth) Conformidade com políticas internas EG12 Aprendizado e Crescimento (Growth) Programas de transformação digital gerenciados EG13 Aprendizado e Crescimento (Growth) Inovação de produto e negócio FATORES DE DESENHO PERFIL DE RISCO Referência Categoria do Risco 1 Tomada de decisões de TI, definição e manutenção de portfolio 2 Gestão de ciclo de vida de programas e projetos 3 Custos e excessos de TI 4 Expertise, habilidades e comportamentos de TI 5 Arquitetura Empresarial / TI 6 Incidentes operacionais de infraestrutura de TI 7 Ações não autorizadas 8 Adoção de software / problemas de uso 9 Incidentes de hardware 10 Falhas de software 11 Ataques lógicos (hacking, malware, etc.) 12 Incidentes de terceiros / fornecedores 13 Não conformidade 14 Questões geopolíticas 15 Ação industrial 16 Ações da natureza 17 Inovação baseada em tecnologia 18 Ambiental 19 Gestão de dados e informação FATORES DE DESENHO QUESTÕES RELACIONADAS À TI Referência Categoria do Risco A Frustração entre diferentes entidades de TI pela organização por conta da percepção de baixa contribuição com valor ao negócio B Frustração entre departamentos di negócio (ex.: o cliente da TI) e o departamento de TI por conta de iniciativas falhas ou uma percepção de pouca contribuição com o valor ao negócio C Incidentes significativos relacionados à TI, como perda de dados, violações de segurança, falhas de projeto e erros de aplicação D Problemas de entrega de serviços do(s) contratante(s) de TI E Falha em atender requisitos contratuais ou regulatórios relacionados à TI F Constatações de auditoria regulares ou outros relatórios de avaliações sobre desempenho baixo da TI ou qualidade da TI reportada ou problemas de serviço G Gastos substanciais de TI escondidos ou desonestos, ou seja, gastos de TI por departamentos de usuários fora do controle dos mecanismos normais de decisão de investimento em TI e orçamentos aprovados H Duplicações ou sobreposições entre várias iniciativas, ou outras formas de desperdício de recursos I Recursos de TI insuficientes, equipes com habilidades inadequadas ou burnout/insatisfação de equipes J Mudanças ou projetos habilitados por TI falhando frequentemente em atender as necessidades do negócio, com entrega atrasada ou gastos acima do orçamento K Relutância de membros do conselho (board), executivos ou gestores sênior em engajar com a TI, ou perda de patrocínio comprometido do negócio para a TI L Modelo operacional de TI complexo e/ou mecanismo de decisões relacionadas à TI pouco claro M Custo excessivamente alto de TI N Implementação falha ou obstruída de novas iniciativas ou inovações causadas pela atual arquitetura e sistemas de TI O Gap entre conhecimento técnico e de negócio, que leva a usuários de negócio e/ou especialistas técnicos falando linguagens diferentes P Questões regulares com qualidade dos dados e integração de dados através de várias fontes Q Alto nível de computação do usuário final, criando (dentre outros problemas) uma perda de supervisão e controle de qualidade sobre as aplicações que estão sendo desenvolvidas e colocadas em operação R Departamentos do negócio implementando suas próprias soluções de informação com pouco ou nenhum envolvimento do departamento de TI da empresa S Ignorância e/ou não conformidade com regulações de privacidade T Inabilidade de explorar novas tecnologias ou inovar usando a TI FATORES DE DESENHO CENÁRIO DE AMEAÇAS Cenário de Ameaça Explicação Normal A empresa opera sob o que considera níveis normais de ameaça. Alto Devido a sua situação geopolítica, setor industrial ou perfil particular, a empresa está operando em um ambiente de alta ameaça FATORES DE DESENHO REQUISITOS DE CONFORMIDADE (COMPLIANCE) Ambiente Regulatório Explicação Requisitos de baixa conformidade A empresa está sujeita a um conjunto mínimo de requisitos de conformidade regulares que são abaixo da média Requisições de conformidade normal A empresa está sujeita a um conjunto de requisitos de conformidade regulares que são comuns em diferentes indústrias Requisitos de alta conformidade A empresa está sujeita a requisitos de conformidade acima da média, a maioria geralmente relacionada ao setor industrial e condições geopolíticas FATORES DE DESENHO PAPEL DA TI Papel da TI Explicação Support TI não é crucial para a operação e continuidade dos serviços e processos de negócio, nem para sua inovação Factory Quando a TI falha, há um impacto imediato na operação e continuidade de serviços e processos de negócio. Entretanto, a TI não é vista como um direcionador para a inovação de serviços e processos de negócio. Turnaround TI é vista como um direcionador para a inovação de serviços e processos de negócio. Neste momento, entretanto, não há uma dependência crucial sobre a TI para a operação e continuidade dos serviços e processos de negócio atuais. Strategic TI é crítica tanto para a operação quanto para a inovação dos serviços e processos de negócio da organização. FATORES DE DESENHO MODELO DE FORNECIMENTO (SOURCING) PARA TI Modelo de Fornecimento Explicação Outsourcing A empresa recorre aos serviços de terceiros para fornecer serviços de TI Cloud A empresa maximiza o uso da nuvem para fornecer serviços de TI para seus usuários. Insourced A empresa fornece equipe de TI e serviços para si própria. Hybrid Um modelo misto é aplicado, combinando os outros três modelos em vários graus. FATORES DE DESENHO MÉTODOS DE IMPLEMENTAÇÃO DE TI Método de Implementação de TI Explicação Agile A empresa usa o método de desenvolvimento Ágil para o seu desenvolvimento de sotfware DevOps A empresa usa o método de trabalho DevOps para construção de software, implantação e operações Traditional A empresa usa uma abordagem mais clássica para desenvolvimento de software (waterfall /cascata) e separa o desenvolvimento de software das operações Hybrid A empresa usa um misto de métodos de implementação tradicionais e modernos de TI, normalmente referenciados como “TI Bimodal”. FATORES DE DESENHO ESTRATÉGIA DE ADOÇÃO DE TECNOLOGIAS Estratégia de Adoção de Tecnologias Explicação First mover A empresa geralmente adota novas tecnologias o mais cedo possível e tenta ganhar vantagem com este movimento. Follower A empresa tipicamente espera para que novas tecnologias se tornam mais comuns (mainstream) e provadas antes de adotá-las. Slow adapter A empresa é bastante atrasada para adoção de novas tecnologias FATORES DE DESENHO TAMANHO DA EMPRESA Tamanho da Empresa Explicação Empresa grande (Padrão) Empresa com mais de 250 colaboradores em tempo integral (ou equivalente) Pequenas e medias empresas Empresa com 50 – 250 colaboradores em tempo integral (ou equivalente) SMB DEVOPS CLOUD DIGITAL TRANSFORMATION SWOT ANALYSIS Your Title Here CYBERSECURITY ÁREAS DE FOCO DATA PRIVACY Direcionadorese necessidades das partes interessadas Metas empresariais Alinhamento de metas Objetivos de Governança e Gerenciamento Goals Cascade Cascateamento de Metas 1 2 3 4 NÍVEIS DE CAPACIDADE E MATURIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento Área de Foco PERMITIR O MONITORAMENTO FLEXIBILIDADE SUPORTE PARA DIFERENTES TIPOS DE AVALIAÇÃO 01 02 03 04 05 CONSIDERAÇÕES PARA O COBIT PERFORMANCE MANAGEMENT FÁCIL COMPREENSÃO E USO COERÊNCIA COM O MODELO CONCEITUAL DO COBIT NÍVEIS DE CAPACIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento Capacidade Completa (Integralmente) >85% NÍVEIS DE CAPACIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento Larga Capacidade (Amplamente) 50-85% NÍVEIS DE CAPACIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento Capacidade Parcial (Parcialmente) 25-50%% NÍVEIS DE CAPACIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento Sem Capacidade (Nulo) <15% 01 0 • Ausência de qualquer capacidade básica • Abordagem incomplete para endereçar o propósito e a governança e gerenciamento • Pode ou não pode atender a intenção de quaisquer práticas de processos NÍVEIS DE CAPACIDADE DE PROCESSOS 0 1 2 3 4 5 • O processo atinge mais ou menos o seu propósito através da aplicação de um conjunto incompleto de atividades que podem ser caracterizadas como iniciais ou intuitivas – não muito organizadas • O processo atinge o seu propósito através da aplicação de um conjunto básico, ainda que completo, de atividades que podem ser caracterizadas como desempenhadas. • O processo atinge o seu propósito de uma maneira muito mais organizada usando ativos organizacionais. Processos são tipicamente bem definidos. • O processo atinge o seu propósito, é bem definido, e seu desempenho é (quantitativamente) mensurado. • O processo atinge o seu propósito, é bem definido, seu desempenho é mensurado para melhor o desempenho e a melhoria continua é buscada. NÍVEIS DE MATURIDADE CAPACIDADE CAPACIDADE MATURIDADE Processos Outros tipos de componentes de governança e gerenciamento CAPACIDADE CAPACIDADE CAPACIDADE CAPACIDADE Maturidade Área de foco 01 0 Incompleto - O trabalho pode ou não ser concluído para atingir o propósito de objetivos de governança e gerenciamento na área de foco NÍVEIS DE MATURIDADE PARA ÁREAS DE FOCO 0 1 2 3 4 5 Inicial — O trabalho foi concluído, mas a meta e a intenção completas da área de foco ainda não foram alcançadas. Gerenciado - O planejamento e a medição do desempenho ocorrem, embora ainda não de forma padronizada. Definido - os padrões empresariais fornecem orientação por toda a empresa. Quantitativo — A empresa é orientada por dados, com melhoria quantitativa de desempenho. Otimizado — A empresa está focada na melhoria contínua. MODELO DE REFERÊNCIA DA INFORMAÇÃO: CRITÉRIOS DE QUALIDADE DA INFORMAÇÃO Critério de qualidade da informação Intrínseca Precisão Até que ponto as informações são corretas e confiáveis Objetividade Até que ponto a informação é imparcial e isenta de preconceitos Credibilidade Até que ponto as informações são consideradas verdadeiras e confiáveis Reputação Até que ponto as informações são altamente consideradas em termos de sua fonte ou conteúdo Contextual Relevância Até que ponto as informações são aplicáveis e úteis para a tarefa em questão Completude Até que ponto a informação não está faltando e é de profundidade e amplitude suficientes para a tarefa em questão Atualidade Até que ponto as informações estão suficientemente atualizadas para a tarefa em questão Quantidade apropriada Até que ponto o volume de informações é apropriado para a tarefa em questão Representação concisa Até que ponto as informações são representadas de forma compacta Representação consistente Até que ponto as informações são apresentadas no mesmo formato Interpretabilidade Até que ponto as informações estão em idiomas, símbolos e unidades apropriados e as definições são claras Compreensibilidade Até que ponto a informação é facilmente compreendida Segurança / Privacidade / Acessibilidade Facilidade de manipulação Até que ponto as informações são fáceis de manipular e aplicar a diferentes tarefas Disponibilidade Até que ponto as informações estão disponíveis quando necessárias, ou facilmente e rapidamente recuperáveis Acesso restrito Até que ponto o acesso à informação é restrito apropriadamente a parte autorizada 1. Priorização dos objetivos de gerenciamento e os níveis de capacidade alvo 2. Variações de componentes 3. Áreas de foco específicas IMPACTO DOS FATORES DE SUCESSO NO SISTEMA DE GOVERNANÇA 1.1 Compreender a estratégia da empresa 1.2 Comprender as metas empresariais 1.3 Compreender o perfil de risco 1.4 Compreender as questões atuais relacionadas à TI 2. Determinar o escopo inicial do Sistema de governança 3. Refinar o escopo do Sistema de governança 4. Concluir o desenho do Sistema de governança WORFLOW DE DESENHO DE UM SISTEMA DE GOVERNANÇA 1. Compreender o contexto e a estratégia da empresa 2.1 Considerar a estratégia da empresa 2.2 Considerar as metas empresariais e aplicar o cascateamento de metas 2.3 Considerar o perfil de risco da empresa 1.4 Considerar as questões atuais relacionadas à TI 3.1 Cenário de ameaças 3.2. Requisitos de compliance 3.3 Papel da TI 3.4 Modelo de sourcing 3.5 Métodos de implementação da TI 3.6 Estratégia de adoção da TI 3.7 Tamanho da empresaa 4.1 Resolver conflitos de prioridade 4.2 Concluir o desenho do Sistema de governança Ter adesão executiva para implementar a governança de TI Capacitar e empoderar as partes interessadas do negocio e da TI Implementar uma governança empresarial de TI como parte da governança corporativa Não separar atividades relacionadas a negócios e TI R E C O M E N D A Ç Õ E S P A R A IM P LE M E N TA Ç Ã O Gerenciar o programa como parte integrante do ciclo de vida da implementação. ROADMAP DE IMPLEMENTAÇÃO DO COBIT OBRIGADO E SUCESSO!
Compartilhar