Prévia do material em texto
CObIT Iniciativas de melhoria - Governança de TI O que é governança de TI Governança e Gerenciamento Porque implantar governança Leis e regulamentos que impactam Conformidade regulatória O que é e para que serve pode ser utilizado para auditoria Foi desenvolvido para o público relacionado para gestão de negócio e É o negócio que deve governar a TI (Estratégico e Tático) Estrutura e componentes O que são objetivos de controle Para controlar processos de TI Como o BSC pode ser adaptado para planejamento estratégico de TI Como ligar metas da organização da Organização para a TI Escala de maturidade do COBIT Visão de Frameworks relacionados com CObIT Introdução ao CObIT Estrutura do CObIT Visão geral de outros O que é o CObIT Control Objectives for Informations and Related Technology para prover a informação que a organização precisa objetivos de controle -> praticas de gestão e governança Características do COBIT Focado no negócio Orientado a processos 34 Baseado em controles Fornece indicadores TI existe para atender as necessidades do negócio 27001 - segurança de informação processos recursos necessários Critérios de informação (de que forma é necessário no negócio) controles visão a auditoria O governo e os bancos são os maiores usuários de CObIT útil para desenhar novos processos o cobit ajuda a relacionar metas de negócio (desdobramento de metas - processos - metas de ti - metas de negócio o que a TI precisa fazer para atender metas da Organização fornece suporte a governança e gerenciamento de TI processos, pessoas, papeis, responsabilidades auditoria usa cobit como instrumento para auditoria certificar organização em 27001 , 20000, avaliação formal pelo CMMi modelo de controle que pode ser aplicado em empresas quais são os processos que a TI tem que ter, critérios de informação, Porque usar CObIT framework fazer alinhamento de TI e requisitos de negócio Medir o desempenho contra requisitos de forma transparente organizar atividades em modelo de processos identificar principais recursos de TI Definição de objetivos de controle Orientação a entrega de valor Suportar o gerenciamento de Riscos Estabelecer papeis e responsabilidades áreas: alinhamento estratégico entrega de valor gerenciamento de recursos gerenciamento de riscos monitoramento de desempenho CObIT Focado no negócio Orientado a processos Baseado em controles Orientado a métricas Focado no Negócio enxergar os requisitos de negócio e traduzir para TI Orientado a Processos Organização das atividades para poder controlar prescritivo para melhoria e medição Baseado em controles objetivos de controle para cada processo o que precisa ser feito em cada processo Orientado a métricas fornece conjunto de indicadores para medir o desempenho e dar fazer o benchmark e possibilitar o diagnóstico, planejamento e melhoria http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx Resumo executivo Missão do CObIT Pesquisar, desenvolver, publicar e promover um framework de controle para os gerentes de negócio, profissionais de TI e de auditoria Foco primário Essencial para governança - Ponto de partida - Objetivos de Controle O que e não como Foca no controle não no como Integrador de diversos modelos Gestão integrada de desenvolvimento e suporte ISO 17799 - geetão de segurança ISO 20000 ITIL - Suporte e gestão de serviços CMMi - desenvolvimento de software BS 25999 - Plano de continuidade VALIT Prince2 - Gerenciamento de projetos PMBoK - Gerenciamento de projetos CObIT framework de controle Características para controle Focado no negócio Guiado pelas necessidades de negócio métricas para processos organizado em processos Linguagem comum -> entendimento entre as partes Requisitos regulatórios Aceitação no mercado -> muito usado, conhecido Plugável Origens Baseado no COSO Compila práticas de TI Padroes para auditoria interna Critérios de qualificação Práticas da indústria (PMBoK, ITIL, CMMi) Usuários de COb IT Gestores executivos Auxiliar nas decisões, riscos, investimentos e controle Gestores de Negócio certificar segurança e serviços internos e de terceiros Gestores de TI saber como atender às espectativas de negócio e medir desempenho Auditores de TI dar suporte a auditoria, benchmark e aconselhar mudanças Perguntas Gestores Executivos TI entrega valor Riscos estão sendo gerenciados Investimentos estão gerando valor Como está sendo gerenciada a TI Como TI da empresa esta entre concorrentes Gestores de negócio Como medir requisitos de negocio para TI serviços estão sendo entregues de forma sustentável como obter garantias Gestores de TI Como entender os requisitos e espectativas Como atingir os resultados esperados como medir desempenho dos processos e atividades Auditores Como verificar o controle dos processos Embasar os diagnósticos sobre o estado dos processos O que fazer para resolver problemas ou melhorar os processos Histórico COb IT 1996 - CObIT 1 - Auditoria de Sistemas (Aplicativos) - Lista de controles 1998 - CObIT 2 - Controle da TI - especificação de objetivos de alto 2000 - CObIT 3 - Gerenciamento de TI - auditar e gerenciar operações *** 2002 - Surgimento da SOX 2005 - CObIT 4 - Foco na Governança - melhoria nos controles - 2007 - CObIT 4.1 - Atualização - agrupar objetivos de controle 210 2012 - CObIT 5 - Foco na integração Negócio e TI - Versão Estruturada. Premissas do CObIT processos para gerenciamento de recursos Fornecer informações para os processos de negócio (vendas, logística, todos os processos de negócio buscam atacar oportunidades do como TI habilita a área de negócio CObIT enfoca entregar informações (Genérico de Sistemas, Serviços. Princípios do CObIT Informação com qualidade processos de ti recursos de ti gerenciar e controlar recursos de ti conjunto estruturado de processos fornecer serviços entregam informações necessidade: melhorar o relacionamento com clientes investir em aplicação CRM informações produzidas pela aplicação CRM (Recurso de TI) apoio de processos para aplicação (Instalar, Configurar, Treinar, software sozinho não gera valor para o negócio (Instalar, funcionar, recursos de TI e processos para gerar informações Processos do CObIT Planejar e Organizar Adquirir e implementar (executar estratégia) - Executar a estratégia; aplicações que precisam ser compradas ou Entregar e suportar Monitorar e avaliar - funciona como pretendido, recursos implementados, suportados, Domínios - agrupam processos. - representam o ciclo de vida de TI Processos - sequência lógica de atividades, papéis e responsabilidades - 34 processos Atividades - conjunto de tarefas e passos - atividades necessárias para alcançar resultado mensurável - não oferece detalhamento das atividades não chega ao nível de Framework (Cubo) Componentes chave Processos de TI Recursos de TI Critérios de Informação procesoss que gerenciarm os recursos que a TI precisa para entregar Modelo de processos (34) Planejar e Organizar (PO) - 10 processos Adquirir e Implementar (AI) - 7 processos Entrega e Suporte (DS) - 13 processos Monitorar e Avaliar (ME) - 4 processos não é para implementar todos, somente os que forem necessários Dominios de processos Planejar e Organizar (PO) Estrtatégias e Táticas Planejar e Comunicar Como instalar a infra de TI - A TI está alinhada com os objetivos de Negócio? - Nível de uso de recursos de TI é ótimo? - Os objetivos da TI são visíveis e coerentes com os negócios? - Os riscos de TI são mapeados e monitorados? - A qualidade dos recursos e serviços de TI é apropriada ? PO1 - Definir plano Estratégico PO2 - Definir a arquitetura de informação PO3 - Determinar o direcionamento tecnológico PO4 - Definir processos de TI, a organização e o relacionamentoPO5 - Gerenciar o investimento em TI PO6 - Comunicar metas e diretivas gerenciais PO7 - Gerenciar os recursos humanos PO8 - Gerenciar a qualidade PO9 - Avaliar e gerenciar riscos de TI PO10 - Gerenciar Projetos Domínio de processos Adquirir e Implementar (AI) Realiza (executa) a estratégia (PO) Identifica soluções que integrem com os processos de negócio desenvolve ou adquire identifica mudanças necessárias para aderência dos aplicativos às implementa ou contrata mudanças para sistemas existente impedir mudanças que causem impacto na produção Projetos atendem às necessidades de negócios? Projetos entregues dentro do prazo e orçamentos? Sistemas (aplicativos) funcionam corretamente? mudanças no ambiente de TI causam impacto negativo nos negócios? AI1 - Identificar as soluções automatizadas AI2 - Adquirir e manter software aplicativo AI3 - Adquirir e manter infraestrutura de tecnologia AI4 - Permitir operação e uso AI5 - Adquirir os recursos de TI AI6 - Gerenciar mudanças AI7 - Instalar e validar soluções e mudanças Domínio de processos Entregar e Suportar (DS) Entregas reais dos serviços necessários aspectos de segurança e continuidade Criação de processos de suporte Processamento de dados pelos sistemas e aplicações Treinar service desk Qualificar profissionais Dar suporte e manutenção aos sistemas Serviços de TI alinhados com as propriedades de negócio? Custos de TI são otimizados (adaptados às necessidades) ? Pessoas aptas a usar os recursos de forma produtiva e segura? Atributos de confidencialidade, integridade e disponibilidade de dados DS1 - Definir e gerenciar níveis de serviços DS2 - Gerenciar serviços de terceiros DS3 - Gerenciar o desempenho e capacidade DS4 - Garantir a continuidade dos serviços DS5 - Garantir a segurança dos sistemas DS6 - Identificar e alocar custos DS7 - Educar e treinar usuários DS8 - Gerenciar central de serviços e incidentes DS9 - Gerenciar configuração DS10 - Gerenciar problemas DS11 - Gerenciar os dados DS12 - Gerenciar o ambiente físico DS13 - Gerenciar as operações Domínio de processos Monitorar e Avaliar (ME) Processos e atividades precisam ser medidos e avaliados regularmente Monitora requisitos de controle Requisitos de desempenho, qualidade, prazo e conformidade precisam Gerencia os controles internos, conformidade regulatória e governança Desempenho da TI é medido para detectar problemas antes de sua O gerenciamento garante que os controles sejam usados de forma O desempenho da TI é compatível com os objetivos de negócios? Riscos, controles, conformidades e desempenho são medidos e ME1 - Monitorar e avaliar o desempenho da TI ME2 - Monitorar e avaliar os controles internos ME3 - Assegurar conformidade regulatória ME4 - Fornecer governança de TI Requisitos de negócio Requisitos de qualidade - Qualidade (satisfação do cliente) - Entrega (no tempo necessário para o negócio) - Custo (dentro do orçamento, adequado aos objetivos de negócio) Requisitos Fiduciários (COSO) - (Informações Financeiras) - Eficácia e eficiência operacional - Confiabilidade dos relatórios financeiros - Cumprimento de leis e regulamentos Requisitos de Segurança - Confidencialidade - Integridade - Disponibilidade Requisitos de Negócios x Critérios de Informação Requisitos de Qualidade: - Qualidade : Eficácia - Entrega : Eficácia - Custo : Eficiência Requisitos de Segurança: - Confidencialidade: Confidencialidade - Integridade : Integridade - Disponibilidade : Disponibilidade Requisitos Fiduciários: - Eficiência e eficácia operacional : Eficiência, Eficácia - Conformidade : Conformidade - Confiabilidade : Confiabilidade Cada processo mapeia alguns critérios de informação Critérios de Informação Eficácia: - Capacidade de alcançar metas e resultados propostos - ser capaz de fazer da forma certa, correta, atingir o objetivo esperado Eficiência: - Produzir o máximo de resultados com o mínimo de recursos. - Fazer com a quantidade ótima de recursos (ideal: nem mais nem Provisão de informação através do uso otimzado (produtivo e Confidencialidade: (Segurança - CID) - Proteção da informação sigilosa contra a revelação não autorizada - Quem pode e não pode acessar cada tipo de informação Integridade: (Segurança - CID) - Exatidão, inteireza (completude) e validade adequada ao negócio. - Garantia esperada pelo negócio - pode ser integra mas não confiável - inserida e não alterada (íntegra), porém errada Disponibilidade: (Segurança - CID) - Disponível quando necessário ou quando requerida pelo processo de Confiabilidade: - Provisão de informação para viabilizar o gerenciamento e para que - é impossível ser confiável sem ser inteira Conformidade: Conformidade com leis, regulamentações e arranjos contratuais. Recursos de TI Processos de TI gerenciam os recursos usados para entregar informação necessária aos processos de Aplicações: - sistemas de pagamento, ERP, CRM, ... Informações: - Dados dos formulários processados e exibidos - Telas, relatórios, planilhas de dados Infraestrutura: - Hardware, sistemas operacionais, rede, multimidia, bancos de dados Pessoas - Pessoal necessário para TI, interna e terceirizada, para que os Framework do COBIT Os 4 domínios contém 34 processos que - Planejar e Organizar geram objetivos de controle - recursos são implementados ou adquiridos - para poderem ser entregues e suportados. - Este processo precisa ser monitorado e avaliado para que se possa garantir, auditar, avaliar o desempenho,e planejar melhorias. Este framework portanto: gerencia recursos de TI: - Aplicativos - Informação - Infraestrutura - Pessoas para gerar informações que tenham atributos: - Eficácia - Eficiência - Confidencialidade - Integridade - Disponibilidade - Conformidade - Confiabilidade para atender aos - objetivos de negócio, e - objetivos de governança Vantagens na adoção do Indicado e utilizado como template de arquitetura de processos para possui estrutura de controles que dão suporte a auditoria interna e é indicado e utilizado por órgãos reguladores (auditoria) é compatível com outros padrões como PMBoK, CMMi, ITIL, ... Perguntas: Como o CObIT ajuda uma organização a implantar a governança de TI? Ele contém programas de trabalho prontos para usar Oferece políticas e padrões quepodem ser obrigatórios x Fornece boas práticas e serve como um guia Tem controles que podem ser implantados do jeito que estão Qual dos seguintes é um componente do CObIT? Políticas Programas de Auditoria Guia de implantação x Recursos de TI Qual parte dentro do CObIT ajuda o negócio e a TI a entender os x Critérios de Informação Fatores críticos de sucesso Objetivos de Controle Modelo de Maturidade Qual dos seguintes é um requisito fiduciário dentro dos critérios de Segurança Integridade Disponibilidade x Eficácia Qual dos seguintes é um requisito de segurança no CObIT? Conformidade x Disponibilidade Confiabilidade Eficiência Qual dos seguintes é um recursos de TI no CObIT? Banco de Dados x Infraestrutura Sistema Operacional Contrato O Framework do CObIT é focado mais em: Como fazer do que o que precisa ser alcançado x O que precisa ser alcançado do que como fazer o que precisa ser organizado do que o que precisa ser alcançado O que precisa ser implantado do que como medir O CObIT trata a informação como um resultado combinado de Critérios de Informação Objetivos de controle x Processos de TI Métricas Qual domínio do CObIT foca no gerenciamento supervisionado dos Entregar e Suportar x Monitorar e Avaliar Adquirir e Implementar Planejar e Organizar Qual domínio do CObIT você esperaria achar uma resposta para " A Entregar e Suportar Monitorar e Avaliar Adquirir e Implementar x Planejar e Organizar Referências TI Exames http://www.governancadeti.com/2010/08/uma-visao-geral-do-cobit/