Cobit, Itil,Sas70

8/14/2019 Cobit, Itil,Sas70

1/32

UNIVERSIDADE VEIGA DE ALMEIDABACHARELADO EM SISTEMAS DE INFORMAO

TRABALHO DE AUDITORIA DE SISTEMAS

Swellen Polide Dezerbelles

Trabalho apresentado Prof.: Ms.

Myrna Amorim como meio de avaliao

parcial da disciplina auditoria e segurana de

sistemas.

Cabo Frio, Dezembro de 2009.


2/32

SUMRIO

1 INTRODUO .......................................................................................................... 4

2 SAS 70: A DECLARAO DE AUDITORIA PADRO ...................................6

3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA DA TI ...................................8

3.1 ITIL V3 ......................................................................................................................9

3.2 CICLODEVIDADOSERVIO (SERVICE LIFECYCLE) .......................................................... 10

3.3 GOVERNANA............................................................................................................. 11

3.1.1 Camada Ttica ............................................................................................12

3.1.1.1 Gerncia de Nvel de Servio ...............................................................12

3.1.1.2 Gerncia de capacidade ......................................................................... 13

3.1.1.3 Gerncia de Continuidades ....................................................................13

3.1.1.4 Gerncia de Disponibilidade ................................................................. 14

3.1.2 Camada Operacional ...................................................................................14

3.1.1.5 Central de Servios ................................................................................14

3.1.1.6 Gerncia de Incidentes .......................................................................... 15

3.1.1.7 Gerncia de Problemas ..........................................................................15

3.1.1.8 Gerncia de Configurao .....................................................................16

3.1.1.9 Gerncia de Mudanas .......................................................................... 16

3.1.1.10 Gerncia de Liberaes ....................................................................... 16

3.4 MODELODE MATURIDADE............................................................................................17

3.5 BENEFCIOSDO ITIL ................................................................................................... 18

3.6 DESVANTAGENSDO ITIL ............................................................................................. 19

2


3/32

4 COBIT: OBJETIVOS DE CONTROLE PARA TI ...........................................20

4.1 OS MODELOSDE PROCESSOSDE TI .............................................................................21

4.1.1.1 Planejar e organizar ...............................................................................22

4.1.1.2 Adquirir e Implementar ......................................................................22

4.1.1.3 Entregar e Dar Suporte .........................................................................23

4.1.1.4 Monitorar e Avaliar ...........................................................................24

4.2 MODELODEMATURIDADEDE TI ....................................................................................26

4.3 BENEFCIOSDO COBIT .................................................................................................28

4.4 DESVANTAGENSDO COBIT ...........................................................................................29

5 CONCLUSO ..........................................................................................................30REFERNCIAS BIBLIOGRFICAS......................................................................31

3


4/32

1 INTRODUO

Atualmente, com o avano constante da tecnologia impossvel imaginar umaempresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados

operacionais e fornecer informaes gerenciais aos executivos para tomadas de decises.

Sendo assim, torna-se cada vez mais necessrio administrar toda esta tecnologia, a fim de

garantir que o uso da mesma contribua para o comprimento dos objetivos da empresa. Mas

como fazer isso?

A administrao da TI, incluindo profissionais especializados requer altos

investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentosde TI por duvidarem dos reais benefcios que essa implantao poder fornecer. No entanto, a

ausncia deste investimento pode ser o fator chave para o fracasso de um empreendimento em

um mercado que esta a cada vez mais competitivo. Com base nisso, e para melhorar todo o

processo de anlise de riscos e tomada de deciso necessrio gerenciar e controlar as

iniciativas de TI, garantindo assim o retorno de investimentos e melhorias nos processos

empresariais. Esse novo conceito de gerncia conhecido por: governana de TI.

Alm do termo governana de TI encontramos outros muito famosos, como ITIL,CobiT, Sarbanes-Oxley1(SOX ou Sarbox), Balanced Scorecard2 (BSC), CMMI3, PMI4. Cada

uma dessas siglas ou termos se refere a uma parte especfica da governana. Neste trabalho,

veremos as principais caractersticas de dois desses termos: ITIL e CobiT.

1 Lei estadunidenseque visa garantir a criao de mecanismos deauditoriae segurana confiveis nasempresas .2

Metodologia usada na gesto de negcios, do servio e infra-estrutura.3 Modelo de referncia que contm prticas maturidade de uma organizao.4 Voltado ao gerenciamento de projetos.

4
http://www.itil.org.uk/http://www.sei.cmu.edu/cmmi/http://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Seguran%C3%A7ahttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Ger%C3%AAncia_de_projetoshttp://pt.wikipedia.org/wiki/Estadunidensehttp://pt.wikipedia.org/wiki/Auditoriahttp://pt.wikipedia.org/wiki/Seguran%C3%A7ahttp://pt.wikipedia.org/wiki/Empresashttp://pt.wikipedia.org/wiki/Ger%C3%AAncia_de_projetoshttp://www.itil.org.uk/http://www.sei.cmu.edu/cmmi/


5/32

Um outro tema a ser debatido neste trabalho, ser o SAS 70. Embora os termos aqui

debatidos no estejam diretamente relacionados, se utilizados em conjunto, tornam-se

verdadeiros aliados na hora de alcanar os objetivos da empresa.

5


6/32

2 SAS 70: A DECLARAO DE AUDITORIAPADRO

O SAS 70 (Statement on Auditing Standards n. 70) um relatrio formal sobre o

desenho, implementao e efetividade operacional dos controles de uma organizao de

servios (prestadora de servios).

Se uma empresa fornece servios a uma outra e se esse determinado servio afeta de

alguma forma as finanas desta empresa-cliente, esta poder solicitar um relatrio sobre os

controles internos da empresa prestadora de servio, para que este possa ser utilizado por sua

administrao ou seus auditores quando desejado. basicamente um documento que visa

averiguar a existncia dos controles da empresa (prestadora de servio) bem como a eficincia

e eficcia do trabalho prestado. Entendido isso, cabe perguntar, a quem so endereados os

servios SAS 70? Geralmente empresas que prestam servios de processamento de dados,

folha de pagamento, contabilidade e outros processos especficos de negcio.

Atualmente, segundo Vitor Albanese5, qualquer organizao terceirizada que fornece

servios para uma outra empresa est sendo solicitada a fornecer relatrios SAS 70. E este

documento tem se tornado um pr-requisito para contratar um prestador de servios.

As principais informaes para um auditor desenvolver um relatrio SAS 70 so

obtidas por meio de discusses com a administrao, supervisores e staff, e por meio da

inspeo de documentao relevante, como fluxogramas de sistemas, narrativas processuais,

dirios operacionais, e outros meios. Toda a informao que recolhida compilada em dois

tipos de relatrios. Estes relatrios so chamados de: tipo I e tipo II.

O relatrio de tipo inclui informaes referentes aos controles e procedimentos

utilizados para a realizao do servio contratado e tambm a avaliao das polticas da

5 Diretor administrativo de servios de administrao e operaes da Eisner.

6


7/32

empresa H partes neste relatrio que so opcionais, como por exemplo, os testes que so

executados pelo revisor de contas. J o relatrio de tipo II, bastante similar ao do tipo I. A

principal diferena que neste, obrigatoriamente deve-se realizar testes sobre os controles

colocados em operao, esses testes verificaro a eficincia operacional da empresa, ou seja,

analisaro se os controles testados estavam operando com a eficincia necessria para

constatar que os objetivos de controle esperados foram atingidos durante o perodo de testes.

Segundo Vitor Albanese, muitas empresas-clientes esto solicitando de seus

prestadores de servios o relatrio de tipo II, pois este exigido pelo governo com base no

desenvolvimento e implementao da Lei Sarbanes-Oxley.

Benefcios

Para a empresa prestadora de servio, os benefcios vo alm da necessidade dos

clientes. Com o SAS 70 a empresa obtm ganho por realizar um monitoramento contnuo de

seus prprios processos e cria um ambiente de negcios transparente que por sua vez favorece

a realizao de novos negcios. J para a empresa-cliente o maior ganho est relacionado

qualidade do servio contratado e a segurana de sua prpria empresa.

7


8/32

3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURADA TI

Desenvolvido no final dos anos 80 pela CCTA (Central Computer and

Telecommunications Agency) e atualmente sob custdia da OGC6 (Office for Government

Commerce) da Inglaterra. O ITIL, foi criado a fim de garantir que as organizaes do setor

pblico ingls tivessem o mximo de eficincia com o menor custo possvel e que a soluo

para essa demanda fosse totalmente independente de possveis provedores, descrevendo

detalhadamente diversas atividades importantes para a TI, como tarefas, procedimentos e

responsabilidades.Segundo a Pink Elephant7, a filosofia ITIL adota uma estratgia orientada a processos

que considera o gerenciamento de servios em TI constitudo de processos relacionados e

altamente integrados. Um de seus propsitos sintonizar a gesto da tecnologia com as

necessidades dos negcios, focando a qualidade dos servios prestados. Para atingir os

objetivos do gerenciamento de servios em TI, os processos devem utilizar o trip: pessoas,

processos e produtos, de forma eficaz, eficiente e econmica. O ITIL define o que deve ser

feito, ficando a cargo das organizaes a definio de como ser feito.

Sendo assim, o principal objetivo do ITIL o de fornecer um modelo para o

gerenciamento dos servios de TI, promovendo o alinhamento estratgico entre as reas de

negcio e as reas de TI da organizao, criando formas de comunicao e entendimento entre

ambas.

6 Organizao do governo do Reino Unido responsvel por tarefas que aumentam a eficincia e efetividade de processos denegcio do governo.7 Empresa de capital privado com o objetivo de aprimorar a qualidade dos servios de TI atravs da utilizao de um conjuntode melhores prticas, incluindo o ITIL.

8
http://pt.wikipedia.org/wiki/OGChttp://pt.wikipedia.org/wiki/Reino_Unidohttp://pt.wikipedia.org/wiki/Reino_Unidohttp://pt.wikipedia.org/wiki/OGC


9/32

Atualmente existem trs organizaes principais que regulam as prticas do ITIL:

OGC - Os direitos autorais do ITIL so de propriedade do governo britnico, visto que

o mesmo foi criado pela CCTA, este passou a fazer parte da OGC em 1 de abril de

2001.

ITSMF - O ITSMF (Information Technology Service Management Forum) um

grupo internacional de usurios independentes reconhecido mundialmente, que

promove a troca de conhecimentos relacionados a TI. Esse grupo ministra palestras,

seminrios e tambm publicam boletins informativos e operam um website para

divulgao de informaes.

EXIN e ISEB - A fundao holandesa EXIN (Exameninstituut voor Informatica) e o

conselho de exame de sistemas de informao (ISEB - Information Systems

Examination Board) britnico, desenvolveram um sistema de certificao para o

gerenciamento de servios em TI. Promovem certificaes em trs nveis: Diploma de

fundamentos, de profissionais e de mestre (para gerentes).

3.1 ITIL v3

De meados da dcada de 80 at o final da dcada de 90, o ITIL seguiu sua verso

original com 40 livros. A verso 2.0, e mais conhecida, possui 10 livros. Em 2006 foi ento

projetada a verso 3.0, reunindo o que havia de melhor nas verses anteriores, agregando os

domnios em 5 livros:

Estratgia de Servios (Service Strategy): esse livro aborda principalmente as

estratgias, polticas e restries sobre os servios. Inclui tambm temas como reao

de estratgias, implementao, redes de valor, portflio de servios, gerenciamento,

gesto financeira, anlise de mercado e ROI.

Design de Servios (Service Design): a abordagem nesse livro engloba polticas,

planejamento e implementao. baseado nos cinco aspectos principais de design de

9


10/32

servios: disponibilidade, capacidade, continuidade, gerenciamento de nvel de

servios e outsourcing. Tambm esto presentes informaes sobre gerenciamento de

fornecedores e de segurana da informao.

Transio de Servios (Service Transition): Apresenta um novo conceito sobre o

sistema de gerenciamento do conhecimento dos servios. Tambm inclui abordagem

sobre mudanas, riscos e garantia de qualidade. Os processos endereados so

planejamento e suporte, gerenciamento de mudanas, gerenciamento de ativos e

configuraes, entre outros.

Operaes de Servios (Service Operations): operaes cotidianas de suporte so o

conceito principal desse livro. Monitoramento de problema e balanceamento entre

disponibilidade de servio e custo, so considerados. Existe foco principal em

gerenciamento de service desk e requisies de servios, separadamente de

gerenciamento de incidentes e de problemas, que tambm tm espao.

Melhorias Contnuas de Servios (Continual Service Improvement): a nfase deste

livro est nas aes planejar, fazer, checar e agir, de forma a identificar e atuar emmelhorias contnuas dos processos detalhados nos quatro livros anteriores. Melhorias

nesses aspectos tambm levam a servios aprimorados aos clientes e usurios.

At a verso 2.0 o ITIL focava o alinhamento entre TI e negcios. Na verso 3.0 o

foco a integrao entre eles. Para obter essa integrao, passou a ser utilizado nesta verso o

conceito de um ciclo de vida do servio (Service LifeCycle), que trata do servio desde a

identificao da sua necessidade at sua implementao.Na verso 3.0, a tendncia que a TI passe a ser vista como tecnologia de negcios ao

invs de tecnologia da informao. Desse modo, dever adicionar valor ao negcio ao invs

de apenas suport-los.

3.2 Ciclo de vida do servio (Service LifeCycle)

10


11/32

Os principais passos previstos no Service Lifecycle so:

Identificao do servio

Desenvolvimento do servio

Posicionamento do servio

Consumo do servio

Gerenciamento do servio

Cada um desses passos envolve papis e responsabilidades diferentes, sendo assim so

necessrios profissionais que sejam aptos a realizar a tarefa de cada rea em especfico. Sendoestes, profissionais de soluo, infra-estrutura, desenvolvedores de servios, arquitetos de

enterprise, responsveis pelo negcio, entre outros.

Cada um dos passos do ciclo de vida de um servio, pode se sobrepor em momentos

de desenvolvimento, testes, homologao e uso em produo. Cada empresa pode aplicar

regras diferentes para o controle desses passos. Para gerenciar o ciclo de vida de um servio

pode ser necessrio e cmodo utilizar uma ferramenta de governana, como o Oracle

Enterprise Repository (OER), que auxilia a empresa em todo esse processo.

3.3 Governana

O ITIL possui sua governana baseada em duas camadas que compe a estrutura de

suas gerncias: Uma ttica e a outra operacional. A figura a seguir ilustra como se relacionam

essas estruturas de gerncia e controle mostrando, inclusive, o papel do GRC (gerncia de

relacionamento com o cliente).

11


12/32

Fig 1: As gerncias do ITIL e seus relacionamentos. Adaptado por Matheus Canto de:

http://governadeti.blogspot.com.

3.1.1 Camada Ttica

3.1.1.1 Gerncia de Nvel de Servio

O planejamento, a coordenao, a elaborao, a monitorao e o feedback dos ANS

(acordos de nvel de servio), somados as possveis revises dos ANS, formam a gerncia de

nvel de servio (GNS), que tambm pode ser entendida como sendo a garantia da qualidade edos custos firmados num ANS no qual estariam baseadas as relaes entre servios e clientes.

preciso considerar os seguintes fatores quando se define os nveis de servio:

Custos

Continuidade

Disponibilidade

Desempenho

12


13/32

Flexibilidade

Estabilidade

O Gerenciamento de nvel de servio inclui elaborar e manter acordos de nvel de

servio, acordos de nvel operacional, contratos de apoio e planos de qualidade de servio.

3.1.1.2 Gerncia de capacidade

Engloba a monitorao, anlise e planejamento do uso dos recursos da TI, a gerncia

da capacidade identifica quais so os servios requeridos e como dar suporte a eles.

Sem um processo bem definido e implementado da gerncia de nvel de servio, agerncia de capacidade tambm no trar os benefcios esperados para a empresa. A gerncia

de nvel de servio deve contribuir fornecendo para a capacidade, o correto entendimento dos

objetivos de negcio. Com essa viso, a gerncia de capacidade ser muito mais eficiente e

eficaz para prover demanda atual e futura dos negcios.

3.1.1.3 Gerncia de Continuidades

O processo de Gerenciamento de Continuidade de Servios de TI pesquisa, desenvolve

e implanta as opes de recuperao quando a interrupo de um servio atinge um ponto

crtico j definido anteriormente. Com isso, possvel afirmar que O objetivo do

Gerenciamento de Continuidade de Servios de TI planejar, cobrir e recuperar-se de uma

crise de TI que necessite que o trabalho seja movido a um sistema alternativo de forma

transparente.

A gerncia de continuidade de servios de TI pode beneficiar a empresa da seguinte

forma:

Melhor gerenciamento de riscos

Credibilidade organizacional

Vantagem competitiva

Recuperao dos sistemas de TI de uma forma controlada

Interrupo mnima do negcio

13


14/32

3.1.1.4 Gerncia de Disponibilidade

O gerenciamento de disponibilidade responsvel por garantir que os servios estejam

disponveis. Estabelece nveis para que os objetivos de otimizao possam ser atendidosatravs do levantamento de requisitos de disponibilidade e da anlise da capacidade da infra-

estrutura da TI, onde, possveis lacunas seriam preenchidas por alternativas consideradas

viveis dentro do planejamento, envolvendo os conceitos de disponibilidade, confiabilidade e

sustentabilidade.

O gerenciamento de disponibilidade apresenta uma estreita relao com o

gerenciamento de capacidade para atingir o seu objetivo. Esta relao no pode garantir a

disponibilidade de um servio quando a capacidade insuficiente.O Gerenciamento de Disponibilidade pode beneficiar a empresa da seguinte forma:

Os servios de TI so administrados para atingir objetivos especficos de

disponibilidade

Melhoria da qualidade do servio, pois est mais controlado

Menor necessidade de suporte reativo a problemas

Menor custo de manuteno e tempo de queda Os recursos de TI so utilizados com maior eficincia

3.1.2 Camada Operacional

3.1.1.5 Central de Servios

A central de servios ou service desk, atua como uma linha de frente para os outros

departamentos de TI e capaz de lidar com inmeras dvidas dos clientes sem precisar

contatar pessoas especializadas. Para os usurios, pode ser considerada como um ponto nico

de contato com a empresa de TI, direcionando o usurio para rea correta. Alm disso, pode

ser atribudo central de servios a funo de acompanhamento a chamadas originadas dentro

da prpria organizao de TI.

A central de servios lida com atividades relacionadas a diversos processos bsicos do

ITIL como o gerenciamento de incidentes, o gerenciamento de liberaes e o gerenciamento

de mudanas.

14


15/32

3.1.1.6 Gerncia de Incidentes

A central de servios responsvel pelo monitoramento da soluo de todos os

incidentes registrados - como resultado, esta passa a ser a proprietria de todos os incidentes.

A gerncia de incidentes tem como foco principal restabeler o servio o mais rpido

possvel minimizando o impacto negativo no negcio, uma soluo de

contorno ou reparo rpido fazendo com que o cliente volte a trabalhar de modo

alternativo. Incidentes que no podem ser resolvidos imediatamente pelo service deskpodem

ser designados a grupos de especialistas. A gerncia de incidentes inclui as seguintesatividades:

Registro de alerta de incidentes

Suporte e classificao de incidentes

Investigao e diagnstico

Resoluo e recuperao

Acompanhamento de incidente e comunicao ao cliente/usurio

Propriedade do incidente, monitoramento e fechamento

3.1.1.7 Gerncia de Problemas

O objetivo da gerncia de problemas minimizar o impacto de incidentes e problemas

no negcio causados por erros na infra-estrutura e evitar a ocorrncia de incidentes,

problemas e erros. Para isso deve resolver a causa dos erros e encontrar solues permanentespara estas. As causas das falhas so identificadas e so recomendadas alteraes nos itens de

configurao (CIs) para o gerenciamento de mudanas.

O gerenciamento de problemas difere do gerenciamento de incidentes no sentido de

que seu objetivo principal a deteco da origem do incidente e sua subseqente resoluo e

preveno, sendo esse um processo a nvel de empresa. Este objetivo pode estar em conflito

direto com o gerenciamento do incidente cujo objetivo principal restabelecer, na medida do

possvel, o servio ao nvel estabelecido no ANS, sendo esse um processo a nvel de usurio.

15


16/32

3.1.1.8 Gerncia de Configurao

A gerncia de configuraes fornece controle direto sobre os ativos de TI e melhora a

habilidade do fornecedor de servios para entregar servios de TI com qualidade de uma

maneira econmica e efetiva. A gerncia de configuraes deve trabalhar prximo do

gerenciamento de mudanas.

Todos os componentes da infra-estrutura de TI devem ser registrados no banco de

dados do gerenciamento de configuraes (CMDB). As responsabilidades da gerncia de

configuraes relacionadas ao CMDB so: o planejamento, a identificao, o controle, acontagem de status e a verificao e exames.

Essa gerncia ainda acrescenta alguns benefcios como: o fornecimento de

informaes precisas dos CIs e suas documentaes, o controle dos CIs, a facilitao da

aderncia a obrigaes legais, ajuda com o planejamento financeiro e despesas, a visibilidade

das mudanas do software, contribuies com o plano de contingncia, suporte e

melhoramento do gerenciamento de releases, a permisso para que a organizao execute

anlises de impacto e mudanas programadas de modo seguro e eficiente e o fornecimento dedados e tendncias para a gerncia de problemas.

3.1.1.9 Gerncia de Mudanas

O objetivo da gerncia de mudanas gerenciar todas as mudanas que possam vir a

interferir a entrega do servio.

As principais atribuies ou responsabilidades dessa gerncia so caracterizadas comosendo o recebimento e registro de requisies de mudanas, a avaliao das implicaes, o

custo/benefcio e riscos das mudanas propostas, o planejamento das mudanas, a

coordenao e o controle da implementao, a monitorao e os relatrios, as revises ps-

implementao, a instaurao do conselho controlador de mudanas e um comit de

emergncias.

3.1.1.10 Gerncia de Liberaes

16


17/32

A gerncia de liberaes ou verses (ou releases), responsvel pelo controle de

licenas referentes a recursos de software e hardware pertencentes a TI, procura assegurar que

somente verses autorizadas estejam disponveis para utilizao. Tambm responsvel pelo

planejamento, desenho, construo, configurao, preparao e programao da liberao e

testes de hardware e software, assegurando desta forma, componentes necessrios para que os

incidentes e instalaes possam ser tratados rapidamente.

3.4 Modelo de Maturidade

O ITIL pode ser independente quanto ao modelo de maturidade a ser utilizado. Para

cada uma das gerncias, existe uma classificao dentro dos nveis de maturidade, com isso,os nveis de maturidade apontam direes para a evoluo de servios, tarefas, processos e/ou

procedimentos.

Na adoo do ITIL, pode-se escolher como modelo de maturidade o PMF - Process

Maturity Framework (Modelo de Maturidade de Processos), que possui 5 nveis e parte

integrante do prprio ITIL, ou pode-se utilizar tambm um dos modelos disponibilizados,

como o CMM, CobiT e ISO 15504.

Neste trabalho ser abordada a maturidade segundo a viso do PMF.Segundo Matheus Canto, o PMF pressupe que est sendo utilizado in loco um

sistema de gesto de qualidade (QMS - Quality Management System), e que o objetivo

melhorar um ou mais aspectos de eficincia, eficcia, economia ou a equidade dos processos.

O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros,

enquanto o PMF do ITIL define vrias dimenses que compreendem cada nvel.

O PMF avalia a maturidade das gerncias, de acordo com os seguintes fatores:

Viso e estratgia

Direcionamento (Steering)

Processos

Pessoas processos;

Tecnologia

Cultura

17


18/32

A Figura 2 detalha os cinco nveis bsicos de maturidade abordados pelo PMF,

incluindo seus enfoques para uma melhor gesto.

Fig 2: Detalhamento dos nveis de maturidade. Adaptado por Matheus Canto de:http://www.isdbrasil.com.br./

3.5 Benefcios do ITIL

O ITIL baseado na necessidade de fornecer os servios com alta qualidade, s

vantagens dessa prtica so enormes. Entre elas, as principais so:

Alinhamento dos servios de TI com as necessidades do negcio

Melhoria da qualidade dos servios de TI

Reduo de custos

Processos cada vez mais eficientes e eficazes

Gerenciamento da empresa de maneira global

18


19/32

Reduo no nmero de incidentes

Reduo da dependncia sobre as pessoas chaves

Riscos na infra-estrutura e dependncias so facilmente identificveis

3.6 Desvantagens do ITIL

Segundo Carla Farinha, a maior desvantagem do ITIL est na burocracia de seusprocessos, ela ainda afirma que o conjunto de melhores prticas no passa de uma lista de

itens que a organizao deve seguir. As prticas do ITIL no so implementadas e sim usadas

para criar a mudana organizacional, ou seja, ITIL no orienta como aplicar efetivamente

essas tcnicas, cada organizao deve desenhar as suas baseando-se nas necessidades e

objetivos.

Uma outra desvantagem do ITIL que, enquanto alguns tpicos so cobertos

extensivamente e definidos como de alto valor, outros tpicos podem no receber suficienteateno quando se trata da qualidade, o que leva desigualdade entre os processos.

19


20/32

4 COBIT: OBJETIVOS DE CONTROLE PARATI

O CobiT pode ser definido como um guia para a implementao de controles e

mtricas para o gerenciamento da rea de tecnologia da informao (TI) como um todo.

Embora tenha sido desenvolvido e recomendado pelo ISACF (http://ww.isaca.org) atualmente

passou a ser mantido pelo ITGI - IT Governance Institute.

Segundo Luciana Costa, um modelo utilizado internacionalmente como um

instrumento (de fomento) da Governana de TI, contendo prticas, tcnicas de controle e

gerenciamento, a fim de: auxiliar na preparao para auditorias, acompanhamento,

monitoramento, avaliao dos processos de TI e finalmente, auxiliar no alcance de metas na

organizao. Para isso, no determina como os processos devem ser estruturados, e sim, como

utiliz-los da melhor forma a fim de gerar as informaes que a empresa realmente necessita

para que suas metas sejam cumpridas.

Especialistas em gesto e institutos independentes recomendam o uso do

Cobit como meio para otimizar os investimentos de TI, melhorando oretorno sobre o investimento ROI percebido, fornecendo mtricas paraavaliao de performance (KPI) , de resultados (KGI) e nvel do maturidade(modelo de maturidade).

(Renato Sona Gonalves8, http://governadeti.blogspot.com/2008/03/cobit-aguarde.html)

Criado para apoiar os profissionais no controle e gerenciamento dos processos de TI

de forma lgica e estruturada, procura ocupar o espao entre a gesto de riscos voltada para o

8 Analista de Sistemas, com especializao em Gesto de Projetos, pela Unicamp. Gerente de Sistemas do Grupo JulioSimes.

20
http://ww.isaca.org/http://governadeti.blogspot.com/http://ww.isaca.org/http://governadeti.blogspot.com/


21/32

negcio (atendida pela metodologia COSO), a gesto de servios em TI (ITIL) e a gesto da

segurana da informao (tratada pela BS7799 ou ISO/IEC 17799 - verso internacional).

Buscando fornecer informaes detalhadas para gerenciar os processos de negcios de

uma empresa, auxilia os seguintes profissionais de TI:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma

organizao.

Usurios que precisam ter garantias de que os servios de TI do qual dependem os

seus produtos esto sendo bem gerenciados.

Auditores que podem se apoiar nas recomendaes do COBIT para avaliar o nvel da

gesto de TI e aconselhar o controle interno de uma organizao.

4.1 Os Modelos de Processos de TI

O CobiT consiste de trs modelos: modelo de processos de TI (framework), modelo

para governana de TI e o modelo de maturidade de TI.

4.1.1 Modelo de processos de TI (Framework)

Este modelo consiste em um conjunto de 318 Controles, distribudos em 34 processos

que so agrupados em 4 domnios que integram um ciclo de vida que pode ser repetido no

sistema de gesto de TI. Onde cada um desses domnios visa um objetivo de controle em

especfico. Esses objetivos de controle, se atingidos, garantem o alinhamento da TI aos

objetivos do negcio. A responsabilidade pelo sucesso dos sistemas de controles , portanto,

da alta direo, a qual deve torn-los efetivos.

Os quatro domnios do CobiT:

Planejar e Organizar

Adquirir e Implementar

Entregar e Dar Suporte

Monitorar e Avaliar

21


22/32

4.1.1.1 Planejar e organizar

Esse domnio cobre o uso da informao e da tecnologia disponvel na empresa e

como estas podem ser utilizadas para que a empresa atinja seus objetivos e metas. Para isso,considera tambm a forma organizacional e a infra-estrutura de TI desta determinada

organizao. Atravs da anlise, planejamento e organizao de cada uma dessas reas

possvel obter inmeros benefcios e atingir as metas estabelecidas.

A tabela seguinte lista os objetivos de controle de alto nvel para o domnio do

Planejamento e Organizao:

OBJETIVOS DE CONTROLE DE ALTO NVELPlanejar e Organizar

PO1 Definir um Plano Estratgico de TI e Orientaes

PO2 Definir a Arquitetura de Informao

PO3 Determinar o Gerenciamento Tecnolgico

PO4 Definir os Processos de TI, Organizao e Relacionamentos

PO5 Gerenciar o Investimento em TI

PO6 Comunicar os Objetivos de Gerenciamento e Orientar

PO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a Qualidade

PO9 Estimar e Gerenciar os Riscos de TI

PO10 Gerenciar ProjetosFonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.2 Adquirir e Implementar

As solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim

como devem ser implantadas e integradas dentro de um processo de negcios. Segundo Paulo

Csar Rodrigues9, esse domnio tambm foca o desenvolvimento do plano de manuteno que

a companhia adota para prolongar a vida do sistema de TI e seus componentes. Qualquer

mudana na manuteno garantida por este domnio, aps mudana, o domnio passa a

assegurar que a soluo continue a atender os objetivos de negcio. Os objetivos de alto nvel

do domnio de aquisio e implementao seriam:

9 Dono e profissional atuante da Confidentia IT Solutions - Governana, Riscos, Conformidade .

22
http://www.via6.com/perfil.php?mid=104079http://www.via6.com/perfil.php?mid=104079


23/32

OBJETIVOS DE CONTROLE DE ALTO NVELAdquirir e Implementar

AI1 Identificar Solues Automatizadas

AI2 Adquirir e Manter Software de Aplicao

AI3 Adquirir e Manter Infraestrutura de Tecnologia

AI4 Habilitar Operao e Uso

AI5 Obter Recursos de TI

AI6 Gerenciar Mudanas

AI7 Instalar e Credenciar Solues e Mudanas

Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.3 Entregar e Dar Suporte

Foca aspectos de entrega de TI, se preocupa com a entrega real dos servios

solicitados, o que inclui o service delivery, o gerenciamento da segurana, o servio de

suporte aos usurios, entre outros. Desta forma, cobre a execuo de aplicaes dentro dosistema e seus resultados, assim como o suporte dos processos que habilitam a execuo de

forma eficiente e efetiva. A seguir a tabela com os objetivos de controle de alto nvel desse

domnio.

OBJETIVOS DE CONTROLE DE ALTO NVELEntregar e Dar Suporte

DS1 Definir e Gerenciar Nveis de ServioDS2 Gerenciar Servios de Terceiros

DS3 Gerenciar Performace e Capacidade

DS4 Assegurar Servio Contnuo

DS5 Assegurar Segurana de Sistema

DS6 Identificar e Alocar Recursos

DS7 Treinar Usurios

DS8 Gerenciar Servios de Escritrio e Incidentes

DS9 Gerenciar a Configurao

23


24/32

DS10 Gerenciar Problemas

DS11 Gerenciar Dados

DS12 Gerenciar o Ambiente Fsico

DS13 Gerenciar OperaesFonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.4 Monitorar e Avaliar

Monitora o sistema implantado e avalia se o atual sistema de TI atinge os objetivos

desejados. Todos os processos de TI necessitam ser auditados/avaliados regularmente em suaqualidade e adequao com requerimentos de controle. Este domnio enderea o

gerenciamento de performance, monitoramento de controle internos, cobre as questes de

estimativa independentemente da efetividade do sistema de TI e sua capacidade de atingir os

objetivos de negcio, controlando os processos internos da companhia atravs de auditores

internos e externos.

OBJETIVOS DE CONTROLE DE ALTO NVELMonitorar e Avaliar

M1 Monitorar os processos

M2 Assegurar avaliao dos controles internos

M3 Obter avaliao independente

M4 Prover auditoria independente

Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.2 O Modelo de Governana de TI

Esse modelo constitudo pela unio de 3 componentes em especfico:

Fatores Crticos de Sucesso FCS (CSFs - Critical Success Factors) - So os pontos

chave que definem o sucesso ou o fracasso de um objetivo definido. Define o que h

24


25/32

de mais importante a ser feito para permitir que uma tarefa ou processo sejam

concludos.

Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - Permitem medir em que

grau os novos processos implementados responderam aos requisitos de negcio.

Utilizados para reconhecer se as metas definidas foram alcanadas.

Indicadores de Desempenho - IdD (KPIs - Key Performance Indicators) - medem o

nvel de desempenho do processo, focando no como e indicando como os

processos de TI permitem que o objetivo seja alcanado.

Um Processo deve alcanar os objetivos de negcio definidos nos indicadores de

metas (IdM). Um habilitador, resultante da combinao dos recursos de TI necessrios e dos

fatores crticos de sucesso (FCS) fornece a informao segundo os critrios necessrios e

monitorado por indicadores de desempenho (IdD).

Esses critrios podem ser: eficcia, eficincia, confidencialidade, integridade,

disponibilidade e confiabilidade. A combinao desses elementos depende da natureza do

processo de TI.

25


26/32

Fig 3: Os componentes de um processo de TI. Adaptado por Matheus Canto de:

http://www.vhmartins.com/cobit2.htm

4.2 Modelo de maturidade de TI

O modelo de maturidade fornecido, como uma ferramenta distinta para cada um dos

34 processos do COBIT. A partir dos nveis de maturidade descritos para cada um desses

processos, possvel identificar:

Um mtodo para auto-avaliao. Situa a organizao quanto a seusprocessos;

Um mtodo para utilizar os resultados da auto-avaliao. Pode ser

usado para estabelecer metas para desenvolvimentos futuros, baseando-se

principalmente na posio em que a empresa deseja alcanar na escala, no

necessariamente no nvel 5;

Um mtodo para planejar projetos que atinjam as metas estabelecidas

previamente. Esse planejamento teria como base a diferena entre as metas e a

situao atual da empresa.

Um mtodo para priorizar projetos baseado na sua classificao e na

anlise dos benefcios versus os custos.

Segundo o ITGI10, os nveis de maturidade dos processos de TI descrevem perfis de

processos que possam ser reconhecidos pelas organizaes. Esses nveis no estabelecem

patamares evolutivos, onde no se pode alcanar um nvel superior sem antes passar pelos

inferiores.

O CobiT utiliza uma escala de seis nveis, conforme o modelo de Maturidade abaixo:10 Instituto de Governana de TI.

26


27/32

Fonte: COBIT Management Guidelines July 2000

0 Inexistente - A organizao no reconhece a existncia de um processo a ser

gerenciado.

1 Inicial - Os processos so eventuais (ad hoc) e no organizados.No h

processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas em bases

isoladas ou caso a caso.

2 Repetitivo -Os processos so estruturados e procedimentos similares so seguidos

por diferentes indivduos para a mesma tarefa. No h treinamento ou divulgao formais de

procedimentos padronizados e as responsabilidades so deixadas a cargo das pessoas. H forte

dependncia do conhecimento individual. Existe alguma documentao.

3 Definido - Os processos so padronizados, documentados e comunicados.

Entretanto deixa a cargo dos indivduos seguirem ou no os processos, isso dificulta a

deteco de desvios.

4 Gerenciado - Existe a possibilidade de monitorar o cumprimento dos

procedimentos e adotar medidas quando os processos aparentarem no funcionar

efetivamente. Os processos esto sob constante melhoria e propiciam boas prticas.

Automao e ferramentas so utilizadas de forma limitada ou fragmentada.

5 Otimizado -Os processos foram refinados at alcanar as melhores prticas, com

base no resultado de melhoria contnua e comparaes com outras organizaes. A TI

543210

Inexistente Inicial Repetitivo Definido Administrado Otimizado

Situao atual da organizao

Padro de mercado

Melhores prticas

Estratgia da organizao

27


28/32

utilizada como uma forma integrada para automatizar os fluxos dos procedimentos

(workflow), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a

empresa gil para adaptaes.

4.3 Benefcios do CobiT

Com a evoluo da tecnologia, as empresas ficaram dependentes de todos os tipos de

artifcios para driblar o acesso de terceiros aos seus dados privados, ou seja, atualmente

necessrio que as empresas utilizem de toda a tecnologia necessria para implementar controles

de segurana eficazes.

Segundo Mayer Fagundes11, as recomendaes de gerenciamento do CobiT com

orientao no modelo de maturidade em governana auxiliam os gerentes de TI no

cumprimento de seus objetivos alinhados com os objetivos da organizao.

Os guia de gerenciamento do CobiT foca na gerncia por desempenho usando os

princpios do BSC (Balanced Scorecard). Que por sua vez, possuem mtodos que incluem:

definio da estratgia empresarial, gerncia do negcio, gerncia de servios e gesto da

qualidade. Identificam e medem os resultados dos processos, avaliando seu desempenho e

alinhamento com os objetivos dos negcios da empresa.Se implementado da maneira correta, os benefcios do CobiT podem ser inmeros,

entre eles:

Diminuio no volume de relatrios para a tomada de deciso

Aumento no foco das aes gerenciais

Melhoria na comunicao de tarefas e metas Facilidade no entendimento dos dados e informaes

Reduo na quantidade de trabalho

Ganho na produtividade gerencial

11Diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos mercados de gerao e distribuiode energia e na rea de telecomunicaes.

28
http://pt.wikipedia.org/wiki/Estrat%C3%A9gia_empresarialhttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Estrat%C3%A9gia_empresarialhttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidadehttp://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidade


29/32

4.4 Desvantagens do CobiT

Apesar do CobiT ser aplicvel a todos os setores da empresa, apresenta falhas quando

passamos a observar alm dos processos. Analisando de uma maneira geral, possvel afirmar

que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente),

pois seu foco est ligado s reas de nvel estratgico e ttico da mesma.

29


30/32

5 CONCLUSO

Levando todos os aspectos aqui levantados quanto a governana de TI, mais

especificamente sobre o ITIL e CobiT, possvel notar que estas metodologias inovaram area de TI, contribuindo desta forma, no somente com as empresas, mas tambm com os

profissionais desta rea. Por um lado, a governana promove um novo foco das atividades do

setor para que este se alinhe estrategicamente com os objetivos da empresa, promovendo

melhor desempenho, reduo de custos e melhoria dos servios. Por outro lado, melhora a

vida do profissional de TI, j que este passa de uma vida de estresse e tenso, para um

ambiente de trabalho controlado e estabilizado.

O ITIL est consolidado na TI no que se refere a servios e suporte, e o CobiT,consolidado no que se refere a processos, onde o foco ser sempre o aspecto gerencial e

operacional. Esses modelos so complementares, possuem pontos distintos que completam

um ao outro. O uso adequado destas metodologias em conjunto, favorece a administrao da

empresa a ponto de diminuir o volume de relatrios, aumentar o foco das decises gerenciais,

reduzir custos e trabalho, melhorar a comunicao, entre outros.

So complementares, principalmente por causa dos seus objetivos e foco,uma vez que o ITIL, pelo que foi apresentado, seria o "como fazer" enquantoo CobiT seria o "o que fazer" para a TI no que se refere a servios e

processos.(MatheusCanto, CobiT x ITIL: um estudo comparativo)

Alm de ter abordado duas das principais metodologias da governana de TI, este

trabalho tambm deu uma breve descrio do relatrio formal de auditoria para empresas

prestadoras de servio, o SAS 70.

30


31/32

REFERNCIAS BIBLIOGRFICAS

ANDRADE, Vera. Descomplicando o ITIL. Disponvel em:

http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdf.

Acesso realizado em: 23/11/09

CANTO, Matheus. CobiT X ITIL: estudo comparativo. Disponvel em:

http://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdf .


CAVALCANTE. Gerenciamento da Continuidade de Servios de TI. Disponvel em:

http://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-

continuidade.pdf. Acesso realizado em: 16/11/09

COBIT Management Guidelines July 2000. Disponvel em:http://www.madah.com.br/Cobit_Modelo_Maturidade.doc. Acesso realizado em:

16/11/09

ELEPHANT, Pink. O QUE ITIL?. Disponvel em:

http://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp . Acesso realizado

em: 16/11/09

31
http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asphttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asphttp://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdfhttp://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-continuidade.pdfhttp://www.madah.com.br/Cobit_Modelo_Maturidade.dochttp://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp


32/32

FARINHA, Carla. Adoo de ITIL em grandes empresas. Disponvel em:

http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdf. Acesso realizado em:16/11/09

FERRO, Francisco. A Gesto dos Nveis de Servio (SLM). Disponvel em:

http://www.sqs.pt/ARTIGO-3-ITIL.pdf. Acesso realizado em: 03/11/09

HILZENDEGER, Julio. Governana de TI O Modelo COBIT. Disponvel em:

http://www.baguete.com.br/colunasDetalhes.php?id=3211 em 16/11/09

SILVA, Marcelo. Entendendo o conceito do Valor de TI. Disponvel em:

http://marceloegito.wordpress.com/ . Acesso realizado em: 11/11/09

VERNAY, Diogo. Gerenciamento de Incidentes - ITIL. Disponvel em:

http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html .

http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdfhttp://www.sqs.pt/ARTIGO-3-ITIL.pdfhttp://www.baguete.com.br/colunasDetalhes.php?id=3211http://marceloegito.wordpress.com/2008/11/03/entendendo-o-conceito-do-%E2%80%9Cvalor-de-ti%E2%80%9D/http://marceloegito.wordpress.com/http://marceloegito.wordpress.com/http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdfhttp://www.sqs.pt/ARTIGO-3-ITIL.pdfhttp://www.baguete.com.br/colunasDetalhes.php?id=3211http://marceloegito.wordpress.com/2008/11/03/entendendo-o-conceito-do-%E2%80%9Cvalor-de-ti%E2%80%9D/http://marceloegito.wordpress.com/http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.htmlhttp://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html

Documents

Cobit, Itil,Sas70