Upload
dangtu
View
215
Download
0
Embed Size (px)
Citation preview
Implementação de Ferramentas de Gestão
SOX – ISO 20000 – ISO 27001Susana Carias Lisboa, 24 de Outubro de 2008
2
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
3
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
4
Introdução
Muitas empresas esforçaram-se para adoptar a legislação que se seguiu à destruição de biliões de valores de mercado, devido ao comportamento não ético de altos executivos.
As mais conhecidas dessas “difíceis” leis são:Sarbanes-Oxley Act of 2002 (SOX) - Section 302/404 Disclosure and Internal Controls nos Estados Unidos;Oitava Directiva da Comissão Europeia.
5
Essas regulamentações são particularmente fortes nas áreas de avaliação e supervisão dos sistemas de controle que suportam as divulgações financeiras e portanto, têm um significativo impacto nas organizações de TI das empresas de capital aberto e dos seus fornecedores de TI.
Por essa razão, e para alem da necessidade de adoptar um correcto “corporate governance”, torna-se necessário aumentar o nível de “controles de TI” .
Introdução
6
Porquê a Utilização de padrões:
Já estão criados e tempo é dinheiro.
Os modelos são estruturados e fornecem uma boa base para que possam ser seguidos por todas as organizações;
Os padrões foram desenvolvidos ao longo do tempo e avaliados por centenas de pessoas e organizações;
Seguindo padrões, as pessoas podem partilhar ideias entre as organizações, através de grupos de utilizadores/discussão, livros…
Introdução
7
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
8
Desafio1º Passo
Identificação de um conjuntos de guias e de boas praticas:
ITIL – mais focado na gestão do serviço
COBIT – fornece uma estrutura que cobre todas as actividades de TI
Tanto o ITIL como o COBIT são excelentes ferramentas para as TI aperfeiçoarem processos e alinharem as funções de TI com o negócio e com os requisitos regulatórios ou legais.
9
ITIL (Information Technology Infrastructure Library) disponibiliza:
Um framework com um detalhado nível de descrição e orientado a processos;
Definição das activdades de TI relevantes para a Gestão do Serviço;
Check-lists de fácil utilização e compreensão;
Pode ser adapatado a qualquer organização.
Desafio1º Passo - ITIL
10
Um framework ou conjunto de boas práticas para a gestão de TI (criada pela Systems Audit and Control Association)
Processos, actividades, indicadores e controlos, que apoiam os Gestores e utilizadores de TI a tirarem o melhor partido da informação existente;
Um “governance” baseado em controlos reconhecidos e efectivos.
Desafio1º Passo - COBIT
SM – Strategic ManagementTM – Tactical ManagementOP – Operacional Process
COBIT (Control Objectives for Information and related Technology) disponibiliza:
11
DesafioFoco de Actuação
Estratégico
Controle de Processo
Execução de Processo
Instrução de Trabalho
COBIT
ISO 27001
ITIL e ISO 20000
Melhores Praticas de Trabalho Internas
O QUÊ
ComoDomínio de IT
12
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
13
Como ter a certeza que após implementação das boas práticas e frameworks estamos a atingir os resultados pretendidos e a manter sobre controlo as actividades de TI?
Como articular os diferentes padrões e normativos?
ISO 9001 só por si não o garante
Problemática
14
Porquê a necessidade de adoptar um standard ISO:
Necessidade de auditar – garantir a aderência do padrão ao instituído na organização;
Ciclos PDCA que levem a mecanismos de melhoria continua;
Gestão de Sistemas Integrados - com base na ISO 9001, standard mais certificado em todo o mundo, e sua integração com os restantes padrões e standards
ProblemáticaNecessidade de adopção ISO
15
Para onde queremos ir?
Onde Estamos?
Como vamos láchegar?
Como sabemos que chegámos?
Visão e Objectivos
Avaliações
Desenho e Gestão de TI
Métricas?
ISO 27001; SOXISO 2000; ISO 9001
COBIT
ITIL; ISO’s
ITIL; COBIT; ISO’s
ProblemáticaMelhoria Continua em TI
16
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
17
ISO 27001
Uma metodologia estruturada, reconhecida internacionalmente e dedicada à Segurança da Informação;
Um processo definido para validar, implementar, manter e gerir a Segurança da Informação;
Um grupo detalhado de controlos baseados na análise do Risco;
Standard desenvolvido pela própria industria de TI.
18
ISO 27001
A Segurança da Informação é conseguida através de um balanceamento ou compromisso entre Confidencialidade, Integridade e Disponibilidade definido por cada organização.
Confidencialidade Disponibilidade
Integridade
19
ISO 27001
ConfidencialidadeAssegurar que a informação é acessivel somente
aos que têm permissão para a ela terem acesso;
Integridade Proteger a exactidão e a integridade da informação
DisponibilidadeAssegurar que os utilizadores autorizados têm
acesso à informação quando dela necessitam
20
ISO 27001
Benefícios da implementação da ISO 27001:
Oportunidade de identificar e eliminar fraquezas;
Gestão participada da Segurança da Informação;
Fornece segurança a todas as partes interessadas;
Melhor consciência da segurança;
Partilha de recursos com outros sistemas de gestão (Sistemas Integrados);
Permite implementar mecanismos para medir o sucesso do sistema.
21
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
22
ISO 20000
Define os requisitos para um sistema de gestão de serviços de TI e ajusta os principais processos para uma entrega de serviços de forma eficaz.
Aplica-se tanto a grandes como a pequenos fornecedores de serviços e os requisitos para as melhores práticas nos processos de gestão de serviços são independentes da forma organizacional dos fornecedores.
É composto por duas partes, ambas relacionadas com a estrutura das melhores práticas do ITIL: uma especificação e um código de práticas para a gestão de serviços de TI.
23
ISO 20000
A componente especificação fornece os requisitos para a gestão de serviços de TI e é de grande relevância para os responsáveis pela iniciação, implementação ou manutenção da gestão de serviços nas suas organizações. Define também os processos e fornece critérios de avaliação e recomendações para os responsáveis de gestão de serviços.
A norma (componente especificação) alinha-se a si própria com o ITIL e especifica os seguintes grupos de processos chave:
Processos de Entrega de Serviços. Engloba gestão de níveis de serviço, gestão de disponibilidade,
gestão de capacidade, gestão da continuidade, orçamento e contabilidade para a gestão financeira. Estes processos são acompanhados pela gestão de segurança da informação e por serviços de reporting.
24
ISO 20000
Processos de Relacionamento Há dois processos chave: gestão do relacionamento do negócio
e gestão de fornecedores.
Processos de Resolução. Gestão de incidentes e gestão de problemas.
Processos de Release. Gestão de releases.
Processos de Controlo. Gestão de mudanças e gestão de configurações.
25
ISO 20000
Benefícios da implementação da ISO 20000:
Uma gestão eficaz de serviços disponibiliza aos clientes um serviço de alto nível e satisfação.
Leva à percepção que os serviços e a sua gestão são essenciais para ajudar as organizações a gerar rendimento e serem eficientes em termos de custos.
Permite aos fornecedores perceber como aumentar/melhorar a qualidade dos serviços que disponibilizam aos seus clientes, sejam clientes externos ou internos.
26
Agenda
Introdução
Desafio – 1º passo
Problemática
ISO 27001
ISO 20000
Conclusões
27
Conclusão
A simples utilizaçãode frameworks e a implementação de boas práticas não garantem per si, às organizações, os resultados nelas preconizados;
É necessário que as organizações orientem os processos nelas definidos aos seus processos de negócio;
São necessários mecanismos efectivos de auditoria que permitam observar a efectiva aderência às boas práticas;
Só os normativos (ISO) permitem, através do estabelecimento de especificações únicas, garantir a observância de requisitos de conformidade;
28
Conclusão
A cada vez maior confluência dos normativos ISO ao nível dos requisitos gerais, permitem uma efectiva Gestão de Sistemas Integrados, onde é possível:
Garantir ganhos sinergéticos com a complementaridade existente;
Identificar e implementar mecanismos de melhoria continua abrangentes;
Realizar auditorias integradas, com a correspondentes poupança de tempo e de recursos.