Implementação de Ferramentas de Gestão

SOX – ISO 20000 – ISO 27001Susana Carias Lisboa, 24 de Outubro de 2008

2

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

3

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

4

Introdução

Muitas empresas esforçaram-se para adoptar a legislação que se seguiu à destruição de biliões de valores de mercado, devido ao comportamento não ético de altos executivos.

As mais conhecidas dessas “difíceis” leis são:Sarbanes-Oxley Act of 2002 (SOX) - Section 302/404 Disclosure and Internal Controls nos Estados Unidos;Oitava Directiva da Comissão Europeia.

5

Essas regulamentações são particularmente fortes nas áreas de avaliação e supervisão dos sistemas de controle que suportam as divulgações financeiras e portanto, têm um significativo impacto nas organizações de TI das empresas de capital aberto e dos seus fornecedores de TI.

Por essa razão, e para alem da necessidade de adoptar um correcto “corporate governance”, torna-se necessário aumentar o nível de “controles de TI” .

Introdução

6

Porquê a Utilização de padrões:

Já estão criados e tempo é dinheiro.

Os modelos são estruturados e fornecem uma boa base para que possam ser seguidos por todas as organizações;

Os padrões foram desenvolvidos ao longo do tempo e avaliados por centenas de pessoas e organizações;

Seguindo padrões, as pessoas podem partilhar ideias entre as organizações, através de grupos de utilizadores/discussão, livros…

Introdução

7

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

8

Desafio1º Passo

Identificação de um conjuntos de guias e de boas praticas:

ITIL – mais focado na gestão do serviço

COBIT – fornece uma estrutura que cobre todas as actividades de TI

Tanto o ITIL como o COBIT são excelentes ferramentas para as TI aperfeiçoarem processos e alinharem as funções de TI com o negócio e com os requisitos regulatórios ou legais.

9

ITIL (Information Technology Infrastructure Library) disponibiliza:

Um framework com um detalhado nível de descrição e orientado a processos;

Definição das activdades de TI relevantes para a Gestão do Serviço;

Check-lists de fácil utilização e compreensão;

Pode ser adapatado a qualquer organização.

Desafio1º Passo - ITIL

10

Um framework ou conjunto de boas práticas para a gestão de TI (criada pela Systems Audit and Control Association)

Processos, actividades, indicadores e controlos, que apoiam os Gestores e utilizadores de TI a tirarem o melhor partido da informação existente;

Um “governance” baseado em controlos reconhecidos e efectivos.

Desafio1º Passo - COBIT

SM – Strategic ManagementTM – Tactical ManagementOP – Operacional Process

COBIT (Control Objectives for Information and related Technology) disponibiliza:

11

DesafioFoco de Actuação

Estratégico

Controle de Processo

Execução de Processo

Instrução de Trabalho

COBIT

ISO 27001

ITIL e ISO 20000

Melhores Praticas de Trabalho Internas

O QUÊ

ComoDomínio de IT

12

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

13

Como ter a certeza que após implementação das boas práticas e frameworks estamos a atingir os resultados pretendidos e a manter sobre controlo as actividades de TI?

Como articular os diferentes padrões e normativos?

ISO 9001 só por si não o garante

Problemática

14

Porquê a necessidade de adoptar um standard ISO:

Necessidade de auditar – garantir a aderência do padrão ao instituído na organização;

Ciclos PDCA que levem a mecanismos de melhoria continua;

Gestão de Sistemas Integrados - com base na ISO 9001, standard mais certificado em todo o mundo, e sua integração com os restantes padrões e standards

ProblemáticaNecessidade de adopção ISO

15

Para onde queremos ir?

Onde Estamos?

Como vamos láchegar?

Como sabemos que chegámos?

Visão e Objectivos

Avaliações

Desenho e Gestão de TI

Métricas?

ISO 27001; SOXISO 2000; ISO 9001

COBIT

ITIL; ISO’s

ITIL; COBIT; ISO’s

ProblemáticaMelhoria Continua em TI

16

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

17

ISO 27001

Uma metodologia estruturada, reconhecida internacionalmente e dedicada à Segurança da Informação;

Um processo definido para validar, implementar, manter e gerir a Segurança da Informação;

Um grupo detalhado de controlos baseados na análise do Risco;

Standard desenvolvido pela própria industria de TI.

18

ISO 27001

A Segurança da Informação é conseguida através de um balanceamento ou compromisso entre Confidencialidade, Integridade e Disponibilidade definido por cada organização.

Confidencialidade Disponibilidade

Integridade

19

ISO 27001

ConfidencialidadeAssegurar que a informação é acessivel somente

aos que têm permissão para a ela terem acesso;

Integridade Proteger a exactidão e a integridade da informação

DisponibilidadeAssegurar que os utilizadores autorizados têm

acesso à informação quando dela necessitam

20

ISO 27001

Benefícios da implementação da ISO 27001:

Oportunidade de identificar e eliminar fraquezas;

Gestão participada da Segurança da Informação;

Fornece segurança a todas as partes interessadas;

Melhor consciência da segurança;

Partilha de recursos com outros sistemas de gestão (Sistemas Integrados);

Permite implementar mecanismos para medir o sucesso do sistema.

21

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

22

ISO 20000

Define os requisitos para um sistema de gestão de serviços de TI e ajusta os principais processos para uma entrega de serviços de forma eficaz.

Aplica-se tanto a grandes como a pequenos fornecedores de serviços e os requisitos para as melhores práticas nos processos de gestão de serviços são independentes da forma organizacional dos fornecedores.

É composto por duas partes, ambas relacionadas com a estrutura das melhores práticas do ITIL: uma especificação e um código de práticas para a gestão de serviços de TI.

23

ISO 20000

A componente especificação fornece os requisitos para a gestão de serviços de TI e é de grande relevância para os responsáveis pela iniciação, implementação ou manutenção da gestão de serviços nas suas organizações. Define também os processos e fornece critérios de avaliação e recomendações para os responsáveis de gestão de serviços.

A norma (componente especificação) alinha-se a si própria com o ITIL e especifica os seguintes grupos de processos chave:

Processos de Entrega de Serviços. Engloba gestão de níveis de serviço, gestão de disponibilidade,

gestão de capacidade, gestão da continuidade, orçamento e contabilidade para a gestão financeira. Estes processos são acompanhados pela gestão de segurança da informação e por serviços de reporting.

24

ISO 20000

Processos de Relacionamento Há dois processos chave: gestão do relacionamento do negócio

e gestão de fornecedores.

Processos de Resolução. Gestão de incidentes e gestão de problemas.

Processos de Release. Gestão de releases.

Processos de Controlo. Gestão de mudanças e gestão de configurações.

25

ISO 20000

Benefícios da implementação da ISO 20000:

Uma gestão eficaz de serviços disponibiliza aos clientes um serviço de alto nível e satisfação.

Leva à percepção que os serviços e a sua gestão são essenciais para ajudar as organizações a gerar rendimento e serem eficientes em termos de custos.

Permite aos fornecedores perceber como aumentar/melhorar a qualidade dos serviços que disponibilizam aos seus clientes, sejam clientes externos ou internos.

26

Agenda

Introdução

Desafio – 1º passo

Problemática

ISO 27001

ISO 20000

Conclusões

27

Conclusão

A simples utilizaçãode frameworks e a implementação de boas práticas não garantem per si, às organizações, os resultados nelas preconizados;

É necessário que as organizações orientem os processos nelas definidos aos seus processos de negócio;

São necessários mecanismos efectivos de auditoria que permitam observar a efectiva aderência às boas práticas;

Só os normativos (ISO) permitem, através do estabelecimento de especificações únicas, garantir a observância de requisitos de conformidade;

28

Conclusão

A cada vez maior confluência dos normativos ISO ao nível dos requisitos gerais, permitem uma efectiva Gestão de Sistemas Integrados, onde é possível:

Garantir ganhos sinergéticos com a complementaridade existente;

Identificar e implementar mecanismos de melhoria continua abrangentes;

Realizar auditorias integradas, com a correspondentes poupança de tempo e de recursos.