Resumo Cobit Foundation

Embed Size (px)

Citation preview

EXAME COBIT FOUNDATION 4.1 REVISO DOS PONTOS-CHAVE IMPORTANTE! O objetivo deste material revisar e memorizar os conceitos-chave da Governana de TI, Framework do COBIT e produtos relacionados para lhe preparar para o exame COBIT 4.1 Foundation da ISACA/ITGI. Este material serve apenas como reviso recomendvel que voc faa o curso e-learning da TIEXAMES e leia o material complementar disponibilizado na rea de links de referncia. garantido que muitos dos conceitos aqui abordados iro aparecer nas questes do exame.

GOVERNANA DE TIPRINCIPAIS DESAFIOS DA TI Promover alinhamento entre TI e negcio Reduzir os custos da TI Gerenciar a complexidade da TI Proporcionar segurana da informao Aumentar a qualidade dos servios Gerenciar fornecedores externos Estar em conformidade com leis e regulamentos O QUE GOVERNANA DE TI um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI. O conselho de administrao e os executivos so responsveis pela Governana de TI. STAKEHOLDERS NA GOVERNANA DE TI So pessoas ou elementos relacionados com as operaes de TI, como: Fornecedores Usurios rgos pblicos Governo Acionistas Diretores/executivos/gerentes

REAS DE FOCO DA GOVERNANA DE TIreas de foco da Governana de TI conforme o ITGI: 1. Alinhamento Estratgico Alinhando TI com o negcio e fornecendo solues colaborativas 2. Entrega de Valor Executando a proposio de valor atravs do ciclo de entrega 3. Gerenciamento de Riscos Gerenciando riscos de TI, impactos das mudanas, segurana, conformidade. 4. Gerenciamento de Recursos Otimizando o desenvolvimento e o uso de recursos disponveis. 5. Monitoramento do Desempenho Monitoramento dos recursos para ao corretiva.

nto me co ha tgi in Al stra E

E de ntre Va ga lor

Gerenciamento de Recursos

GERENCIAMENTO DE RISCOS Os riscos so gerenciados de quatro formas: Mitigando riscos: implementar controles que protejam contra riscos. Por exemplo: implementao de um firewall de segurana. Transferindo riscos: compartilhar riscos com parceiros ou contratar seguro apropriado. Aceitando riscos: confirmar e monitorar riscos, e ter pronto um plano de resposta ao risco. Evitando riscos: adotar uma opo diferente que evite completamente o risco.

CARACTERSTICAS NECESSRIAS EM UM FRAMEWORK DE CONTROLE Um framework de controle de TI deve conter as seguintes caractersticas: Foco no negcio Orientao a processo Padro aceito Linguagem comum Requisitos regulatrios BENEFCIOS DA GOVERNANA DE TI Confiana da alta administrao TI mais comprometida com o negcio Maior ROI (Retorno sobre o Investimento) Servios mais confiveis Mais transparncia

Gere ncia de R mento isco s

Domnios da Governana de TI

to men ho n itora Mon sempe e do D

INTRODUO AO COBITCONCEITOS BSICOS COBIT = Control Objectives for Information and related Technology um framework e uma base de conhecimento para os processos de TI e seu gerenciamento No um padro definitivo deve ser adaptado para cada empresa um framework de controle que tem o propsito de assegurar que os recursos de TI estaro alinhados com os objetivos da organizao baseado na premissa de que a TI precisa entregar informao que a empresa necessita para atingir seus objetivos O princpio do framework COBIT o de prover um link entre as expectativas e as responsabilidades de gerenciamento de TI, com o objetivo de facilitar que a Governana de TI agregue valor TI enquanto gerencia riscos Faz com que a TI seja mais responsiva ao negcio MISSO DO COBIT Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para uso no diaa-dia de gerentes de negcio e auditores. O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE Define uma linguagem comum para TI e negcio Ajuda a atender aos requisitos regulatrios um padro aceito entre empresas orientado a processos focado nos requisitos de negcio COMPONENTES DO COBIT

PROCESSOS DE TI So 4 Domnios e 34 Processos de TI: 1. Planejamento e Organizao 2. Aquisio e Implementao 3. Entrega e Suporte 4. Monitorao e Avaliao

CRITRIOS DE INFORMAODica: decore isto, vai cair na prova!

Para satisfazer os objetivos de negcio as informaes precisam estar em conformidade com os critrios chamados Requisitos de Negcio. So eles: Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das operaes Confiabilidade das informaes Conformidade com leis e regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade

O COBIT mapeia os requisitos de negcio para informao em CRITRIOS DE INFORMAO:

Eficcia: ligado com relevncia e utilidade da informao. Eficincia: ligado com otimizao de recursos. Confiabilidade: ligado com informao correta. Conformidade: relacionado com conformidades a leis e regulamentos. Confidencialidade: relacionado com proteo e segurana da informao. Integridade: relacionado com validez da informao. Disponibilidade: informao disponibilizada quando requerida.

Decore os 3 critrios de informao relacionados segurana da informao: CID (Confidencialidade Integridade Disponibilidade)

RECURSOS DE TI Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes. Informao: dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio usado pelo negcio. Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que seja necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Elas podem ser internas ou terceirizadas. COBIT X OUTROS PADRES O COBIT compatvel com outros padres este um benefcio da sua adoo O COBIT est em um nvel mais genrico, portanto pode ser utilizado para avaliar outros processos implementados por outros frameworks como ITIL e ISO 17799 O COBIT pode ser aplicado depois que outros padres de nvel mais operacional j estejam aplicados, j que o COBIT vai servir para auditar estes processos O COSO um framework para controle de interno e no somente de TI: pode ser utilizado em qualquer rea de negcio. J o COBIT especfico para TI mas est alinhado com o COSO O COBIT cobre todos os processos da ITIL, entretanto a ITIL mais detalhada O COBIT um framework que diz o que tem ser feito e no se preocupa em como fazer O COBIT atende aos requisitos regulatrios aos quais a empresa est submetida, por isto pode ser utilizado para cumprir a conformidade com a Sarbanes-Oxley

OBJETIVOS DE CONTROLEDica importante: baixe o framework do COBIT no site da ISACA e leia tudo sobre os processos PO10 e DS2.

Como framework de controle, o COBIT tem 2 focos: 1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio 2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que precisam ser gerenciados por processos de TI MODELO DE PROCESSO DO COBIT

RESUMO DOS PROCESSOS MAIS IMPORTANTESDomnio Processo PO9 Assess and Manage IT Risks PO PO10 Manage Projects Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI. Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produo de documentao e manuais para usurios e TI, e fornece treinamento aos usurios. Inclui todas as mudanas, inclusive as mudanas emergenciais relacionadas com a infraestrutura. Define os nveis de servios requeridos junto com os clientes, e monitora e emite relatrios para os stakeholders. Assegura os servios fornecidos por terceiros para que estes satisfaam as necessidades do negcio. Envolve-se com regras, responsabilidades e acordos com terceiros. Descrio Cria e mantm um framework de gerenciamento de riscos de TI. Todos os assuntos relacionados a riscos esto envolvidos neste processo.

AI

AI4 Enable Operation and Use

AI6 Manage Changes

DS1 Define and Manage Service Levels DS DS2 Manage Third-party Services

DIRETRIZES DE GERENCIAMENTOAs diretrizes de gerenciamento fornecem ferramentas para medir e comparar a capacidade para cada processo de TI. Metas e mtricas o Medidas de resultado (outcome measures) o Indicadores de desempenho (performance indicators) Recursos o Entradas e sadas para cada processo o Grfico RACI (matriz de responsabilidades)

MTRICAS As diretrizes de gerenciamento especificam medidas de resultado em forma de OMs (Outcome Measures) e medidas de performance em forma de PIs (Performance Indicators). Indicadores de performance (performance indicators) Medem como voc est fazendo. Tambm conhecidos como indicadores de tendncia.

Medidas de Medem o que voc tem feito. Tambm conhecidas como resultado indicadores de lag pelo fato de medirem somente aps o fato (outcome measures) ocorrido. As diretrizes de gerenciamento do COBIT sugerem utilizar balanced business scorecards, os quais fornecem mtricas para alcanar as metas de TI. Um scorecard tem 4 dimenses que mapeiam metas e indicadores de performance:

GRFICO RACI Para cada processo sugerido um grfico RACI com os responsveis por cada atividade:

MODELOS DE MATURIDADE Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para determinado processo. A classificao vai de inexistente (0) a otimizado (5). Os modelos de maturidades fazem parte das diretrizes de gerenciamento e podem ser utilizados para fazer comparaes de maturidade com outras empresas.Inexistente 0 Inicial 1 Reptivel 2 Definido 3 Gerenciado 4 Otimizado 5

Legenda para os smbolosEnterprise current status International standard guidelines Industry best practice Enterprise strategy

Legendas para o ranking0 Processos de gerenciamento no so aplicados a todos1 Processos so desorganizados 2 Processos seguem um padro regular 3 Processos so documentados e comunicados 4 Processos so monitorados e medidos 5 Melhores prticas so seguidas e automatizadas

Modelo genrico de maturidade0 Inexistente No existem controles. 1 Inicial 2 Repetvel 3 Definido J existem processos, mas no h documentos nem padres. Processos padronizados, mas falta documentao e comunicao.

Os processos so formalizados. Existe documentao, treinamento e comunicao definida. Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de 4 Gerenciado automao. Os processos j esto refinados a partir das melhores prticas identificadas. Existe 5 Otimizado institucionalizao das melhores prticas.

RELACIONAMENTO ENTRE OS RECURSOS DO COBITEsta figura mostra como os componentes do COBIT se interrelacionam, fornecendo recursos para suportar governana, gesto e controle.Metas de negcio

Informao

Requisitos

Decomposto em

Processos de TI Medido por

Metas TI

Controlado por

Atividadeschave

Auditada por

Testes dos resultados dos controles

Derivado de

Objetivos de controle

Auditado com Pelo desempenho Executada pelo Pelo resultado Pela maturidadeTestes de desenho do controle

Implantados com

Prticas de controle

Baseado emGrfico RACI Indicador de desempenho Indicador de resultado Modelo de maturidade

PRODUTOS DO ITGIDica importante: navegue pelo site da ISACA e pesquise um pouco mais sobre os produtos. Podem cair questes muito especficas sobre o que h dentro de cada produto. importante ter um overview.

PRTICAS DE CONTROLE As prticas de controle de TI fornecem detalhamento sobre como implementar objetivos de controle. COBIT ONLINE Apresenta informaes do COBIT na web. Ele possibilita que vrios usurios naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. uma rea restrita aos assinantes. Principais recursos do COBIT Online: Download de arquivos PDF Benchmarking (para comparar sua empresa com outras) Questionrios de avaliao Comunidade para trocar ideias com outros usurios IT ASSURANCE GUIDE um guia de validao para profissionais que precisam de orientaes para garantir o funcionamento dos controles internos e melhoria de processos. Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle, assegurando que os controles so suficientes e ajudando a documentar seus pontos fracos. O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validao composta por trs estgios: Planejamento, Definio de Escopo e Execuo.

PLA NE J MEN TO

Estabelece o universo de validao de TI para designar o que ser validado.

Define metas de negcio e de TI para o ambiente que ser revisado/auditado, e quais so os processos e recursos de TI necessrios para suportar estas metas.

ESCOPO EXECU O

Guia os profissionais apresentando os principais testes a serem executados durante uma auditoria/validao.

O estgio de execuo subdivide-se em 6 etapas: 1Refinar o entendimento

2Redefinir o escopo

3

Testar o desenho do controle

4Testar os resultados

5Documentar o impacto

6Comunicar as recomendaes

COBIT QUICKSTART uma verso compacta do COBIT para que a empresa consiga beneficiar-se de seu uso. direcionado para empresas de pequeno mdio porte. IT IMPLEMENTATION GUIDE um roadmap para o conselho de administrao, a gerncia executiva, os profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de conformidade.

IT Governance Implementation Roadmap baseado no COBITIdentifica necessidadesConscientiza Define o escopo Define os riscos Define recursos e entregveis Planeja o programa

Visualiza a soluoAvalia o programa

Planeja a soluoDefine os projetos Desenvolve plano de melhoria

Implementa a soluoImplementa as melhorias Monitora o desempenho da implementao Revisa a eficcia do programa

Operacionaliza a soluoConstri sustentabilidade Identifica novos requisitos de

atualDefine metas de melhoria Analisa os gaps e identifica as melhorias

governana

A participao do negcio durante a Governana de TI essencial

COBIT SECURITY BASELINE O COBIT Security Baseline fornece informaes sobre a segurana de uma maneira simples. um kit de sobrevivncia para diretores, executivos, gerentes e usurios profissionais e domsticos. Portanto, no guia tcnico para especialistas em segurana da informao. VAL IT O framework do VAL IT baseado no COBIT. Seus princpios incluem governana de valor, gerenciamento de portflio e gerenciamento de investimentos. Princpios do VAL IT: Os investimentos habilitados pela TI sero administrados como um portflio de investimentos Os investimentos habilitados pela TI incluiro um escopo completo de atividades que so necessrias para gerar valor ao negcio Os investimentos habilitados pela TI sero administrados atravs de todo o seu ciclo de vida econmico As prticas de entrega de valor reconhecero que existem diferentes categorias de investimentos, que sero avaliadas e administradas de maneiras diferentes

As prticas de entrega de valor iro definir e monitorar mtricas-chave e respondero rapidamente a quaisquer mudanas ou divergncias

As prticas de entrega de valor devem engajar todos os stakeholders e definir uma prestao de contas apropriada sobre a entrega de capacidades e obteno de benefcios de negcio As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas