Download pdf - CObIT Module - OverView

Transcript
Page 1: CObIT Module - OverView

Pós-Graduação 2009

COBIT

Jairo Willian Pereira

Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified

[email protected]

Page 2: CObIT Module - OverView

CON – A4 41

Índice COBIT

1. Introdução

2. Domínios e processos de Tecnologia

3. Requisitos de Negócio

4. Requisitos e Conceitos

5. Domínio e objetivos de Controle

6. Como utilizar a metodologia

7. Porque adotar a metodologia

8. Exercício

9. Links

10. Dúvidas

Page 3: CObIT Module - OverView

CON – A4 42

Introdução

COBIT

Control OBjectives to Information

and related Technologies

Baseado nas definições da ISACA

(Information Systems Audit and Control Association)

Page 4: CObIT Module - OverView

CON – A4 43

Introdução

ISACA

• + 34.000 profissionais (TI, Segurança e Auditores)

• Presente em mais de 100 países;

• Total de 180 capítulos

• Oferece preparação para a certificação: CISA – Certified Information Systems Auditor

CISM – Certified Information Security Manager

• Programas específicos excelência IT Governance

Page 5: CObIT Module - OverView

CON – A4 44

Introdução

Missão COBIT

“Pesquisar, desenvolver, publicar e promover um conjunto de

Objetivos de Controle, com autoridade e foco internacional,

aceitos e aplicáveis à Tecnologia da Informação, para o uso

rotineiro de gerentes de negócio, auditores e profissionais

de segurança da informação.”

Visão COBIT

“Ser modelo para Governança em TI”

Page 6: CObIT Module - OverView

CON – A4 45

Introdução

? Fortalezas Fraquezas !

ITIL - Processos Operação; - Serviços (D&S).

- Segurança; - Desenvolvimento.

IT Mgmt

CObIT - Controles; - Métricas; - Auditoria.

- São linhas gerais (macro); - Não indicam "como fazer“; - Segurança.

IT Audit&Controls

2700x - Controles; - Recomendações; - Segurança.

- Um guia genérico; - Sem material específico. - Processos & Procedimentos

Security Mgmt

Pontos fortes x fracos

Page 7: CObIT Module - OverView

CON – A4 46

Introdução

Objetivo de Controle

“A formalização sobre “resultado desejado”

ou “propósito a ser alcançado” pela

implementação de procedimentos de

Controle em atividades específicas à

Tecnologia da Informação”

Page 8: CObIT Module - OverView

CON – A4 47

Introdução

Divisões COBIT

• Sumário Executivo

Alta Administração: CEO / CIO

• Governance & Control Framework (Estrutura)

Diretores de TI e Auditoria de Sistemas (

• Objetivos de Controle

Gerência de TI e Auditoria de Sistemas

• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)

Profissionais de Auditoria (business process and goals)

Page 9: CObIT Module - OverView

CON – A4 48

Introdução

Divisões COBIT

• Diretrizes de Gerência

Gerência de Negócios (Operacional), Diretoria,

Gerência de TI, Gerência de Controles/Auditoria

• Conjunto de Ferramentas de Implementação

Diretor de TI e Auditoria / Controle

Gerência de TI e Gerência de Auditoria / Controles

Page 10: CObIT Module - OverView

CON – A4 49

Introdução

Regra fundamental

Para prover informações relevantes para

a corporação cumprir seus objetivos,

os recursos tecnológicos precisam

ser administrados por um conjunto de

processos agrupados naturalmente.

Page 11: CObIT Module - OverView

CON – A4 50

Domínio e processos de tecnologia

O cubo COBIT

(3 eixos)

[ 4 x 34 x 210 ]

Page 12: CObIT Module - OverView

CON – A4 51

Processos de Tecnologia

Domínio, Processos e Atividades

Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.

Série de atividades naturalmente agrupadas.

Ações necessárias para se atingir um resultado mensurável.

Page 13: CObIT Module - OverView

CON – A4 52

Metodologia, Estrutura e escopo

Escopo

Estrutura

Domínios

Processos

Objetivos

Page 16: CObIT Module - OverView

CON – A4 55

Requisitos de Negócio

Critérios para Informações (fiduciários)

• Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas

de forma oportuna, correta, consistente e prontas para uso. • Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e

econômico dos recursos disponíveis. • Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração,

tomada de decisão e operação da organização.

Elaboração de relatórios,

Informações aos órgãos reguladores,

Ações estratégicas, táticas ou operacionais

• Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.

Page 17: CObIT Module - OverView

CON – A4 56

Requisitos de Negócio

Critérios para Informações (segurança)

• Confidentiality – Confidencialidade

Refere-se à proteção de informações confidenciais contra divulgação

não autorizada.

• Integrity – Integridade

Refere-se à integridade das informações, bem como à sua validade

com base no conjunto de valores e expectativas do negócio.

• Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que

forem necessárias ao processo de negócio.

Page 18: CObIT Module - OverView

CON – A4 57

Requisitos de Negócio

Critérios para Informações (qualidade)

• Quality - Qualidade

Condição na qual é oferecido o “entregável”.

• Costs – Custos

Valor envolvido na “informação” referenciado. Pode ser mensurável

ou imensurável.

• Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados,

previamente ou ASAP.

Page 19: CObIT Module - OverView

CON – A4 58

Requisitos e Conceitos

Recursos de Tecnologia

• Data – Dados

Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc.

• Application Systems - Sistemas Aplicativos

Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados.

• Technology - Tecnologia

Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc.

Page 20: CObIT Module - OverView

CON – A4 59

Requisitos e Conceitos

Recursos de Tecnologia

• Facilities (Instalações)

Ambientes ou instalações que comportam e apoiam os sistemas de informática.

• People (Pessoas)

Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática.

Page 21: CObIT Module - OverView

CON – A4 60

Domínio e processos de tecnologia

Domínio, Processos e Atividades

Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.

Série de atividades naturalmente agrupadas.

Ações necessárias para se atingir um resultado mensurável.

Page 22: CObIT Module - OverView

CON – A4 61

Domínio dos objetivos de Controle

Domínios COBIT

1. Planejamento e Organização Planning & Organization [PO]

2. Aquisição e Implantação Acquisition & Implementation [AI]

3. Entrega e Suporte Delivery & Support [DS]

4. Monitoração e Avaliação Monitoring & Evaluate [ME]

Page 23: CObIT Module - OverView

CON – A4 62

Domínio dos objetivos de Controle

1. Planejamento e Organização [PO]

• Estratégia e planejamento tático de tecnologia

• Suporte aos objetivos de negócio da companhia

• Planejamento, comunicação e gerenciamento

• Organização e infra-estrutura tecnológica adequada

Page 24: CObIT Module - OverView

CON – A4 63

Domínio dos objetivos de Controle

1. Planejamento e Organização [PO]

PO1 Definição de um Plano Estratégico de tecnologia

PO2 Definição da arquitetura de Informação

PO3 Definição da diretrizes tecnológicas

PO4 Definição Processos de TI, organização e relacionamentos

PO5 Administração do investimento em tecnologia

PO6 Comunicação das metas e instruções administrativas

PO7 Administração de Recursos Humanos

PO8 Garantia de conformidade com requisitos externos

PO9 Avaliação de riscos

PO10 Administração de projetos

PO11 Administração de qualidade

Page 25: CObIT Module - OverView

CON – A4 64

Domínio dos objetivos de Controle

2. Aquisição e Implantação [AI]

• Realização da estratégia de tecnologia

• Soluções identificadas, desenvolvidas, ou adquiridas e

implantadas

• Soluções integradas com o processo de negócio

• Controles sobre mudanças, problemas e manutenção

Page 26: CObIT Module - OverView

CON – A4 65

Domínio dos objetivos de Controle

2. Aquisição e Implantação [AI]

AI1 Identificação de soluções “automatizadas”

AI2 Aquisição e manutenção de software aplicativo

AI3 Aquisição e manutenção da infra-estrutura de tecnologia

AI4 Desenvolvimento/manutenção - procedimentos/documentação

AI5 Seleção de recursos de TI

AI6 Gestão de mudanças

AI7 Instalar e credenciar Soluções e Mudanças

Page 27: CObIT Module - OverView

CON – A4 66

Domínio dos objetivos de Controle

3. Entrega e Suporte [DS]

• Entrega efetiva dos serviços requeridos

• Treinamento e Segurança na operação

• Estabelecimento de processos de apoio

• Incidentes e Problemas

Page 28: CObIT Module - OverView

CON – A4 67

Domínio dos objetivos de Controle

3. Entrega e Suporte [DS]

DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)

DS2 Administração dos serviços de terceiros

DS3 Administração de desempenho e capacidade

DS4 Garantia da continuidade de serviço

DS5 Garantia de segurança de sistemas

DS6 Identificação e alocação de custos

DS7 Educação e treinamento de usuários

DS8 Administrando Service-Desk e Incidentes

DS9 Administração da configuração

DS10 Gerenciamento de problemas

DS11 Administração dados, DS12 Instalações e DS13 Operações

Page 29: CObIT Module - OverView

CON – A4 68

Domínio dos objetivos de Controle

4. Monitoração [ME]

• Avaliação freqüente de todos processos de tecnologia

• Conformidade com os controles

• Qualidade dos controles

• Governança

Page 30: CObIT Module - OverView

CON – A4 69

Domínio dos objetivos de Controle

4. Monitoração [ME]

ME1 Monitoração e Avaliação da performance de TI

ME2 Monitoração e Avaliação dos Controles Internos

ME3 Obter garantia independente/conformidade

ME4 Prever Governança em TI

Page 31: CObIT Module - OverView

CON – A4 70

Como utilizar a Metodologia

Selecionando os Business Drivers

Através de entrevistas realizadas com os

responsáveis pelas linhas de negócio, consultas

ao Business Plan e análise dos materiais sobre

as tendências de negócio e mercado, definem-se

os Direcionadores de Negócio (Business Drivers)

Page 32: CObIT Module - OverView

CON – A4 71

Como utilizar a Metodologia

Selecionando os IT Drivers

Tendo como referência os Direcionadores de

Negócio (Business drivers) identificados

anteriormente, relacionar os Direcionadores de

Tecnologia (IT drivers) que suportam ou

viabilizam os Business Drivers identificados.

Page 33: CObIT Module - OverView

CON – A4 72

Como utilizar a Metodologia

Questionários/Auto-Avaliações – Objetivos:

• Identificar quem são os responsáveis pelos assuntos;

• Definir qual a importância dos assuntos;

• Verificar se existem controles ou monitoração.

Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia.

Após o preenchimento da tabela, consegue-se ter uma idéia

das preocupações mais relevantes

Page 34: CObIT Module - OverView

CON – A4 73

Como utilizar a Metodologia

Assess Risks

Page 35: CObIT Module - OverView

CON – A4 74

Como utilizar a Metodologia

Identificação - preocupações tecnológicas

Page 37: CObIT Module - OverView

CON – A4 76

Como utilizar a Metodologia

Atendendo os resultados…

• Selecionar Business drivers com maior # de IT drivers suportando-o maiores preocupações da administração pontos de maior risco potencial.

• Dentre os IT drivers que suportam o Business driver escolhido com: alto número de fatores de risco associados, Empates - considerar o domínio com maior risco ao negócio

• Dentre os domínios de fatores de risco: o domínio que apresenta a maior incidência de riscos ao IT

Driver

• Dentro do domínio de risco escolhido

selecionar fator de risco que atenda maior # preocupações de TI

Page 38: CObIT Module - OverView

CON – A4 77

Porque adotar a Metodologia?

Porque adotar a metodologia?

• Ênfase na administração corporativa

• Gerenciamento das responsabilidades por recursos

• Necessidades específicas - controle de recursos tecnológicos

• Soluções orientadas ao negócio da companhia

• Estrutura consolidada para a avaliação de riscos

• Melhor comunicação entre administração e envolvidos

• Identificar real nível de maturidade e evidência dos controles

Page 39: CObIT Module - OverView

CON – A4 78

Porque adotar a Metodologia?

COBIT para o Security Officer

• Pode ser usado como um modelo para um programa de

segurança da informação, visando INTEGRAR segurança

com os objetivos de TI relacionados aos negócios

• Utilize o COBIT para estruturar a Política, as Normas e os

Procedimentos de Segurança da Informação

Page 40: CObIT Module - OverView

CON – A4 79

Porque adotar a Metodologia?

Mitos do COBIT

• Ferramenta exclusiva de “Compliance”;

• Implantação depende Auditoria;

• Concorrência com a Norma BS7799;

• Bom nível de abstração e aplicabilidade;

• Simples, rápido e barato.

Page 43: CObIT Module - OverView

CON – A4 82

Exercício 2

Definir:

• Modelo de negócio;

• Processo de Tecnologia;

• Atividade relacionada;

• Recurso de Tecnologia;

• Mapear 3 “preocupações” considerando critério Segurança;

• Documentar e “amarrar” relacionamento.

Page 44: CObIT Module - OverView

CON – A4 83

Links

http://www.bsi-global.com/

http://www.iec.ch

http://www.iso.org

http://www.controlit.org

http://www.abnt.org.br

http://www.isaca.org/cobit

http://www.foxit.net

http://www.ietf.com

http://www.dvorax.com.br