2. ndice COBIT1. Introduo2. Domnios e processos de Tecnologia3.
Requisitos de Negcio4. Requisitos e Conceitos5. Domnio e objetivos
de Controle6. Como utilizar a metodologia7. Porque adotar a
metodologia8. Exerccio9. Links10. Dvidas 41 CON A4
3. Introduo COBIT Control OBjectives to Information and related
Technologies Baseado nas definies da ISACA (Information Systems
Audit and Control Association) 42 CON A4
4. Introduo ISACA + 34.000 profissionais (TI, Segurana e
Auditores) Presente em mais de 100 pases; Total de 180 captulos
Oferece preparao para a certificao: CISA Certified Information
Systems Auditor CISM Certified Information Security Manager
Programas especficos excelncia IT Governance 43 CON A4
5. Introduo Misso COBIT Pesquisar, desenvolver, publicar e
promover um conjunto de Objetivos de Controle, com autoridade e
foco internacional, aceitos e aplicveis Tecnologia da Informao,
para o uso rotineiro de gerentes de negcio, auditores e
profissionais de segurana da informao. Viso COBIT Ser modelo para
Governana em TI 44 CON A4
6. Introduo Pontos fortes x fracos ? Fortalezas Fraquezas ! -
Processos Operao; - Segurana; ITIL - Servios (D&S). -
Desenvolvimento. IT Mgmt - Controles; - So linhas gerais (macro);
CObIT - Mtricas; - No indicam "como fazer; IT Audit&Controls -
Auditoria. - Segurana. - Controles; - Um guia genrico; 2700x -
Recomendaes; - Sem material especfico. Security Mgmt - Segurana. -
Processos & Procedimentos 45 CON A4
7. Introduo Objetivo de ControleA formalizao sobre resultado
desejado ou propsito a ser alcanado pela implementao de
procedimentos de Controle em atividades especficas Tecnologia da
Informao 46 CON A4
8. Introduo Divises COBIT Sumrio Executivo Alta Administrao:
CEO / CIO Governance & Control Framework (Estrutura) Diretores
de TI e Auditoria de Sistemas ( Objetivos de Controle Gerncia de TI
e Auditoria de Sistemas Diretrizes Auditoria (Mgmt Guidelines - IT
Assurance Guide) Profissionais de Auditoria (business process and
goals) 47 CON A4
9. Introduo Divises COBIT Diretrizes de Gerncia Gerncia de
Negcios (Operacional), Diretoria, Gerncia de TI, Gerncia de
Controles/Auditoria Conjunto de Ferramentas de Implementao Diretor
de TI e Auditoria / Controle Gerncia de TI e Gerncia de Auditoria /
Controles 48 CON A4
10. Introduo Regra fundamentalPara prover informaes relevantes
para a corporao cumprir seus objetivos, os recursos tecnolgicos
precisam ser administrados por um conjunto de processos agrupados
naturalmente. 49 CON A4
11. Domnio e processos de tecnologia O cubo COBIT(3 eixos) [ 4
x 34 x 210 ] 50 CON A4
12. Processos de Tecnologia Domnio, Processos e Atividades
Agrupamento natural de processos, em geral de acordo a um domnio de
responsabilidade da organizao. Srie de atividades naturalmente
agrupadas. Aes necessrias para se atingir um resultado mensurvel.
51 CON A4
13. Metodologia, Estrutura e
escopoEscopoEstruturaDomniosProcessosObjetivos 52 CON A4
14. Metodologia, Estrutura e escopo 53 CON A4
15. Metodologia, Estrutura e escopo... 54 CON A4
16. Requisitos de Negcio Critrios para Informaes (fiducirios)
Effectiveness - Eficcia Informaes relevantes e pertinentes ao
processo de negcio, fornecidas de forma oportuna, correta,
consistente e prontas para uso. Efficiency - Eficincia Refere-se ao
fornecimento de informaes atravs do uso mais produtivo e econmico
dos recursos disponveis. Reliability of information -
Confiabilidade da Informao Refere-se a sistemas que forneam
informaes adequadas administrao, tomada de deciso e operao da
organizao. Elaborao de relatrios, Informaes aos rgos reguladores,
Aes estratgicas, tticas ou operacionais Compliance - Aderncia Leis,
regulamentos, normas, etc. Imposies ao andamento do negcio. 55 CON
A4
17. Requisitos de Negcio Critrios para Informaes (segurana)
Confidentiality Confidencialidade Refere-se proteo de informaes
confidenciais contra divulgao no autorizada. Integrity Integridade
Refere-se integridade das informaes, bem como sua validade com base
no conjunto de valores e expectativas do negcio. Availability
Disponibilidade Refere-se disponibilidade das informaes no momento
em que forem necessrias ao processo de negcio. 56 CON A4
18. Requisitos de Negcio Critrios para Informaes (qualidade)
Quality - Qualidade Condio na qual oferecido o entregvel. Costs
Custos Valor envolvido na informao referenciado. Pode ser mensurvel
ou imensurvel. Forecast - Prazo Quo prximo ou previsvel
encontram-se os dados solicitados, previamente ou ASAP. 57 CON
A4
19. Requisitos e Conceitos Recursos de Tecnologia Data Dados
Objetos de dados no seu sentido mais amplo: externos e internos,
estruturados e no-estruturados, grficos, som, texto, imagem, etc.
Application Systems - Sistemas Aplicativos Sistemas aplicativos
representados pelo conjunto dos procedimentos manuais e
computadorizados. Technology - Tecnologia Hardware, sistemas
operacionais, sistemas gerenciadores de banco de dados, de rede,
multimedia, etc. 58 CON A4
20. Requisitos e Conceitos Recursos de Tecnologia Facilities
(Instalaes) Ambientes ou instalaes que comportam e apoiam os
sistemas de informtica. People (Pessoas) Capacidade, conscientizao
e produtividade do pessoal para o planejamento, organizao, aquisio,
entrega, apoio e monitorao dos sistemas e servios de informtica. 59
CON A4
21. Domnio e processos de tecnologia Domnio, Processos e
Atividades Agrupamento natural de processos, em geral de acordo a
um domnio de responsabilidade da organizao. Srie de atividades
naturalmente agrupadas. Aes necessrias para se atingir um resultado
mensurvel. 60 CON A4
22. Domnio dos objetivos de Controle Domnios COBIT 1.
Planejamento e Organizao Planning & Organization [PO] 2.
Aquisio e Implantao Acquisition & Implementation [AI] 3.
Entrega e Suporte Delivery & Support [DS] 4. Monitorao e
Avaliao Monitoring & Evaluate [ME] 61 CON A4
23. Domnio dos objetivos de Controle 1. Planejamento e
Organizao [PO] Estratgia e planejamento ttico de tecnologia Suporte
aos objetivos de negcio da companhia Planejamento, comunicao e
gerenciamento Organizao e infra-estrutura tecnolgica adequada 62
CON A4
24. Domnio dos objetivos de Controle 1. Planejamento e
Organizao [PO] PO1 Definio de um Plano Estratgico de tecnologia PO2
Definio da arquitetura de Informao PO3 Definio da diretrizes
tecnolgicas PO4 Definio Processos de TI, organizao e
relacionamentos PO5 Administrao do investimento em tecnologia PO6
Comunicao das metas e instrues administrativas PO7 Administrao de
Recursos Humanos PO8 Garantia de conformidade com requisitos
externos PO9 Avaliao de riscos PO10 Administrao de projetos PO11
Administrao de qualidade 63 CON A4
25. Domnio dos objetivos de Controle 2. Aquisio e Implantao
[AI] Realizao da estratgia de tecnologia Solues identificadas,
desenvolvidas, ou adquiridas e implantadas Solues integradas com o
processo de negcio Controles sobre mudanas, problemas e manuteno 64
CON A4
26. Domnio dos objetivos de Controle 2. Aquisio e Implantao
[AI]AI1 Identificao de solues automatizadasAI2 Aquisio e manuteno
de software aplicativoAI3 Aquisio e manuteno da infra-estrutura de
tecnologiaAI4 Desenvolvimento/manuteno -
procedimentos/documentaoAI5 Seleo de recursos de TIAI6 Gesto de
mudanasAI7 Instalar e credenciar Solues e Mudanas 65 CON A4
27. Domnio dos objetivos de Controle 3. Entrega e Suporte [DS]
Entrega efetiva dos servios requeridos Treinamento e Segurana na
operao Estabelecimento de processos de apoio Incidentes e Problemas
66 CON A4
28. Domnio dos objetivos de Controle 3. Entrega e Suporte [DS]
DS1 Definio e Gerenciamento dos Nveis de Servio (SLAs) DS2
Administrao dos servios de terceiros DS3 Administrao de desempenho
e capacidade DS4 Garantia da continuidade de servio DS5 Garantia de
segurana de sistemas DS6 Identificao e alocao de custos DS7 Educao
e treinamento de usurios DS8 Administrando Service-Desk e
Incidentes DS9 Administrao da configurao DS10 Gerenciamento de
problemas DS11 Administrao dados, DS12 Instalaes e DS13 Operaes 67
CON A4
29. Domnio dos objetivos de Controle 4. Monitorao [ME] Avaliao
freqente de todos processos de tecnologia Conformidade com os
controles Qualidade dos controles Governana 68 CON A4
30. Domnio dos objetivos de Controle 4. Monitorao [ME] ME1
Monitorao e Avaliao da performance de TI ME2 Monitorao e Avaliao
dos Controles Internos ME3 Obter garantia independente/conformidade
ME4 Prever Governana em TI 69 CON A4
31. Como utilizar a Metodologia Selecionando os Business
Drivers Atravs de entrevistas realizadas com os responsveis pelas
linhas de negcio, consultas ao Business Plan e anlise dos materiais
sobre as tendncias de negcio e mercado, definem-se os
Direcionadores de Negcio (Business Drivers) 70 CON A4
32. Como utilizar a Metodologia Selecionando os IT Drivers
Tendo como referncia os Direcionadores de Negcio (Business drivers)
identificados anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou viabilizam os Business
Drivers identificados. 71 CON A4
33. Como utilizar a Metodologia Questionrios/Auto-Avaliaes
Objetivos: Identificar quem so os responsveis pelos assuntos;
Definir qual a importncia dos assuntos; Verificar se existem
controles ou monitorao. Este um bom momento para saber como est o
conhecimento da administrao do que est sendo feito em tecnologia.
Aps o preenchimento da tabela, consegue-se ter uma idia das
preocupaes mais relevantes 72 CON A4
34. Como utilizar a Metodologia Assess Risks 73 CON A4
35. Como utilizar a Metodologia Identificao - preocupaes
tecnolgicas 74 CON A4
36. Como utilizar a Metodologia Zoom 75 CON A4
37. Como utilizar a Metodologia Atendendo os resultados
Selecionar Business drivers com maior # de IT drivers suportando-o
maiores preocupaes da administrao pontos de maior risco potencial.
Dentre os IT drivers que suportam o Business driver escolhido com:
alto nmero de fatores de risco associados, Empates - considerar o
domnio com maior risco ao negcio Dentre os domnios de fatores de
risco: o domnio que apresenta a maior incidncia de riscos ao IT
Driver Dentro do domnio de risco escolhido selecionar fator de
risco que atenda maior # preocupaes de TI 76 CON A4
38. Porque adotar a Metodologia? Porque adotar a metodologia?
nfase na administrao corporativa Gerenciamento das
responsabilidades por recursos Necessidades especficas - controle
de recursos tecnolgicos Solues orientadas ao negcio da companhia
Estrutura consolidada para a avaliao de riscos Melhor comunicao
entre administrao e envolvidos Identificar real nvel de maturidade
e evidncia dos controles 77 CON A4
39. Porque adotar a Metodologia? COBIT para o Security Officer
Pode ser usado como um modelo para um programa de segurana da
informao, visando INTEGRAR segurana com os objetivos de TI
relacionados aos negcios Utilize o COBIT para estruturar a Poltica,
as Normas e os Procedimentos de Segurana da Informao 78 CON A4
40. Porque adotar a Metodologia? Mitos do COBIT Ferramenta
exclusiva de Compliance; Implantao depende Auditoria; Concorrncia
com a Norma BS7799; Bom nvel de abstrao e aplicabilidade; Simples,
rpido e barato. 79 CON A4
41. Porque adotar a Metodologia? 80 CON A4
42. Exerccio 1 Who made Who? 81 CON A4
43. Exerccio 2 Definir: Modelo de negcio; Processo de
Tecnologia; Atividade relacionada; Recurso de Tecnologia; Mapear 3
preocupaes considerando critrio Segurana; Documentar e amarrar
relacionamento. 82 CON A4
44.
Linkshttp://www.bsi-global.com/http://www.iec.chhttp://www.iso.orghttp://www.controlit.orghttp://www.abnt.org.brhttp://www.isaca.org/cobithttp://www.foxit.nethttp://www.ietf.comhttp://www.dvorax.com.br
83 CON A4
