aula 06 - capitulo 05 - cosi - aula 05.pdf

7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf

http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 1/54

INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAÇÕES

COBIT 4.1 – Produtos do ITGI que suportamo COBIT e outros Frameworks

Docente: Camilo Amarcy

Email: [email protected]

Cell: +258823032445

Skype: camilo.issufo.amarcy

mailto:[email protected]

mailto:[email protected]



Camilo Amarcy

Temas do Capítulo

• COBIT Quickstart;

• IT Assurance Guide;

• COBIT Online;

• COBIT Security Baseline;

• IT Governance Implementation Guide;

• Val IT



Camilo Amarcy

COBIT Quickstart

Principais Produtos Relacionados com o COBIT

• A ISACA e o ITGI desenvolveram vários produtos acessórios para ajudar aimplementar os objectivos de controle e governança de TI:



Camilo Amarcy

COBIT Quickstart

Livro Breve Introdução – Parte 1

• É uma versão resumida dos recursos doCOBIT que serve de ponto de partida paraempresas que querem ter uma estruturabásica de governança de TI, priorizando oscontroles mais importantes;

• Representa apenas 20% do conteúdo:

• É direcionado para empresas de pequeno e médio porte (SMEs) onde a TInão é estratégica ou absolutamente crítica para a sobrevivência da empresa



Camilo Amarcy

COBIT Quickstart

Livro Breve Introdução – Parte 2

• Para cada processo de TI,fornece uma descriçãoresumida, prática degerenciamento, referência com

outros objectivos de controle,abordagem para auto-avaliação,principais responsáveis emétricas mais importantes;

• Fornece ferramentas de auto-

avaliação, ajudando a identificarse ele é apropriado àorganização;


http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 7/54Camilo Amarcy

COBIT Quickstart

Práticas de Controle (ControlPractices)

• Outra publicação fornecida pelo ITGI é a“Práticas de Controle”. Estas práticastraduzem as objectivos de controle doCOBIT em práticas detalhadas e

implementáveis, e fornecem umaperspectiva de valor e risco;

• Enquanto que os objectivos de controledefinem “o que” precisa ser feito, aspráticas de controle fornecem um

detalhamento de como implelemtnar osobje3ctivos e “por que” eles podem sernecessários;

• Para cada objectivo de controle há de 3 a 12práticas de controle;



IT Assurance

PO10 Gerenciar Projectos – Práticas de Controle



IT Assurance

Guia de Validação/Garantia – Parte 1

• É um guia de validação (ou garantia) paraprofissionais que precisam de orientaçõespara garantir o funcionamento doscontroles internos e melhoria deprocessos;

• Fornece conselhos sobre como testar ofuncionamento de cada objectivo decontrole, assegurando que os controlessão suficientes e ajudando a documentaros pontos fracos dos controles;

• Ajuda a elaborar um conjunto de acçõees e plano de auditoria. Entretanto,não deve ser visto como uma norma de auditoria, com regras únicas;

• Deve ser usado em conjunto com o COBIT para testar os objectivos decontrole;



IT Assurance

Guia de Validação/Garantia – Parte 2

• O IT Assurance Guide oferece uma estrutura para o plano (roadmap) deauditoria/validação/garantia composta por três estágios: Planeamento,Definição de Escopo e Execução



IT Assurance

Execução do roadmap de validação/garantia – Parte 1

•

O estágio de Execução subdivide-se em 6 etapas:

1. Refinar o entendimento ddo que será validado na TI;

1. Identificar/confirmar os processos de TI críticos;

2. Auto-avaliação da maturidade dos processos;

2. Redefinir o escopo dos objectivos de controle chave para questões que serão validadas na TI;

1. Actualizar a selecção de objectivos de controle;

2. Personalizar os objectivos de controle;3. Construir um programa de auditoria detalhado;

3. Testar a efectividade do desenho de controle dos objectivos de controle chave;

1. Testar e avaliar os controles;

2. Actualizar/avaliar maturidade dos processos.



IT Assurance

Execução do roadmap de validação/garantia – Parte 2

•

O estágio de Execução subdivide-se em 6 etapas:

4. Testar o resultado dos objectivos de controlechave

1. Controles e auto-avaliação;

2. Testar e valiar os controles.

5. Documentar o impacto das fraquezas docontrole

1. Diagnóstico operacional e/ou riscos de projectosresiduais;

6. Desenvolver e comunicar as recomendaçõesem geral

1. Reportar conclusõees de validação



COBIT Online

Versão Online

• O COBIT Online é uma base de recursos na web com funcionalidades interactivas;

• É um serviço disponível apenas para quem tem uma assinatura no site da ISACA:



Security Baseline

Linha de Segurança

•

O COBIT Security Baseline foca nos riscosespecíficos da segurança de TI, de forma simplesde seguir e implementar;

• Ajuda também a conscientizar sobre aimportância da segurança da informação;

• Não é um guia técnico. Possui linguagemacessível para qualquer tipo de pessoa, comousuários domésticos ou usuáruios de pequenas emédias empresas (executivos e gerentes),

•

É uma destilação do COBIT, sugerindo 44 passospara alcançar a segurança e referenciandocontroles da ISO 27002 (substitui a ISO 17799) eobjectivos de controle do COBIT para cadapasso.



Security Baseline

Kits de Sobrevivência da Segurança

•

Existem 6 kits de sobrevivência:



Security Baseline

Guia de Implantação de Governança de TI

• O IT Governance Implementation Guide é um roadmap

para o conselho de administração, gerência executiva,profissionais de auditoria em TI e para os gerentes deconformidade.

• Este guia fornece uma metodologia, um roadmap detalhadoe um conjunto de ferramentas para implementar um ciclo

de vida de Governança de TI contínuo usando o COBIT;• Este guia traz uma metodologia genérica nas seguintes

áreas:

• Por que a Governança de TI é importante e porque asorganizações devem implantá-la;

• Como o COBIT está vinculado com a Governança de TIe como o COBIT possibilita a implantaçaõ daGovernança de TI;

• Partes Interessadas na Governança de TI;

• Roadmap para implantar a Governança de TI usando oCOBIT.

S i li



Security Baseline

IT Governance Implementation Guide - Roadmap

• Roadmap de implementação sugerido:

O foco inicial para desenvolver um programa de governança de TI é identificarnecessidade e entradas para direitos e tomadas de decisão na governança com base em:

• Objectos da TI no suporte ao negócio;

• Requisitos/regulamentos internos e externos

S i B li



Security Baseline

Framework do VAL IT

• É um framework de governança baseado no

COBIT que inclui orientações e processos desuporte relacionados à avaliação e selecção deinvestimentos de negócio viabilizados por TI, bemcomo os benefícios da realização e entrega de valordesses investimentos;

•

Seu objectivo é ajudar a gerência a assegurar que aorganização obtenha valor derivado dosinvestimentos em TI com um custo razoável e aum nível de risco aceitável;

• Complementa o COBIT a partir de uma

perspectiva financeira e de negócio.

Download em: http://www.isaca.org

S i B li

http://www.isaca.org/










Camilo Amarcy

Security Baseline

Por que gerenciar os investimentosem TI?

• Uma pesquisa realizada pelo MetaGroup em 2004 levantou alguns dadosinteressantes:

• 85% das organizações damanda

business cases para projectos demudança;

• Somente 40% dos projectosaprovados tem argumentos válidos(realistas) sobre benefícios esperados;

• Menos de 10% das organizaçõesasseguram benefícios realizados pós-projecto.

S i B li



Camilo Amarcy

Security Baseline

VAL IT - Publicações

• O ITGI lançou três publicações relacionadas:

S i B li



Camilo Amarcy

Security Baseline

Princípios do VAL IT – Parte 1

• Os investimentos viabilizados pela TIserão administrados como umportfólio de investimentos;

• Os investimentos viabilizados pela TIincluirão um escopo completo de

actividades que são necessárias paragerar valor ao negócio;

• Os investimentos viabilizados pela TIserão administrados através de todo oseu ciclo de vida econômico;

• As práticas de entrega de valorreconhecerão que existem diferentescategorias de investimenos que serãoavaliadas e administradas de maneirasdiferentes;

S it B li



Camilo Amarcy

Security Baseline

Princípios do VAL IT – Parte 2

• As práticas de entrega de valor irãodefinir e monitorar métricas-chave eresponderão rapidamente a quaisquermudanças ou divergências;

• As práticas de entrega de valor devem

engajar todos os stakeholders e definiruma prestação de contas apropriadasobre a entrega de capacidades eobtenção de benefícios do negócio;

• As práticas de entrega de valor serão

continuamente monitoradas,avaliadsas e melhoradas.

S it B li



Camilo Amarcy

Security Baseline

The 4 “Ares” (Os 4 “ares” –

estamos) – Parte 1

• Questões de estratégia. Oinvestimento está:

• Alinhado com a nossa visão?

• Consistente com osprincípios dos nossosnegócios?

• Contribuindo para osobjectivos estratégicos?

• Fornecendo valor a umcusto razoável e a um nívelde risco aceitável?

S rit B lin



Camilo Amarcy

Security Baseline



• Questões de arquitectura. Oinvestimento está:

• Alinhado com a nossaarquitectura?

• Consistente com osprincípios da nossaarquitetura?

• Contribuindo parapopulação da nossaarquitetura?

• Alinhado com outrasiniciativas?

Security Baseline



Camilo Amarcy

Security Baseline



• Questões de entrega. Nós temos:

• Processos efectivos edisciplinados para ogerenciamento de entrega e

mudanças?• Recursos técnicos e de negócio

competentes e disponíveis paraentregar:

• Capacidades necessárias?

• Mudanças organizacionaisnecessárias parapotencializar ascapacidades?

Security Baseline



Camilo Amarcy

Security Baseline

The 4 “Ares” (Os 4 “ares”

– estamos) – Parte 4

• Questões de valor. Nóstemos:

• Um claroentendimento dos

benefíciosesperados?

• Clara prestação decontas para realizaros benefícios?

• Métricas relevantes?

• Um processoefectivo para arealização de

benefícios?

Security Baseline



Camilo Amarcy

Security Baseline

Processos do VAL IT

Security Baseline



Camilo Amarcy

Security Baseline

VAL IT x COBIT

• Os processos do VAL IT expandem os processos do COBIT nos quatrodomínios:

Temas do Capítulo



Camilo Amarcy

Temas do Capítulo

• Padrão ISO 33850 – Governança de TI

• Relacionamento do COBIT com as

melhores práticas:

• ITIL V3;

• ISO 20000;

• ISO/IEC 27001, ISO/IEC 27002;• PMBOK;

• PRINCE2;

•

CMMI;• TOGAF;

• Outros padrões: BS 25777, M_o_R eeSCM

Security Baseline



Camilo Amarcy

Security Baseline

Quais padrões e modelos podem ajudar?

Security Baseline



Camilo Amarcy

Security Baseline

Qual o modelo mais adoptado para operação de TI?

• Dados da pesquisa realizada no itSMF Brasil Conference em 2007 com 200CIOs de grandes empresas:

Fonte: http://gti.openufla.com.br/index.php?id?22

Security Baseline

http://gti.openufla.com.br/index.php?id?22















Camilo Amarcy

Security Baseline

ISO/IEC 38500 – Novo padrão para Governança de TI

• Publicada em Abril de 2008;

• Fornece orientação sobre o papel da alta administração na governança de TI;

• Ajuda o comitê da governança a avaliar, dirigir, monitorar o uso da TI e aatender aos requisitos regulatórios e obrigações éticas:

•

Provê seis princípios orientadores:• Responsabilidade;

• Estratégia;

• Aquisições;

• Desempenho;

• Conformidade;

• Comportamento Humano

Security Baseline



Camilo Amarcy

Security Baseline

Principios Orientadores – Parte 1

• Responsabilidade: é necessárioestabelecer estruturas organizacionais,papéis , responsabilidades e níveis deautoridade para tomada de decisões etarefas;

•

Estratégia: os requisitos de negócioprecisam ser traduzidos em metas para a TI e com base nestas metas a TI vaielaborar um planeamento apropriadopara a sua capacidade;

•

Aquisições: os projectos de TI devemser vistos como parte dos programas demudança organizacional: os processos denegócio devem ser revistos e as pessoasprecisam de treinamento;

Security Baseline



Camilo Amarcy

Security Baseline

Principios Orientadores – Parte 2

• Desempenho: é preciso definir metasde desempenho e métricas paramonitorar o atingimento das metas;

• Conformidade: políticas eprocedimentos são necessários para a

gestão e equipe seguirem, paraassegurar que metas da organizaçãosejam atingidas, riscos sejam mitigadose a conformidade seja alcançada;

• Comportamento Humano: As

mudanças promovidas pela TIrequerem mudanças culturais ecomportamentais dentro da empresa,assim como com os clientes eparceitos.

Security Baseline



Camilo Amarcy

Security Baseline

COBIT Mappings

• O ITGI desenvolver vários guias para ajudar a utilizar o COBIT em conjuntocom outros modelos:

• Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for business benefit;

• Mapping of ITIL V3 with COBIT 4.1

• Mapping of NIST SP800-53 Rev 1 with COBIT 4.1

• Mapping of TOGAF 8.1 with COBIT 4.0

• Mapping of CMMI for development V1.2 with COBIT 4.0

• Mapping of ITIL with COBIT 4.0

• Mapping of PRINCE2 with COBIT 4.0

• Mapping of ISO/IEC 17799: 2005 with COBIT 4.0;

• Mapping PMBOK to COBIT 4.0;

• Mapping SEI’s CMM for software to COBIT 4.0;

• Mapping to ISO/IEC 17799:2000 with COBIT, 2nd edition

Security Baseline



Camilo Amarcy

Security Baseline

ITIL V3 (IT Infrastructure Library)

• É um conjunto das boas práticas para o Gerenciamento do Ciclo de Vida doServiço;

• Desenvolvida inicialmente pelo OGC do Reino Unido e usada hoje pormilheres de empresas no mundo todo.

Security Baseline



Camilo Amarcy

Security Baseline

ITIL V3 - Ciclo de Vida de Serviço e Processos

Security Baseline



Camilo Amarcy

ecu y se e

A ITIL ajuda a definir os processos

Security Baseline



Camilo Amarcy

y

Comparando conteúdos ITIL V3 x COBIT

• Comparando o conteúdo que a ITIL e o COBIT fornecem para o processode Gerenciamento de Incidentes, temos:

Security Baseline



Camilo Amarcy

y

ISO/IEC 20000 – Sistema de Gestãode Serviços de TI – Parte 1

• A ISO 20000 pode ser usada paracertificar o sistema de Gerenciamentode Serviços de TI;

• No Brasil temos algumas empresas

certificadas. Consulte o site:• http//www.isoiec20000certification.com

• Foi originalmente publicada pela BSI – Brithis Standard Institution – como BS15000 é finalmente adotada pela

organização ISO em 2005

Security Baseline



Camilo Amarcy

y

ISO/IEC 20000 – Sistema de Gestão de Serviços de TI – Parte 2

• A ISO 20000 é composta de duas partes:

• Parte 1: Especificação, fornecendo requisitos para um sistema deGerenciamento de Serviços de TI;

• Parte 2: Código de prática, que contém recomendações das melhorespráticas. Serve apenas como um guia.

Norma disponível no site:

www.abntnet.net

Security Baseline

http://www.abntnet.net/








Camilo Amarcy

y

ISO/IEC 27001 – Sistema de Gestão da Segurança da Informação

• A ISO/IEC 27001 ajuda as organizações a implantarem um SGSI (Sistema de Gestão

da Segurança da Informação), fornecendo directrizes e princípios para iniciar,implementar, manter e aperfeiçoar o SGSI;;

• Fornece mais de 133 controles de segurança;

• Recomenda-se que seja usada em conjunto com a ISO/IEC 27002 (substitui a

ISO/IEC 17799), que é o código de prática para o SGSI;

• A meta das duas normas é salvaguardar a confidencialidade, integridade edisponibilidade da informação escrita, falada e electrônica;

• A ISO 27001 considera:

• Política de Segurança;

• Segurança Organizacional;

• Classificação e Controle de Ativos;

• Segurança Pessoal;

• Segurança Física e Ambiental

Security Baseline



Camilo Amarcy

y

BS 25777 – Continuidade doServiço de TI – Parte 1

• Continuidade do negócio paramuitas empresas não é mais umprocesso deixado à sorte ou umprocesso reativo, sem planeamentoalgum. As empresas precisam de

processos proactivos e isso foiresolvido com a BS 25999.Entretando, não dá para planear acontinuidade do negócio semconsiderar a continuidade de TI;

• A BS 25777 foi lançada parasuportar a integração do plano decontinuidade da TI com a política decontinuidade do negócio – BS 25999

Security Baseline



Camilo Amarcy

y

BS 25777 – Continuidade do Serviço de TI – Parte 2

• A continuidade da TI foca não apenas na probabilidade e impacto dos

incidentes, mas também na habilidade da organização de detectarrapidamente e responder aos incidentes. Isto requer que a organizaçãomonitore os serviços de TI para assegurar que:

• Os sistemas e dependências de componentes são conhecidas eaplicados na avaliação de riscos;

• Os serviços de TI estão em conformidade com regulamentos,resiliência e recuperáveis a um nível requerido;

• Eventos não esperados são detectados rapidamente e resolvidosconforme os objectivos de tempo de recuperação e que então sejam

investigados;• Dependências entre serviços de TI e influências externas são

cionhecidas, formalmente e usadas na avaliação de riscos durante aavaliação do impacto das mudanças;

Security Baseline



Camilo Amarcy

y

PMBOK – Project Management Body of Knowledge

• É um corpo de Conhecimento para o Gerenciamento de Projectos desenvolvido pelo

Project Management Institute (PMI);• Tem ampla aceitação pelo mercado actual;

• Deve ser visto mais como um guia do que uma metodologia;

• Tem 42 processos distribuidos em 9 áreas de conhecimento;

• Qualquer tipo de projecto pode ser gerenciado a partir destas práticas;• É cedido gratuitamente para os membros do PMI. Pode ser comprado em algumas

livrarias; Há mais de 300.000 profissionais PMP no mundo todo.

Disponível gratuitamente para

associados no site www.pmi.org

Security Baseline

http://www.pmi.org/

http://www.pmi.org/

http://www.pmi.org/

http://www.pmi.org/

http://www.pmi.org/

http://www.pmi.org/



Camilo Amarcy

y

Processos do PMBOK – Quarta Edição

Security Baseline



Camilo Amarcy

y

PRINCE2 – Project In ControlledEnviroment – 2nd Edition

• Desenvolvido inicialmente pelo CCTA (actual OGC)para ser um padrão do governo britânico nogerenciamento de projectos de TI;

• Actualmente é uma metodologia para o gerenciamentode qualquer tipo de projecto;

• É usaod em mais de 50 países e tem mais de 250.000practitioners;

Comparando com o PMBOK:

• Foca nas principais áreas de risco;

•

Altamente prescritivo (metodologia), especialmente naestrutura dos processos;

• Todos os processos devem ser considerados;

• Orientado a Business Case – Os projectos devem gerarentregáveis em vez de benefícios para o negócio

Security Baseline



Camilo Amarcy

CMMI (Capacity Maturity Model Integration) for Development

• CMMI-DEV representa as melhores práticas relacionadas às actividades de

desenvolvimento e manutenção de software e hardware;• Criado pelo Software Engineering Institute (SEI) da Carnegie Mellow University.

• Contém 22 áreas de processo que cobrem o ciclo de vida de desenvolvimento

Security Baseline



Camilo Amarcy

TOGAF (The Open Group Architecture Framework)

•

É um framework de arquitectura corporativaque provê uma abordagem global ao design,planeamento, implementação e governançade uma arquitectura de informaçãocorporativa;

• A arquitectura é tipocamente modelada emquatro níveis ou domínios: Negócios(Business), Aplicação (Application), Dados(Data) e Tecnologia (Technology). Umconjunto de arquitecturas base é fornecidopara permitir a equipa de arquitectura

vislumbrar o estado futuro e actual daarquitectura de TI;

• A visão do Open Group é que TOGAF sejaum método prático e confiável para definir asnecessidades de negócio e desenvolver umaarquitectura que as atenda.

Security Baseline



Camilo Amarcy

M_o_R (Management of Risk)

• Desenvolvido pelo OGC do Reino Unido;

• Fornece um framework genérico para ogerenciamento de riscos em todas aspartes de uma organização: riscosestratégicos, de programa, projecto eoperacionais;

• Incorpora todas as actividades necessáriaspara identificar e controlar a exposição aquaisquer riscos, positiva ou negativa, oqual pode impactar os objectivos denegócio da sua organizaçãõ;

•

Oferece um roadmap para ogerenciamento de riscos, trazendo juntoprincipios, abordagem, conjunto deprocessos inter-relacionados, e pontos paramais fontes detalhadas com orientaçõessobre técnicas de gerenciamento.

Security Baseline



Camilo Amarcy

eSCM (eSourcing Capability Model)

• A Universidade Carnegie Mellow mantém um Centro de Qualificaçõa para Serviços de

TI (IT Service Qualification Center – ITSqc) que desenvolveu modelos de qualidade emétodos de qualificação para organizações envolvidas no eSourcing.

Security Baseline



Camilo Amarcy

Outros Padrões

Security Baseline



Camilo Amarcy

Finalidade

Estamos a ver: COBIT 4.1



• http://pt.wikipedia.org/wiki/CobiT

COBIT 4.1

Control Objectivesfor Information andrelated Technology

54

http://pt.wikipedia.org/wiki/CobiT








aula 06 - capitulo 05 - cosi - aula 05.pdf

Documents