Download - Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 1/54
INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAÇÕES
COBIT 4.1 – Produtos do ITGI que suportamo COBIT e outros Frameworks
Docente: Camilo Amarcy
Email: [email protected]
Cell: +258823032445
Skype: camilo.issufo.amarcy
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 2/54
Camilo Amarcy
Temas do Capítulo
• COBIT Quickstart;
• IT Assurance Guide;
• COBIT Online;
• COBIT Security Baseline;
• IT Governance Implementation Guide;
• Val IT
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 3/54
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 4/54
Camilo Amarcy
COBIT Quickstart
Principais Produtos Relacionados com o COBIT
• A ISACA e o ITGI desenvolveram vários produtos acessórios para ajudar aimplementar os objectivos de controle e governança de TI:
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 5/54
Camilo Amarcy
COBIT Quickstart
Livro Breve Introdução – Parte 1
• É uma versão resumida dos recursos doCOBIT que serve de ponto de partida paraempresas que querem ter uma estruturabásica de governança de TI, priorizando oscontroles mais importantes;
• Representa apenas 20% do conteúdo:
• É direcionado para empresas de pequeno e médio porte (SMEs) onde a TInão é estratégica ou absolutamente crítica para a sobrevivência da empresa
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 6/54
Camilo Amarcy
COBIT Quickstart
Livro Breve Introdução – Parte 2
• Para cada processo de TI,fornece uma descriçãoresumida, prática degerenciamento, referência com
outros objectivos de controle,abordagem para auto-avaliação,principais responsáveis emétricas mais importantes;
• Fornece ferramentas de auto-
avaliação, ajudando a identificarse ele é apropriado àorganização;
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 7/54Camilo Amarcy
COBIT Quickstart
Práticas de Controle (ControlPractices)
• Outra publicação fornecida pelo ITGI é a“Práticas de Controle”. Estas práticastraduzem as objectivos de controle doCOBIT em práticas detalhadas e
implementáveis, e fornecem umaperspectiva de valor e risco;
• Enquanto que os objectivos de controledefinem “o que” precisa ser feito, aspráticas de controle fornecem um
detalhamento de como implelemtnar osobje3ctivos e “por que” eles podem sernecessários;
• Para cada objectivo de controle há de 3 a 12práticas de controle;
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 8/54Camilo Amarcy
IT Assurance
PO10 Gerenciar Projectos – Práticas de Controle
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 9/54Camilo Amarcy
IT Assurance
Guia de Validação/Garantia – Parte 1
• É um guia de validação (ou garantia) paraprofissionais que precisam de orientaçõespara garantir o funcionamento doscontroles internos e melhoria deprocessos;
• Fornece conselhos sobre como testar ofuncionamento de cada objectivo decontrole, assegurando que os controlessão suficientes e ajudando a documentaros pontos fracos dos controles;
• Ajuda a elaborar um conjunto de acçõees e plano de auditoria. Entretanto,não deve ser visto como uma norma de auditoria, com regras únicas;
• Deve ser usado em conjunto com o COBIT para testar os objectivos decontrole;
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 10/54Camilo Amarcy
IT Assurance
Guia de Validação/Garantia – Parte 2
• O IT Assurance Guide oferece uma estrutura para o plano (roadmap) deauditoria/validação/garantia composta por três estágios: Planeamento,Definição de Escopo e Execução
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 11/54Camilo Amarcy
IT Assurance
Execução do roadmap de validação/garantia – Parte 1
•
O estágio de Execução subdivide-se em 6 etapas:
1. Refinar o entendimento ddo que será validado na TI;
1. Identificar/confirmar os processos de TI críticos;
2. Auto-avaliação da maturidade dos processos;
2. Redefinir o escopo dos objectivos de controle chave para questões que serão validadas na TI;
1. Actualizar a selecção de objectivos de controle;
2. Personalizar os objectivos de controle;3. Construir um programa de auditoria detalhado;
3. Testar a efectividade do desenho de controle dos objectivos de controle chave;
1. Testar e avaliar os controles;
2. Actualizar/avaliar maturidade dos processos.
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 12/54Camilo Amarcy
IT Assurance
Execução do roadmap de validação/garantia – Parte 2
•
O estágio de Execução subdivide-se em 6 etapas:
4. Testar o resultado dos objectivos de controlechave
1. Controles e auto-avaliação;
2. Testar e valiar os controles.
5. Documentar o impacto das fraquezas docontrole
1. Diagnóstico operacional e/ou riscos de projectosresiduais;
6. Desenvolver e comunicar as recomendaçõesem geral
1. Reportar conclusõees de validação
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 13/54Camilo Amarcy
COBIT Online
Versão Online
• O COBIT Online é uma base de recursos na web com funcionalidades interactivas;
• É um serviço disponível apenas para quem tem uma assinatura no site da ISACA:
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 14/54Camilo Amarcy
Security Baseline
Linha de Segurança
•
O COBIT Security Baseline foca nos riscosespecíficos da segurança de TI, de forma simplesde seguir e implementar;
• Ajuda também a conscientizar sobre aimportância da segurança da informação;
• Não é um guia técnico. Possui linguagemacessível para qualquer tipo de pessoa, comousuários domésticos ou usuáruios de pequenas emédias empresas (executivos e gerentes),
•
É uma destilação do COBIT, sugerindo 44 passospara alcançar a segurança e referenciandocontroles da ISO 27002 (substitui a ISO 17799) eobjectivos de controle do COBIT para cadapasso.
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 15/54Camilo Amarcy
Security Baseline
Kits de Sobrevivência da Segurança
•
Existem 6 kits de sobrevivência:
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 16/54Camilo Amarcy
Security Baseline
Guia de Implantação de Governança de TI
• O IT Governance Implementation Guide é um roadmap
para o conselho de administração, gerência executiva,profissionais de auditoria em TI e para os gerentes deconformidade.
• Este guia fornece uma metodologia, um roadmap detalhadoe um conjunto de ferramentas para implementar um ciclo
de vida de Governança de TI contínuo usando o COBIT;• Este guia traz uma metodologia genérica nas seguintes
áreas:
• Por que a Governança de TI é importante e porque asorganizações devem implantá-la;
• Como o COBIT está vinculado com a Governança de TIe como o COBIT possibilita a implantaçaõ daGovernança de TI;
• Partes Interessadas na Governança de TI;
• Roadmap para implantar a Governança de TI usando oCOBIT.
S i li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 17/54Camilo Amarcy
Security Baseline
IT Governance Implementation Guide - Roadmap
• Roadmap de implementação sugerido:
O foco inicial para desenvolver um programa de governança de TI é identificarnecessidade e entradas para direitos e tomadas de decisão na governança com base em:
• Objectos da TI no suporte ao negócio;
• Requisitos/regulamentos internos e externos
S i B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 18/54Camilo Amarcy
Security Baseline
Framework do VAL IT
• É um framework de governança baseado no
COBIT que inclui orientações e processos desuporte relacionados à avaliação e selecção deinvestimentos de negócio viabilizados por TI, bemcomo os benefícios da realização e entrega de valordesses investimentos;
•
Seu objectivo é ajudar a gerência a assegurar que aorganização obtenha valor derivado dosinvestimentos em TI com um custo razoável e aum nível de risco aceitável;
• Complementa o COBIT a partir de uma
perspectiva financeira e de negócio.
Download em: http://www.isaca.org
S i B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 19/54
Camilo Amarcy
Security Baseline
Por que gerenciar os investimentosem TI?
• Uma pesquisa realizada pelo MetaGroup em 2004 levantou alguns dadosinteressantes:
• 85% das organizações damanda
business cases para projectos demudança;
• Somente 40% dos projectosaprovados tem argumentos válidos(realistas) sobre benefícios esperados;
• Menos de 10% das organizaçõesasseguram benefícios realizados pós-projecto.
S i B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 20/54
Camilo Amarcy
Security Baseline
VAL IT - Publicações
• O ITGI lançou três publicações relacionadas:
S i B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 21/54
Camilo Amarcy
Security Baseline
Princípios do VAL IT – Parte 1
• Os investimentos viabilizados pela TIserão administrados como umportfólio de investimentos;
• Os investimentos viabilizados pela TIincluirão um escopo completo de
actividades que são necessárias paragerar valor ao negócio;
• Os investimentos viabilizados pela TIserão administrados através de todo oseu ciclo de vida econômico;
• As práticas de entrega de valorreconhecerão que existem diferentescategorias de investimenos que serãoavaliadas e administradas de maneirasdiferentes;
S it B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 22/54
Camilo Amarcy
Security Baseline
Princípios do VAL IT – Parte 2
• As práticas de entrega de valor irãodefinir e monitorar métricas-chave eresponderão rapidamente a quaisquermudanças ou divergências;
• As práticas de entrega de valor devem
engajar todos os stakeholders e definiruma prestação de contas apropriadasobre a entrega de capacidades eobtenção de benefícios do negócio;
• As práticas de entrega de valor serão
continuamente monitoradas,avaliadsas e melhoradas.
S it B li
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 23/54
Camilo Amarcy
Security Baseline
The 4 “Ares” (Os 4 “ares” –
estamos) – Parte 1
• Questões de estratégia. Oinvestimento está:
• Alinhado com a nossa visão?
• Consistente com osprincípios dos nossosnegócios?
• Contribuindo para osobjectivos estratégicos?
• Fornecendo valor a umcusto razoável e a um nívelde risco aceitável?
S rit B lin
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 24/54
Camilo Amarcy
Security Baseline
The 4 “Ares” (Os 4 “ares” –
estamos) – Parte 2
• Questões de arquitectura. Oinvestimento está:
• Alinhado com a nossaarquitectura?
• Consistente com osprincípios da nossaarquitetura?
• Contribuindo parapopulação da nossaarquitetura?
• Alinhado com outrasiniciativas?
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 25/54
Camilo Amarcy
Security Baseline
The 4 “Ares” (Os 4 “ares” –
estamos) – Parte 3
• Questões de entrega. Nós temos:
• Processos efectivos edisciplinados para ogerenciamento de entrega e
mudanças?• Recursos técnicos e de negócio
competentes e disponíveis paraentregar:
• Capacidades necessárias?
• Mudanças organizacionaisnecessárias parapotencializar ascapacidades?
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 26/54
Camilo Amarcy
Security Baseline
The 4 “Ares” (Os 4 “ares”
– estamos) – Parte 4
• Questões de valor. Nóstemos:
• Um claroentendimento dos
benefíciosesperados?
• Clara prestação decontas para realizaros benefícios?
• Métricas relevantes?
• Um processoefectivo para arealização de
benefícios?
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 27/54
Camilo Amarcy
Security Baseline
Processos do VAL IT
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 28/54
Camilo Amarcy
Security Baseline
VAL IT x COBIT
• Os processos do VAL IT expandem os processos do COBIT nos quatrodomínios:
Temas do Capítulo
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 29/54
Camilo Amarcy
Temas do Capítulo
• Padrão ISO 33850 – Governança de TI
• Relacionamento do COBIT com as
melhores práticas:
• ITIL V3;
• ISO 20000;
• ISO/IEC 27001, ISO/IEC 27002;• PMBOK;
• PRINCE2;
•
CMMI;• TOGAF;
• Outros padrões: BS 25777, M_o_R eeSCM
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 30/54
Camilo Amarcy
Security Baseline
Quais padrões e modelos podem ajudar?
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 31/54
Camilo Amarcy
Security Baseline
Qual o modelo mais adoptado para operação de TI?
• Dados da pesquisa realizada no itSMF Brasil Conference em 2007 com 200CIOs de grandes empresas:
Fonte: http://gti.openufla.com.br/index.php?id?22
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 32/54
Camilo Amarcy
Security Baseline
ISO/IEC 38500 – Novo padrão para Governança de TI
• Publicada em Abril de 2008;
• Fornece orientação sobre o papel da alta administração na governança de TI;
• Ajuda o comitê da governança a avaliar, dirigir, monitorar o uso da TI e aatender aos requisitos regulatórios e obrigações éticas:
•
Provê seis princípios orientadores:• Responsabilidade;
• Estratégia;
• Aquisições;
• Desempenho;
• Conformidade;
• Comportamento Humano
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 33/54
Camilo Amarcy
Security Baseline
Principios Orientadores – Parte 1
• Responsabilidade: é necessárioestabelecer estruturas organizacionais,papéis , responsabilidades e níveis deautoridade para tomada de decisões etarefas;
•
Estratégia: os requisitos de negócioprecisam ser traduzidos em metas para a TI e com base nestas metas a TI vaielaborar um planeamento apropriadopara a sua capacidade;
•
Aquisições: os projectos de TI devemser vistos como parte dos programas demudança organizacional: os processos denegócio devem ser revistos e as pessoasprecisam de treinamento;
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 34/54
Camilo Amarcy
Security Baseline
Principios Orientadores – Parte 2
• Desempenho: é preciso definir metasde desempenho e métricas paramonitorar o atingimento das metas;
• Conformidade: políticas eprocedimentos são necessários para a
gestão e equipe seguirem, paraassegurar que metas da organizaçãosejam atingidas, riscos sejam mitigadose a conformidade seja alcançada;
• Comportamento Humano: As
mudanças promovidas pela TIrequerem mudanças culturais ecomportamentais dentro da empresa,assim como com os clientes eparceitos.
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 35/54
Camilo Amarcy
Security Baseline
COBIT Mappings
• O ITGI desenvolver vários guias para ajudar a utilizar o COBIT em conjuntocom outros modelos:
• Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for business benefit;
• Mapping of ITIL V3 with COBIT 4.1
• Mapping of NIST SP800-53 Rev 1 with COBIT 4.1
• Mapping of TOGAF 8.1 with COBIT 4.0
• Mapping of CMMI for development V1.2 with COBIT 4.0
• Mapping of ITIL with COBIT 4.0
• Mapping of PRINCE2 with COBIT 4.0
• Mapping of ISO/IEC 17799: 2005 with COBIT 4.0;
• Mapping PMBOK to COBIT 4.0;
• Mapping SEI’s CMM for software to COBIT 4.0;
• Mapping to ISO/IEC 17799:2000 with COBIT, 2nd edition
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 36/54
Camilo Amarcy
Security Baseline
ITIL V3 (IT Infrastructure Library)
• É um conjunto das boas práticas para o Gerenciamento do Ciclo de Vida doServiço;
• Desenvolvida inicialmente pelo OGC do Reino Unido e usada hoje pormilheres de empresas no mundo todo.
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 37/54
Camilo Amarcy
Security Baseline
ITIL V3 - Ciclo de Vida de Serviço e Processos
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 38/54
Camilo Amarcy
ecu y se e
A ITIL ajuda a definir os processos
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 39/54
Camilo Amarcy
y
Comparando conteúdos ITIL V3 x COBIT
• Comparando o conteúdo que a ITIL e o COBIT fornecem para o processode Gerenciamento de Incidentes, temos:
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 40/54
Camilo Amarcy
y
ISO/IEC 20000 – Sistema de Gestãode Serviços de TI – Parte 1
• A ISO 20000 pode ser usada paracertificar o sistema de Gerenciamentode Serviços de TI;
• No Brasil temos algumas empresas
certificadas. Consulte o site:• http//www.isoiec20000certification.com
• Foi originalmente publicada pela BSI – Brithis Standard Institution – como BS15000 é finalmente adotada pela
organização ISO em 2005
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 41/54
Camilo Amarcy
y
ISO/IEC 20000 – Sistema de Gestão de Serviços de TI – Parte 2
• A ISO 20000 é composta de duas partes:
• Parte 1: Especificação, fornecendo requisitos para um sistema deGerenciamento de Serviços de TI;
• Parte 2: Código de prática, que contém recomendações das melhorespráticas. Serve apenas como um guia.
Norma disponível no site:
www.abntnet.net
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 42/54
Camilo Amarcy
y
ISO/IEC 27001 – Sistema de Gestão da Segurança da Informação
• A ISO/IEC 27001 ajuda as organizações a implantarem um SGSI (Sistema de Gestão
da Segurança da Informação), fornecendo directrizes e princípios para iniciar,implementar, manter e aperfeiçoar o SGSI;;
• Fornece mais de 133 controles de segurança;
• Recomenda-se que seja usada em conjunto com a ISO/IEC 27002 (substitui a
ISO/IEC 17799), que é o código de prática para o SGSI;
• A meta das duas normas é salvaguardar a confidencialidade, integridade edisponibilidade da informação escrita, falada e electrônica;
• A ISO 27001 considera:
• Política de Segurança;
• Segurança Organizacional;
• Classificação e Controle de Ativos;
• Segurança Pessoal;
• Segurança Física e Ambiental
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 43/54
Camilo Amarcy
y
BS 25777 – Continuidade doServiço de TI – Parte 1
• Continuidade do negócio paramuitas empresas não é mais umprocesso deixado à sorte ou umprocesso reativo, sem planeamentoalgum. As empresas precisam de
processos proactivos e isso foiresolvido com a BS 25999.Entretando, não dá para planear acontinuidade do negócio semconsiderar a continuidade de TI;
• A BS 25777 foi lançada parasuportar a integração do plano decontinuidade da TI com a política decontinuidade do negócio – BS 25999
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 44/54
Camilo Amarcy
y
BS 25777 – Continuidade do Serviço de TI – Parte 2
• A continuidade da TI foca não apenas na probabilidade e impacto dos
incidentes, mas também na habilidade da organização de detectarrapidamente e responder aos incidentes. Isto requer que a organizaçãomonitore os serviços de TI para assegurar que:
• Os sistemas e dependências de componentes são conhecidas eaplicados na avaliação de riscos;
• Os serviços de TI estão em conformidade com regulamentos,resiliência e recuperáveis a um nível requerido;
• Eventos não esperados são detectados rapidamente e resolvidosconforme os objectivos de tempo de recuperação e que então sejam
investigados;• Dependências entre serviços de TI e influências externas são
cionhecidas, formalmente e usadas na avaliação de riscos durante aavaliação do impacto das mudanças;
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 45/54
Camilo Amarcy
y
PMBOK – Project Management Body of Knowledge
• É um corpo de Conhecimento para o Gerenciamento de Projectos desenvolvido pelo
Project Management Institute (PMI);• Tem ampla aceitação pelo mercado actual;
• Deve ser visto mais como um guia do que uma metodologia;
• Tem 42 processos distribuidos em 9 áreas de conhecimento;
• Qualquer tipo de projecto pode ser gerenciado a partir destas práticas;• É cedido gratuitamente para os membros do PMI. Pode ser comprado em algumas
livrarias; Há mais de 300.000 profissionais PMP no mundo todo.
Disponível gratuitamente para
associados no site www.pmi.org
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 46/54
Camilo Amarcy
y
Processos do PMBOK – Quarta Edição
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 47/54
Camilo Amarcy
y
PRINCE2 – Project In ControlledEnviroment – 2nd Edition
• Desenvolvido inicialmente pelo CCTA (actual OGC)para ser um padrão do governo britânico nogerenciamento de projectos de TI;
• Actualmente é uma metodologia para o gerenciamentode qualquer tipo de projecto;
• É usaod em mais de 50 países e tem mais de 250.000practitioners;
Comparando com o PMBOK:
• Foca nas principais áreas de risco;
•
Altamente prescritivo (metodologia), especialmente naestrutura dos processos;
• Todos os processos devem ser considerados;
• Orientado a Business Case – Os projectos devem gerarentregáveis em vez de benefícios para o negócio
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 48/54
Camilo Amarcy
CMMI (Capacity Maturity Model Integration) for Development
• CMMI-DEV representa as melhores práticas relacionadas às actividades de
desenvolvimento e manutenção de software e hardware;• Criado pelo Software Engineering Institute (SEI) da Carnegie Mellow University.
• Contém 22 áreas de processo que cobrem o ciclo de vida de desenvolvimento
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 49/54
Camilo Amarcy
TOGAF (The Open Group Architecture Framework)
•
É um framework de arquitectura corporativaque provê uma abordagem global ao design,planeamento, implementação e governançade uma arquitectura de informaçãocorporativa;
• A arquitectura é tipocamente modelada emquatro níveis ou domínios: Negócios(Business), Aplicação (Application), Dados(Data) e Tecnologia (Technology). Umconjunto de arquitecturas base é fornecidopara permitir a equipa de arquitectura
vislumbrar o estado futuro e actual daarquitectura de TI;
• A visão do Open Group é que TOGAF sejaum método prático e confiável para definir asnecessidades de negócio e desenvolver umaarquitectura que as atenda.
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 50/54
Camilo Amarcy
M_o_R (Management of Risk)
• Desenvolvido pelo OGC do Reino Unido;
• Fornece um framework genérico para ogerenciamento de riscos em todas aspartes de uma organização: riscosestratégicos, de programa, projecto eoperacionais;
• Incorpora todas as actividades necessáriaspara identificar e controlar a exposição aquaisquer riscos, positiva ou negativa, oqual pode impactar os objectivos denegócio da sua organizaçãõ;
•
Oferece um roadmap para ogerenciamento de riscos, trazendo juntoprincipios, abordagem, conjunto deprocessos inter-relacionados, e pontos paramais fontes detalhadas com orientaçõessobre técnicas de gerenciamento.
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 51/54
Camilo Amarcy
eSCM (eSourcing Capability Model)
• A Universidade Carnegie Mellow mantém um Centro de Qualificaçõa para Serviços de
TI (IT Service Qualification Center – ITSqc) que desenvolveu modelos de qualidade emétodos de qualificação para organizações envolvidas no eSourcing.
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 52/54
Camilo Amarcy
Outros Padrões
Security Baseline
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 53/54
Camilo Amarcy
Finalidade
Estamos a ver: COBIT 4.1
7/29/2019 Aula 06 - Capitulo 05 - COSI - Aula 05.pdf
http://slidepdf.com/reader/full/aula-06-capitulo-05-cosi-aula-05pdf 54/54
• http://pt.wikipedia.org/wiki/CobiT
COBIT 4.1
Control Objectivesfor Information andrelated Technology
54