fundamentos de cobit - mdkinformatica.com.br · cobit – control objectives for information and...

�� A TI deixou de lado o papel de dar suporte ao negócio e,

principalmente na área financeira, se tornou a estratégia do próprio negócio. O nível de dependência de tecnologia para o mercado financeiro é algo muito difícil de ser mensurado, no entanto, se entendermos que a TI é um conjunto estrutural na qual a empresa depende para realizar suas atividades, o nível de dependência é 100%.

� Este quadro deixa evidente a necessidade das empresas em estabelecer e implementar mecanismos de controle, não só no que diz respeito à gestão de riscos, como também pelo fato de que estas estão sujeitas a legislação e regulamentação existente para o mercado nacional ou internacional, e é exatamente respondendo a este tipo de necessidade que o COBIT pode ser aplicado.

Falta de Gestão de Risco

��Não se gerencia o que não se mede, não

se mede o que não se define, não se define o que não se entende, não há sucesso no que não se gerencia.

Willian Eduard Deming 1900 -1993Guru do Gerenciamento da Qualidade

�� COBIT – Control Objectives for Information and Related Technology

Objetivos de Controle para Informações e Tecnologias Relacionadas

� O COBIT, atualmente na versão 4.1, é um framework de controle que se tornou mundialmente aceito nas empresas em função dos benefícios que proporciona.

� Diferente do framework do COSO, que é um modelo de controle genérico, O COBIT é focado unicamente em TI e sua estrutura oferece uma base sólida para se estabelecer um modelo de governança de TI.

� A missão apresentada no COBIT 4.1 (2007, p.13) é: � “Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de

controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores.”

Introdução ao COBIT

�� O COBIT não é um padrão, não é uma norma como a ISO 20.000,

ISO 17.799 ou ISO 9.001, e ele também não serve como guia para maximizar os benefícios da TI.

� Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio. A adoção do COBIT não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando, ou gerando riscos para o negócio, de modo a priorizar o gerenciamento destes processos.

� O framework de controle do COBIT segue a premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho

Introdução ao COBIT

�“Pesquisar, desenvolver, publicar e promover um

conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral

para o uso do dia-a-dia de gerentes de negócio e auditores.”

Missão

�� O framework do COBIT foi criado tendo como principais

características o foco no negócio, a orientação a processos, ser baseado em controles e direcionado por métricas.

� Adotar COBIT ajuda uma empresa a implementar boas práticas em governança de TI, pois ele oferece um guia de melhores práticas e direcionamento.

� Sua estrutura classifica os processos em 4 domínios, e apresenta atividades em uma estrutura gerenciável e lógica.

Modelo

�� O COBIT é independe das plataformas de TI adotadas nas empresas, tal

como independe do tipo de negócio e do valor e participação que a TI tem na cadeia produtiva da empresa.

� * Em 28/01/2010, foi anunciado o COBIT 4.1 em português.* O COBIT Security Baseline é um Guia de segurança para profissionais que não são da área de segurança.

� O COBIT é baseado no COSO e é compatível com outros frameworks.* O Framework do COSO ajuda a organização a estabelecer e determinar a efetividade dos seus controles internos.

� O mapa do COBIT são seus grandes temas: negócios, processos, controles e desempenho. Eles agrupam os elementos fundamentais da sua estrutura.

Modelo

�� COBIT (Control Objectives for Information and related Technology), é um guia de

boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação (TI).

� É mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.

� Especialistas recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados.

� O COBIT parte do princípio que deve haver alinhamento entre TI e os requisitos de negócios da empresa, aumentando o valor dos produtos e serviços do negócio.

Modelo

�� As características do COBIT o deixam posicionado em um nível mais

estratégico quando comparado a outros frameworks, normas ou padrões que se complementam, a figura acima ilustra o posicionamento e os pontos de integração do COBIT em relação a outros modelos.

Comparação

�

Operação de TI

�� Ser um padrão aceito nas melhores práticas de governança de

TI.

� Aplicar as melhores práticas a partir de um matriz de domínios, processos e atividades estruturados de forma lógica e gerenciável.

� Auxiliar na associação entre:� Os riscos no negócio.� As necessidades de controle.� Aspectos tecnológicos.

Objetivos do COBIT

�� Definir uma linguagem comum entre TI e o negócio.

� Ser focado nos requisitos de negócio.

� Ser aceito internacionalmente como framework de modelo para Governança de TI.

� Ser orientado a processos.

� Ser suportado por ferramentas e treinamento.

� Estar em desenvolvimento contínuo.

Vantagens do COBIT

�

Aplicação do COBIT

Usuário

Administração

Auditores de

Sistemas

Para se certificarem da segurança e dos controles dos

serviços de TI fornecidos internamente ou por terceiros

Para auxiliar na ponderação entre risco, investimento e

controle de ambientes muitas vezes imprevisíveis como o de TI

Para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre os controles

internos

�� O princípio da estrutura do COBIT é o de prover um link entre

as expectativas com as responsabilidades de gerenciamento de TI. O objetivo é facilitar a governança de TI para agregar valor a TI, por meio do gerenciamento dos riscos de TI.

Estrutura do COBIT

Requisitos de

Negócio

Recursos de TI

Processos de TI

�� É o relacionamento entre componentes do COBIT e suas inter-

relacionamentos

Cubo do COBIT

Critérios de informação

�� Efetividade

� Informação relevante e pertinente entregue na hora e na forma certas;� Eficiência

� Informação entregue com uso otimizado dos recursos;

� Confidencialidade� Informação protegida contra acesso não autorizado;

� Integridade� Informação completa, precisa e válida para o negócio;

� Disponibilidade� Informação disponível sempre que o processo de negócio precisar;

� Conformidade� informação de acordo com leis, regulamentos e contratos aos quais o processo de negócio está

submetido

� Confiabilidade� informação confiável para o gerenciamento e operação da entidade

Critérios de informação

�� O COBIT considera que Recursos de TI são gerenciados pelos processos de TI para

fornecer as informações que a empresa necessita para atingir seus objetivos. O framework estabelece 4 tipos de recursos, conforme relação apresentada a seguir:� Aplicações

� São os sistemas automatizados e procedimentos manuais para processar informações

� Informação� São os dados de todos os formulários de entrada, processamento e exibidos

pelos sistemas de informação, podendo ser qualquer formulário que é usado pelo negócio.

� Infraestrutura� Hardware, software, sistemas de banco de dados, rede, e qualquer outro recurso

necessário para funcionamento das aplicações� Pessoas

� São recursos humanos necessários para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços, podendo estes ser recursos internos ou tercerizados.

Recursos de TI

�� Uma das faces do cubo do COBIT representa os processos de

TI. O framework do COBIT apresenta os processos de TI agrupados em 4 domínios, conforme segue:

� Planejar e organizar (plan and organize - PO) � Adquirir e implementar (acquire and implement - AI) � Entregar e suportar (deliver and support - DS)� Monitorar e avaliar (monitor and evaluate - ME)

Processos de TI

�

Processos de TI

Planejar e Organizar

[PO]

Adquirir e Implementar

[AI]

Entregar e Suportar

[DS]

Monitorar e Avaliar [ME]

�

O cubo do COBIT

�

Processo de Implantação

Descrição do Processo

Matriz de Responsabilidades

Definição de metas e métricas

Avaliação do nível de maturidade

�� O COBIT estabelece metas e métricas em 3 níveis:

� O primeiro nível trata de objetivos e métricas de TI que definem o que o negócio espera da TI e como isso será medido.

� O segundo nível trata dos objetivos e métricas que definem o que os processos de TI devem entregar para suportar os objetivos de TI e como isso será medido.

� O terceiro nível trata dos objetivos de atividades e respectivas métricas para estabelecer o que precisa ocorrer dentro dos processos para alcançar a performance desejada e como mensurar isso.

Metas e Métricas

�� O framework do COBIT estabelece diretrizes de gerenciamento

e estas, por sua vez, sugerem o uso da metodologia BalancedScore Cards (BSC).

� O BSC fornece meios para estabelecer métricas para alcançaras metas de TI.

� A metodologia do BSC vê o negócio sob 4 perspectivas,estabelecendo os objetivos estratégicos da empresa emapeando suas metas e indicadores de performance.

Diretrizes de gerenciamento

�Ao avaliar a metodologia do

BSC e as diretrizes de

gerenciamento existentes

no framework do COBIT, fica

evidente que o COBIT vê no

BSC uma maneira de

implementar o conceito

do framework e

estabelecer os pontos de

controle, trazendo total

transparência as partes

interessadas, ou seja,

clientes, parceiros,

funcionários e acionistas da

empresa.

Metodologia Balanced Score Cards

(BSC)

�

Níveis de Maturidade

1 – Inicial Ad-Hoc

2 – Respectivo mais Intuitivo

3 – Processos Definidos

4 – Gerenciado e Medido

5 - Otimizado

0 - Inexistente

Status atual da Organização

Média de Mercado

Alvo da Organização

Ranking

0 – Processos de gerenciamento inexistentes

1 – Processos são ad-hoc e desorganizados

2 – Processos seguem um padrão regular

3 – Processos estão documentados e são comunicados

4 – Processos são monitorados e medidos

5 – Melhores práticas são seguidas e automatizadas

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 0 - Não existenteAusência total sobre o reconhecimento de qualquer processo. A organização sequer reconhece que há um problema que precisa ser endereçado.

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 1 – Inicial / Ad HocHá evidências de que a organização reconheceu problemas existem e devem ser endereçados. Entretanto, não há processos padronizados. Em vez disso abordagens pontuais são adotadas e há uma tendência de serem aplicadas em uma base individual ou caso-a-caso. A abordagem geral de gerenciamento é desorganizada.

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 2 – Respectivo mais IntuitivoProcessos foram desenvolvidas ao estágio onde procedimentos similares são seguidos por diferentes pessoas executando a mesma tarefa. Não há treinamento formal ou comunicação sobre os procedimentos padronizados, e a responsabilidade é tratada de maneira individual. A um alto grau de dependência no conhecimento de indivíduos e erros são muito comuns.

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 3 – Processos DefinidosProcedimentos foram padronizados, documentados e comunicados por meio de treinamento. É mandatório que estes processos sejam seguidos. É incomum que desvios sejam detectados. Os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as praticas existentes.

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 4 – Gerenciado e MedidoO Gerenciamento monitora e mede a aderência aos procedimentos e toma ações onde os processos parecem não estar funcionando efetivamente. Processos estão em melhoria constante e fornecem melhores práticas. Ferramentas automatizadas são utilizadas em uma maneira limitada ou fragmentada.

�






5 - Otimizado

0 - Inexistente


Média de Mercado


Maturidade Nível 5 – OtimizadoProcessos foram refinados ao nível de boas práticas, baseados nos resultados de melhoria contínua e modelos de maturidade com outras empresas. TI é utilizada de maneira integrada para automatizar os fluxos de trabalho, fornecendo ferramentas para melhoria de qualidade e efetividade, fazendo que a organização rapidamente se adapte.

�� Pense na empresa onde você trabalha.

� Em qual nível de maturidade você considera que esta organização está?

� Por que você escolheu este nível de maturidade� Transcreva a definição deste nível de maturidade

Atividade

�� Modelo que estabelece as responsabilidades e papéis para cada um

dos 34 processos do COBIT

� RACI é o acrônimo, em inglês, para “Accountable, Responsible, Consulted and Informed”, ou seja:� [ R ] define quem executa o processo� [ A ] define quem é responsável pelo resultado� [ C ] define quem deve ser consultado� [ I ] define quem deve ser informado

Modelo RACI

�

Matriz RACI

�� EXEMPLO DE UMA MATRIZ DE

RESPONSABILIDADES

Matriz RACI

�

COBIT x Outros Padrões

�� Pesquise sobre PMBOK e responda � http://www.portal-

administracao.com/2014/01/entendendo-o-guia-pmbok.html

� O que é PMBOK?� É direcionado a qual tipo de profissionais?� Em qual processo do COBIT o PMBOK pode se

encaixar?� Quais são os conceitos principais do guia PMBOK?

Atividade

�

Processos de TI

Planejar e Organizar

[PO]


[AI]

Entregar e Suportar

[DS]


�� Provê direção para entrega de soluções gerando suporte para o domínio de aquisição

e implementação(AI) e entrega e suporte. Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação de maneira que a TI possa contribuir para o atingimento dos objetivos de negócios.

� Este domínio é composto de 10 processos que são eles:

� PO1 – Definir um plano de acesso estratégico de TI;� O objetivo deste processo é sustentar ou expandir a estratégia do negócio e requisitos de

governança com transparência sobre os benefícios, custos e riscos.

Este processo é medido por:

� % de objetivos de TI do plano estratégico de TI que suportam os planos de estratégia do negócio� % de projetos de TI no portfólio de TI que podem ser diretamente mapeados aos planos táticos de

TI� Demora entre as atualização do plano estratégico de TI e os planos táticos de TI

Planejar e Organizar (PO)Planejar e Organizar

[PO]

�� PO2 – Definir a arquitetura da informação;

� O objetivo deste processo é obter agilidade para responder aos requisitos, prover informações consistentes e confiáveis e integrar continuamente as aplicações ao processos do negócio.


� % de elementos de dados redundantes/duplicados� % de aplicações em não-conformidade com a metodologia da arquitetura de informações

utilizadas na organização� Frequência das atividades de validação dos dados

� PO3 – Determinar as diretrizes de tecnologia;� O objetivo deste processo é obter um sistema de aplicações estável, integrado,

eficiente (custos), recursos e capacidades que atendam aos requisitos atuais e futuros do negócio.Este processo é medido por:� Número e tipo de desvios do plano da infraestrutura tecnológica� Frequência da revisão/atualização do plano de infraestrutura tecnológica� Número de plataformas tecnológicas por função em toda a organização


[PO]

�� PO4 – Definir os processos, a organização e os relacionamentos de TI;

� O objetivo do processo PO4 é obter agilidade para responder a estratégia do negócio atendendo, ao mesmo tempo, os requisitos de governança e provendo pontos de contato definidos e competentes.Este processo é medido por:� % de papéis com posição documentada e descrição do nível de autoridade� Número de processos/unidades de negócio não suportados pela organização da TI que

deveriam ser suportados, de acordo com a estratégia� Número de atividades principais da TI fora da organização da TI que não estão aprovadas ou

não estão sujeitas aos padrões organizacionais de TI

� PO5 – Gerencia o investimento de TI;� O objetivo deste processo é demonstrar continuamente as melhorias de eficiência dos

custos de TI e sua contribuição para a lucratividade do negócio com serviços integrados e padronizados que satisfaçam as expectativas dos usuários finais.Este processo é medido por:� % de redução do custo unitário dos serviços de TI entregues� % do valor de desvio do orçamento comparado com o orçamento total� % de gastos de TI expressos em linguagem de negócio (isto é, aumento de vendas ou de

serviços em função de aumento de conectividade).


[PO]

�� PO6 – Comunicar metas e diretrizes gerenciais;

� O objetivo deste processo é fornecer informação precisa e no tempo adequado sobre os serviços de TI atuais e futuros e seus riscos associados e responsabilidades.

Este processo é medido por:� Número de interrupções no negócio causadas por interrupções dos serviços de TI.� % de partes interessadas que entendem o framework corporativo de controle de TI.� % de partes interessadas que não estão em conformidade com as políticas estabelecidas.

� PO7 – Gerenciar os recursos humanos de TI;� O objetivo deste processo é adquirir pessoas competentes e motivas para criar e

entregar serviços de TI.

Este processo é medido por:� Nível da satisfação das partes interessadas com o expertise e competências do pessoal de TI� Rotatividade do pessoal de TI� % do pessoal certificado de acordo com as necessidades do trabalho


[PO]

�

� PO8 – Gerencia a qualidade ;� O objetivo deste processo é assegurar uma melhoria contínua e mensurável dos

serviços de TI entregues.Este processo é medido por:� % de partes interessadas satisfeitas com a qualidade da TI (por importância)� % de processos de TI que são formalmente revisados por controle de qualidade

em uma base periódica que atenda as metas e objetivos de qualidade� % de processos recebendo revisão de controle de qualidade

� PO9 – Avaliar e gerencia os riscos de TI;� O objetivo deste processo é analisar e comunicar os riscos de TI e seu potencial

impacto nos processos e objetivos do negócio.Este processo é medido por:� % de objetivos críticos de TI cobertos por uma avaliação de riscos.� % de riscos críticos de TI identificados com planos de ação desenvolvidos.� % de planos de ação para gerenciamento de riscos aprovados para implementação.


[PO]

�

� PO10 – Gerenciar projetos.� O objetivo deste processo é assegurar que os resultados dos projetos sejam entregues

dentro do prazo acordado, no orçamento definido e com a qualidade necessária.

Este processo é medido por:� % de objetivos críticos de TI cobertos por uma avaliação de riscos.� % de riscos críticos de TI identificados com planos de ação desenvolvidos.� % de planos de ação para gerenciamento de riscos aprovados para implementação.


[PO]

�� Provê as soluções e as transfere para tornarem-se serviços. Para que sejam

executadas as estratégias de TI as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo do negócios. Este domínio trata de questões de gerenciamento de novos projetos, onde irá verificar se a nova solução atenderá as necessidades do negócio, se será entregue no tempo e orçamento previstos dentre outras situações.

� Este domínio é composto de 7 processos são eles:� AI1 – Identificar soluções automatizadas;

� O objetivo deste processo é traduzir as funcionalidades do negócio e requisitos de controles em um design efetivo e eficiente de soluções automatizadas.


� Número de projetos cujos objetivos estabelecidos não foram atingidos em função de estudos de viabilidade incorretos.

� % de estudos de viabilidade assinados pelos proprietários dos processosde negócio.

� % de usuários satisfeitos com as funcionalidades entregues.

Adquirir e Implementar (AI)


[AI]

�� AI2 – Adquirir e manter software aplicativos;

� O objetivo deste processo é alinhar as aplicações disponíveis com os requisitos de negócio, e fazer isso no tempo adequado e com um custo razoável.

Este processo é medido por:� Número de problemas em ambiente de produção, por aplicação, causando downtime

visível.� % de usuários satisfeitos com as funcionalidades entregues.

� AI3 – Adquirir e manter infraestrutura de tecnologia;� O objetivo deste processo é adquirir e manter uma infraestrutura de TI integrada

e padronizada.Este processo é medido por:

� % de plataformas que não estão alinhadas com a arquitetura de TI e padrões

tecnológicos.

� Número de processos críticos de negócio suportados por infraestrutura obsoleta

(ou que vai ficar obsoleta em curto prazo).

� Número de componentes da infraestrutura que não tem mas suporte (ou que

não terão mais em curto prazo).



[AI]

�� AI4 – Habilitar operação e uso;

� O processo visa assegurar a satisfação dos usuários finais em relação a oferta de serviços e respectivos níveis e integrando continuamente as aplicações e soluções tecnológicas aos processos de negócio.Este processo é medido por:� Número de aplicações onde os procedimentos de TI são continuamente integrados aos processos de

negócio.� % de proprietários de negócio satisfeitos com o treinamento de aplicativos e materiais de suporte.� Número de aplicativos com usuários adequados e treinamento de suporte operacional.

� AI5 – Adquirir recursos de TI;� Assegura que a organização tenha todos os recursos de TI requisitados no tempo

apropriado e de uma maneira efetiva sob o ponto de vista de custos.

� Este processo é medido por:� Número de disputas relacionadas a contratos de compra.� % de redução dos custos de aquisição.� % de partes interessadas importantes que estão satisfeitos com os fornecedores.



[AI]

�� AI6 – Gerencia mudanças;

� Todas as mudanças, incluindo manutenção de emergência e aplicação de patches, relacionadas a infraestrutura e aplicações do ambiente de produção são formalmente gerenciadas de forma controlada. O objetivo deste processo é responder aos requisitos de negócio em alinhamento com a estratégia do negócio, reduzindo os defeitos na entrega de serviços e retrabalho


� Número de interrupções ou erros de dados causados por especificação imprecisa ou avaliação de impacto incompleta

� Volume de retrabalho em aplicações ou infraestrutura causados por especificações de mudanças inadequada

� % de mudanças que seguiram um processo formal de controle



[AI]

�� AI7 – Instalar e homologar soluções e mudanças.

� O foco principal deste objetivo de controle é assegurar que a implementação de novos sistemas ou de mudanças ocorra sem causar grandes impactos ou problemas após a instalação.


� Volume de downtime de aplicações ou número de correções nos dados causadas em função de testes inadequados.

� % de sistemas que atendem aos benefícios esperados quando medidos por meio do processo de revisão pós-implementação.

� % de projetos com plano de testes documentado e aprovado.



[AI]

�� Recebe as soluções e as torna passiveis de uso pelos usuários finais. O

domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e gerenciamentos de dados e recursos operacionais.

� Este domínio é composto de 13 processos que são eles:� DS1 – Definir e gerenciar níveis de serviços;

� Este processo habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados.

� O objetivo é assegurar o alinhamento dos principais serviços de TI com a estratégia do negócio.


� % de partes interessadas do negócio que estão satisfeitos com o alcance dos níveis de serviço acordados.

� Número de serviços entregues que não constam no catálogo de serviços.

� Número de reuniões por ano para revisão formal dos níveis de serviço realizadas com os clientes do negócio

Entregar e Dar Suporte (DS)Entregar e Suportar

[DS]

�� DS2 – Gerenciar serviços terceirizados;

� O gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio associados com fornecedores sem a performance necessária ou adequada.

� O objetivo deste processo é assegurar que terceiros possam prover serviços satisfatórios mantendo a transparência sobre os benefícios, custos e riscos


� Número de reclamações de usuários sobre os serviços contratados.

� % de fornecedores estratégicos alcançando requisitos e níveis de serviço claramente definidos.

� % de fornecedores estratégicos sujeitos a monitoramento.

� DS3 – Gerenciar o desempenho e a capacidade;� Este processo assegura que recursos de informação que suportam requisitos de negócio

estejam disponíveis continuamente.� O objetivo deste processo é otimizar a performance da infraestrutura de TI, recursos e

capacidades em resposta as necessidades de negócio.Este processo é medido por:

� Número de horas perdidas por usuário/por mês em função de um planejamento de capacidade insuficiente.

� % de picos onde a utilização prevista é excedida.

� % de tempo de resposta não alcançado nos acordos de nível de serviço.


[DS]

�� DS4 – Assegurar a continuidade dos serviços;

� Um processo efetivo de serviços contínuos minimiza a probabilidade de impacto para os processos e funções do negócio causados por uma interrupção significativa nos serviços de TI (desastre).

� O objetivo deste processo é assegurar o mínimo impacto para o negócio em função de eventos que venham interromper os serviços de TI por focar na construção de resiliência das soluções automatizadas e no desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI.Este processo é medido por:

� Número de horas perdidas por usuário/por mês em função de falhas não planejadas

� Número de processos críticos para o negócio dependentes de recursos de TI que não estão cobertos por um plano de continuidade

� DS5 – Garantir a segurança dos sistemas;� Um gerenciamento efetivo de segurança protege todos os ativos da TI para minimizar o

impacto sobre o negócio sobre vulnerabilidades e incidentes de segurança.� O objetivo deste processo é manter a integridade da informação e sua infraestrutura de

processamento, e minimizar o impacto de vulnerabilidades e incidentes de segurança.


� Número de incidentes que afetaram a reputação da organização no mercado.

� Número de sistemas onde os requisitos de segurança não são alcançados.

� Número de violações em segregação de papéis.


[DS]

�� DS6 – Identificar e alocar custos;

� Um sistema justo de alocação habilita o negócio a tomar decisões com consciência sobre o custo do uso de serviços de TI.

� O objetivo deste processo é assegurar transparência e entendimento dos custos de TI e melhorar a eficiência por meio de uso consciente do serviços de TI.


� % de contas referentes ao serviços de TI aceitas/pagas pelos gerentes de negócio.

� % de variação entre orçamento, previsão e custo atual.

� % dos custos gerais de TI que são alocados de acordo com os modelos de custos acordados.

� DS7 – Educar e treinar os usuários;� Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a redução de

erros de usuários, aumenta a produtividade e aumenta a conformidade com controles chaves, tais como as medidas de segurança para usuários.

� O objetivo deste processo é usar as aplicações e soluções tecnológicas de maneira eficiente e eficaz, garantindo a aderência dos usuários com políticas e procedimentos.


� Número de chamados na central de serviços em função de falta de treinamento dos usuários

� % de satisfação das partes interessadas com o treinamento oferecido

� Tempo decorrido entre a identificação de uma necessidade de treinamento e a entrega do mesmo


[DS]

�� DS8 – Gerenciar a central de serviço e os incidentes;

� O benefício para o negócio inclui um aumento de produtividade por meio da rápida resolução das perguntas dos usuários.

� O objetivo deste processo é habilitar o uso efetivo dos sistemas de TI assegurando a resolução e análise das solicitações, questões e incidentes reportados por usuários finais.


� Volume de usuários satisfeitos com o suporte de primeiro nível.

� % de incidentes resolvidos dentro do tempo acordado ou em um período aceitável.

� Taxa de abandono de ligações.

� DS9 – Gerenciar a configuração;� O gerenciamento efetivo da configuração facilita a maior disponibilidade do sistema, minimiza

problemas no ambiente de produção e ajuda a resolver estes problemas com maior rapidez.� O objetivo deste processo é otimizar a infraestrutura de TI, recursos e capacidades, e a

responsabilidade sobre os ativos de TI.


� Número de não conformidades de negócio causadas por configuração inapropriada dos ativos.

� Número de divergências identificadas entre o repositório de configuração e a configuração atual dos ativos.

� % de licenças adquiridas e não contabilizadas no repositório.


[DS]

�� DS10 – Gerenciar problemas;

� Um processo do gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação do cliente.

� O objetivo deste processo é assegurar a satisfação do usuário final com a oferta de serviços e níveis de serviço, e reduzindo a necessidade de busca por soluções, de entrega de serviços com defeito e retrabalho.


� Número de problemas recorrentes com impacto para o negócio.

� % de problemas resolvidos dentro do tempo requerido.

� Frequência de relatórios ou atualizações sobre o tratamento do problemas, baseado na severidade.

� DS11 – Gerenciar os dados;� Um gerenciamento efetivo de dados ajuda a assegurar a qualidade, oportunidade e

disponibilidade de dados para o negócio.� O objetivo deste processo é otimizar o uso de informação e assegurar que a informação esteja

disponível quando requerido.


� % de usuários satisfeitos com a disponibilidade dos dados.

� % de restauração de dados realizadas com sucesso.

� Número de incidentes onde dados importantes foram recuperados após a mídia ter sido descartada.


[DS]

�� DS12 – Gerenciar o ambiente físico;

� Um gerenciamento efetivo do ambiente físico reduz interrupções no negócio em função de danos causados nos equipamentos de computação e no pessoal.

� O objetivo deste processo é proteger ativos e dados do negócio e minimizar o risco de interrupção do negócio


� Volume de downtime gerado por incidentes de falhas físicas no ambiente.

� Número de incidentes causados por brechas ou falhas de segurança física.

� Frequência de avaliação de riscos físicos e revisões.

� DS13 – Gerenciar as operações.� Um gerenciamento efetivo da operação ajuda a manter a integridade dos dados e reduz

atrasos no negócio e custos da operação da TI.� O objetivo deste processo é a manutenção da Integridade dos dados e assegurar que a

infraestrutura de TI possa resistir e se recuperar de erros e falhas.Este processo é medido por:

� Número de níveis de serviço impactados por incidentes operacionais.

� Horas de downtime não planejada causados por incidentes operacionais.

� % de ativos de hardware incluídos em agendas de manutenção preventiva.


[DS]

�� Lida com a estimativa estratégica das necessidades da companhia e avalia se

o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos.

� Este domínio é composto de 4 processos que são eles:� ME1 – Monitorar e Avaliar o Desempenho

� O monitoramento é necessário para ter certeza que as coisas corretas estão sendo feitas e estão alinhadas com o direcionamento e políticas estabelecidas.

� O objetivo deste processo é obter transparência e entendimento sobre os custos de TI, benefícios, estratégias, políticas e níveis de serviço de acordo com os requisitos de governança.


� Satisfação da alta administração e da entidade de governança em relação aos relatórios

de performance.

� Número de ações de melhoria iniciadas em função das atividades de monitoramento.

� % de processos críticos monitorados.

Monitorar e Avaliar (ME)


�� ME2 – Monitorar e Avaliar os Controles Internos

� O objetivo deste processo é proteger o cumprimento dos objetivos de TI e estar aderente a legislação, regulamentação ou contratos relacionados com a TI.


� Número de brechas graves nos controles internos.

� Número de iniciativas para melhoria dos controles.

� Número e cobertura da auto avaliação de controles

� ME3 – Assegurar a Conformidade com Requisitos Externos� O objetivo deste processo é assegurar a conformidade com leis, regulamentação e requisitos

contratuais.


� Custo da não conformidade, incluindo acordos e multas.

� Tempo médio decorrido entre a identificação e resolução de problemas externos de conformidade.

� Frequência de revisões de conformidade.



�� ME4 – Prover a Governança de TI

� O objetivo deste processo é integrar a governança de TI com os objetivos da governança corporativa e cumprir com as leis, regulamentação e contratos vigentes.


� Frequência de relatórios sobre TI emitidos da alta-administração para partes interessadas (incluindo maturidade).

� Frequência de relatórios sobre TI emitidos da TI para a alta-administração (incluindo maturidade)

� Frequência de revisões independentes (auditorias) sobre a conformidade de TI



�� Uma característica forte do COBIT é o controle do que acontece

dentro da TI. O ITGI prega que o controle é a forma que a organização tem de garantir que os objetivos definidos estão sendo alcançados com o mínimo de desvios. Os controles complementam a definição por processos dando instrumentos para a gerência governar o funcionamento do modelo definido e atuar sobre os riscos e problemas. Sua presença na organização funciona como indicativo de bom funcionamento. Para satisfazer objetivos de negócio a informação precisa estar em conformidade com critér ios específicos, Objetivos de Controle.

� Os controles do COBIT estão distribuídos ao longo dos processos, vamos ter controles específicos de cada processo e, também, controles genéricos aplicáveis à todos os 34.

Controles

�� Os objetivos de controle genéricos devem ser considerados junto com

os objetivos de controle do processo para que seja possível ter uma visão completa dos requerimentos de controle.

� Objetivos de controle genéricos (extraído do COBIT 4.1, traduzido e adaptado)

� PC1 – Objetivos e metas do processo

Defina e comunique objetivos e metas do processo de maneira específica, mensurável, alcançável, realista e dentro de um período claramente definido. Assegure que eles estejam vinculados aos objetivos de negócio e que sejam suportados por métricas adequadas.

Controles

�PC2 – Proprietário do processoAtribua um proprietário para cada processo de TI, e defina claramente os papéis e responsabilidades do proprietário do processo. Inclua, por exemplo, a responsabilidade pelo desenho do processo, a interação com outros processos, a responsabilidade sobre os resultados finais, a medição da performance do processo e a identificação de oportunidades de melhoria.

PC3 – Repetição do processoProjete e implemente cada processo chave de TI de maneira que ele seja repetível e produza os resultados esperados de maneira consistente. Forneça uma sequência lógica de atividades, que seja flexível e escalonável para atingir os resultados desejados e que seja ágil o suficiente para tratar exceções e emergenciais. Use processos consistentes, onde possível, e trate exceções somente quando for inevitável.

PC4 – Papéis e responsabilidadesDefina as atividades principais e entregas finais do processos. Atribua e comunique papéis e responsabilidades de maneira clara para uma execução efetiva e eficiente das principais atividades e sua documentação, assim como a responsabilidade pelo processo e pelos entregáveis.

Controles

�PC5 – Política, planos e procedimentosDefina e comunique como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento.

Atribua responsabilidades para cada uma destas atividades e, dentro do tempo apropriado, revise buscando identificar se estas estão sendo corretamente executadas.

Assegure que as políticas, planos e procedimentos estejam acessíveis, corretos, compreensíveis e atualizados.

Controles

�� Specific, Measurable, Actionable, Realistc, Results -

oriented and Timely

Trata-se de um acrônimo com algumas variações (SMART ou SMARRT) já bastante conhecido no mercado para a definição de objetivos. No entanto, é importante conhecer não só a tradução de cada letra, mas sim o raciocínio mais amplo sobre o significado real deste conceito.

O conceito pode ser aplicado na definição de objetivos de negócio, profissional ou pessoal, e as melhores práticas estabelecem que objetivos devem ser SMART, conforme veremos a seguir.

Objetivos SMARRT

�� [S]pecif: Específico

� Não deixe espaço a interpretações duvidosas ao definir um objetivo. Quanto mais detalho for o objetivo, melhor será sua compreensão e maiores serão as chances dele ser alcançado.

� [M]easurable: Mensurável� Objetivos devem ser transformados em números, caso contrário estes poderão ser manipulados ou

interpretados do modo mais conveniente para os interessados, de modo que fica dúvidas ou discussão em aberto sobre como definir se o objetivo foi alcançado ou não.

� [A]ttainable ou Achievable: Alcançável� É importante que objetivos tenham metas desafiadoras e que demandem algum tipo de esforço para

serem alcançados, mas é fundamental que os objetivos possam ser alcançados.

� [R]ealistic: Realista� Frequentemente objetivos traçados são possíveis de serem alcançados, no entanto, nem

sempre refletem a realidade do negócio.

� [T]imely ou Time-bounded : Em tempo� De certa forma esta característica está vinculada a definição dos objetivos de maneira específica

(S). O objetivo deve ter seu prazo para ser alcançado claramente estabelecido, e este período não pode ser tão curto a ponto de tornar o objetivo impossível de ser alcançado, nem tão longo a ponto de que ocorra a perda de foco com o passar do tempo.Alguns autores também apresentam o T como Tangível (Tanglible).

SMART

�� Exemplo: na Fórmula 1, após o término de cada

corrida normalmente se divulga a velocidade média e o tempo total de prova, de modo a tornar possível a comparação com corridas anteriores, no mesmo circuito. São os indicadores que representam o tempo que o piloto demora para percorrer cada parcial da pista, quanto tem de combustível, qual a temperatura e pressão de óleo do motor, velocidade máxima ao final da reta etc.

Conceitos básicos do COBIT

fundamentos de cobit - mdkinformatica.com.br · cobit – control objectives for information and...

Documents