Anlise e Desenvolvimento de Sistemas

4 semestre
Aula n 09
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas
Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Contedo Previsto
Governana de TI A segurana no contexto de TI.
Anlise do COBIT Control Objectives for Information and Related
Technology
Governana de TI

PRINCIPAIS DESAFIOS DA TI
Promover o alinhamento entre TI e negcio
Reduzir os custos da TI
Gerenciar a complexidade da TI
Proporcionar segurana da informao
Aumentar a qualidade dos servios de TI
Gerenciar fornecedores externos
Estar em conformidade com leis e regulamentos
O que Governana de TI

Estruturas e processos que visam garantir que a TI suporte e maximize os
objetivos e estratgias de negcio, adicionando valor aos servios entregues,
balanceando os riscos e obtendo ROI
O conselho de administrao e os executivos so responsveis pela
Governana de TI.
Stakeholders na Governana de TI

So pessoas ou elementos relacionados com as operaes de TI, como:
Conforme o ITGI:

reas de Foco da Governana de TI

Gerenciamento de Riscos

Os riscos so gerenciados de quatro formas:
Mitigando riscos
Transferindo riscos
Aceitando riscos
Evitando riscos.
Framework de Controle

CARACTERSTICAS NECESSRIAS
Um framework (estrutura) de controle de TI deve conter as seguintes
caractersticas:
Foco no negcio
Orientao a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
Benefcios da Governana de TI

Confiana da alta administrao
TI mais comprometida com o negcio
Maior ROI (Retorno sobre o Investimento)
Servios mais confiveis
Mais transparncia
COBIT

CONCEITOS BSICOS
COBIT = Control Objectives for Information and related Technology
COBIT uma marca registrada da Information Systems Audit and
Control Association (ISACA) e do IT Governance Institute (ITGI)
um framework (estrutura) e uma base de conhecimento para os
processos de TI e seu gerenciamento
No um padro definitivo deve ser adaptado para cada
empresa
um framework (estrutura) de controle que tem o propsito de
assegurar que os recursos de TI estaro alinhados com os
objetivos da organizao
COBIT

CONCEITOS BSICOS
baseado na premissa de que a TI precisa entregar a informao
para a empresa atingir seus objetivos
O princpio do framework COBIT o de prover um link entre as
expectativas e as responsabilidades de gerenciamento de TI, com
o objetivo de que a Governana de TI agregue valor ao negcio
enquanto gerencia riscos
Faz com que a TI seja mais responsiva ao negcio
Misso do COBIT

Pesquisar, desenvolver, publicar e promover um conjunto de
objetivos de controle para tecnologia que seja embasado,
atual, internacional e aceito em geral para uso no dia-a-dia de
gerentes de negcio e auditores.
COBIT

O COBIT ATENDE AOS 5 REQUISITOS DE UM
FRAMEWORK DE CONTROLE
Define uma linguagem comum para TI e negcio
Ajuda a atender aos requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos de negcio
Componentes do COBIT

PROCESSOS DE TI
So 4 Domnios e 34 Processos de TI:
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitorao e Avaliao
Requisitos de Negcio

TI precisa estar conformidade com requisitos de negcio.
So eles:
Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiducirios (Relatrio do COSO)
Eficcia e eficincia das operaes
Confiabilidade das informaes
Conformidade com leis e regulamentos
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Critrios de Informao

Requisitos de Negcio x Critrios de Informao:
Eficcia (ou efetividade): utilidade da informao.
Eficincia: otimizao de recursos.
Confiabilidade: fornecimento de informao correta.
Conformidade: conformidades com as leis e regulamentos.
Confidencialidade: proteo e segurana da informao.
Integridade: validez da informao.
Disponibilidade: informao disponvel quando requerida.
Critrios de Informao

Recursos de TI

Aplicativos: sistemas automatizados e procedimentos
manuais para processar informaes.
Informao: dados de todos os formulrios de entrada,
processados e exibidos pelos sistemas de informao,
podendo ser qualquer formulrio usado pelo negcio.
Infraestrutura: inclui hardware, sistemas operacionais,
sistemas de banco de dados, rede, multimdia, etc. tudo
que seja necessrio para o funcionamento das aplicaes.
Pessoas: pessoal necessrio para planejar, organizar, adquirir,
implementar, entregar, dar suporte, monitorar e avaliar os
sistemas de informao e servios. Elas podem ser internas
ou terceirizadas.
COBIT x Outros Padres

compatvel com outros padres este um benefcio da
sua adoo
Est em um nvel mais genrico, portanto pode ser utilizado
para avaliar outros processos implementados por outros
frameworks como ITIL, ISO20000, ISO 27001 e 27002
Pode ser aplicado depois que outros padres de nvel mais
operacional j estejam aplicados, j que vai servir para auditar
estes processos
O COSO um framework para controle interno e no
somente de TI: pode ser utilizado em qualquer rea de
negcio. J o COBIT especfico para TI mas est alinhado
com o COSO.
COBIT x Outros Padres

Cobre todos os processos da ITIL, entretanto a ITIL mais
detalhada
um framework que diz o que tem ser feito e no se preocupa
em como fazer
Atende aos requisitos regulatrios aos quais a empresa est
submetida, por isto pode ser utilizado para cumprir a
conformidade com a Sarbanes-Oxley, por exemplo.


Objetivos de Controle

Como framework de controle, o COBIT tem 2 focos:

Fornecer informaes necessrias para suportar os objetivos e
requisitos de negcio

Tratar informaes como sendo o resultado combinado de
aplicaes de TI e recursos que precisam ser gerenciados por
processos de TI


Modelo de Processo do COBIT

Processos mais Importantes

Domnio Processo Descrio




PO

PO9 Assess and Manage IT Risks

Cria e mantm um framework de gerenciamento de riscos
de TI. Todos os assuntos relacionados a riscos esto
envolvidos neste processo.


PO10 Manage Projects


Envolve-se com todos os assuntos relacionados ao
gerenciamento de projetos de TI.





AI


AI4 Enable Operation and Use

Preocupa-se em disponibilizar conhecimento sobre os
novos sistemas. Este processo requer a produo de
documentao e manuais para usurios e TI, e fornece
treinamento aos usurios.


AI6 Manage Changes


Inclui todas as mudanas, inclusive as mudanas
emergenciais relacionadas com a infraestrutura.





DS

DS1 Define and Manage Service
Levels

Define os nveis de servios requeridos junto com os
clientes, e monitora e emite relatrios para os stakeholders.



DS2 Manage Third-party Services


Assegura os servios fornecidos por terceiros para que
estes satisfaam as necessidades do negcio. Envolve-se
com regras, responsabilidades e acordos com terceiros.


Diretrizes de Gerenciamento

As diretrizes de gerenciamento fornecem ferramentas
para medir e comparar a capacidade para cada processo
de TI.
Metas e mtricas
Medidas de resultado (outcome measures)
Indicadores de desempenho (performance indicators)
Recursos
Entradas e sadas para cada processo
Grfico RACI (matriz de responsabilidades)


Diretrizes de Gerenciamento

MTRICAS
As diretrizes de gerenciamento especificam medidas de resultado
em forma de OMs (Outcome Measures) e medidas de performance
em forma de PIs (Performance Indicators).




Indicadores de
performance
(performance
indicators)

Medem como voc est fazendo. Tambm conhecidos como
indicadores de tendncia.

Medidas de
resultado
(outcome measures)
Medem o que voc tem feito. Tambm conhecidas como
indicadores de lag pelo fato de medirem somente aps o fato
ocorrido.

Diretrizes de Gerenciamento

As diretrizes de gerenciamento do COBIT sugerem utilizar
balanced business scorecards, os quais fornecem mtricas para
alcanar as metas de TI. Um scorecard tem 4 dimenses que
mapeiam metas e indicadores de performance:



BSC Traduzindo a Misso em
resultados
Perspectivas do BSC

Mapa Estratgico Corporativo

Mapa Estratgico Corporativo

Exemplo de uma Companhia Area
BSC Corporativo x BCS da TI

Balanced Scoredcard de TI

Mapa Estratgico de TI

Orientao ao Negcio

Metas do Negcio para TI

Metas de TI x Processos do COBIT

Metas de TI x Processos do COBIT

Modelo de Processo do COBIT

Mtricas de TI

Grfico / Tabela RACI

Serve para formalizar os papis e responsabilidades durante um
projeto, programa ou mesmo qualquer mudana organizacional.
Este modelo apresentado como melhor prtica (best practice) no
PMBOK e pelo ITIL v3. particularmente til para clarificar
os papis e responsabilidades em projetos multifuncionais (cross
functional) ou inter-departamentais e programas.

RACI um acrnimo em ingls para: Responsible, Accountable,
Consulted, e Informed. A Matriz RACI permite identificar quem
executor, responsvel, consultado e informado para cada tarefa
que precisa ser realizada.


Grfico / Tabela RACI

Responsible (Executor): Esta a pessoa ou funo responsvel
por executar a tarefa, isto , a prpria pessoa fazer o trabalho para
completar a tarefa.
Accountable (Responsvel): a pessoa que , em ltima
instncia, a responsvel pela tarefa que est sendo executada. o
responsvel pela entrega do trabalho, mesmo que outras pessoas
estejam executando.
Consulted (Consultado): So as pessoas consultadas cuja entrada
usada para completar a tarefa, assim, a comunicao com este
grupo ser de 2 vias.
Informed (Informado): So as pessoas que sero informadas
sobre o status da tarefa. A comunicao de mo nica (ida).


Grfico / Tabela RACI

Grfico / Tabela RACI

Modelos de Maturidade

Um modelo de maturidade uma medida que possibilita uma
organizao a classificar sua maturidade para determinado
processo. A classificao vai de inexistente (0) a otimizado (5).
Os modelos de maturidades fazem parte das diretrizes de
gerenciamento e podem ser utilizados para fazer comparaes de
maturidade com outras empresas.


Modelos de Maturidade

Modelo Genrico de Maturidade

0 Inexistente No existem controles.
1 Inicial
J existem processos, mas no h documentos nem padres.
2 Repetvel
Processos padronizados, mas falta documentao e comunicao.
3 Definido
Os processos so formalizados. Existe documentao, treinamento e comunicao
definida.
4 Gerenciado
Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de
automao.
5 Otimizado
Os processos j esto refinados a partir das melhores prticas identificadas. Existe
institucionalizao das melhores prticas.

Relacionamento entre os recursos do
COBIT
Segurana e Auditoria de Sistemas

Glossrio:
O COSO

(Committee of Sponsoring Organizations of the Treadway Commission)

uma organizao sem fins lucrativos, dedicada a melhoria dos relatrios financeiros,
sobretudo pela aplicao da tica e efetividade na aplicao e cumprimento dos controles
internos, buscando prevenir e evitar fraudes nas demonstraes contbeis da empresa. Ele
patrocinado pela cinco das principais associaes de classe de profissionais ligados rea
financeira nos EUA. Em razo da padronizao internacional das tcnicas de auditoria, as
recomendaes da COSO, so adotas como modelo e referencia no Brasil, especialmente as
relativas ao controles internos. (www.coso.org)


REFERENCIAS

LYRA, M. R. Segurana e auditoria em sistema de
infomao. 1 Edio. Rio de Janeiro: Cincia Moderna, 2008
ITGI, IT Governace Institute, COBIT 4.1 - Modelo, Objetivos
de Controle, Diretrizes de Gerenciamento e Modelos de
Maturidade. Rolling Meadows, IL USA, 2007

Segurana e Auditoria de Sistemas

DVIDAS