Академический Документы
Профессиональный Документы
Культура Документы
4 semestre
Aula n 09
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas
Segurana e Auditoria de Sistemas
Segurana e Auditoria de Sistemas
Contedo Previsto
Governana de TI A segurana no contexto de TI.
Anlise do COBIT Control Objectives for Information and Related
Technology
Governana de TI
PRINCIPAIS DESAFIOS DA TI
Promover o alinhamento entre TI e negcio
Reduzir os custos da TI
Gerenciar a complexidade da TI
Proporcionar segurana da informao
Aumentar a qualidade dos servios de TI
Gerenciar fornecedores externos
Estar em conformidade com leis e regulamentos
O que Governana de TI
Estruturas e processos que visam garantir que a TI suporte e maximize os
objetivos e estratgias de negcio, adicionando valor aos servios entregues,
balanceando os riscos e obtendo ROI
O conselho de administrao e os executivos so responsveis pela
Governana de TI.
Stakeholders na Governana de TI
So pessoas ou elementos relacionados com as operaes de TI, como:
Conforme o ITGI:
reas de Foco da Governana de TI
Gerenciamento de Riscos
Os riscos so gerenciados de quatro formas:
Mitigando riscos
Transferindo riscos
Aceitando riscos
Evitando riscos.
Framework de Controle
CARACTERSTICAS NECESSRIAS
Um framework (estrutura) de controle de TI deve conter as seguintes
caractersticas:
Foco no negcio
Orientao a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
Benefcios da Governana de TI
Confiana da alta administrao
TI mais comprometida com o negcio
Maior ROI (Retorno sobre o Investimento)
Servios mais confiveis
Mais transparncia
COBIT
CONCEITOS BSICOS
COBIT = Control Objectives for Information and related Technology
COBIT uma marca registrada da Information Systems Audit and
Control Association (ISACA) e do IT Governance Institute (ITGI)
um framework (estrutura) e uma base de conhecimento para os
processos de TI e seu gerenciamento
No um padro definitivo deve ser adaptado para cada
empresa
um framework (estrutura) de controle que tem o propsito de
assegurar que os recursos de TI estaro alinhados com os
objetivos da organizao
COBIT
CONCEITOS BSICOS
baseado na premissa de que a TI precisa entregar a informao
para a empresa atingir seus objetivos
O princpio do framework COBIT o de prover um link entre as
expectativas e as responsabilidades de gerenciamento de TI, com
o objetivo de que a Governana de TI agregue valor ao negcio
enquanto gerencia riscos
Faz com que a TI seja mais responsiva ao negcio
Misso do COBIT
Pesquisar, desenvolver, publicar e promover um conjunto de
objetivos de controle para tecnologia que seja embasado,
atual, internacional e aceito em geral para uso no dia-a-dia de
gerentes de negcio e auditores.
COBIT
O COBIT ATENDE AOS 5 REQUISITOS DE UM
FRAMEWORK DE CONTROLE
Define uma linguagem comum para TI e negcio
Ajuda a atender aos requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos de negcio
Componentes do COBIT
PROCESSOS DE TI
So 4 Domnios e 34 Processos de TI:
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitorao e Avaliao
Requisitos de Negcio
TI precisa estar conformidade com requisitos de negcio.
So eles:
Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiducirios (Relatrio do COSO)
Eficcia e eficincia das operaes
Confiabilidade das informaes
Conformidade com leis e regulamentos
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Critrios de Informao
Requisitos de Negcio x Critrios de Informao:
Eficcia (ou efetividade): utilidade da informao.
Eficincia: otimizao de recursos.
Confiabilidade: fornecimento de informao correta.
Conformidade: conformidades com as leis e regulamentos.
Confidencialidade: proteo e segurana da informao.
Integridade: validez da informao.
Disponibilidade: informao disponvel quando requerida.
Critrios de Informao
Recursos de TI
Aplicativos: sistemas automatizados e procedimentos
manuais para processar informaes.
Informao: dados de todos os formulrios de entrada,
processados e exibidos pelos sistemas de informao,
podendo ser qualquer formulrio usado pelo negcio.
Infraestrutura: inclui hardware, sistemas operacionais,
sistemas de banco de dados, rede, multimdia, etc. tudo
que seja necessrio para o funcionamento das aplicaes.
Pessoas: pessoal necessrio para planejar, organizar, adquirir,
implementar, entregar, dar suporte, monitorar e avaliar os
sistemas de informao e servios. Elas podem ser internas
ou terceirizadas.
COBIT x Outros Padres
compatvel com outros padres este um benefcio da
sua adoo
Est em um nvel mais genrico, portanto pode ser utilizado
para avaliar outros processos implementados por outros
frameworks como ITIL, ISO20000, ISO 27001 e 27002
Pode ser aplicado depois que outros padres de nvel mais
operacional j estejam aplicados, j que vai servir para auditar
estes processos
O COSO um framework para controle interno e no
somente de TI: pode ser utilizado em qualquer rea de
negcio. J o COBIT especfico para TI mas est alinhado
com o COSO.
COBIT x Outros Padres
Cobre todos os processos da ITIL, entretanto a ITIL mais
detalhada
um framework que diz o que tem ser feito e no se preocupa
em como fazer
Atende aos requisitos regulatrios aos quais a empresa est
submetida, por isto pode ser utilizado para cumprir a
conformidade com a Sarbanes-Oxley, por exemplo.
Objetivos de Controle
Como framework de controle, o COBIT tem 2 focos:
Fornecer informaes necessrias para suportar os objetivos e
requisitos de negcio
Tratar informaes como sendo o resultado combinado de
aplicaes de TI e recursos que precisam ser gerenciados por
processos de TI
Modelo de Processo do COBIT
Processos mais Importantes
Domnio Processo Descrio
PO
PO9 Assess and Manage IT Risks
Cria e mantm um framework de gerenciamento de riscos
de TI. Todos os assuntos relacionados a riscos esto
envolvidos neste processo.
PO10 Manage Projects
Envolve-se com todos os assuntos relacionados ao
gerenciamento de projetos de TI.
AI
AI4 Enable Operation and Use
Preocupa-se em disponibilizar conhecimento sobre os
novos sistemas. Este processo requer a produo de
documentao e manuais para usurios e TI, e fornece
treinamento aos usurios.
AI6 Manage Changes
Inclui todas as mudanas, inclusive as mudanas
emergenciais relacionadas com a infraestrutura.
DS
DS1 Define and Manage Service
Levels
Define os nveis de servios requeridos junto com os
clientes, e monitora e emite relatrios para os stakeholders.
DS2 Manage Third-party Services
Assegura os servios fornecidos por terceiros para que
estes satisfaam as necessidades do negcio. Envolve-se
com regras, responsabilidades e acordos com terceiros.
Diretrizes de Gerenciamento
As diretrizes de gerenciamento fornecem ferramentas
para medir e comparar a capacidade para cada processo
de TI.
Metas e mtricas
Medidas de resultado (outcome measures)
Indicadores de desempenho (performance indicators)
Recursos
Entradas e sadas para cada processo
Grfico RACI (matriz de responsabilidades)
Diretrizes de Gerenciamento
MTRICAS
As diretrizes de gerenciamento especificam medidas de resultado
em forma de OMs (Outcome Measures) e medidas de performance
em forma de PIs (Performance Indicators).
Indicadores de
performance
(performance
indicators)
Medem como voc est fazendo. Tambm conhecidos como
indicadores de tendncia.
Medidas de
resultado
(outcome measures)
Medem o que voc tem feito. Tambm conhecidas como
indicadores de lag pelo fato de medirem somente aps o fato
ocorrido.
Diretrizes de Gerenciamento
As diretrizes de gerenciamento do COBIT sugerem utilizar
balanced business scorecards, os quais fornecem mtricas para
alcanar as metas de TI. Um scorecard tem 4 dimenses que
mapeiam metas e indicadores de performance:
BSC Traduzindo a Misso em
resultados
Perspectivas do BSC
Mapa Estratgico Corporativo
Mapa Estratgico Corporativo
Exemplo de uma Companhia Area
BSC Corporativo x BCS da TI
Balanced Scoredcard de TI
Mapa Estratgico de TI
Orientao ao Negcio
Metas do Negcio para TI
Metas de TI x Processos do COBIT
Metas de TI x Processos do COBIT
Modelo de Processo do COBIT
Mtricas de TI
Grfico / Tabela RACI
Serve para formalizar os papis e responsabilidades durante um
projeto, programa ou mesmo qualquer mudana organizacional.
Este modelo apresentado como melhor prtica (best practice) no
PMBOK e pelo ITIL v3. particularmente til para clarificar
os papis e responsabilidades em projetos multifuncionais (cross
functional) ou inter-departamentais e programas.
RACI um acrnimo em ingls para: Responsible, Accountable,
Consulted, e Informed. A Matriz RACI permite identificar quem
executor, responsvel, consultado e informado para cada tarefa
que precisa ser realizada.
Grfico / Tabela RACI
Responsible (Executor): Esta a pessoa ou funo responsvel
por executar a tarefa, isto , a prpria pessoa fazer o trabalho para
completar a tarefa.
Accountable (Responsvel): a pessoa que , em ltima
instncia, a responsvel pela tarefa que est sendo executada. o
responsvel pela entrega do trabalho, mesmo que outras pessoas
estejam executando.
Consulted (Consultado): So as pessoas consultadas cuja entrada
usada para completar a tarefa, assim, a comunicao com este
grupo ser de 2 vias.
Informed (Informado): So as pessoas que sero informadas
sobre o status da tarefa. A comunicao de mo nica (ida).
Grfico / Tabela RACI
Grfico / Tabela RACI
Modelos de Maturidade
Um modelo de maturidade uma medida que possibilita uma
organizao a classificar sua maturidade para determinado
processo. A classificao vai de inexistente (0) a otimizado (5).
Os modelos de maturidades fazem parte das diretrizes de
gerenciamento e podem ser utilizados para fazer comparaes de
maturidade com outras empresas.
Modelos de Maturidade
Modelo Genrico de Maturidade
0 Inexistente No existem controles.
1 Inicial
J existem processos, mas no h documentos nem padres.
2 Repetvel
Processos padronizados, mas falta documentao e comunicao.
3 Definido
Os processos so formalizados. Existe documentao, treinamento e comunicao
definida.
4 Gerenciado
Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de
automao.
5 Otimizado
Os processos j esto refinados a partir das melhores prticas identificadas. Existe
institucionalizao das melhores prticas.
Relacionamento entre os recursos do
COBIT
Segurana e Auditoria de Sistemas
Glossrio:
O COSO