CURSO DE BACHAREL EM CIÊNCIAS CONTÁBEIS

SISTEMAS DE INFORMAÇÃO APLICADOS À AUTOMAÇÃO

DE ESCRITÓRIO

FABRAI – FACULDADE BRASILEIRA DE CIÊNCIAS EXATAS, HUMANAS E SOCIAIS.

William Araújo do Carmoprofessoraraujo@hotmail.com

Professor

• Conceitos e Definições

• Abrangência

• Metodologias

• Normas e Certificação

• Auto-avaliação

• Referências e links

GOVERNANÇA DE TI

É uma estrutura de relacionamentos e processos para dirigir e controlar a organização no atendimento aos objetivos desta organização, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos

GOVERNANÇA DE TI – DEFINIÇÃO

• Estruturas e processos visando a garantir que a TI suporte e maximizeTI suporte e maximize os objetivos e estratégias da organização

• Permite controlar – medir, auditar – a execução controlar – medir, auditar – a execução e a qualidade dos serviçose a qualidade dos serviços

• Viabiliza o acompanhamento de contratosacompanhamento de contratos internos e externos

• Define condições para o exercício eficaz da exercício eficaz da gestãogestão com base em conceitos consolidados de qualidade

GOVERNANÇA DE TI – CONCEITOS

• Alinha a estratégia de TIAlinha a estratégia de TI com as do negócio• Mais capacidade e agilidade para novos modelos

de negócios ou ajustes nos modelos atuais• Explicita a relação entre aumento nos custos de entre aumento nos custos de

TI e aumento no valor da informaçãoTI e aumento no valor da informação• Mantém os riscos do negócio sob controle• Explicita a importância da TI na continuidade dos TI na continuidade dos

negóciosnegócios• Mede e melhora continuamente a performance de performance de

TITI

GOVERNANÇA DE TI – VANTAGENS

• ControlesConjunto de políticas, procedimentos, práticaspolíticas, procedimentos, práticas, e estruturas organizacionais desenhadas para prover garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos.

• Objetivos de Controle de TIDefinição de determinados objetivos ou resultadosobjetivos ou resultados a serem obtidos ao implementar procedimentos de controle em uma determinada atividade de TI

CONTROLES E DEFINIÇÕES

• ITIL

• CobiT

MODELOS / FRAMEWORKS DE GOVERNANÇA

• Procter&Gamble– Adotou ITILITIL em 1997– Economizou US$ 500 milhões em 4 anos:

• 6 a 8% em corte de custos operacionais• 15 a 20% em redução de staff de tecnologia

• Governo de Ontario, Canadá– Adotou ITILITIL para melhorar o serviço de 25.000

usuários em 1.000 locais– Criou um service desk que melhorou a resposta e

reduziu os custos com chamados em 40%

METODOLOGIAS - CASES

• Estado de Kansas, USA– Usa os padrões do CobiT na sua estratégia de

governo virtual para reduzir custos e manter o nível de serviço consistente

• Dell Computer– Usa o CobiT como parte da sua politica

corporativa Control Self-Assesment (CSA), um conjunto de controles e verificações que ajudam a companhia a manter sua alta qualidade

METODOLOGIAS - CASES

• IT Infrastructure Library• Criado em 1980 pelo CCTA e transferido ao

OGC (Office of Government Commerce) do governo britânico

• Revisado e reorganizado em 2002• Estrutura de padrões e melhores práticas para

gerenciar os serviços e infra-estrutura de TI • Altamente integrado à norma BS15000 (British

Standards Institution’s Standard for IT Service Management)

METODOLOGIAS - ITIL

COMPONENTES DO ITIL

• Focado em governança, controle e auditoria de tecnologia da informação

• Criado e mantido pelo ISACA – Information Systems Audit and Control Association

• O ISACA mantém o K-NET, um repositório de conhecimento para os associados e o IT Governance Institute para difusão dos conceitos

• Está na 3ª edição

COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

CobiT

• Publicações (impressas ou online)– Executive Summary *– Framework *– Control Objectives *– Audit Guidelines– Implementation Tool Set *– Management Guidelines

• Certificação– CISA – Certified Informations Systems Auditor– CISM – Certified Information Security Manager

COMPONENTES DO COBIT

Informação

Recursos de TI

Planejamento e

Organização

Aquisição e Implementaç

ão

Entrega e Suporte

Monitoração

Governança de TI

Objetivos de Negócios

COMPONENTES DO COBIT

• 4 domínios– Planejamento e Organização– Aquisição e Implementação– Entrega e Suporte– Monitoramento

• 34 objetivos de controle de alto nível

• 318 objetivos de controle detalhados

COMPONENTES DE DOMÍNIO DO COBIT

MODELO COBIT

Acordos de nível de serviço Componentes

• Partes envolvidas• Definições de terminologia• Duração• Objetos/metas• Limitações• Níveis de serviço alvo• Indicadores de nível de serviço• Impacto de falhas• Preços• Faturamento e pagamento

• Procedimentos de segurança• Auditoria• Papéis e responsabilidades• Serviços opcionais• Relatórios• Administração• Revisões/atualizações• Propriedade• Aspectos legais• Aprovação

IMPORTANTE!!

Gestão de níveis de serviço

• 0 – não-existente– Não há reconhecimento da sua necessidade

• 1- Inicial– Gestão informal de níveis de serviço

• 2- Repetível e intuitivo– Existem, mas não informais; não são revisados.

Relatórios incompletos• 3- Processos definidos

– Há processos de gestão, com pontos de controle para reavaliação de níveis de serviço e satisfação de usuários

IMPORTANTE!!

Gestão de níveis de serviço - II

• 4 – Gerenciado e mensurável– Medidas de desempenho refletem cada vez

mais as necessidades de usuários, ao invés de apenas alvos da TI

• 5 – Otimizado– Níveis de serviço são continuamente

reavaliados para assegurar alinhamento da TI com os objetivos do negócio

IMPORTANTE!!

RISK Who Does It?Importance = How important for the organisation on a scale from 1 (not at all) to 5 (very)Performance = How well is it done from 1 (don’t know or badly) to 5 (very well)Audited = Yes, No or ?Formality = Is there a contract, SLA, or a clearly documented Procedure? (Yes, No or ?)Accountable = Name or “don’t know”

Impo

rtan

ce

Perf

orm

ance

COBIT’s Domains and Processes

IT

Oth

er

Out

side

Don

’t K

now

Aud

ited

Form

ality

Who is Accountable?

Planning & OrganisationPO1 Define a Strategic IT PlanPO2 Define the Information ArchitecturePO3 Determine the Technological DirectionPO4 Define the IT Organisation and RelationshipsPO5 Manage the IT InvestmentPO6 Communicate Management Aims and DirectionPO7 Manage Human ResourcesPO8 Ensure Compliance with External RequirementsPO9 Assess RisksPO10 Manage ProjectsPO11 Manage Quality

Acquisition & ImplementationAI1 Identify SolutionsAI2 Acquire and Maintain Application SoftwareAI3 Acquire and Maintain Technology Architecture

Develop and Maintain IT ProceduresAI4 Develop and Maintain IT ProceduresAI5 Install and Accredit SystemsAI6 Manage Changes

Delivery & SupportDS1 Define Service LevelsDS2 Manage Third-Party ServicesDS3 Manage Performance and CapacityDS4 Ensure Continuous ServiceDS5 Ensure System SecurityDS6 Identify and Attribute CostsDS7 Educate and Train UsersDS8 Assist and Advise IT CustomersDS9 Manage the ConfigurationDS10 Manage Problems and IncidentsDS11 Manage DataDS12 Manage FacilitiesDS13 Manage Operations

MonitoringM1 Monitor the ProcessesM2 Assess Internal Control AdequacyM3 Obtain Independent AssuranceM4 Provide for Independent Audit

COBIT PARA O EXECUTIVO - ACOMPANHAMENTO

Technology Concerns to Management (Gartner Group) Management Internet / IntranetEnterprise Packaged

SolutionsClient/Server Architecture

Workgroups andGroupWare

Network Management

RISK FACTORS

IT in

itiat

ives

in li

new

ith b

usin

ess

stra

tegy

IT p

olic

ies

and

corp

orat

ego

vern

ance

Util

isin

g IT

for

com

petit

ive

adva

ntag

e

Con

solid

atin

g th

e IT

infr

astr

uctu

re

Red

ucin

g co

st o

fIT

ow

ners

hip

Acq

uirin

g an

d de

velo

ping

skill

s

Una

utho

rised

acc

ess

to c

orpo

rate

net

wor

k

Una

utho

rised

acc

ess

toco

nfid

entia

l mes

sage

s

Loss

of i

nteg

rity

–co

rpor

ate

tran

sact

ions

Leak

age

ofco

nfid

entia

l dat

a

Inte

rrup

tion

to s

ervi

ceav

aila

bilit

y

Viru

s In

fect

ion

Fai

lure

to m

eet u

ser

requ

irem

ents

Fai

lure

to in

tegr

ate

Not

com

patib

le w

ithte

chni

cal i

nfra

stru

ctur

e

Ven

dor

supp

ort

prob

lem

s

Exp

ensi

ve/c

ompl

exim

plem

enta

tion

Fai

lure

to c

oord

inat

ere

quire

men

ts

Acc

ess

cont

rol p

robl

ems

Not

com

patib

le w

ithte

chni

cal i

nfra

stru

ctur

e

End

use

r m

anag

emen

tpr

oble

ms

Con

trol

of s

oftw

are

vers

ions

Hig

h co

sts

of o

wne

rshi

p

Qua

lity

cont

rol

Acc

ess

cont

rol

Info

rmal

pro

cedu

res

Dat

a in

tegr

ity

Con

figur

atio

n co

ntro

l

Ava

ilabi

lity

Sec

urity

Con

figur

atio

n co

ntro

l

Inci

dent

man

agem

ent

Cos

ts

Sup

port

and

mai

nten

ance

PLANNING & ORGANISATIONPO1 Define a Strategic IT Plan

PO2 Define the Information Architecture

PO3 Determine the Technological Direction

PO4 Define the IT Oranisation and Relationships

PO5 Manage the Investment in IT

PO6 Communicate Management Aims and Direction

PO7 Manage Human Resources

PO8 Ensure Compliance with External Requirements

PO9 Assess Risks

PO10 Manage Projects

PO11 Manage Quality

ACQUISITION & IMPLEMENTATIONAI1 Identify Solutions

AI2 Acquire and Maintain Application Software

AI3 Acquire and Maintain Technology Architecture

AI4 Develop and Maintain IT Procedures

AI5 Install and Accredit Systems

AI6 Manage Changes

DELIVERY & SUPPORTDS1 Define Service Levels

DS2 Manage Third-Party Services

DS3 Manage Performance and Capacity

DS4 Ensure Continuous Service

DS5 Ensure Systems Security

DS6 Identify and Attribute Costs

DS7 Educate and Train Users

DS8 Assist and Advise IT Customers

DS9 Manage the Configuration

DS10 Manage Problems and Incidents

DS11 Manage Data

DS12 Manage Facilities

DS13 Manage Operations

MONITORINGM1 Monitor the Processes

M2 Assess Internal Control Adequacy

M3 Obtain Independent Assurance

M4 Provide for Independent Audit

DIAGNÓSTICO DE TI COM O COBIT

Medidas para gestão de níveis de serviço – Fatores críticos de sucesso

• Quando possível, expressar níveis de serviçoníveis de serviço em termos do negócio dos usuários

• Analisar causas básicascausas básicas quando ocorrer quebra dos quebra dos níveis de serviçoníveis de serviço

• Há competências e recursos para prover informação útilrecursos para prover informação útil e tempestiva sobre níveis de serviço

• ANS refletem a dependência de operações críticas do negócio da TI

• Responsabilidades dos gestores estão ligadas aos níveis de serviço

• Gestores de TI tem condições de identificar e explicar variações de custos e desempenho

• Há meios para rastrear e acompanhar mudanças individualizadas

IMPORTANTE!!

• BS 7799:2002 - Reino Unido

• NBR ISO/IEC 17799:2000 - Brasil/Internacional

• Definem um conjunto de boas práticas de gestão da segurança

• Servem de base às políticas de segurança

• Seus controles permitem a auditoria de segurança de informações

IMPORTANTE - NORMAS DE SEGURANÇA

• http://www.isaca.org – ISACA e CobiT• http://www.pmi.org – Project Management

Institute• http://www.pmirs.org – Project Management

Institute, capítulo RS• http://www.modulo.com.br – site da Módulo, com

artigos sobre gestão da segurança

LINKS