Download - CObIT Module - OverView
![Page 1: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/1.jpg)
Pós-Graduação 2009
COBIT
Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
![Page 2: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/2.jpg)
CON – A4 41
Índice COBIT
1. Introdução
2. Domínios e processos de Tecnologia
3. Requisitos de Negócio
4. Requisitos e Conceitos
5. Domínio e objetivos de Controle
6. Como utilizar a metodologia
7. Porque adotar a metodologia
8. Exercício
9. Links
10. Dúvidas
![Page 3: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/3.jpg)
CON – A4 42
Introdução
COBIT
Control OBjectives to Information
and related Technologies
Baseado nas definições da ISACA
(Information Systems Audit and Control Association)
![Page 4: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/4.jpg)
CON – A4 43
Introdução
ISACA
• + 34.000 profissionais (TI, Segurança e Auditores)
• Presente em mais de 100 países;
• Total de 180 capítulos
• Oferece preparação para a certificação: CISA – Certified Information Systems Auditor
CISM – Certified Information Security Manager
• Programas específicos excelência IT Governance
![Page 5: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/5.jpg)
CON – A4 44
Introdução
Missão COBIT
“Pesquisar, desenvolver, publicar e promover um conjunto de
Objetivos de Controle, com autoridade e foco internacional,
aceitos e aplicáveis à Tecnologia da Informação, para o uso
rotineiro de gerentes de negócio, auditores e profissionais
de segurança da informação.”
Visão COBIT
“Ser modelo para Governança em TI”
![Page 6: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/6.jpg)
CON – A4 45
Introdução
? Fortalezas Fraquezas !
ITIL - Processos Operação; - Serviços (D&S).
- Segurança; - Desenvolvimento.
IT Mgmt
CObIT - Controles; - Métricas; - Auditoria.
- São linhas gerais (macro); - Não indicam "como fazer“; - Segurança.
IT Audit&Controls
2700x - Controles; - Recomendações; - Segurança.
- Um guia genérico; - Sem material específico. - Processos & Procedimentos
Security Mgmt
Pontos fortes x fracos
![Page 7: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/7.jpg)
CON – A4 46
Introdução
Objetivo de Controle
“A formalização sobre “resultado desejado”
ou “propósito a ser alcançado” pela
implementação de procedimentos de
Controle em atividades específicas à
Tecnologia da Informação”
![Page 8: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/8.jpg)
CON – A4 47
Introdução
Divisões COBIT
• Sumário Executivo
Alta Administração: CEO / CIO
• Governance & Control Framework (Estrutura)
Diretores de TI e Auditoria de Sistemas (
• Objetivos de Controle
Gerência de TI e Auditoria de Sistemas
• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)
Profissionais de Auditoria (business process and goals)
![Page 9: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/9.jpg)
CON – A4 48
Introdução
Divisões COBIT
• Diretrizes de Gerência
Gerência de Negócios (Operacional), Diretoria,
Gerência de TI, Gerência de Controles/Auditoria
• Conjunto de Ferramentas de Implementação
Diretor de TI e Auditoria / Controle
Gerência de TI e Gerência de Auditoria / Controles
![Page 10: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/10.jpg)
CON – A4 49
Introdução
Regra fundamental
Para prover informações relevantes para
a corporação cumprir seus objetivos,
os recursos tecnológicos precisam
ser administrados por um conjunto de
processos agrupados naturalmente.
![Page 11: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/11.jpg)
CON – A4 50
Domínio e processos de tecnologia
O cubo COBIT
(3 eixos)
[ 4 x 34 x 210 ]
![Page 12: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/12.jpg)
CON – A4 51
Processos de Tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um resultado mensurável.
![Page 13: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/13.jpg)
CON – A4 52
Metodologia, Estrutura e escopo
Escopo
Estrutura
Domínios
Processos
Objetivos
![Page 14: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/14.jpg)
CON – A4 53
Metodologia, Estrutura e escopo
![Page 15: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/15.jpg)
CON – A4 54
Metodologia, Estrutura e escopo
...
![Page 16: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/16.jpg)
CON – A4 55
Requisitos de Negócio
Critérios para Informações (fiduciários)
• Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas
de forma oportuna, correta, consistente e prontas para uso. • Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e
econômico dos recursos disponíveis. • Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração,
tomada de decisão e operação da organização.
Elaboração de relatórios,
Informações aos órgãos reguladores,
Ações estratégicas, táticas ou operacionais
• Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.
![Page 17: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/17.jpg)
CON – A4 56
Requisitos de Negócio
Critérios para Informações (segurança)
• Confidentiality – Confidencialidade
Refere-se à proteção de informações confidenciais contra divulgação
não autorizada.
• Integrity – Integridade
Refere-se à integridade das informações, bem como à sua validade
com base no conjunto de valores e expectativas do negócio.
• Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que
forem necessárias ao processo de negócio.
![Page 18: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/18.jpg)
CON – A4 57
Requisitos de Negócio
Critérios para Informações (qualidade)
• Quality - Qualidade
Condição na qual é oferecido o “entregável”.
• Costs – Custos
Valor envolvido na “informação” referenciado. Pode ser mensurável
ou imensurável.
• Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados,
previamente ou ASAP.
![Page 19: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/19.jpg)
CON – A4 58
Requisitos e Conceitos
Recursos de Tecnologia
• Data – Dados
Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc.
• Application Systems - Sistemas Aplicativos
Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados.
• Technology - Tecnologia
Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc.
![Page 20: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/20.jpg)
CON – A4 59
Requisitos e Conceitos
Recursos de Tecnologia
• Facilities (Instalações)
Ambientes ou instalações que comportam e apoiam os sistemas de informática.
• People (Pessoas)
Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática.
![Page 21: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/21.jpg)
CON – A4 60
Domínio e processos de tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um resultado mensurável.
![Page 22: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/22.jpg)
CON – A4 61
Domínio dos objetivos de Controle
Domínios COBIT
1. Planejamento e Organização Planning & Organization [PO]
2. Aquisição e Implantação Acquisition & Implementation [AI]
3. Entrega e Suporte Delivery & Support [DS]
4. Monitoração e Avaliação Monitoring & Evaluate [ME]
![Page 23: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/23.jpg)
CON – A4 62
Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
• Estratégia e planejamento tático de tecnologia
• Suporte aos objetivos de negócio da companhia
• Planejamento, comunicação e gerenciamento
• Organização e infra-estrutura tecnológica adequada
![Page 24: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/24.jpg)
CON – A4 63
Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
PO1 Definição de um Plano Estratégico de tecnologia
PO2 Definição da arquitetura de Informação
PO3 Definição da diretrizes tecnológicas
PO4 Definição Processos de TI, organização e relacionamentos
PO5 Administração do investimento em tecnologia
PO6 Comunicação das metas e instruções administrativas
PO7 Administração de Recursos Humanos
PO8 Garantia de conformidade com requisitos externos
PO9 Avaliação de riscos
PO10 Administração de projetos
PO11 Administração de qualidade
![Page 25: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/25.jpg)
CON – A4 64
Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
• Realização da estratégia de tecnologia
• Soluções identificadas, desenvolvidas, ou adquiridas e
implantadas
• Soluções integradas com o processo de negócio
• Controles sobre mudanças, problemas e manutenção
![Page 26: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/26.jpg)
CON – A4 65
Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
AI1 Identificação de soluções “automatizadas”
AI2 Aquisição e manutenção de software aplicativo
AI3 Aquisição e manutenção da infra-estrutura de tecnologia
AI4 Desenvolvimento/manutenção - procedimentos/documentação
AI5 Seleção de recursos de TI
AI6 Gestão de mudanças
AI7 Instalar e credenciar Soluções e Mudanças
![Page 27: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/27.jpg)
CON – A4 66
Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
• Entrega efetiva dos serviços requeridos
• Treinamento e Segurança na operação
• Estabelecimento de processos de apoio
• Incidentes e Problemas
![Page 28: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/28.jpg)
CON – A4 67
Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)
DS2 Administração dos serviços de terceiros
DS3 Administração de desempenho e capacidade
DS4 Garantia da continuidade de serviço
DS5 Garantia de segurança de sistemas
DS6 Identificação e alocação de custos
DS7 Educação e treinamento de usuários
DS8 Administrando Service-Desk e Incidentes
DS9 Administração da configuração
DS10 Gerenciamento de problemas
DS11 Administração dados, DS12 Instalações e DS13 Operações
![Page 29: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/29.jpg)
CON – A4 68
Domínio dos objetivos de Controle
4. Monitoração [ME]
• Avaliação freqüente de todos processos de tecnologia
• Conformidade com os controles
• Qualidade dos controles
• Governança
![Page 30: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/30.jpg)
CON – A4 69
Domínio dos objetivos de Controle
4. Monitoração [ME]
ME1 Monitoração e Avaliação da performance de TI
ME2 Monitoração e Avaliação dos Controles Internos
ME3 Obter garantia independente/conformidade
ME4 Prever Governança em TI
![Page 31: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/31.jpg)
CON – A4 70
Como utilizar a Metodologia
Selecionando os Business Drivers
Através de entrevistas realizadas com os
responsáveis pelas linhas de negócio, consultas
ao Business Plan e análise dos materiais sobre
as tendências de negócio e mercado, definem-se
os Direcionadores de Negócio (Business Drivers)
![Page 32: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/32.jpg)
CON – A4 71
Como utilizar a Metodologia
Selecionando os IT Drivers
Tendo como referência os Direcionadores de
Negócio (Business drivers) identificados
anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou
viabilizam os Business Drivers identificados.
![Page 33: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/33.jpg)
CON – A4 72
Como utilizar a Metodologia
Questionários/Auto-Avaliações – Objetivos:
• Identificar quem são os responsáveis pelos assuntos;
• Definir qual a importância dos assuntos;
• Verificar se existem controles ou monitoração.
Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia.
Após o preenchimento da tabela, consegue-se ter uma idéia
das preocupações mais relevantes
![Page 34: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/34.jpg)
CON – A4 73
Como utilizar a Metodologia
Assess Risks
![Page 35: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/35.jpg)
CON – A4 74
Como utilizar a Metodologia
Identificação - preocupações tecnológicas
![Page 36: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/36.jpg)
CON – A4 75
Como utilizar a Metodologia
Zoom
![Page 37: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/37.jpg)
CON – A4 76
Como utilizar a Metodologia
Atendendo os resultados…
• Selecionar Business drivers com maior # de IT drivers suportando-o maiores preocupações da administração pontos de maior risco potencial.
• Dentre os IT drivers que suportam o Business driver escolhido com: alto número de fatores de risco associados, Empates - considerar o domínio com maior risco ao negócio
• Dentre os domínios de fatores de risco: o domínio que apresenta a maior incidência de riscos ao IT
Driver
• Dentro do domínio de risco escolhido
selecionar fator de risco que atenda maior # preocupações de TI
![Page 38: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/38.jpg)
CON – A4 77
Porque adotar a Metodologia?
Porque adotar a metodologia?
• Ênfase na administração corporativa
• Gerenciamento das responsabilidades por recursos
• Necessidades específicas - controle de recursos tecnológicos
• Soluções orientadas ao negócio da companhia
• Estrutura consolidada para a avaliação de riscos
• Melhor comunicação entre administração e envolvidos
• Identificar real nível de maturidade e evidência dos controles
![Page 39: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/39.jpg)
CON – A4 78
Porque adotar a Metodologia?
COBIT para o Security Officer
• Pode ser usado como um modelo para um programa de
segurança da informação, visando INTEGRAR segurança
com os objetivos de TI relacionados aos negócios
• Utilize o COBIT para estruturar a Política, as Normas e os
Procedimentos de Segurança da Informação
![Page 40: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/40.jpg)
CON – A4 79
Porque adotar a Metodologia?
Mitos do COBIT
• Ferramenta exclusiva de “Compliance”;
• Implantação depende Auditoria;
• Concorrência com a Norma BS7799;
• Bom nível de abstração e aplicabilidade;
• Simples, rápido e barato.
![Page 41: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/41.jpg)
CON – A4 80
Porque adotar a Metodologia?
![Page 42: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/42.jpg)
CON – A4 81
Exercício 1
Who made Who?
![Page 43: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/43.jpg)
CON – A4 82
Exercício 2
Definir:
• Modelo de negócio;
• Processo de Tecnologia;
• Atividade relacionada;
• Recurso de Tecnologia;
• Mapear 3 “preocupações” considerando critério Segurança;
• Documentar e “amarrar” relacionamento.
![Page 44: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/44.jpg)
CON – A4 83
Links
http://www.bsi-global.com/
http://www.iec.ch
http://www.iso.org
http://www.controlit.org
http://www.abnt.org.br
http://www.isaca.org/cobit
http://www.foxit.net
http://www.ietf.com
http://www.dvorax.com.br
![Page 45: CObIT Module - OverView](https://reader034.vdocuments.mx/reader034/viewer/2022052321/54967bf2ac795925288b52ae/html5/thumbnails/45.jpg)
CON – A4 84
Dúvidas ?