governana de ti: o que cobit - adriano maranho de gerenciamento po9 –avaliar e gerenciar os riscos...

Download Governana de TI: O que COBIT - Adriano Maranho de Gerenciamento PO9 –Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar

Post on 07-Feb-2018

219 views

Category:

Documents

6 download

Embed Size (px)

TRANSCRIPT

  • Governana de TI: O que COBIT ?

  • Agenda

    Governana de TI

    Metodologia COBIT

    Relacionamento do COBIT com os modelos de melhores prticas

    Governana de TI em 2006

    Estudo de Caso

    Referncias

  • Governana de TI

    De acordo com o IT Governance Institute (2005)

    A governana de TI de responsabilidadede alta administrao (incluindo diretorese executivos), na liderana, nas estruturasorganizacionais e nos processos quegarantem que a TI da empresa sustente eestenda as estratgias e objetivos daorganizao.

  • Governana de TI Fatores motivadores da Governana de TI

    Governana

    de TI

    Ambiente de

    Negcios

    Marcos de

    Regulao

    Dependncia do

    Negcio em

    Relao TI

    Segurana da

    Informao

    Integrao

    Tecnolgica

  • Governana de TI

    Framework para Gerenciamento de TI

    A Governana de TI, quando implementada de forma integrada:

    Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnolgicos e suas informaes transformando-as em maximizao de benefcios, oportunidades de negcio e vantagem competitiva no mercado.

    A estrutura do COBIT- Control Objectives for Information and Related Technology foi idealizada de forma a atender s necessidades de controle da organizao relacionadas Governana de TI.

  • Histrico do COBIT

    O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado ISACA).

    Em 1998, foi publicada a sua 2 edio, contendo uma reviso nos objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para implementao.

    A 3 edio foi publicada em 2000 pelo IT Governance Institute ( ITGI).

  • Histrico do COBIT

    O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de prticas e padres mais maduros.

    O COBIT est em conformidade com as regulamentaes, do foco mais acentuado na governana de TI, nos nveis mais elevados e da ampliao da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos, especialistas e auditores de TI).

    COBIT 4.1 -2007

  • Pblico Alvo do COBIT

    Gesto Executiva

    Gesto de Negcios

    Gesto de TI

    Auditores

  • Objetivo do COBIT

    Contribuir para o sucesso da entrega de produtos e servios de TI, a partir da perspectiva das necessidades do negcio, com um foco mais acentuado no controle que na execuo.

    Focos da Governana de TI, na viso do COBIT

  • Estrutura do COBIT

    Consiste de um conjunto de 210 Controles, organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos sistemas e TI.

    Principais Caractersticas Foco nos requisitos do negcio

    Orientao para uma abordagem de processos

    Utilizao de mecanismos de controles

    Direcionamento para a anlises das medies e indicadores de desempenho obtidos ao longo do tempo

  • Estrutura do COBIT Foco no Negcio

    Recursos de TI

    Aplicaes, Informao, Infra-estrutura e Pessoas

    Critrios de Controle

    Eficincia,Eficcia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulaes( Compliance) e Confiabilidade.

  • Estrutura do COBIT Controle atravs de objetivos

    Os objetivos de controle do COBIT procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primria ou secundria cada requerimento do negcio em termos de informao, cobrindo todos os seus aspectos:

    Primrio (P) Indica o nvel no qual o objetivo de controle definido tem impacto direto no critrio de informao.

    Secundrio (S) Indica o nvel no qual o objetivo de controle definido apenas satisfaz o critrio de informao, podendo ser em pouca extenso ou inclusive indiretamente.

    No Preenchimento Poderia ser aplicvel, todavia outro critrio de avaliao mais adequado a este processo.

  • Estrutura do COBIT Controle atravs de objetivos

  • Objetivos de ControlePO9 Avaliar e Gerenciar os Riscos de TI

    atingido mediante Garantindo que o gerenciamento de risco est totalmente embutido no processo de

    gerenciamento, internamente e externamente, e consistentemente aplicado; Avaliao da performance dos riscos; Recomendao e comunicao dos planos de ao para correo dos riscos.

    e medido por Percentual de objetivos crticos de TI cobertos pela avaliao de riscos; Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos; Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.

  • COBIT- Componentes Inter-relacionados

    Negcio

    Processos

    de TI

    Diretrizes

    para

    Auditoria

    Objetivos de

    Controle

    Prticas de

    ControleMetas das

    Atividades

    KPI KGIModelos de

    Maturidade

    requisitos informao

  • Estrutura do COBIT

    Modelos de Maturidade Nvel 0 (Inexistente): Processos de gesto no so

    aplicados;

    Nvel 1 (Inicial): Processos so espordicos e desorganizados;

    Nvel 2 (Repetitivo): Processos seguem um padro de regularidade;

    Nvel 3 (Definido): Processos so documentados e comunicados;

    Nvel 4 (Gerenciado): Processos so monitorados e medidos;

    Nvel 5 (Otimizado): Boas prticas so seguidas e otimizadas.

  • Estrutura do COBIT

    Metas e medies de desempenho

    Indicadores-Chave de Metas (KGIs)

    Definem as medies que informam gerncia se um processo de TI atingiu os objetivos de negcio;

    Indicadores-Chave de Desempenho (KPIs)

    Definem as medies que informam gerncia o quanto os processos de TI esto sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negcio.

  • Fatores Crticos de Sucesso

    Define as questes ou aes mais importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.

    Estrutura do COBIT

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    Modelo de Maturidade: Controle sobre o processo de TIde Avaliar e Gerenciar Riscos de TI com o objetivo denegcio de suportar decises da administrao atravs doatingimento dos objetivos de TI e fazer frente s ameaasmediante a reduo da complexidade, o aumento daobjetividade e a identificao de importantes fatores dedeciso.

    0 Inexistente A avaliao de risco para processos edecises de negcio no ocorre. A organizao noconsidera os impactos do negcio associados com asvulnerabilidades da segurana e com as incertezas doprojeto do desenvolvimento. A gerncia de risco no foiidentificada como relevante para adquirir solues de TIe entrega de servios de TI.

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    1 Inicial A organizao est ciente de suasresponsabilidades e obrigaes legais econtratuais, mas considera os riscos de TI deuma maneira ad hoc, sem seguir processos oupolticas definidas. As avaliaes informais doprojeto de risco ocorrem como determinado porcada projeto. As avaliaes de riscoprovavelmente no so identificadasespecificamente dentro de um projeto planejadoou so atribudas aos gerentes especficosenvolvidos no projeto.......

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    2 Repetvel mas Intuitivo Hemergente compreendimento que riscosde TI so importantes e necessriosserem considerados. Alguma abordagem avaliao de risco existe, mas o processo ainda imaturo e em desenvolvimento. Aavaliao est geralmente em um alto-nvel e tipicamente aplicada somenteaos projetos principais.....

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    3 Processo Definido Uma ampla polticade gesto de risco na organizao definequando e como conduzir as avaliaes derisco. A avaliao de risco segue umprocesso definido que est documentado edisponvel a toda a equipe de funcionriostreinada. As decises para seguir o processoe para receber o treinamento so deixadas discrio do indivduo.....

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    4 Gerenciado e Medido A avaliao do risco um procedimento padro e as excees para seguir o procedimento esto sendo observadas pela gerncia de TI. provvel que a gesto de risco de TI uma funo definida da gerncia com nvel de responsabilidade snior. O processo avanado e o risco avaliado no nvel do projeto individual e tambm regularmente no que diz respeito a operao de TI por toda a parte......

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    5 Otimizado A avaliao de risco foi desenvolvida ao estgio onde um amplo processo estruturado na organizao reforado, seguido regularmente e bem controlado. O brainstorming e a anlise de causas de risco, envolvendo os indivduos peritos, so aplicados atravs da organizao inteira. A captura, a anlise e relato de dados da gesto de risco so altamente automatizados......

  • Estrutura do Cubo COBIT Recursos de TI so gerenciados por Processos de TI,

    para atingir Metas de TI, que por sua vez esto estreitamente ligadas aos Requisitos de Negcio.

    KP

    IP

    rocessos d

    e T

    iK

    GI

    Aplic

    aes

    Info

    rmao

    Infr

    a-e

    str

    utu

    ra

    Pessoas

    Requisitos de Negcio

  • Implementando COBIT

    Documentao Mapeamento dos processos de negcio Definio de polticas Identificao dos objetivos de controle Definio de diretrizes

    Implementao Divulgao Conscientizao

    Gesto dos processos Benchmarks das prticas de controle de TI

    (Modelo de Maturidade CMM) Fatores Crticos de Sucesso Indicadores de Objetivos Indicadores de Performance

  • Aplicabilidade do COBIT

    Avaliao dos processos de TI