Académique Documents
Professionnel Documents
Culture Documents
1
Prof. Andre Pitkowski
Agenda:
Governana Corporativa A crise de 1929 Criao da SEC em 1934 Sarbanes Oxley Controles Internos COSO Governana de TI CobiT Processos Atividades Maturidade Mtricas e Indicadores
Frequencia e NOTA
Frequencia: apontada no comeo de cada aula. Nota:
Solicitaes em sala de aula: 20%
Individuais ou em grupo Resenhas de livros Interpretaes de notcias
24 de outubro de 1929
quinta-feira negra Crise na Bolsa de Nova York. Muitas empresas simplesmente deixaram de existir de uma hora para outra. Seus acionistas foram surpreendidos, perdendo todo o capital investido.
A quebra da Bolsa de Valores de Nova York abalou o mundo inteiro. Os Estados Unidos, no podendo vender, tambm deixaram de comprar, e isso afetou tambm o Brasil, que dependia das exportaes de caf para os Estados Unidos. Com a crise, parte do volumoso estoque de caf produzido no Brasil ficou sem mercado consumidor. O Brasil no conseguiu conter o desastre econmico que abalou a classe cafeicultora e, por consequncia, abalou as prprias estruturas polticas da Repblica Velha, abrindo caminho para a Revoluo de Prof. Andre Pitkowski, 2013 9 1930, que levaria Getlio Vargas ao poder.
Av. Paulista
10
Os bancos...
Quando o mercado de aes quebrou em Outubro de 1929 as fortunas de um nmero incontvel de investidores foram totalmente perdidas. Os bancos tambm perderam grandes somas de dinheiro no crash porque eles tambm investiram pesadamente no mercado de aes. Quando os correntistas perceberam que seus bancos no seriam capazes de honrar seus depsitos iniciou-se uma corrida aos bancos abalando fortemente o sistema financeiro Americano.
11
Aps a crise, nos primeiros anos do governo do presidente Franklin Delano Roosevelt, os Estados Unidos adotaram o New Deal, que era um conjunto de medidas destinadas superao da crise.
Dentre as principais medidas adotadas pela poltica econmica do New Deal, destacam-se: Controle governamental dos preos de diversos produtos industriais e agrcolas; Concesso de emprstimos aos proprietrios agrcolas; Realizao de um grande programa de obras pblicas; Criao de um seguro-desemprego; Plano de recuperao industrial.
Prof. Andre Pitkowski, 2013
12
13
Ento, monitorar o mercado de valores mobilirios passou a requerer um grande e coordenado esforo. Da, o congresso americano estabeleceu a SEC Securities and Exchange Commission em 1934 para assegurar o cumprimento das novas leis, promover a estabilidade dos mercados e o mais importante: proteger os investidores.
O Presidente Franklin Delano Roosevelt indicou Joseph P. Kennedy (pai do Presidente John F. Kennedy), para ser o 1 Chairman da SEC.
Prof. Andre Pitkowski, 2013
14
A crise financeira ocorrida no leste asitico no perodo 1997-1998 seguida das crises na Rssia e no Brasil chamou a ateno para as deficincias das prticas de Governana Corporativa em vrias economias emergentes, evidenciando riscos para o mercado financeiro globalizado. Mais recentemente, os escndalos financeiros ocorridos na Europa (Ex.: caso Parmalat) e em mercados considerados maduros e seguros como os EUA (Enron, WorldCom, Tyco, Vivendi, Marconi, Arthur Andersen etc.) evidenciaram ainda mais a importncia do assunto, contribuindo para um significativo aprimoramento das prticas e regulamentaes.
15
1929: A quebra de 29 1971: O fim do sistema padro-ouro 1973: O embargo do petrleo no conflito rabe-israelense 1979: A Revoluo Iraniana 1980: Iraque invade Ir 1987: A Segunda-feira Negra 1994: A crise do peso mexicano 1997: A crise dos Gigantes Asiticos 1998: A crise do rublo 2000: A crise das pontocom (eBay e AMAZON)
16
17
18
Em seu lugar foi criado o Conselho de Fiscalizao de Auditoria de Companhias Abertas (PCAOB), organismo independente, com representao no setor privado, mas sob superviso da SEC.
19
SEGUNDO: A reforma fornece novas ferramentas para se fazer cumprir as Leis de Valores Mobilirios. A Comisso tem usado estas ferramentas para ampliar o alcance do seu programa de fiscalizao. Nos DOIS ltimos anos fiscais, a Comisso deu entrada em mais de 1300 aes de fiscalizao, dos quais cerca de 370 envolviam relatrios financeiros criativos e fraudes contbeis. Conseguimos ordens judiciais para o pagamento de multas e devoluo dos ganhos obtidos ilegalmente no total de quase USD 5 Bilhes. Alm disso, conseguimos impedir que mais de 330 executivos voltassem a atuar como diretores ou conselheiros em empresas de capital aberto.
Prof. Andre Pitkowski, 2013
20
21
230 mil funcionrios Valor: US$4,4 bilhes O mesmo valor que a Natura
22
Escndalo Madoff (pirmide) Empresa de software da ndia, mentindo sobre os lucros 33 vezes o real. Brasil: Vale, Sadia, Votorantin, Parmalat (de novo),
23
25/03/2009 - 13h26 Governo da Alemanha aprova projeto que aumenta superviso bancria
Efe, em Berlim
O governo da Alemanha aprovou nesta quarta-feira um projeto de lei destinado a melhorar a superviso bancria, em meio crise que teve um forte impacto sobre o setor financeiro alemo.
O projeto inclui a concesso de maiores competncias BaFin (Autoridade de Superviso Financeira Federal, na sigla em alemo).
No futuro, o rgo poder exigir aos bancos, por exemplo, que tenham mais recursos prprios e maior liquidez, o que, na Alemanha, foi um dos principais problemas durante a crise bancria.
Prof. Andre Pitkowski, 2013
24
25
26
2001: As Torres Gmeas 2001-2002: A crise argentina 2008-2009: A Grande Recesso 2009-2010: A crise da dvida na Europa
27
A CVM (Comisso de Valores Mobilirios) condenou nesta tera-feira o acionista da Sadia, Flvio Fontana Mincaroni, pelo uso de informao privilegiada na compra de aes em julho de 2006, quando a companhia fez uma oferta pela Perdigo. Ele foi condenado a pagar uma multa de R$ 500 mil. Segundo a CVM, o acusado, representando o pai Jorge Alberto Mincaroni, comprou 8.000 aes ordinrias de emisso da Perdigo S/A nos dias 12, 13 e 14 de julho e as vendeu nos dias 18 e 21 do mesmo ms, obtendo lucro bruto de R$ 42.773. A Comisso de Inqurito da CVM obteve declarao de Mincaroni em depoimento de que sabia da oferta da Perdigo em torno de uma semana a dez dias antes da oferta se tornar pblica, quando participou de uma reunio em So Paulo em que foi explicada a oferta. De acordo com um conselheiro da Sadia, ele e a sua me, Maria Aparecida Fontana Mincaroni, teriam sido informados com antecedncia sobre a referida oferta porque "como membros do acordo de acionistas, eles teriam que manifestar seu voto com relao a oferta pblica, apoiando ou recusando na reunio do acordo". Outros dois acusados no processo, Christiane Assis e Osrio Henrique Furlan Junior, foram absolvidos pela falta de provas. O acusado poder apresentar recurso, com efeito suspensivo, ao Conselho de Recursos do Sistema Financeiro Nacional.
Prof. Andre Pitkowski, 2013
28
Governana Corporativa Conjunto de Prticas que tem a finalidade de otimizar o desempenho de uma Empresa ao proteger todas as partes interessadas, tais como Investidores, Colaboradores e Parceiros, facilitando o acesso ao Capital.
Prof. Andre Pitkowski, 2013
29
Sarbanes-Oxley
Pontos positivos de se adotar a lei SOX Melhores decises operacionais e obteno informaes mais pontuais, granulares, detalhadas; Conquistar ou reconquistar a confiana dos Investidores; Evitar a evaso de recursos; Cumprir as leis e normas;
Pontos relevantes da no adoo da lei SOX Maior exposio a fraude; Penalidades impostas pela SEC; (Security Exchange Comission) Queixas ou outras aes judiciais impetradas por Acionistas; Impacto negativo sobre o valor das aes para os Acionistas;
30
Sarbanes-Oxley
31
Sarbanes-Oxley
A lei Sarbanes-Oxley (SOXA) foi criada para aumentar a responsabilidade do Executivo sobre os controles da Empresa. Um bom Controle Interno pode impulsionar os negcios da Empresa em trs categorias:
1. Eficcia e Eficincia das Operaes; 2. Confiabilidade nos Relatrios Financeiros; 3. Cumprimento das Leis e Regulamentaes.
32
Controles Internos
Para atender aos requisitos da lei SOX, a Empresa deve escolher um framework que permita atender a quatro critrios
33
Controles Internos
..um processo estruturado, efetuado pelo Conselho de Administrao, pela prpria Administrao ou por outras pessoas da Empresa, que visa fornecer uma segurana razovel quanto possibilidade de se atingir os Objetivos de Negcio nas seguintes categorias:
1. Eficcia e Eficincia das operaes; 2. Confiabilidade dos relatrios financeiros; 3. Cumprimento de leis e regulamentos aplicveis.
Definio baseada no COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
34
E a Governana de TI ??
Estrutura de relacionamento e de processos para dirigir e controlar a empresa, de forma a atingir suas metas, adicionando valor, enquanto balanceia riscos x retorno dos investimentos em TI.
atividades
processos
informao
Governana de TI
baseada em processos orientada ao Negcio
Prof. Andre Pitkowski, 2013
35
Aumento da dependncia da informao e dos sistemas que as processam. Custo da informao e seus sistemas. Aumento das vulnerabilidades e ameaas. Tecnologia interfere na estratgia da empresa e prticas de negcio, criando novas oportunidades e reduzindo custos
Gerenciamento da Informao e da TI
36
37
Melhoria da qualidade Mais funcionalidades Facilidades de uso Menor tempo de entrega SLAs Custos mais baixos
38
Manter a operao de TI Entregar valor ao cliente Custos de TI Dominar a complexidade de TI Segurana da Informao Conformidade legal Alinhar TI ao Negcio
39
40
E a Governana de TI ??
Antes de falarmos em Governana O que Tecnologia da Informao? Tecnologia Conjunto de processos pelos quais a empresa transforma recursos em produtos e servios de grande valor Inovao Mudana na Tecnologia
Prof. Andre Pitkowski, 2013
41
E a Governana de TI ??
Estrutura de relacionamento e de processos para dirigir e controlar a empresa, de forma a atingir suas metas, adicionando valor, enquanto balanceia riscos x retorno dos investimentos em TI.
atividades
PROCESSOS
informao
42
Princpios da Governana de TI
Direcionamento e Controle Responsabilidade Prestao de contas (transparncia) Atividades (execuo e reportes)
43
44
Empresas de sucesso entendem e gerenciam os riscos associados aos seus Objetivos de Controle quando implementam novas tecnologias
45
Governana de TI
A Governana de TI tem um papel fundamental na adequao das empresas lei SOX, na medida em que tem que assegurar a integridade e a segurana de toda a informao processada atravs dos seus sistemas.
46
Governana de TI
47
Governana de TI
48
Governana de TI e o CobiT
CobiT
Conjunto de prticas de Governana de TI, estruturadas de forma lgica (framework) atravs de Domnios de Conhecimento, Processos de TI e Atividades. Representa o consenso de especialistas da rea de TI, focados em Controle Internos e execuo (praticas).
As prticas ajudam
Otimizar os investimentos em TI Garantia de entrega de servios e Aes mitigatrias quando erros acontecerem
49
50
COSO
Committee of Sponsoring Organizations of the Treadway Commission
a qualidade dos relatrios e demonstrativos financeiros a tica nos negcios a efetividade dos controles e a governana corporativa
... no sentido de garantir a continuidade das empresas (perenidade) e o retorno sobre o investimento realizado.
51
COSO www.coso.org
Definio de CONTROLE INTERNO:
Controle Interno um PROCESSO, exercido pela Presidncia, Superintendncias, Gerencias e por todos os Colaboradores, projetado para fornecer uma garantia razovel de realizao dos objetivos da empresa nas seguintes categorias:
1.Eficcia e Eficincia das operaes; 2.Confiabilidade nos relatrios financeiros; 3.Aderncia s leis e regulamentos locais e globais;
Conceitos Chave: Controle Interno um Processo: um meio para se chegar a um fim, no um fim em si; Controle Interno efetuado por PESSOAS. No so meramente manuais e formulrios da Poltica, mas pessoas, em todos os nveis de uma organizao; O Controle Interno fornece apenas uma garantia razovel, nunca absoluta de que os objetivos sero alcanados; O Controle Interno focado realizao dos OBJETIVOS das categorias, mas sempre de forma conjunta, nunca isoladamente.
52
COSO
53
1977: FCPA - Foreign Corrupt Practices Act 1985: National Commission on Fraudulent Financial Reporting (Treadway Commission) 1987: Committee of Sponsoring Organisations (COSO) Primeiro relatrio COSO com concluses sobre origens e causas de fraudes corporativas
Ambiente de controle fraco Ausncia de cdigos de conduta No eficcia dos comits de auditoria No eficcia da auditoria interna Literatura existente omissa em controles
Prof. Andre Pitkowski, 2013
54
1992 Coopers & Lybrand publicou o documento "Internal Control - Integrated Framework Definio comum de Controle Interno, e um framework para se avaliar e melhorar sistemas e processos Este relatrio de uso padro nas empresas dos EUA para avaliar a conformidade com FCPA
(Foreign Corrupt Practices Act) Prof. Andre Pitkowski, 2013
55
O documento (de quatro volumes) um modelo para a implantao de Controles Internos com os objetivos de: Tratar a eficincia dos processos de Negcio Minimizar riscos de Negcio Ajudar a assegurar a confiabilidade nos balanos financeiros em conformidade com as leis e regulamentos
EXECUTIVE SUMMARY Viso geral do modelo de Controle Interno. O Executive Summary esta tambm includo no Framework. FRAMEWORK Define o modelo de controle interno, seus componentes e contm os atributos para avaliar o sistema de Controles Internos da empresa. REPORTING TO EXTERNAL PARTIES Guias para elaborao de relatrios de uma forma padronizada e adequada. Ele endereado s empresas que publicam seus balanos financeiros e para as entidades que recebem estes balanos. EVALUATION TOOLS Composto de material til para a avaliao de sistemas de Controles Internos.
Prof. Andre Pitkowski, 2013
56
CONTROLE INTERNO um processo, no um fim em si mesmo. mais que Polticas, Procedimentos, Guias, Manuais ou Formulrios, porque envolve (responsabiliza) PESSOAS em todos os nveis hierrquicos da empresa.
Em se tratando de PESSOAS, espera-se SEGURANA (dados, TI, processos negcio) em nvel razovel, no absoluto.
Estes processos (Controles Internos) so implementados na empresa para tratar uma ou mais categorias (consideradas em separado) mas todas (pertinentes em conjunto) ao negcio.
57
Critrios da Informao
COSO
Categorias
Locais e Atividades
Atividade 2
Atividade 1
ATIVIDADES
CobiT
58
Componentes
Prof. Andre Pitkowski, 2013
Monitoramento
de
DOMNIOS
et iv i ici dad Co nc e n f ia id e In te ncia Di grid lid sp ad a e C o on d e m ibi Co plia lida n f n c de ia A I Pe I n bi e nf pl lid ic r ss fo Re ad oa rm aes a e l cu a tru es o tu rs ra o Ef
Ef
PROCESSOS
TI
Monitoramento Todos os Processos devem ser permanentemente monitorados. As necessidades de modificaes (ou mudanas) devem ser esclarecidas e implementadas de maneira correta (consciente, controlada, oportuna). Informao e Comunicao - Meios de informao e comunicao devem ser usados para gerenciar os Processos. Estes meios permitem s pessoas reconhecerem suas responsabilidades, desempenhando as Atividades de Controle. Atividades de Controle - Polticas e Procedimentos devem ser implementados para evidenciar o Gerenciamento dos Riscos e alcanar os Objetivos de Negcio definidos pela empresa. As Polticas e Procedimentos especificam as atividades que devem ser executadas. Avaliao de Riscos - A conscientizao sobre os riscos um fator crucial para a empresa alcanar seus Objetivos de Negcio. Os riscos devem ser identificados, analisados e gerenciados de modo apropriado. Controle do Ambiente - O ambiente no qual as pessoas trabalham. Pessoas so vistas como o centro de qualquer negcio, e tem perfis individuais tais como valores ticos e competncias.
Componentes
59
Controle do Ambiente - O ambiente no qual as pessoas operam. Pessoas so vistas como o centro de qualquer negcio e tem atributos individuais tais como valores ticos e competncias.
1.
INTEGRIDADE E VALORES TICOS. Integridade e valores ticos, particularmente no primeiro escalo da empresa, so estabelecidos e entendidos, e caracterizaro o padro de conduta para emisso dos relatrios financeiros. 2. BOARD DE DIRETORES. O primeiro escalo da diretoria da empresa entende e exercita as responsabilidades quanto ao balanceamento de autoridade correcional entre as gerencias quanto aos relatrios financeiros e aos Controles Internos relacionados. 3. ESTILO DE OPERAAO E FILOSOFIA DE GERENCIAMENTO. A filosofia de gerenciamento e o estilo de operao suportam o realizao de Controles Internos efetivos sobre os relatrios financeiros. 4. ESTRUTURA ORGANIZACIONAL. A estrutura organizacional da empresa tambm suportam a realizao de Controles Internos efetivos sobre os relatrios financeiros. 5. COMPETENCIAS PARA RELATORIOS FINANCEIROS. A empresa retm indivduos competentes: em reportes financeiros e para atuao no balanceamento de autoridade correcional entre as gerencias da empresa. 6. AUTORIDADE E RESPONSABILIDADE. Aos gerentes e coordenadores so designados nveis apropriados de autoridade e responsabilidade para facilitar os Controles Internos efetivos sobre relatrios financeiros. 7. RECURSOS HUMANOS. Polticas e Prticas de recursos humanos so desenvolvidas e implementadas para facilitar os Controles Internos e efetivos sobre relatrios financeiros. 60 Prof. Andre Pitkowski, 2013
8. OBJETIVOS DOS RELATORIOS FINANCEIROS. Os Gerentes especificam os Objetivos dos relatrios financeiros com suficiente clareza e critrio para permitir a identificao de riscos bem como a criticidade dos mesmos. 9. RISCOS DOS RELATORIOS FINANCEIROS. A empresa identifica e analisa os riscos nos processos, para o atendimento dos objetivos dos relatrios financeiros como base para determinar como os estes riscos devem ser gerenciados. 10. RISCO DE FRAUDE. O potencial para erros de declarao materiais devido fraude explicitamente considerado nas avaliaes de risco para o atendimento dos objetivos dos relatrios financeiros.
61
11. INTEGRAO COM AVALIAO DE RISCOS. Aes devem executadas para enderear riscos de no atingir os objetivos dos relatrios financeiros. 12. SELEO E DESENVOLVIMENTO DE ATIVIDADES DE CONTROLE. Atividades de controle so selecionadas e implementadas considerando seu custo e seu potencial efeito na mitigao dos riscos para o atendimento dos objetivos dos relatrios financeiros. 13. POLITICAS E PROCEDIMENTOS. Polticas relacionadas credibilidade dos relatrios financeiros so estabelecidas e comunicadas atravs da empresa, com os correspondentes procedimentos, resultando em diretivas gerenciais a serem executadas.
14. TECNOLOGIA DA INFORMAO. Controles sobre a rea de TI, onde aplicvel, so especificados e implementados para suportar o atendimento dos objetivos dos relatrios Prof. Andre Pitkowski, 2013 62 financeiros.
Informao e Comunicao - Meios 15.
INFORMAO DOS RELATRIOS FINANCEIROS. Informao pertinente e identificada, de informao e comunicao capturada, usada em todos os nveis da devem ser usados para gerenciar os empresa e distribuda em um formato e prazo processos. Estes meios permitem s que suportam o atendimento dos objetivos dos pessoas reconhecerem suas relatrios financeiros. responsabilidades, desempenhando as atividades de controle.
s ce es n es iro t lia a or nce p r p e m pe R fina O Co
Atividade 1 Atividade 2
16. INFORMAO SOBRE CONTROLES INTERNOS. A informao usada para executar outros componentes de controles identificada, capturada e distribuda em formato e prazo que permita a ao de indivduos em funo de suas responsabilidades nos controles internos. 17. COMUNICAO INTERNA. Comunicaes permitem e suportam o entendimento e execuo de objetivos dos Controles Internos, bem como responsabilidades individuais em todos os nveis hierrquicos da empresa. 18. COMUNICAO EXTERNA. Questes afetando o atendimento dos objetivos dos relatrios financeiros so comunicadas aos parceiros Prof. Andre Pitkowski, 2013 63 externos da empresa.
Monitoramento Todos os processos deve ser permanentemente monitorados. As possibilidades de modificaes (ou mudanas) devem ser esclarecidas e implementadas de maneira correta (consciente, controlada, oportuna).
s ce es n es iro t lia a or nce p r p e m pe R fina O Co
Atividade 1 Atividade 2
19. AVALIAO EM CONJUNTO E SEPARADA. Avaliaes em conjunto e/ou separadas permitem aos gerentes determinar quando (qualitativamente) os controles internos sobre relatrios financeiros esto presentes e funcionando. 20. DEFICINCIAS NOS RELATRIOS. Controles Internos deficientes so identificados e comunicados num prazo tal que as partes responsveis por tomar aes de correo (gerentes e o primeiro escalo) as faam apropriadamente.
64
Os princpios associados a cada um destes componentes so sistematicamente definidos ao se implementar o Framework Integrado do COSO na empresa.
Atividade 1
Os atributos dos componentes so executados luz de polticas e leis. As deficincias so apontadas e as possibilidades de soluo so listadas. Exemplos do mundo real podem ser includos como forma de evidncia do funcionamento do COSO.
Unidade 1
65
SOX
COSO
ISACA
- Sarbanes-Oxlay Act (SOX) Assinada em 2002 Inteno: melhorar a exatido e a confiabilidade das informaes financeiras corporativas - Committee of Sponsoring Organizations (COSO) Formado em 1985 como resultado do National Commission on Fraudulent Financial Reporting Recomenda prticas para preveno contra emisso de relatrios contbeis fraudulentos por empresas publicas e contra a ao de seus auditores. - Misso do comit: Relatrios financeiros melhores e mais padronizados. - SOX requer que as empresas adotem um estrutura de controle (control framework) - COSO define esta estrutura (framework)
66
COSO e ISACA
COSO foi fundado em 1985 por cinco profissionais oriundos de institutos e associaes de contabilidade. AICPA - American Institute of Certified Public Accountants AAA - American Accounting Association FEI - Financial Executives Institute IIA - The Institute of Internal Auditors IMA - The Institute of Management Accountants O objetivo identificar os fatores que causam as fraudes em balanos financeiros e fazer recomendaes para reduzir os incidentes. COSO baseado numa definio de Controles Internos comuns, mais padres e critrios que as empresas podem usar para avaliar seus processos de negocio.
ISACA nasceu em 1967, quando um pequeno grupo de indivduos com funes similares:
computadorizados que estavam se tornando cada vez mais crticos para as operaes de suas organizaes reuniam-se para discutir a necessidade de uma fonte centralizada de informao e de orientao quando em campo. Em 1969, o grupo formalizou a EDP Auditors Association. Em 1976 a associao cria uma education fundation para empreender esforos em pesquisa e expanso do conhecimento de auditoria e o valor da Governana de TI para o trabalho da auditoria de TI em campo.
67
Controles Internos
A importncia da estrutura de Controles Internos segundo a lei Sarbanes-Oxley Sem uma estrutura apropriada de Controles Internos, (por exemplo o CobiT), provavelmente no ser possvel atender s exigncias determinadas pela seo 404. Segundo esta seo, o Auditor Independente dever elaborar um relatrio garantindo a eficcia dos controles e procedimentos internos para a emisso de relatrios financeiros. Sem uma estrutura de Controles Internos, no haver critrios com os quais a prpria Empresa ou o Auditor Independente possam avaliar a eficcia da emisso destes relatrios financeiros.
Prof. Andre Pitkowski, 2013
68
69
Viso Geral
ITIL
70
Melhores Prticas
Six Sigma
Mtodo de aprimoramento da qualidade, em busca do defeito zero, baseado em processo estatstico que releva a qualidade do produto sob o ponto de vista do cliente ou do usurio. Define nveis de servio e mede variaes em relao a estes nveis. Projetos:
Definio Medio Anlise Aprimoramento Controle
71
Melhores Prticas
EFQM
72
EFQM-
Melhores Prticas
modelo grfico
73
srie ISO9000
Padres de sistemas de gerenciamento de qualidade, auditveis, voltados ao cliente: ISO9000, 9001 e 9004. Garantir controle, repetibilidade e boa documentao de processos (no de produtos)
Melhores Prticas
74
Melhores Prticas
CMMi
75
Abordagem
As aplicaes nem sempre esto alinhadas com o negocio As aplicaes tem custos altos para documentao
que no podem ser explicados A baixa qualidade das aplicaes impacta
no dia-a-dia do negcio
76
Melhores Prticas
ASL
modelo grfico
Gesto de Mudanas
77
Equivalentes:
78
79
80
Melhores Prticas
Prince2
Certificaes:
Foundation Practioner
http://www.projectperformance.co.uk/prince2_tour.htm
Prof. Andre Pitkowski, 2013
81
ISO17799 / 27001
Padro internacional em Gesto de Segurana da Informao Oferece um modelo para
estabelecer Implementar Operar Monitorar Revisar Melhorar
Melhores Praticas
82
entradas
sadas
83
84
Eficaz
85
Governana Corporativa
Suporte Tributrio Auditoria Interna Segurana Patrimonial Recursos Humanos Contabilidade Custos Administrativos
86
SOX
Auditoria Externa
GAP analise
TI
Auditoria Eficaz interna
Planos de Ao
87
POLTICAS
NEGCIO O
Estratgico Operacional
Segurana da Informao
PROCEDIMENTOS
PROCESSOS
CI
Negcio
Adm, RH, MKT, Vendas, Jurdico, RP, BackOffice, etc.
ATIVIDADES
Execuo
ATIVOS
Suporte
Comunicao, link, Manuteno, AV, FW, Sistemas, Verses, Patches, HotFixs, Acesso, login, Senhas, laboratrio, Backup, Treinamento, etc.
ISO 17799
RISCOS
Po de Acar aposta na mobilidade para acompanhar as vendas Executivos acessam desempenho das lojas pelo BalckBerry e podem tomar decises em tempo real A necessidade de tomar decises em tempo real muitas vezes esbarra na tecnologia que a empresa tem disponvel para compartilhar as informaes com executivos que, na maior parte do dia, no esto sentados em frente a um computador. O Grupo Po de Acar convivia com essa realidade at pouco tempo atrs, quando utilizava um sistema de SMS para informar aos principais executivos da corporao metas e resultados de vendas. A virada veio com um aplicativo desenvolvido para a plataforma BlackBerry que tem conexo com o banco de dados da empresa. A soluo chamada de "Painel de Vendas" e desenvolvida pela MobilePeople tirou do dia-adia dos executivos a necessidade de receber, em dois momentos do dia, cerca de 22 mensagens de SMS (com a posio das vendas por segmento) e facilitou e ampliou o acesso s informaes. "Sempre utilizamos a mobilidade na companhia para o acompanhamento das vendas, mas o formato era inadequado e a disponibilidade insuficiente", confessou Clio Guedes, coordenador de TI do Grupo. Com a necessidade da evoluo, a exigncia era ter a posio das vendas a qualquer momento sem haver limitao de formato, a empresa - que possui em torno de 600 lojas em todo Pas - foi ao mercado e conversou com quatro fornecedores em agosto de 2008. O desafio proposto era desenvolver um prottipo, sem qualquer custo para o Grupo, que pudesse proporcionar essas informaes de forma "amigvel e online". A remunerao viria, ao aprovado, com a distribuio do software.
Prof. Andre Pitkowski, 2013
89
Po de Acar aposta na mobilidade para acompanhar as vendas Executivos acessam desempenho das lojas pelo BalckBerry e podem tomar decises em tempo real "A MobilePeople levou pelo diferencial da tecnologia push". Voc no pode receber um contedo sem solicitar a no ser pelo SMS", lembra Joaquim Dias Garcia, diretor de TI do Po de Acar. Essa tecnologia uma forma de atualizar o contedo sem que o executivo receba qualquer aviso. como entrar em um site e a informao estar disponvel, mas a diferena que seria atravs de um aplicativo ligado ao banco de dados abastecido pelos PDVs da empresa. A aplicao acessa o banco, formata as informaes e disponibiliza no celular. O aplicativo est disponvel desde dezembro ltimo e, atualmente, so 180 executivos utilizando o programa, entre presidente, vice-presidentes, diretores e gerentes. Garcia acredita que esse nmero ser dobrado at julho deste ano pela grande demanda e boa aceitao do produto. Os usurios conseguem acessar via BlackBerry as metas de venda e os valores vendidos no momento da consulta. possvel acessar as informaes por formato (que so as bandeiras do Grupo, como Extra, CompreBem e Po de Acar), regio (podendo ver desempenho de loja especfica) e por categoria de produto (bazar, padaria, peixaria). " a mesma informao s que segmentada", diz Guedes. "Ele (o executivo) pode reposicionar a venda da loja se entender que o desempenho no ideal. A atuao online", complementa Garcia. Garcia e Guedes informaram ainda que o aplicativo deve receber atualizaes em breve. J existem demandas para, por exemplo, incluir controle de estoque. Como eles mesmos disseram, parte da evoluo.
Prof. Andre Pitkowski, 2013
90
91
Governana Corporativa
mais do que gerenciar os riscos de TI Poltica Economia Aspectos legais Continuidade Desastres
92
Parceiros nas cadeias de valor (clientes corporativos, fornecedores, integradores) Governo Associaes, sindicatos Sociedade organizada: consumidores, defensores da cidadania, Procon, etc.
93
Responsveis pelas atividades ou transaes Usurios e operadores de sistemas Responsveis por processos e unidades de negcio Alta administrao Auditoria interna
94
Momento de Reflexo
a.
Requerimentos legais
1.
b.
Aceitao geral
2. Deve existir um Sistema que garanta atividades e responsabilidades. 3. Captura de experincias e boas prticas 4. Colocar todos na mesma direo
c.
Foco no Negcio
d.
Orientao e processo
e.
Linguagem comum
5.
Atender a legislao
95
CobiT
96
97
O que o CobiT?
Control Objetives for Information and Related Tecnology
Conjunto de boas PRTICAS de Governana de TI, estruturadas de forma lgica (framework, plataforma) atravs de Domnios de Conhecimento, Processos de TI e Atividades inter-relacionadas. Representa o consenso de especialistas da rea de TI, focados em controle e execuo. Estas prticas ajudam otimizar investimentos em TI, garantia de entrega de servios e aes mitigatrias quando erros acontecem.
98
Misso do CobiT
Pesquisar, desenvolver, publicar e promover um guia completo, atualizado e globalizado, aceito como os Objetivos de Controle para Tecnologia da Informao, para ser usado no dia-a-dia dos gerentes de negcios e dos auditores.
99
100% compliance com a ISO17799, COSO e ITIL, bem como se relaciona com
diversos outros padres e guias de melhores praticas do mercado;
orientado ao Negcio; Oferece suporte para Auditoria de TI, reduzindo os custos de uma Analise de
Riscos e permitindo melhora da qualidade do processo de auditoria;
flexvel e adaptvel para atender a qualquer tipo, cultura e tamanho de completo, objetivo, continuamente atualizado e mantido por uma organizao
sem fins lucrativos denominada ISACA
Prof. Andre Pitkowski, 2013
100
www.isaca.org www.isaca.org.br Entidade de profissionais em controle, auditoria e segurana da informao. Incio USA em 1969; Possui mais de 95.000 associados em mais de 170 pases; Captulo So Paulo fundado em novembro/2001; Captulos RJ e BSB (2008). Em formao o Captulo BH e RS (2010); 550+ associados no Brasil.
101
Viso do CobiT
Exigncias do Negcio
Recursos de TI
Processos de TI
102
Contexto do CobiT
1996
Fornecer aos Gestores de TI um framework (estrutura de processos agrupados de forma lgica) aplicvel ao Negocio e aceito como Governana de TI;
Premissa
Oferecer as informaes necessrias para uma empresa atingir seus objetivos de negcio atravs de conjunto de Processos de TI agrupados em Domnios de Conhecimento.
Propsito
Oferecer uma estrutura clara de melhores prticas de Governana de TI para qualquer empresa no mundo.
Prof. Andre Pitkowski, 2013
103
Governana Corporativa de TI
Evoluo do Escopo
Val IT 2.0
(2008)
(2009)
COBIT4.0/4.1 COBIT 5
1996
1998
2000
2005/7
D PT ez 20 em br 09 br o
Risk IT
2012
104
Componentes do CobiT
Objetivos de Negcios Governana de TI
Monitorar e Avaliar
Critrios da Informao
Planejar e Organizar
Adquirir e Implementar
Controle em TI obtido pela informao necessria para suportar os Objetivos do Negcio (ou Requerimentos do Negcio) mais a informao resultante da combinao aplicada de Recursos e Processos de TI
Exigncias do Negcio
Recursos de TI
Processos de TI
106
EFICCIA
diz respeito proviso da informao com (o mais produtivo e econmico) o uso timo dos recursos; aponta a informao relevante e pertinente para o processo de negcio ser entregue no prazo, correta, consistente e usvel;
EFICINCIA
107
CONFIDENCIALIDADE
diz respeito divulgao no autorizada de informao sensvel para o negcio; relaciona-se a exatido e integralidade da informao bem como a seu valor de acordo com os valores e expectativas do negcio; relaciona-se informao estar disponvel quando requerido pelo processo do negcio agora e no futuro;
INTEGRIDADE
DISPONIBILIDADE
108
COMPLIANCE
relaciona-se com leis, regulamentos e arranjos contratuais a que o processo do negcio assunto, isto , critrios externamente impostos do negcio; relaciona-se proviso da informao apropriada para o gestor (CEO) operar a empresa e para a gerncia (CFO) exercitar o financeiro e o compliance que apontam para as responsabilidades contbeis. (SOX).
CONFIABILIDADE
109
Qualidade Segurana
Legal
110
Objetivos de Negcios
Governana de TI
Monitorar e Avaliar
Informao
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Planejar e Organizar
APLICAES
compreendidos como a soma de procedimentos manuais e automatizados; so os objetos em seu sentido mais amplo (isto , externo e interno), estruturado e no estruturado, grficos, som, etc; hardware, router, switch, appliances, sistemas operacionais, banco de dados, rede, telecom, multimdia, telefonia, ar condicionado, energia eltrica, aquecimento, cabeamento, acesso fsico etc; inclui habilidades, conscincia e produtividade da equipe de funcionrios para planejar, organizar, adquirir, entregar, suportar e monitorar os sistemas de informao e servios. (os 3 itens acima).
INFORMAO
INFRAESTRUTURA
PESSOAS
112
113
Objetivos de Negcios
Governana de TI
Monitorar e Avaliar
Informao
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Planejar e Organizar
Recursos de TI
Entregar e Suportar
Aplicaes Informao Infra-estrutura Pessoas
Adquirir e Implementar
Agrupamento natural de Processos de TI, normalmente unidos por Domnios de Conhecimento na organizao
Uma srie de Processos de TI inter-relacionados Aes necessrias para atingir resultados mensurveis. Atividades que possuem um ciclo de vida ao qual os Processos de TI esto circunscritos.
115
SOX
Auditoria Externa
GAP analise
TI
Auditoria Eficaz interna
Planos de Ao
116
Requisitos de Negcio
Domnios de conhecimento Recursos de TI Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar
117
Domnios de TI Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar Agrupamento natural de Processos de TI, normalmente unidos pelo Domnio de Conhecimento na empresa
118
Planejar e Organizar
Descrio
Este domnio cobre estratgia e ttica, e concerne a identificao de como TI pode melhor contribuir para atingir os objetivos de negcio. Alm disso, a identificao das necessidades para a viso estratgica planejada; comunicao e gerenciamento para diferentes perspectivas. Finalmente, a organizao assim como a infraestrutura apropriadas.
Tpicos
Estratgia e tticas Viso planejada Organizao e infraestrutura
Questes
TI e negcios esto alinhados? A organizao est fazendo o uso timo de seus recursos? Todos na organizao entendem quais so os objetivos de TI? Os riscos de TI esto entendidos e sendo gerenciados? A qualidade dos sistemas de TI apropriada s necessidades do negcio?
Prof. Andre Pitkowski, 2013
119
Planejar e Organizar
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Definir um Plano Estratgico de TI Definir a Arquitetura da Informao Determinar a Direo Tecnolgica Definir os Processos, Organizao e Relacionamentos de TI Gerenciar o Investimento em TI Comunicar Metas e Diretrizes Gerenciais Gerenciar Recursos Humanos de TI Gerenciar Qualidade Avaliar e Gerenciar Riscos em TI Gerenciar Projetos
120
Adquirir e Implementar
Descrio
Para conceber a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim como implementadas e integradas aos processos de negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes so cobertas por este domnio para assegurar que o ciclo de vida mantido para estes sistemas.
Tpicos
Solues de TI Mudanas e manutenes
Questes
Os novos projetos so apropriados para entregar solues que atendam as necessidades de negcio? Os novos projetos so apropriados para entregar solues no prazo e dentro do oramento? Os novos sistemas iro funcionar corretamente aps a implementao? As mudanas sero feitas sem perturbar as operaes atuais do negcio?
Prof. Andre Pitkowski, 2013
121
Adquirir e Implementar
AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar solues automatizadas Adquirir e manter aplicativos Adquirir e manter infraestrutura de tecnologia Desenvolver e manter procedimentos de TI Obter recursos de TI Gerenciar mudanas Instalar e homologar solues e mudanas
122
Entregar e Suportar
Descrio
Este domnio preocupa-se com o que realmente entregue pelos servios requeridos, que vai desde a operao tradicional at segurana, aspectos de continuidade e treinamento. Para efetuar a entrega dos servios, os processos de suporte precisam estar estabelecidos. Este domnio inclu o processamento de dados pelas aplicaes, normalmente classificados em controles de aplicaes.
Tpicos
Entrega dos servios requeridos Estabelecimento de processos de suporte Processamento por sistemas de aplicao
Questes
Os servios de TI esto sendo entregues alinhados com as prioridades do negcio? Os custos de TI esto otimizados? A organizao est apta a utilizar os sistemas de TI de forma produtiva e com segurana? Os aspectos de segurana, integridade e disponibilidade esto adequados?
Prof. Andre Pitkowski, 2013
123
Entregar e Suportar
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Definir e gerenciar nveis de servio Gerenciar o servio de terceiros Gerenciar desempenho e capacidade Assegurar a continuidade dos servios Assegurar segurana dos sistemas Identificar e alocar custos Educar e treinar usurios Gerenciar Service Desk e Incidentes Gerenciar a configurao Gerenciar problemas Gerenciar os dados Gerenciar a instalao (ambiente fsico) Gerenciar a operao
Prof. Andre Pitkowski, 2013
124
Monitorar e Avaliar
Descrio
Todos os processos de TI precisam ser regularmente avaliados quanto a sua qualidade e atendimento aos requisitos de controle. Este domnio portanto enderea os descuidos gerenciais quanto aos processos de controle da organizaes e a garantia proporcionada por auditores internos e externos ou obtidas atravs de fontes alternativas.
Tpicos
Avaliaes peridicas, entregando com garantia Descuidos gerenciais quanto ao sistema de controle Medies de desempenho
Questes
O desempenho de TI pode ser medido? Os problemas podem ser detectados antes que seja tarde demais? Que garantias so necessrias para assegurar que as reas crticas esto operando de forma adequada?
125
Monitorar e Avaliar
ME1 ME2 ME3 ME4 Monitorar e avaliar a Performance de TI Avaliar a adequao dos controles internos Obter garantia independente (compliance) Prover a Governana de TI
126
127
128
129
130
131
132
133
134
135
136
137
PO1
PO2
PO3
PO4
PO5
PO6
PO7
Gerencia Qualidade
PO8
PO9
Gerencia Projetos
PO10
Objetivos de Negcios
Prov Governana de TI
ME4
AI2
ME3
AI3
Informao
Capacita para Operao e Utilizao
AI4
ME2
Recursos de TI
Planejar e Organizar
Adquire Recursos de TI
AI5
ME1
Adquirir e Implementar
DS7 DS6 DS5 DS4 DS3
Gerencia Mudanas
AI6
AI7
DS13
Gerencia as Instalaes
DS12
Gerencia as Configuraes
DS8
DS2
DS1
Exemplo de Processo de TI
139
Momento de Reflexo
a.
Oferecer Servios de Qualidade b.
c.
d.
e.
f.
g.
Atender requerimentos de CVM, Banco Central
Manter confidencialidade e acesso a dados
Reportar semanalmente situao de processos
Definir SLA entre Clientes e fornecedores Servidores, redes e sistemas computacionais Equipe de Projeto
140
Board e Executivos
Management Guidelines
Governana, Garantia, Controle e profissionais de Segurana CobiT Framework Control Objetives Control Practices
141
Board e Executivos
Entender porque Governana de TI importante Onde se aplica Quais so as suas responsabilidades
Interesse Primrio:
142
143
Modelo de Maturidade
O que ?
Uma medida relativa de onde se encontra a empresa em relao ao mercado. Um meio para decidir de forma eficiente que caminho tomar. Uma ferramenta para medir o progresso contra a meta determinada.
Baseado no Framework do CobiT e nos Objetivos de Controle, possvel responder a estas trs necessidades
144
Modelo de Maturidade
O que nossos pares esto fazendo e como estamos posicionados em relao a eles? O que aceitvel como boas prticas no mercado e como o mercado est posicionado em relao s boas prticas? Baseado nestas comparaes, podemos dizer que estamos indo bem? Fazendo o suficiente? Como saberemos o que necessrio fazer para alcanar o nvel adequado de gerenciamento e controle sobre nossos PROCESSOS de TI?
145
Modelo de Maturidade
O que se identifica na empresa: Onde a empresa se encontra hoje A comparao Onde a empresa quer estar
146
147
Inicial
1
Repetvel
2
LEGENDA PARA SMBOLOS USADOS Status atual da empresa Mdia de empresas similares Alvo da empresa
Prof. Andre Pitkowski, 2013
148
Modelo de Maturidade
0 - inexistente: completa falta de processos reconhecidos. A empresa ainda no reconheceu de que tem um problema a ser resolvido 1- inicial: Existem evidencias de que a empresa tem problemas e que estes precisam ser resolvidos. Por outro lado no existem procedimentos nem padres. Processos so atacados caso-a-caso e o gerenciamento desorganizado. 2- repetitivo: Processos foram desenvolvidos ao estgio onde procedimentos similares so seguidos por pessoas com as mesmas tarefas. No h treinamento nem comunicao e somente desvios so detectados. Existe grande dependncia no 3 definido: procedimentos tornaram-se padro e foram documentados bem como comunicados atravs de treinamento. Foi deixado ao indivduo seguir os processos e somente os desvios so detectados. Os procedimentos so apenas a formalizao de prticas existentes. 4 gerenciado: possvel medir e monitorar aderncia com procedimentos e agir onde processos no funcionam de forma efetiva.Processos esto sob constante evoluo e provem as boas prticas. J existem ferramentas e processos automatizados. 5 otimizado: processos foram refinados ao nvel de boas prticas baseados em resultados de continua evoluo e modelos de maturidade com outras empresas. usado para integrar e automatizar o workflow, provendo ferramentas para melhorar a qualidade e a eficincia, tornando a empresa o mais dinmica possvel no mercado (capacidade de adaptao)
149
150
o case:
empresa em franco crescimento; setor financeiro; capital fechado; existe um security officer na rea de Infraestrutura de TI; h politicas e procedimentos implantados apenas para a Infraestrutura de TI Exemplo na planilha Excel (DS5)
Prof. Andre Pitkowski, 2013
151
152
154
155
156
Performance e Mtricas
O CobiT define mtricas em 3 nveis:
O que o negcio espera de TI O que o negocio vai usar para medir TI Como o dono do processo de TI vai ser medido
Medir quo bem um processo est sendo executado para indicar se as metas vo ser alcanadas
157
Performance e Mtricas
O CobiT usa 2 tipos de mtricas: KGI Key Goal Indicator
Define os indicadores que informam ao gerente depois do fato ocorrido se um processo de TI atingiu os objetivos do negcio, normalmente expressos na forma de critrios de informao.
Disponibilidade da informao necessria para suportar as necessidades do negcio Ausncia de riscos associados integridade e confidencialidade da informao Eficincia de custos nos processos e operao Confirmao de confiana, eficincia e aderncia
Prof. Andre Pitkowski, 2013
158
Performance e Mtricas
O CobiT usa 2 tipos de mtricas: KPI Key Performance Indicator
Define as medidas que determinam como o processo de TI est
sendo executado para permitir o objetivo de ser alcanado.
negocio ser alcanado ou no, e so bons indicadores das potencialidades, das prticas e das habilidades daqueles que executam os processos.
159
160
DS5
Define metas
atividade Entender requerimentos de segurana, vulnerabilidades e ameaas processo Detectar e resolver acessos no autorizados informao, aplicaes e infraestrutura medido por Numero de violaes e acessos no autorizados TI Garantir servios de TI que possam resistir e recuperar-se de ataques medido por Numero de incidentes de TI com impacto no negcio negcio Manter a reputao e a liderana da empresa no mercado
Medida de realizao
Mtricas de negcio: KGI mtricas de TI: KPI mtricas de processo: KPI performance
Prof. Andre Pitkowski, 2013
Melhorar e alinhar
161
Melhores Prticas
boas prticas
Modelos de trabalho identificados em situaes reais, considerando empresas na mesma vertical de mercado. Um modelo de trabalho implementado, aps a comprovao de sua relevncia para o negcio, torna-se a Melhor Prtica. Adotar a melhor prtica significa:
no reinventar a roda Implementar modelos e experincias que j se mostraram eficientes em outras empresas.
162
Board e Executivos
Management Guidelines
Governana, Garantia, Controle e profissionais de Segurana CobiT Framework Control Objetives Control Practices
163
164
165
166
Executive Summary
Estrutura do CobiT
Framework
Processos de TI
Management Guidelines
Critical Success Factors
Audit Guidelines
Maturity Models
167
DS5
PROCESSO DE TI A necessidade de se manter a integridade da informao e proteger os recursos de TI requer um processo de gerenciamento da segurana. Este processo inclui estabelecer e manter funes e responsabilidades da Segurana de TI, Polticas, normas e procedimentos. O gerenciamento da segurana inclui tambm executar monitorao e testes peridicos bem como implementar aes corretivas para identificar os pontos fracos da segurana ou incidentes. O gerenciamento eficaz da segurana protege todos os recursos de TI minimizando o impacto das vulnerabilidades no negcio e os incidentes de segurana.
168
DS5
Recursos de TI
169
DS5
ATIVIDADES DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11 Gerenciamento da Segurana de TI Plano de Segurana da Informao Gerenciamento de Identidade Gerenciamento de contas de usurios Monitorao, fiscalizao e testes de segurana Definio de Incidente de Segurana Proteo da Tecnologia da Segurana Gerenciamento de chaves criptogrficas Preveno, deteco e correo de software malicioso Segurana de Rede Troca de dados sensveis
170
DS5
METAS DE TI Que satisfaa o requisito do negcio para TI manter a integridade da informao e infraestrutura de processo e minimizar o impacto das vulnerabilidades da segurana e incidentes
Focando em
METAS DO PROCESSO
definir polticas, procedimentos e padres de segurana de TI, e monitorar, detectar, relatar e resolver vulnerabilidades da segurana e incidentes
MTRICAS e medido por Nmero de incidentes que prejudicam a reputao com o pblico
Nmero de sistemas onde os requisitos de segurana no so alcanados Nmero das violaes na segregao de deveres
Prof. Andre Pitkowski, 2013
171
DS5
Mtricas e Indicadores
Metas das Atividades Entender requisitos, vulnerabilidades e ameaas da segurana. Gerenciar identidades e autorizaes de usurio de modo padronizado. Definir incidentes da segurana. Testar regularmente a segurana. Metas dos Processos
Permitir acesso aos dados crticos e sensveis somente a usurios autorizados. Identificar, monitorar e relatar vulnerabilidade e incidentes de segurana. Detectar e resolver acesso desautorizado informao, aplicaes e infra-estrutura. Minimizar o impacto de vulnerabilidade e de incidentes de segurana.
Metas de TI
Garantir que a informao crtica e confidencial seja ocultada daqueles que no devem ter acesso a ela. Garantir que transaes de negcio automatizadas e as trocas de informao possam ser confiveis. Manter a integridade da informao e a infra-estrutura de processamento. Responsabilizar e proteger todos os recursos de TI. Assegurar que servios e infraestrutura de TI possam resistir e recuperar de falhas devido a erro, ataque deliberado ou desastre.
so medidos por
so medidos por
so medidos por
Indicadores de Desempenho
Freqncia e reviso do tipo de eventos de segurana a serem monitorados. Nmero e perfil de contas obsoletas. Nmero de endereos IP no autorizados, portas e tipos de trfego negados. % de chaves criptogrficas comprometidas e revogadas. Nmero de direitos de acesso autorizados, revogados, restaurados ou alterados.
Indicadores de Metas de TI
Nmero de incidentes com impacto no negcio. Nmero de sistemas onde os requisitos de segurana no so alcanados. Tempo para conceder, alterar e revogar privilgios de acesso.
172
Grau de Maturidade
Processos relevantes
MODELO DE GESTO
GAP Analise
Implementa processos
PMO
173
Referncias Gerais
BS7799-2:2002, Information Security Management Systems Specification With Guidance for Use,British Standards Institute, United Kingdom, 2005 ISO/IEC27001 (E), Information TechnologyCode of Practice for Information Security Management,International Organization for Standardization (ISO), Switzerland, 2005 Control Objectives for Information and related Technology (COBIT), Version 4.0, IT Governance Institute, USA, 2005
Paulk, M.C.; et al; Capability Maturity Modelsm for Software, CMU/ SEI-93-TR-24, Carnegie Mellon University, Software Engineering Institute, USA, 1993
Prof. Andre Pitkowski, 2013
174
COBIT Security Baseline (2004) www.isaca.org/bookstore IT Control Objectives for Sarbanes-Oxley (2004) www.isaca.org ou www.itgi.org Board Briefing on IT Governance, 2nd Edition (2006) www.itgi.org IT Governance Implementation Guide (2003) e Implementation Training e COBIT Quickstart (2003) www.isaca.org/bookstore Information Security Governance: Guidance for Boards of Directors and Executive Management (2003) www.itgi.org COBIT Online (2007) www.isaca.org/cobitonline
Prof. Andre Pitkowski, 2013
175
Obrigado!
Andre Pitkowski
andrepit@gmail.com
176
Proposta
Diagnstico de Maturidade
Baseado no framework do CobiT O trabalho dever ser entregue na secretaria, pelo grupo. 1. 2. 3. 4. 5. 6. 7. Nome da Faculdade, grupo, matria, professor. A noticia BSC: Metas de Negcio: Metas de TI: Processos de TI Avaliao do Grau (ou nvel de Maturidade) Proposta para elevao do Grau de Maturidade em UM ponto Planos de Ao Metricas e Indicadores
172