SISTEMAS DE INFORMAO E ORGANIZAES GOVERNANA DE TI COBIT Control Objectives for Information and related Technology

ACADMICOS: Gustavo Fernandes Ayres Jefferson Corra de Barcellos Newton Edgar Ribas de Mattos Tiago Felice Vizzotto

SANTA MARIA, RS 2011

Resumo As empresas, atravs da Tecnologia da Informao, devem adotar um modelo de Governana de TI, para aumentar sua eficincia e demonstrar que podem agregar valor ao negcio. O COBIT um modelo de gesto de TI reconhecido internacionalmente que define 34 processos de gesto que podem ser implantados utilizando prticas de processos de modelos de gesto especficos.

Introduo

Hoje em dia, muito difcil de imaginar uma empresa sem uma atividade de Tecnologia da Informao, atravs de um Sistema de Informao para manipular os dados operacionais e disponibilizar informaes gerencias aos executivos para tomadas de decises. A criao e manuteno de uma infra-estrutura de Tecnologia de Informao, incluindo profissionais especializados demandam altos investimentos. As Diretorias das empresas colocam, muitas vezes, restries aos investimentos em Tecnologia de Informao por duvidarem dos reais benefcios destas tecnologias. Entretanto, a falta destes investimentos em TI, pode ser o fator chave para o progresso ou o fracasso de um empreendimento, em mercados cada vez mais difceis e competitivos. Por outro lado, alguns gestores de TI no possuem habilidades para demonstrar os riscos associados ao negcio sem o

correto investimento em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, garantindo o retorno de investimentos e melhoria nos processos empresariais. Estas atividades so conhecidas como Governana em TI. O termo Governana em TI definido como uma estrutura de relaes e processos que dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas empresas, a informao e a tecnologia que suportam o negcio representa o seu mais valioso recurso, o mais precioso bem. Num ambiente de negcios altamente competitivo e dinmico requerido uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decises de forma rpida, constante e com custos cada vez mais reduzidos. No existem dvidas sobre os benefcios da tecnologia aplicada aos negcios, mas para serem bem sucedidas, as empresas devem compreender e controlar os riscos associados no uso das novas tecnologias. a que entra o COBIT Control Objectives for Information and related Tecnology, que uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de Tecnologia de Informao nas empresas.

O que o COBIT O COBIT - Objetivos de Controle relacionados ao uso da Tecnologia da Informao, um guia para a gesto de TI, recomendado pela ISACF (Information Systems Audit and Control Foundation). O COBIT inclui recursos tais como um sumrio executivo, um framework, um controle de objetivos, mapas de auditoria, um conjunto de ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento. Especialistas em gesto e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento, fornecendo mtricas para avaliao de performance, de resultados e nvel do maturidade (modelo de maturidade). O COBIT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa. Principais caractersticas do COBIT: - Orientado a Negcio - Orientado a Processos - Baseado em Controles

- Dirigido pelas mensuraes O COBIT est dividido em quatro domnios: 1. 2. 3. 4. Planejamento e organizao Aquisio e implementao Entrega e suporte Monitorao

Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos: Planejamento e organizao 1. Define o plano estratgico de TI 2. Define a arquitetura da informao 3. Determina a direo tecnolgica 4. Define a organizao de TI, os seus processos e seus relacionamento 5. Gerencia os investimentos de TI 6. Comunica os objetivos e direcionamentos gerenciais 7. Gerencia os recursos humanos 8. Gerencia a qualidade 9. Avalia e gerencia os riscos de TI 10. Gerencia os projetos Aquisio e implementao 1. Identifica as solues de automao 2. Adquire e mantm os softwares 3. Adquire e mantm a infra estrutura tecnolgica 4. Viabiliza a operao e utilizao 5. Adquire recursos de TI 6. Gerencia as mudanas

7. Instala e aprova solues e mudanas Entrega e suporte 1. Define e mantm os acordos de nveis de servios 2. Gerencia os servios de terceiros 3. Gerencia a performance e capacidade do ambiente 4. Assegura a continuidade dos servios 5. Assegura a segurana dos servios 6. Identifica a aloca custos 7. Educa e treina os usurios 8. Gerencia a central de servios e incidentes 9. Gerencia a configurao 10. Gerencia os problemas 11. Gerencia os dados 12. Gerencia a infra estrutura 13. Gerencia as operaes

Monitorao 1. Monitora a avalia o desempenho da TI 2. Monitora e avalia os controles internos 3. Assegura a conformidade com requisitos externos 4. Prover Governana de TI Desenvolvimento do COBIT A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de informao. Sua segunda edio em 1998 ampliou a base de recursos adicionando o guia prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do modelo de maturidade de governana. O COBIT recebe um conjunto de contribuies de vrias empresas e organismos internacionais, entre eles:

Padres tcnicos da ISO, EDIFACT, etc. Os cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc. Padres profissionais para controle internos e auditoria: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Prticas e exigncias dos fruns da indstria (ESF, I4) e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.

Benefcios do COBIT Na era de dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. A comparao com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As recomendaes de gerenciamento do COBIT com orientao no modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Ferramentas de Gerenciamento do COBIT Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do balanceamento do risco e returno do investimento podem ser classificados da seguinte forma: 0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciveis e medidos 5 Processo otimizados

Essa

abordagem

derivada

do

modelo

de

maturidade

para

desenvolvimento de software, Capability Maturity Model Integrated for Software (SWCMMI), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do COBIT um roteiro: Onde a organizao est hoje O atual estgio de desenvolvimento da industria O atual estgio dos padres internacionais Aonde a organizao quer chegar Os fatores crticos de sucesso definem os desafios mais importantes ou aes de gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico, organizacional e de processo. Os indicadores de objetivos definem como sero mensurados os progressos das aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos: Disponibilidade das informaes necessrias para suportar as necessidades de negcios Riscos de falta de integridade e confidencialidade das informaes Confirmao de confiabilidade, efetividade e conformidade das informaes. Eficincia nos custos dos processos e operaes Indicadores de desempenho definem medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI. Para avaliao do nvel de maturidade utiliza-se o COBIT Assessment Process (CAP). O processo avalia os seguintes aspectos: propsito do processo; resultados do processo; descrio das prticas recomendadas para o processo (BP

Base Practice); entregveis do processo (WP Work Product); e, os processos dependentes ou requeridos para processo. Para todas as BPs associadas ao processo avalia-se a capacidade para atender aos objetivos dos processos de negcio. A partir do resultado da avaliao so planejadas aes para atingir o nvel ideal de maturidade do processo. Frameworks de Suporte Os 34 processos do COBIT podem ser atendidos por outros modelos que definem boas prticas de gesto, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui prticas definidas para a gesto de seus processos. A correta implantao dessas prticas garante que a entrega e qualidade dos produtos e servios atendam as necessidades do negcio. O ITIL (IT Infrastructure Library) um dos modelos de gesto para servios de TI mais adotados pelas organizaes. O ITIL um modelo no-proprietrio e pblico que define as melhores prticas para o gerenciamento dos servios de TI. Cada mdulo de gesto do ITIL define uma biblioteca de prticas para melhorar a eficincia de TI, reduzindo os riscos e aumentando a qualidade dos servios e o gerenciamento de sua infra-estrutura. O ITIL foi desenvolvido pela agncia central de computao e telecomunicaes do Reino Unido (CCTA) a partir do incio dos anos 80. O CMMI for software (Capability Maturity Model Integrated for software) um processo desenvolvido pela SEI (Software Engineering Institute, Pittsburg, Estados Unidos) para ajudar as organizaes de software a melhorar seus processos de desenvolvimento. O processo dividido em cinco nveis seqenciais bem definidos: Inicial, Repetvel, Definido, Gerencivel, Otimizado.

Esses cinco nveis provm uma escala crescente para mensurar a maturidade das organizaes de software. Esses nveis ajudam as organizaes a definir prioridades nos esforos de melhoria dos processos. O PMI (Project Management Institute) a uma organizao sem fins lucrativos de profissionais da rea de gerenciamento de projetos. O PMI visa promover e ampliar o conhecimento existente sobre gerenciamento de projetos assim como melhorar o desempenho dos profissionais e organizaes da rea. As definies e processos do PMI esto publicados no PMBOK (Guide to the Project Management Body of Knowledge). Esse manual define e descrevem as habilidades, as ferramentas e as tcnicas para o gerenciamento de um projeto. O gerenciamento de projetos compreende cinco processos Incio, Planejamento, Execuo, Controle e Fechamento, bem com nove reas de conhecimento: Integrao, escopo, tempo, custo, qualidade, recursos humanos, comunicao, anlise de risco e aquisio. Para a gesto da segurana da informao so adotadas as normas da srie ISO/IEC 27000, que contempla: ISO/IEC 27001, Information Security Management Systems - Requirement, definida para prover um modelo que deve estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gesto da Segurana da Informao. ISO/IEC 27002, Code of Practice for Information Security Management (substitui a ISO 177799) que tem o objetivo de servir como um guia prtico para desenvolver os procedimentos de segurana da informao e prticas eficientes de gesto da segurana para a organizao. Esses padres devem ser adotados pelas organizaes de TI em maior ou menor escala, dependendo da complexidade do negcio. Quanto mais complexo o negcio mais formal devem ser a implementao dos processos e seu controle. Se analisarmos as tcnicas e as prticas recomendadas por esses padres chegaremos a concluso que so bvias para uma boa gesto de TI, entretanto se as ignorarmos colocaremos em risco a empresa. A adoo de padres requer um controle efetivo que avalie continuamente o desempenho das prticas e das pessoas, garantindo a eficincia da organizao.

REFERNCIA BIBLIOGRFICA

www.isaca.org/cobit