Vous êtes sur la page 1sur 6

Resumo do COBIT e seus conceitos fundamentais

18 out 2010

Ol Pessoal. Bom, estou estudando sobre o COBIT para uma prova e tive que fazer um resumo dos conceitos fundamentais para que pudesse basear os estudos da melhor maneira. Desta maneira, passo para vocs as informaes que consegui, logo abaixo. Por favor, se tiver alguma coisa errada ou alguma informao importante que eu tenha esquecido, me informem. COBIT (Control Objectives for Information and related Technology), um guia de boas prticas apresentado como framework, dirigido para a gesto de tecnologia de informao (TI). mantido pelo ISACA (Information Systems Audit and Control Association), possui uma srie de recursos que podem servir como um modelo de referncia para gesto da TI, incluindo um sumrio executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento. Especialistas recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo mtricas para avaliao dos resultados. O COBIT parte do princpio que deve haver alinhamento entre TI e os requisitos de negcios da empresa, aumentando o valor dos produtos e servios do negcio. O COBIT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a TI tem na cadeia produtiva da empresa. * Em 28/01/2010, foi anunciado o COBIT 4.1 em portugus. * O COBIT Security Baseline um Guia de segurana para profissionais que no so da rea de segurana. O COBIT baseado no COSO e compatvel com outros frameworks. * O Framework do COSO ajuda a organizao a estabelecer e determinar a efetividade dos seus controles internos. O mapa do COBIT so seus grandes temas: negcios, processos, controles e desempenho. Eles agrupam os elementos fundamentais da sua estrutura.

# Negcios Critrios da Informao

O COBIT coloca o alinhamento entre a TI e o negcio por meio dos processos de TI como seu principal trabalho. Para guiar este alinhamento precisamos estabelecer os requisitos necessrios para operao dos processos. Os requisitos comeam a ser definidos pelos critrios de informao. So sete critrios bsicos a serem observados pela TI durante todo o ciclo de vida da informao: * Efetividade: informao relevante e pertinente entregue na hora e na forma certas; * Eficincia: informao entregue com uso otimizado dos recursos; * Confidencialidade: informao protegida contra acesso no autorizado; * Integridade: informao completa, precisa e vlida para o negcio; * Disponibilidade: informao disponvel sempre que o processo de negcio precisar; * Concordncia: informao de acordo com leis, regulamentos e contratos aos quais o processo de negcio est submetido; e * Confiabilidade: informao confivel para o gerenciamento e operao da entidade.

# Recurso de TI
* Aplicaes entendido como a soma de procedimentos manuais e automatizados * Informao: Objetos de dados na sua mais abrangente concepo, isto , estruturado, no estruturado, grficos, sons, etc. * Infra-estrutura: Hardware, Sistemas Operacionais, SGBD, Redes, Multimdia, recursos para abrigar e suportar os sistemas de informao. * Pessoas: Qualificaes, Conscientizao, produtividade e capacidade para planejar, organizar, adquirir, entregar, suportar e monitorar sistemas e servios.

# Processos
por meio dos seus processos que o COBIT implementa os requisitos de funcionamento da TI. So 34 processos, agrupados em 4 domnios. * Plan and Organise (PO). Direcionamento de alto nvel para AI e DS. * Acquire and Implement (AI). Desenvolvimento de solues para disponibilizao de novos servios. * Deliver and Support (DS). Provimento e sustentao dos servios da TI. * Monitor and Evaluate (ME). Monitoramento dos processos para garantir a implementao adequada do direcionamento.

# Planejar e Organizar (PO)


Prov direo para entrega de solues gerando suporte para o domnio de aquisio e implementao(AI) e entrega e suporte. Este domnio cobre a estratgia e as tticas, preocupando-se com a identificao de maneira que a TI possa contribuir para o atingimento dos objetivos de negcios. Este domnio composto de 10 processos que so eles: PO1 Definir um plano de acesso estratgico de TI; PO2 Definir a arquitetura da informao; PO3 Determinar as diretrizes de tecnologia; PO4 Definir os processos, a organizao e os relacionamentos de TI;

PO5 Gerencia o investimento de TI; PO6 Comunicar metas e diretrizes gerenciais; PO7 Gerenciar os recursos humanos de TI; PO8 Gerencia a qualidade ; PO9 Avaliar e gerencia os riscos de TI; PO10 Gerenciar projetos.

# Adquirir e Implementar (AI)


Prov as solues e as transfere para tornarem-se servios. Para que sejam executadas as estratgias de TI as solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo do negcios. Este domnio trata de questes de gerenciamento de novos projetos, onde ir verificar se a nova soluo atender as necessidades do negcio, se ser entregue no tempo e oramento previstos dentre outras situaes. Este domnio composto de 7 processos so eles: AI1 Identificar solues automatizadas; AI2 Adquirir e manter software aplicativos; AI3 Adquirir e manter infraestrutura de tecnologia; AI4 Habilitar operao e uso; AI5 Adquirir recursos de TI; AI6 Gerencia mudanas; AI7 Instalar e homologar solues e mudanas.

# Entregar e Dar Suporte (DS)


Recebe as solues e as torna passiveis de uso pelos usurios finais. O domnio trata da entrega dos servios solicitados, o que inclui entrega de servio, gerenciamento da segurana e continuidade, servios de suporte para os usurios e gerenciamentos de dados e recursos operacionais. Este domnio composto de 13 processos que so eles: DS1 Definir e gerenciar nveis de servios; DS2 Gerenciar servios terceirizados; DS3 Gerenciar o desempenho e a capacidade; DS4 Assegurar a continuidade dos servios; DS5 Garantir a segurana dos sistemas; DS6 Identificar e alocar custos; DS7 Educar e treinar os usurios; DS8 Gerenciar a central de servio e os incidentes; DS9 Gerenciar a configurao; DS10 Gerenciar problemas; DS11 Gerenciar os dados; DS12 Gerenciar o ambiente fsico; DS13 Gerenciar as operaes.

# Monitorar e Avaliar (ME)

Lida com a estimativa estratgica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatrios. Ele tambm cobre as questes de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negcio, controlando os processos internos da companhia atravs de auditores internos e externos. Este domnio composto de 4 processos que so eles: ME1 Monitorar e Avaliar o Desempenho ME2 Monitorar e Avaliar os Controles Internos ME3 - Assegurar a Conformidade com Requisitos Externos ME4 Prover a Governana de TI

# Controles
Uma caracterstica forte do COBIT o controle do que acontece dentro da TI. O ITGI prega que o controle a forma que a organizao tem de garantir que os objetivos definidos esto sendo alcanados com o mnimo de desvios. Os controles complementam a definio por processos dando instrumentos para a gerncia governar o funcionamento do modelo definido e atuar sobre os riscos e problemas. Sua presena na organizao funciona como indicativo de bom funcionamento. Para satisfazer objetivos de negcio a informao precisa estar em conformidade com critrios especficos, Objetivos de Controle. Os controles do COBIT esto distribudos ao longo dos processos, vamos ter controles especficos de cada processo e, tambm, controles genricos aplicveis todos os 34.

# Nveis de Maturidade
Os modelos de maturidade do COBIT ajudam a identificar as Metas de Melhoria e uma base para avaliar o status atual do processo. O COBIT trabalha com cinco nveis de maturidade que so eles: 0 Inexistente: No so aplicados processos de gesto Ausncia total de processos identificveis. A organizao no reconhece que um aspecto a ser considerado. 1 Inicial: Os processos so eventuais e no organizados H evidncias de que a organizao reconhece que o aspecto existe e deve ser considerado. Entretanto, no h processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas em bases isoladas ou caso a caso. A abordagem da administrao em geral no organizada. 2 Repetitivo: Os processos seguem um padro regular Os processos foram desenvolvidos at o estgio em que procedimentos similares so adotados por pessoas distintas que realizam a mesma tarefa. No h treinamento ou divulgao formal de procedimentos padronizados e as responsabilidades so deixadas a cargo das pessoas. H um alto grau de confiana no conhecimento pessoal e consequente tendncia a erros.

3 Definido: Os processos esto documentados e divulgados Os procedimentos foram padronizados e documentados, bem como divulgados atravs de treinamento. Contudo, cabe s pessoas seguir tais processos, sendo pouco provvel que desvios sejam detectados. Os procedimentos em si no so sofisticados, consistindo na formalizao de prticas existentes. 4 Gerenciado: Os processos so monitorados e mensurados possvel monitorar e mensurar o cumprimento dos procedimentos, bem como adotar medidas quando os processos aparentarem no funcionar efetivamente. Os processos esto sob constante melhoria e propiciam boas prticas. Automao e ferramentas so utilizadas de forma limitada ou fragmentada. 5 Otimizado: As melhores prticas so seguidas e automatizadas Os processos foram refinados ao nvel das melhores prticas, com base nos resultados de melhorias contnuas e modelagem da maturidade com outras organizaes. A TI utilizada como uma forma integrada para automatizar os fluxos dos procedimentos (workflow), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a empresa gil para adaptaes.

# Cubo do COBIT

# Estruturao

# Inter-relao dos componentes do COBIT