Académique Documents
Professionnel Documents
Culture Documents
Vladimir Soares
ConsultordeSeguranadaInformao
CopyrightMduloSecurity 2006TodososDireitosReservados
Agenda
CopyrightMduloSecurity 2006TodososDireitosReservados
Investimento em TI
CopyrightMduloSecurity 2006TodososDireitosReservados
O tema Governana de TI tem sido bastante Governana debatido nas empresas. Isso tem acontecido em decorrncia do aumento de investimento em Tecnologia de Informao Informao (TI) nas organizaes e da importncia organizaes crescente de TI para os seus negcios. negcios. Atualmente, TI est completamente est disseminada nas instituies. Existe instituies. demanda de TI em todas as reas das reas organizaes. Por isso, seus lideres tm a organizaes. expectativa de que novas tecnologias devem trazer novas Oportunidades de Negcio. Negcio. De acordo com pesquisa realizada pelo MIT MIT CISR*, empresas com estratgias focadas estratgias com boa Governana de TI tm 20% mais Governana lucros que outras empresas que seguem estratgias similares. estratgias similares.
*CentrodePesquisaemSistemasdeInformaodoMIT AComparativeAnalysisBetweenMITCISRITGovernanceGramework
Governan a Corporativa
Para entender a Governana de TI preciso, antes, recorrer a um conceito mais amplo, alinhado s necessidades de um mercado cada vez mais competitivo: a Governan a Corporativa. Este conceito visa garantir a perpetuao das organizaes em um ambiente competitivo e de mudanas bruscas, que exigem adequaes estratgicas rpidas para o alcance dos objetivos corporativos. Tudo de acordo com algumas linhas mestras fundamentais: Transparncia nas relaes com stakeholders Eqidade Prestao de contas, com foco na eficincia das operaes Cumprimento de leis e regulamentaes tica Segurana da informao
CopyrightMduloSecurity 2006TodososDireitosReservados
Governan a Corporativa
Neste novo contexto global, as reas de TI so muito requisitadas para auxiliar na implantao e na viabilizao de aes que tornem possvel a realizao dos objetivos da organizao. Porm, para a tomada de deciso, os executivos confrontam se diariamente com questes do tipo: Como sincronizar estratgias de negcio e de TI? Como gerar resultados organizao atravs de investimentos em TI? Como lidar com a crescente dependncia do negcio para com a TI? Como mensurar e monitorar o desempenho de TI? Como controlar os processos de TI?
CopyrightMduloSecurity 2006TodososDireitosReservados
Governan a de TI
Para responder a estes desafios, a Governana de TI surge como um conjunto de mecanismos (estruturas, processos e relacionamentos) que auxiliam na tomada de decises, garantindo que a estratgia de TI tornese mais efetiva, suportando as estratgias e objetivos da organizao. Desta forma, a TI deixa de ter um enfoque apenas tecnolgico e tornase realmente um facilitador para a busca de um diferencial competitivo, com objetivos definidos e resultados mensurados. Alm disso, a aplicao dos mecanismos de Governana de TI estrutura a tomada de deciso, implanta, gerencia e controla os processos e faz com que as reas de negcio e de TI se relacionem melhor.
CopyrightMduloSecurity 2006TodososDireitosReservados
Governan a de TI
CopyrightMduloSecurity 2006TodososDireitosReservados
Power is nothing without control Potencia no es nada sin controle Potencia no nada sem controle Pirelli Pneus
O CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
O CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation) e suportado pelo ISACA (Information Systems Audit and Control Association) e pelo ITGI( IT Governance Institute). As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI, que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas.
Referncias do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
VisoExecutiva
Omtodo...
CobiTFrameworkcomObjetivos deControledeAltoNvel
Ferramentasde Implementao
Comoimplementar
Guias Gerenciais
Comomedirsua performance
ObjetivosdeControle Detalhados
Guiasde Auditoria
Modelode Maturidade
P blico Alvo
O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias distintas: Gerentes, que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao Usu rios, que precisam ter garantias de que os servios de TI, do qual dependem os seus produtos e servios para os clientes internos e externos, esto sendo bem gerenciados Auditores, que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao
CopyrightMduloSecurity 2006TodososDireitosReservados
Misso do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
Pesquisar, desenvolver e promover um conjunto internacional, padronizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informao para uso cotidiano por administradores e auditores.
garantir a completa gesto de TI, somando 34 Macroobjetivos de controle ou Processos com 215 Objetivos de controle detalhados.
ME: Monitorao
Define as questes de auditoria e acompanhamento dos servios de TI, sob o ponto de vista de validao da eficincia dos processos e evoluo dos mesmos em termos de desempenho e automao. Os processos deste domnio tratam basicamente: superviso das atividades dos outros processos, adequaes realizadas na empresa para garantia de procedimentos operacionais, coleta e anlise de dados operacionais e estratgicos para auditoria e para controle da organizao.
Framework do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
Framework do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
Requisitos da Informao
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade
CopyrightMduloSecurity 2006TodososDireitosReservados
Requisitos da Informao o
RequisitosdeQualidade
Qualidade Entrega Custo Eficincia Eficcia
CopyrightMduloSecurity 2006TodososDireitosReservados
RequisitosdeSegurana
Condidencialidade Integridade Disponibilidade Confidencialidade Integridade Disponibilidade
RequisitosFiducirios
EficciaeEficincia nasoperaes Conformidadecomas leise regulamentaes
Conformidade
ConfiabilidadedaInfo
Requisitos da Informao
CopyrightMduloSecurity 2006TodososDireitosReservados
Os requisitos da informao so dados por: Disponibilidade Informao deve ser disponvel quando requerida pelo processo de negcio agora e no futuro, deste modo deve ser salvaguardada enquanto recurso Conformidade Informao deve estar em conformidade com leis, regulamentos, e arranjos contratuais aos quais os processos de negcios esto sujeitos Confiabilidade Informao deve ser provida de forma apropriada, permitindo seu uso na operao da organizao, na publicao de relatrios financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos
Requisitos da Informao
CopyrightMduloSecurity 2006TodososDireitosReservados
Os requisitos da informao so dados por: Efetividade Informao deve ser relevante e pertinente aos processos de negcios, bem como ser entregue com temporalidade, correo, consistncia e usabilidade Eficincia Informao deve ser provida com o uso de recursos da forma mais produtiva e econmica Confidencialidade Informao sensvel deve ser protegida de acesso no autorizado Integridade Informao deve ser precisa e completa, bem como sua validade deve estar em concordncia com o conjunto de valores e expectativas do negcio
Recursos de TI
Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
CopyrightMduloSecurity 2006TodososDireitosReservados
O Cubo
CopyrightMduloSecurity 2006TodososDireitosReservados
O CobiT pontua o grau de Maturidade numa organizao de 1 at 5, similar ao CMM (Capability Maturity Model ). Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para um certo processo de inexistente (0) otimizado (5). Os modelos de maturidades fazem parte das diretrizes de Gerenciamento, e podem ser utilizados para fazer comparaes de maturidade com outras empresas.
Indicadores do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados
Objetivo do Projeto
CopyrightMduloSecurity 2006TodososDireitosReservados
Realizar uma anlise de maturidade e conformidade dos processos de gesto em TI do DATASUS com o Cobit 4.0.
Escopo
Anlise de maturidade, em viso abrangente, dos processos de gesto em TI do Datasus com os 34 processos do Cobit 4.0 Anlise de maturidade, em viso detalhada, dos processos de gesto em TI do Datasus com at 15 processos do Cobit 4.0 Anlise de conformidade com o Cobit 4.0, com viso integrada com anlise de riscos em TI (utilizando resultados da anlise j efetuada)
CopyrightMduloSecurity 2006TodososDireitosReservados
Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados
Produtos
Relatrio de organizao e planejamento
Prazo de execuo
16/08/06 a 25/08/06
Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados
Produtos
Checkup Tool parametrizado e estruturado para as anlises Glossrio
Prazo de execuo
28/08/06 a 15/09/06
Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados
Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados
Prazo de execuo
18/09/06 a 10/11/06
Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados
Produtos
Pasta do projeto Apresentao dos resultados
Prazo de execuo
13/11/06 a 20/11/06
Grupo Diretor
Executivo deNegcios
Coordenador doprojeto
Executivo Patrocinador
Gerncia
Lderdo projeto
Representante
Apoio
Retaguarda
Infraestrutura
Equipe doProjeto
Consultores Tcnicos
Colaboradores
Recursos Humanos
CopyrightMduloSecurity 2006TodososDireitosReservados
nExecutivodenegcios
u
nExecutivopatrocinador
u
EduardoNery(EmanuelCiattei)
Sheila(Pedro)
nCoordenadordoprojeto
u
CarlosKrause(RonaldoSoares)
nLderdoprojeto
u
VladimirSoares(adefinir)
nColaboradores
u
EquipedetrabalhodoMS
nConsultorestcnicos
u
EquipedeconsultoresdaMdulo
nInfraestrutura
u
TcnicosdoDatasus
nRetaguardaTcnica
u
EquipetcnicadaMdulo
Metodologia
CopyrightMduloSecurity 2006TodososDireitosReservados
Metodologia PESI Gesto e execuo de projetos de segurana da informao Uso da ferramenta de anlise de riscos e gesto do conhecimento em segurana da informao Check up ToolTM
Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados
Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados
Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados
25 selecionados
25 selecionados
ISO17799
ISO17799
ISO15408
PO1DefineaStrategicITPlan PO2DefinetheInformationArchitecture PO3DetermineTechnologicalDirection PO4DefinetheITProcesses,OrganisationandRelationships PO5ManagetheITInvestment PO6CommunicateManagementAimsandDirection PO7ManageITHumanResources PO8ManageQuality PO9AssessandManageITRisks PO10ManageProjects AI1IdentifyAutomatedSolutions AI2AcquireandMaintainApplicationSoftware AI3AcquireandMaintainTechnologyInfrastructure AI4EnableOperationandUse AI5ProcureITResources AI6ManageChanges AI7InstallandAccreditSolutionsandChanges
DS1DefineandManageServiceLevels DS2ManageThirdpartyServices DS3ManagePerformanceandCapacity DS4EnsureContinuousService DS5EnsureSystemsSecurity DS6IdentifyandAllocateCosts DS7EducateandTrainUsers DS8ManageServiceDeskandIncidents DS9ManagetheConfiguration DS10ManageProblems DS11ManageData DS12ManagethePhysicalEnvironment DS13ManageOperations ME1MonitorandEvaluateITPerformance ME2MonitorandEvaluateInternalControl ME3EnsureRegulatoryCompliance ME4ProvideITGovernance
ISO15408
Pr ximos passos
CopyrightMduloSecurity 2006TodososDireitosReservados
Marcar e realizar entrevistas Cadastrar respostas no Checkup Tool Gerar painel de controle intermedirio Selecionar processos para anlises detalhadas
Obrigado!
CopyrightMduloSecurity 2006TodososDireitosReservados