Vous êtes sur la page 1sur 48

Fundamentos do CobiT

Projeto de Anlise de maturidade e conformidade com o COBIT 4.0

Vladimir Soares
ConsultordeSeguranadaInformao

CopyrightMduloSecurity 2006TodososDireitosReservados

Agenda
CopyrightMduloSecurity 2006TodososDireitosReservados

Investimento de TI Governana Corporativa Governana de TI O CobiT O Projeto

Investimento em TI

CopyrightMduloSecurity 2006TodososDireitosReservados

O tema Governana de TI tem sido bastante Governana debatido nas empresas. Isso tem acontecido em decorrncia do aumento de investimento em Tecnologia de Informao Informao (TI) nas organizaes e da importncia organizaes crescente de TI para os seus negcios. negcios. Atualmente, TI est completamente est disseminada nas instituies. Existe instituies. demanda de TI em todas as reas das reas organizaes. Por isso, seus lideres tm a organizaes. expectativa de que novas tecnologias devem trazer novas Oportunidades de Negcio. Negcio. De acordo com pesquisa realizada pelo MIT MIT CISR*, empresas com estratgias focadas estratgias com boa Governana de TI tm 20% mais Governana lucros que outras empresas que seguem estratgias similares. estratgias similares.
*CentrodePesquisaemSistemasdeInformaodoMIT AComparativeAnalysisBetweenMITCISRITGovernanceGramework

Governan a Corporativa
Para entender a Governana de TI preciso, antes, recorrer a um conceito mais amplo, alinhado s necessidades de um mercado cada vez mais competitivo: a Governan a Corporativa. Este conceito visa garantir a perpetuao das organizaes em um ambiente competitivo e de mudanas bruscas, que exigem adequaes estratgicas rpidas para o alcance dos objetivos corporativos. Tudo de acordo com algumas linhas mestras fundamentais: Transparncia nas relaes com stakeholders Eqidade Prestao de contas, com foco na eficincia das operaes Cumprimento de leis e regulamentaes tica Segurana da informao
CopyrightMduloSecurity 2006TodososDireitosReservados

Governan a Corporativa
Neste novo contexto global, as reas de TI so muito requisitadas para auxiliar na implantao e na viabilizao de aes que tornem possvel a realizao dos objetivos da organizao. Porm, para a tomada de deciso, os executivos confrontam se diariamente com questes do tipo: Como sincronizar estratgias de negcio e de TI? Como gerar resultados organizao atravs de investimentos em TI? Como lidar com a crescente dependncia do negcio para com a TI? Como mensurar e monitorar o desempenho de TI? Como controlar os processos de TI?
CopyrightMduloSecurity 2006TodososDireitosReservados

Governan a de TI
Para responder a estes desafios, a Governana de TI surge como um conjunto de mecanismos (estruturas, processos e relacionamentos) que auxiliam na tomada de decises, garantindo que a estratgia de TI tornese mais efetiva, suportando as estratgias e objetivos da organizao. Desta forma, a TI deixa de ter um enfoque apenas tecnolgico e tornase realmente um facilitador para a busca de um diferencial competitivo, com objetivos definidos e resultados mensurados. Alm disso, a aplicao dos mecanismos de Governana de TI estrutura a tomada de deciso, implanta, gerencia e controla os processos e faz com que as reas de negcio e de TI se relacionem melhor.
CopyrightMduloSecurity 2006TodososDireitosReservados

Governan a de TI
CopyrightMduloSecurity 2006TodososDireitosReservados

Power is nothing without control Potencia no es nada sin controle Potencia no nada sem controle Pirelli Pneus

O CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

O CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation) e suportado pelo ISACA (Information Systems Audit and Control Association) e pelo ITGI( IT Governance Institute). As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI, que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas.

Referncias do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

Componentes CobiT CobiT


Existeummtodo
CopyrightMduloSecurity 2006TodososDireitosReservados

VisoExecutiva

Omtodo...

CobiTFrameworkcomObjetivos deControledeAltoNvel

Ferramentasde Implementao
Comoimplementar

Guias Gerenciais
Comomedirsua performance

ObjetivosdeControle Detalhados

Guiasde Auditoria

Modelode Maturidade

IndicadoresCrticos deSucesso CSF


Oscontroles mnimosso...

Indicadores Chave deMetas KGI


Comoauditar

Indicadores Chavede Desempenho KPI

P blico Alvo
O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias distintas: Gerentes, que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao Usu rios, que precisam ter garantias de que os servios de TI, do qual dependem os seus produtos e servios para os clientes internos e externos, esto sendo bem gerenciados Auditores, que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao
CopyrightMduloSecurity 2006TodososDireitosReservados

Misso do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

Pesquisar, desenvolver e promover um conjunto internacional, padronizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informao para uso cotidiano por administradores e auditores.

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

O CobiT est dividido em 4 dom nios :


(PO) Planejamento e organizao (AI) Aquisio e implementao (DS) Entrega e suporte (ME) Monitorao e Avaliao

Cada domnio cobre um conjunto de processos para

garantir a completa gesto de TI, somando 34 Macroobjetivos de controle ou Processos com 215 Objetivos de controle detalhados.

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

PO: Planejamento e Organizao


Define as questes estratgicas ligadas ao uso da TI em uma organizao, trata de vrios processos, entre eles: a definio da estratgia de TI, arquitetura da informao, direcionamento tecnolgico, investimento, riscos, gerncia de projetos e da qualidade.

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

PO: Planejamento e Organizao


PO1 Definir o Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar a Direo Tecnolgica PO4 Definir a Organizao de TI e Relacionamentos PO5 Gerenciar Investimentos em TI PO6 Comunicar Objetivos Gerenciais PO7 Gerenciar Recursos Humanos de TI PO8 Gerenciar Qualidade PO9 Identificar e Gerenciar Riscos de TI PO10 Gerenciar Projetos

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

AI: Aquisio e Implementao


Define as questes de implementao da TI conforme as diretivas estratgicas e de projeto pr definidos no Plano Estratgico de Informtica da empresa, tambm conhecido como PDI (Plano Diretor de Informtica). Possui uma srie de processos como, por exemplo: identificao de solues automatizadas a serem aplicadas ou reutilizadas na corporao, aquisio e manuteno de sistemas e de infraestrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalao e gerncia de mudanas.

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

AI: Aquisio e Implementao


AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software AI3 Adquirir e Manter Infraestrutura Tecnolgica AI4 Desenvolver e Manter Procedimentos AI5 Obter Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Validar Solues e Mudanas

Dom nios do CobiT


Define as questes operacionais ligadas ao uso da TI para atendimento aos servios para os clientes, manuteno e garantias ligadas a estes servios. O momento destes domnios aps a ativao de um servio e sua entrega ao cliente, que pode operar ou utilizar os servios da empresa para operao terceirizada. Os processos relativos a este domnio tratam: definio dos nveis de servio (SLA Service Level Agreement), gerncia de fornecedores integrados s atividades, garantias de desempenho, continuidade e segurana de sistemas, treinamento de usurios, alocao de custos de servios, gerncia de configurao, gerncia de dados, problemas e incidentes.
CopyrightMduloSecurity 2006TodososDireitosReservados

DS: Entrega e Suporte

Dom nios do CobiT


DS1 Definir e Gerenciar Nveis de Servio DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Desempenho e Capacidade DS4 Garantir Continuidade dos Servios DS5 Garantir Segurana de Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar Usurios DS8 Gerenciar Servios de Suporte e Incidentes DS9 Gerenciar Configurao DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar Ambiente Fsico DS13 Gerenciar Operaes
CopyrightMduloSecurity 2006TodososDireitosReservados

DS: Entrega e Suporte

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

ME: Monitorao
Define as questes de auditoria e acompanhamento dos servios de TI, sob o ponto de vista de validao da eficincia dos processos e evoluo dos mesmos em termos de desempenho e automao. Os processos deste domnio tratam basicamente: superviso das atividades dos outros processos, adequaes realizadas na empresa para garantia de procedimentos operacionais, coleta e anlise de dados operacionais e estratgicos para auditoria e para controle da organizao.

Dom nios do CobiT


CopyrightMduloSecurity 2006TodososDireitosReservados

ME: Monitorao e Avaliao:


ME1 Monitorar e Avaliar Desempenho de TI ME2 Monitorar e Avaliar Controles Internos ME3 Garantir Conformidade ME4 Prover Governana de TI

Framework do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

Framework do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

Os domnios do COBIT so integrados da seguinte forma:


A informao de uma empresa gerada/modificada pelos recursos de TI. A informao requisito para o domnio de Planejamento e Organizao (PO) e seus processos. Os requisitos de sada do PO so requisitos de entrada de informao para o domnio de Aquisio e Implementao (AI) Estes, por sua vez, definem os requisitos de entrada para o domnio de Entrega e Suporte (DS) Finalmente, o domnio de Monitorao (ME) utiliza as informaes do DS nos seus processos e atividades relacionadas

Requisitos da Informao
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade
CopyrightMduloSecurity 2006TodososDireitosReservados

Requisitos da Informao o
RequisitosdeQualidade
Qualidade Entrega Custo Eficincia Eficcia
CopyrightMduloSecurity 2006TodososDireitosReservados

RequisitosdeSegurana
Condidencialidade Integridade Disponibilidade Confidencialidade Integridade Disponibilidade

RequisitosFiducirios
EficciaeEficincia nasoperaes Conformidadecomas leise regulamentaes

Conformidade

Confiabilidadedas demonstraes financeiras

ConfiabilidadedaInfo

Requisitos da Informao
CopyrightMduloSecurity 2006TodososDireitosReservados

Os requisitos da informao so dados por: Disponibilidade Informao deve ser disponvel quando requerida pelo processo de negcio agora e no futuro, deste modo deve ser salvaguardada enquanto recurso Conformidade Informao deve estar em conformidade com leis, regulamentos, e arranjos contratuais aos quais os processos de negcios esto sujeitos Confiabilidade Informao deve ser provida de forma apropriada, permitindo seu uso na operao da organizao, na publicao de relatrios financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos

Requisitos da Informao
CopyrightMduloSecurity 2006TodososDireitosReservados

Os requisitos da informao so dados por: Efetividade Informao deve ser relevante e pertinente aos processos de negcios, bem como ser entregue com temporalidade, correo, consistncia e usabilidade Eficincia Informao deve ser provida com o uso de recursos da forma mais produtiva e econmica Confidencialidade Informao sensvel deve ser protegida de acesso no autorizado Integridade Informao deve ser precisa e completa, bem como sua validade deve estar em concordncia com o conjunto de valores e expectativas do negcio

Recursos de TI
Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
CopyrightMduloSecurity 2006TodososDireitosReservados

Os recursos de TI so classificados como:

O Cubo
CopyrightMduloSecurity 2006TodososDireitosReservados

Escala de Modelo de Maturidade


CopyrightMduloSecurity 2006TodososDireitosReservados

O CobiT pontua o grau de Maturidade numa organizao de 1 at 5, similar ao CMM (Capability Maturity Model ). Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para um certo processo de inexistente (0) otimizado (5). Os modelos de maturidades fazem parte das diretrizes de Gerenciamento, e podem ser utilizados para fazer comparaes de maturidade com outras empresas.

Escala de Modelo de Maturidade


0 Inexistente: No existe controles 1 Inicial: J existe processos, s que no tem documentos, no existe padres 2 Repetitivo: Processos padronizados, s que falta documentao, comunicao 3 Definido: Os processos so formalizados, existe documentao, treinamento, comunicao definida 4 Administrado: Processos em aperfeioamentos, j fornecem as boas prticas. Mas falta ferramentas de automao 5 Otimizado: Os processos j esto refinados a partir das melhores prticas identificadas. J existe institucionalizao das melhores prticas
CopyrightMduloSecurity 2006TodososDireitosReservados

Indicadores do CobiT
CopyrightMduloSecurity 2006TodososDireitosReservados

KEY GOL INDICATORS (KGI)


Indica se um processo de TI alcanou a sua meta a nvel de critrios de informao. Este tipo de indicador usado aps a execuo do processo, no durante o processo.

KEY PERFOMANCE INDICATOR (KPI)


Determinam quanto o processo de TI conseguiu atingir em relao aos objetivos. So indicadores que podem avaliar o processo enquanto ele est em execuo, desta forma permiti tomar aes corretivas durante o processo.

Objetivo do Projeto
CopyrightMduloSecurity 2006TodososDireitosReservados

Realizar uma anlise de maturidade e conformidade dos processos de gesto em TI do DATASUS com o Cobit 4.0.

Escopo
Anlise de maturidade, em viso abrangente, dos processos de gesto em TI do Datasus com os 34 processos do Cobit 4.0 Anlise de maturidade, em viso detalhada, dos processos de gesto em TI do Datasus com at 15 processos do Cobit 4.0 Anlise de conformidade com o Cobit 4.0, com viso integrada com anlise de riscos em TI (utilizando resultados da anlise j efetuada)
CopyrightMduloSecurity 2006TodososDireitosReservados

Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados

Fase 1 Planejamento do projeto


Atividades
Planejar projeto Apresentar planejamento do projeto

Produtos
Relatrio de organizao e planejamento

Prazo de execuo
16/08/06 a 25/08/06

Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados

Fase 2 Parametrizao e organizao do Checkup Tool


Atividades
Parametrizar, estruturar e organizar o Checkup Tool Mapear com outros frameworks (ISO 27001, ISO 15408) Elaborar glossrio (inglsportugus)

Produtos
Checkup Tool parametrizado e estruturado para as anlises Glossrio

Prazo de execuo
28/08/06 a 15/09/06

Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados

Fase 3 Anlises de conformidade


Etapa 1 Anlise de nvel 1 abrangente
Analisar maturidade dos 34 processos de TI Analisar maturidade dos objetivos de TI e de negcio

Etapa 2 Anlise de nvel 2 detalhada


Selecionar processos de TI Avaliar detalhadamente processos de TI

Etapa 3 Anlise de nvel 3 conformidade


Integrar anlise de riscos de TI com Cobit 4.0

Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados

Fase 3 Anlises de conformidade


Produtos
Painel de Controle Relatrio de gap analysis dos processos de TI Relatrio de analise de conformidade e maturidade dos controles e objetivos de controle do COBIT nos processos de TI selecionados Relatrio de conformidade Representao grfica do gap analysis no Datasus Relatrio de recomendaes

Prazo de execuo
18/09/06 a 10/11/06

Plano de trabalho
CopyrightMduloSecurity 2006TodososDireitosReservados

Fase 4 Encerramento do projeto


Atividades
Consolidar documentao elaborada Apresentar resultados do projeto

Produtos
Pasta do projeto Apresentao dos resultados

Prazo de execuo
13/11/06 a 20/11/06

Recursos Humanos Humanos


Projeto
CopyrightMduloSecurity 2006TodososDireitosReservados

Grupo Diretor

Executivo deNegcios

Coordenador doprojeto

Executivo Patrocinador

Gerncia

Lderdo projeto

Representante

Apoio

Retaguarda

Infraestrutura

Equipe doProjeto

Consultores Tcnicos

Colaboradores

Recursos Humanos
CopyrightMduloSecurity 2006TodososDireitosReservados

nExecutivodenegcios
u

nExecutivopatrocinador
u

EduardoNery(EmanuelCiattei)

Sheila(Pedro)

nCoordenadordoprojeto
u

nRepresentante MarcosCotrim(Vinicius) u Alessander(adefinir)


u

CarlosKrause(RonaldoSoares)

nLderdoprojeto
u

VladimirSoares(adefinir)

nColaboradores
u

EquipedetrabalhodoMS

nConsultorestcnicos
u

EquipedeconsultoresdaMdulo

nInfraestrutura
u

TcnicosdoDatasus

nRetaguardaTcnica
u

EquipetcnicadaMdulo

Metodologia
CopyrightMduloSecurity 2006TodososDireitosReservados

Metodologia PESI Gesto e execuo de projetos de segurana da informao Uso da ferramenta de anlise de riscos e gesto do conhecimento em segurana da informao Check up ToolTM

Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados

Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados

Check up Tool
CopyrightMduloSecurity 2006TodososDireitosReservados

Mapeamento com outros frameworks


CopyrightMduloSecurity 2006TodososDireitosReservados

25 selecionados

25 selecionados

ISO17799

ISO17799

ISO15408

PO1DefineaStrategicITPlan PO2DefinetheInformationArchitecture PO3DetermineTechnologicalDirection PO4DefinetheITProcesses,OrganisationandRelationships PO5ManagetheITInvestment PO6CommunicateManagementAimsandDirection PO7ManageITHumanResources PO8ManageQuality PO9AssessandManageITRisks PO10ManageProjects AI1IdentifyAutomatedSolutions AI2AcquireandMaintainApplicationSoftware AI3AcquireandMaintainTechnologyInfrastructure AI4EnableOperationandUse AI5ProcureITResources AI6ManageChanges AI7InstallandAccreditSolutionsandChanges

DS1DefineandManageServiceLevels DS2ManageThirdpartyServices DS3ManagePerformanceandCapacity DS4EnsureContinuousService DS5EnsureSystemsSecurity DS6IdentifyandAllocateCosts DS7EducateandTrainUsers DS8ManageServiceDeskandIncidents DS9ManagetheConfiguration DS10ManageProblems DS11ManageData DS12ManagethePhysicalEnvironment DS13ManageOperations ME1MonitorandEvaluateITPerformance ME2MonitorandEvaluateInternalControl ME3EnsureRegulatoryCompliance ME4ProvideITGovernance

ISO15408

Pr ximos passos
CopyrightMduloSecurity 2006TodososDireitosReservados

Marcar e realizar entrevistas Cadastrar respostas no Checkup Tool Gerar painel de controle intermedirio Selecionar processos para anlises detalhadas

Obrigado!
CopyrightMduloSecurity 2006TodososDireitosReservados

Vladimir Soares vsoares@modulo.com.br