1. AUDITORIA DE TECNOLOGIA DA
INFORMAÇÃO
NBR-ISO 27002,
ITIL, COBIT & CAATS
Prof. Ciro Bacilla
cbacilla@gmail.com
2. Tópicos a serem abordados neste encontro
Gestão de serviços de TI baseado em ITIL
Gestão de TI baseada no COBIT
NBR-ISO 27002-2005 (antiga 17799-2005)
Auditoria da Informação - CAATS
2 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
3. ITIL - Information Technology
Infrastructure Library
Conjunto de Melhores Práticas que orientam o
Gerenciamento de Serviço de TI
Consiste em uma série de publicações que fornecem
recomendações para o provisionamento da Qualidade
dos Serviços de TI, e dos Processos e recursos
necessários para suportá-los.
5 livros da ITIL Lifecycle Publication Suite (ITIL v3):
Service Strategy
Service Design
Service Transition
Service Operation
Continual Service Improvement - cbacilla@gmail.com
3 MBA - Auditoria de TI - Prof. Ciro Bacilla Prof. Ciro Bacilla
4. ITIL – Pra quê usar?
Como foca na medição contínua e na melhoria da
qualidade dos serviços entregues pela área de TI, de
uma perspectiva do negócio e do cliente, proporciona
uma série de benefícios às empresas, incluindo:
Aumento da satisfação dos clientes em relação aos serviços
prestados pela TI
Aumento da disponibilidade dos serviços, levando
diretamente a aumento dos lucros e resultados
Economia advinda da redução de retrabalho, tempo
perdido, melhoria do gerenciamento e uso de recursos
Melhoria do tempo de disponibilização de novos produtos e
serviços e
4 Melhoria da tomada deProf. Ciro Bacillaecbacilla@gmail.com de riscos Bacilla
MBA - Auditoria de TI - decisão - otimização Prof. Ciro
5. ITIL
Não é possível gerenciar o que não conseguimos controlar;
Não é possível controlar o que não conseguimos medir;
Não é possível medir o que não conseguimos definir.
Peter Drucker
5 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
6. ITIL
Gerenciamento de Serviços
Conjunto especializado de habilidades organizacionais para
fornecer valor a Clientes na forma de Serviços.
Engloba muito mais que simplesmente a entrega de
serviços. Cada serviço, processo ou componente de
infraestrutura tem um Ciclo de Vida, e a abordagem do
Ciclo de Vida do Gerenciamento de Serviço considera a
Estratégia, Desenho, Transição, Operação e Melhoria
Continuada de Serviços de TI.
Serviço:
Um meio de fornecer algo que um Cliente perceba como
tendo certo valor, facilitando a obtenção de Resultados que
os Clientes desejam, sem que eles tenham que arcar com a
propriedade de determinados Custos e Riscos.
6 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
7. 7 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
8. Modelo ITIL v3
8 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
9. ITIL v3 – Estratégia de Serviços
Primeiro volume do ITIL, fornece uma visão do ITIL® que
alinha negócio e TI de modo que cada um extraia o que de
melhor existe no outro.
Assegura que cada estágio do ciclo de vida do serviço
mantenha-se focado no business case e esteja relacionado a
todos os elementos de processos complementares que se
seguem.
Os conceitos e a orientação incluídos são:
Estratégia e planejamento de valor do
Gerenciamento de Serviços
Vinculação de planos e direções de negócios a
estratégia de serviços de TI
Planejamento e implementação de estratégia
de serviços
Riscos e fatores críticos de sucesso
9 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
10. ITIL v3 – Estratégia de Serviços
Compreender as necessidades da ESTRATÉGIA DO
SERVIÇO antes de iniciar a execução das atividades
Compreender a importância dessa fase no resultado
que será alcançado tanto pela tecnologia como para o
negócio
Entender a participação na composição do ciclo de vida
Processos dessa fase:
Gerenciamento do portfólio de serviços
Gerenciamento da demanda
Gerenciamento financeiro
10 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
11. Propostas da Estratégia de Serviços
Operar e crescer com sucesso e sustentabilidade a longo prazo
Fazer com que o gerenciamento de serviços seja visto como um
ativo
Compreender o relacionamento entre serviços, processos e
modelo de negócio
Estabelecer as metas de TI e alinhá-las com as metas do negócio
Auxiliar ainda nas questões abaixo:
Que serviços devem ser oferecidos, e para quem?
O que temos de diferente em relação à concorrência?
Como geramos valor para os clientes?
Como conseguimos patrocínio para os serviços?
Como montar um caso para investimento estratégico?
Como definir a qualidade do serviço?
Como aperfeiçoar a qualidade do serviço?
11
Como administrar os recursos necessários?
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
12. ITIL v3 – Estratégia de Serviços
A Estratégia de Serviços trabalha com a análise
estratégica, planejamento, posicionamento e implementações
relativas aos modelos de serviço de TI, estratégias e objetivos
Fornece a direção para efetivamente alavancar as capacidades de
Gerenciamento de Serviços para entregar valor aos clientes e
mostrar o valor dos fornecedores de serviço
Os itens relativos a Pessoas, Processos e Produtos abaixo devem
ser combinados para a operacionalização dessa Unidade com a TI:
Pessoas Processos
Service Definition Manager Portfolio Management
Financial Management
Service Research Manager
Demand Management
Financial Analysis Manager
Produtos
Service Marketing Manager Service Request & Planning Tools
Service Forecast Manager Service Knowledge & Configuration
12 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
Management Tools Prof. Ciro Bacilla
13. ITIL v3 – Estratégia de Serviços
• Estabelece a Estratégia de
maneira geral para Serviços
de TI e para o Geren-
ciamento de Serviço de TI.
13 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
14. ITIL v3 – Desenho do Serviço
Busca satisfazer os requisitos de negócio atuais e futuros
Fornece orientação sobre a produção e a manutenção de
documentos, arquiteturas e políticas de TI para o desenho
de soluções e processos de serviços de TI apropriados e
inovadores.
Os conceitos e a orientação incluídos são:
Objetivos e elementos do desenho do serviço
Seleção do modelo de desenho do serviço
Modelos de custo
Análise de benefícios/riscos
Implementação do desenho do serviço
Medição e controle
14 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
15. ITIL v3 – Desenho do Serviço
Fornece o direcionamento para o desenvolvimento do
serviço a ser entregue para o usuário.
Trabalha com métodos específicos para planejar o que foi
definido na fase da estratégia.
Aqui se encontram os conceitos de disponibilidade,
capacidade e continuidade dos serviços
Os processos dessa fase são os seguintes:
Gerenciamento do Nível do Serviço (SLM)
Gerenciamento do Catálogo de Serviços (SCM)
Gerenciamento de Disponibilidade (AM)
Gerenciamento de Segurança da Informação (ISM)
Gerenciamento da Capacidade (CM)
Gerenciamento da Continuidade dos serviços de TI (ITCM)
15 GerenciamentoAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
MBA - dos Fornecedores (SM) Prof. Ciro Bacilla
16. ITIL v3 – Desenho do Serviço
Conceitos
Provedores e fornecedores
SLAs, OLAs e UCs
Pessoas, Processos, Produtos e Parceiros
Aspectos do Desenho
Insourcing, Outsourcing e Multisourcing
Principais aspectos
Identificação dos requisitos do negócio
Portfólio do serviço
Mensuração do design
Arquitetura tecnológica
16 Desenho do processoTI - Prof. Ciro Bacilla - cbacilla@gmail.com
MBA - Auditoria de Prof. Ciro Bacilla
17. ITIL v3 – Desenho do Serviço
O Desenho do Serviço (Service Design) traduz os
objetivos e o planejamento estratégico e cria os
desenhos e as especificações para execução através da
Transição de Serviço
Pessoas Processos
Security Engineering Manager Service Catalogue Management
Desktop Engineering Manager Service Level Management
Network Engineering Manager Capacity Management
Systems, Servers & Storage Engineering Availability Management
Manager Continuity Management
Applications Engineering Manager Information Security Management
Supplier Management
Produtos
Service Catalogue Tools
Service Level Management Tools
Capacity Planning Tools
17
Service Modeling Tools
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
Service Knowledge & Configuration Management Tools
18. ITIL v3 – Service Design
18 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
19. ITIL v3 – Transição do Serviço
Aborda a função de gerenciamento de mudança de longo
prazo, mais abrangente, e as práticas de liberação, levando
em contra riscos, benefícios, mecanismo de entrega e
facilidade das operações contínuas dos serviços.
Fornece atividades de processos e orientação para a
transição de serviços no ambiente corporativo.
Os conceitos e a orientação incluídos nessa fase são:
Gerenciamento de mudança organizacional e cultural
Gerenciamento do conhecimento
Sistemas de gerenciamento de conhecimento de
serviço
Métodos, práticas e ferramentas
Medição e controle
19 Melhores práticasAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
MBA - complementares Prof. Ciro Bacilla
20. ITIL v3 – Transição do Serviço
Capta a lógica estabelecida pelo DESENHO DO SERVIÇO e
efetivamente implementa os pacotes recebidos
É nessa fase que os serviços saem do projeto e passam para a
produção
Fase essencial para o negócio e deve ser tratada com bastante
critério e responsabilidade
Proposta dessa fase:
Planejar e gerenciar a capacidade e recursos necessários para
empacotar, construir, testar e distribuir uma liberação em produção
Fornecer uma estrutura consistente e rigorosa para avaliar a capacidade
de serviço e perfil de risco
Estabelecer e manter a integridade de todos os Ativos de Serviço e
configurações identificadas
Fornecer conhecimento e informação de boa qualidade
Fornecer mecanismos de construção e instalação eficientes e repetitíveis
Garantir que o processo possa ser gerenciado, operado e suportado de
acordo com os requisitos e limitações especificados dentro do Desenho
20 de Serviço MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
21. ITIL v3 – Transição do Serviço
A Transição do Serviço fornece a orientação baseada no
Desenho do Serviço, assegurando que o serviço entregue
a estratégia pretendida e possa ser operado e mantido
eficientemente
Pessoas Processos
Security Asset Manager Support & Transition Management
Change Management
Desktop Asset Manager
Asset & Configuration Management
Network Asset Manager Release & Deploy Management
Systems, Servers & Storage Asset Manager Validation Management
Applications Asset Manager Evaluation Management
Knowledge Management
Produtos
Asset Management Tool
Service provision Tool
Run Book Task Automation Tools
Service Knowledge & Configuration
21 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Tools Prof. Ciro Bacilla
Management
22. ITIL v3 –Service Transition
22 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
23. ITIL v3 – Operação do Serviço
Ao manter o foco nas atividades de processos de entrega e
controle, pode-se alcançar cotidianamente um estado
consistente, altamente desejável, de gerenciamento de
serviços.
Orientações baseada em uma seleção de pontos de controle
familiares de suporte a serviço e entrega de serviço
Os conceitos e a orientação incluídos são:
Gerenciamento de aplicação
Gerenciamento de mudança
Gerenciamento de operações
Processos e funções de controle
Práticas escalonáveis
Medição e controle
23 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
24. ITIL v3 – Operação do Serviço
Nessa fase os serviços entregues pela Transição serão suportados
pelas equipes de TI
Fase onde o cliente efetivamente sente os resultados das fases
anteriores do Ciclo de Vida do Serviço (Service Lifecycle), pois
recebe não somente o serviço mas também o modelo de suporte
para os serviços
Processos de Service Operation
Gerenciamento de Eventos (Event Mgmt)
Gerenciamento de Incidentes (Incident Mgmt)
Gerenciamento de Acesso (Access Mgmt)
Gerenciamento de Problemas (Problem Mgmt)
Requisições de Serviço (Request Fullfilment)
Funções de Service Operation
Service Desk
Gerenciamento Técnico (Tech Mgmt)
Gerenciamento de Operações (Operations Mgmt)
24 Gerenciamento -de Aplicações (Applications Mgmt)
MBA Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
25. ITIL v3 – Operação do Serviço
A Operação do Serviço fornece um guia para gerenciar um serviço
no dia-a-dia da produção. Fornece também orientações no
suporte a operações de por meio de novos modelos e arquiteturas
tais como serviços compartilhados, utility computing, web
services, e mobile commerce
Pessoas Processos
Event Management
Security Operation Manager
Incident Management
Desktop Operations Manager Problem Management
Network Operations Manager Fulfillment Management
Access Management
Systems, Server & Storage Operations Manager
Service Desk Function Management
Applications Operations Manager Service Operations Function Management
Technical Operations Function Management
Application Operations Function Management
Produtos
Service Desk with Incident Management Tool
Problem Management Tool
Event Management Tool
Run Book Technology Troubleshooting Tool
Run Book Application Troubleshooting Tool
25 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
Prof. Ciro Bacilla
Service Knowledge & Configuration Management Tools
26. ITIL v3 – Service Operation
26 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
27. ITIL v3 – Melhoria Contínua do Serviço
Lado a lado com a entrega de atividades de processos
repetíveis e consistentes como parte da qualidade do
serviço, ITIL® sempre enfatizou a importância de
aprimoramentos contínuos.
Enfoca os elementos de processos envolvidos em identificar
e introduzir aprimoramentos ao gerenciamento de serviços,
também aborda a extinção de serviço.
Os conceitos e a orientação incluídos são:
Alavancas de negócio e tecnológicas para
aprimoramentos
Justificativa
Aprimoramentos do negócio, financeiros e
organizacionais
Métodos, práticas e ferramentas
Medição e controle
Melhores práticas complementares
27 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
28. ITIL v3 – Melhoria Contínua do Serviço
Nessa fase os processos e serviços entregues aos usuários e
clientes de TI passam por uma análise criteriosa de qualidade
Busca-se maior desempenho com menores custos para otimizar os
processos de negócio e gerar valor para a organização
Objetivos do CSI (Continuous Service Mgmt):
Revisar e analisar e fazer recomendações de cada fase do ciclo de vida
Revisar e analisar os resultados obtidos com os acordos de nível de
serviço (SLAs)
Melhorar a qualidade dos serviços de TI
Melhorar a eficiência dos processos capacitadores do ITSM
Otimizar o custo-eficiência da entrega dos serviços
Garantir métodos viáveis para gerenciamento da qualidade dos serviços
Fornece ainda direcionamento para:
Melhoria dos serviços
Melhoria da eficiência e eficácia dos processos
Melhoria de todas as fases do ciclo de vida
28 Medição dosMBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
processos e serviços Prof. Ciro Bacilla
29. ITIL v3 – Melhoria Contínua do Serviço
A Melhoria Contínua do Serviço (Continual Service Improvement) fornece
orientações para medir a performance dos serviços através do Ciclo de
Vida do Serviço, sugerindo melhorias na qualidade do serviço, eficiência
operacional e continuidade dos negócios
Pessoas
Service Measurement Manager
Quality Measurement Manager
Compliance Measurement Manager
Security Measurement Manager
Resource Measurement Manager
Processos
IT Governance Management (using COBIT best practices)
IT Resource Management (using PMI methods)
IT Quality Management (using Six Sigma methods)
IT Security Management (using ISO standards)
Produtos
Compliance Management & Measurement Tools
29 Service KnowledgeAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
MBA - & Configuration Management Tools Prof. Ciro Bacilla
30. ITIL v3 – Continuous Service Management
• Definição de metas a • Execução das tarefas
serem alcançadas definidas no planejamento
• Definição do método para • Coleta dos dados para
alcançá-las próxima etapa de
verificação do processo
• Educação, treinamento e
conscientização
Plan Do
Act Check
• Definir soluções que • Verificar se o executado está
eliminem as causas da conforme o planejado
falha • Se a meta foi alcançada,
• Avaliar a viabilidade para dentro do método definido
que as ações sejam
30
implantadas
• Identificar osProf. Ciro Bacilla
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
ou no método
desvios na meta
31. ITIL v3 – Continuous Service Management
Os sete passos da Melhoria Contínua do Serviço
Definir o que deve ser medido
Determinar o que pode ser medido
IDENTIFICAR: Visão e Estratégia
Metas Operacionais e Táticas
Coletar os dados sobre os processos
Processar os dados coletados
Analisar as informações geradas pela fase anterior
Definir os planos de ação para correção e/ou melhorias
Implementar a correção
31 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
32. 32 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
33. COBIT
33 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
35. A TI requer supervisão executiva
Por bons motivos:
• As dificuldades de uma companhia fabricante de vestuário na
instalação de um software de cadeia de produção custaram
aprox. US$ 200 milhões
• Uma empresa de capital aberto admitiu que um colapso virtual
do seu sistema de relatórios financeiro reduziu seu valor de
mercado em um terço em um único dia
• Um colapso operacional após a fusão de duas empresas de
transporte foi rastreado como sendo a incapacidade de coordenar
os seus sistemas de TI
2009 ISACA All Rights reserved. 35
36. A supervisão pode levar à criação de valor
A TI também pode fornecer
benefícios significativos:
• A transformação da cadeia de abastecimento de uma grande
companhia aérea melhorou a previsão da demanda, reduziu os
custos de aquisição e aumentou os níveis de serviço, com
diminuição de custos
• Uma empresa de produtos de tecnologia e serviços economizou
US$ 12 bilhões em dois anos, conectando peças díspares da sua
cadeia de suprimentos, consequentemente reduzindo os níveis de
inventário
2009 ISACA All Rights reserved. 36
37. Governança de TI é o ponto chave
• As empresas estão
sacrificando dinheiro,
produtividade e vantagem
competitiva por não
implementar a governança de
TI eficaz
• Os executivos precisam de
uma maneira melhor de:
• Dirigir a TI para obtenção de
benefícios
– Medir o valor fornecido pela TI
– Gerenciar os riscos pertinentes
à área de TI
2009 ISACA All Rights reserved. 37
38. ®
COBIT é um roteiro para a boa governança de TI
• Aceito mundialmente como um conjunto de ferramentas que
garante que a área de TI está trabalhando efetivamente
• Funciona como um framework abrangente
• Fornece linguagem comum para se comunicar metas,
objetivos e resultados esperados para todos os interessados
• Baseado em, e integrado a, padrões de indústria e boas
práticas em:
– Alinhamento estratégico da TI com os objetivos de negócio
– Valor dos serviços prestados e novos projetos
– Gerenciamento de risco
– Gerenciamento de recursos
– Gerenciamento de desempenho (Performance)
2009 ISACA All Rights reserved. 38
39. Desenvolvido pelo líder em governança de TI
Control Objectives for Information and related Technology
Associação de 86.000 membros. Líder mundial em
governança de TI, controle, segurança e garantia de serviços.
Oferece os exames de certificação CISA, CISM e CGEIT.
2009 ISACA All Rights reserved. 39
40. ®
Benefícios do COBIT para os Negócios
COBIT® fornece orientação para a gestão
executiva para governança de TI dentro da
empresa
• Instrumentos mais eficazes para a TI dar suporte aos
objetivos de negócio
• Custos do ciclo de vida de TI mais transparentes e
previsíveis
• Informações da TI mais oportunas e confiáveis
• Maior qualidade de serviços de TI e projetos mais bem
sucedidos
• Gerenciamento mais efetivo dos riscos relacionados à
área de TI
2009 ISACA All Rights reserved. 40
41. Harmonizando os elementos da Governança de TI
IT
Governance
Gerenciamento
de Recursos
2009 ISACA All Rights reserved. 41
43. COBIT® Responde questões-chave dos Negócios
Is my information technology
organisation doing the right things?
Are we doing them the right way?
Are we getting them done well?
Are we getting the benefits? *
* Based on the “Four Ares” as described by John Thorp in his book The Information Paradox,
written jointly with Fujitsu, first published in 1998 and revised in 2003
2009 ISACA All Rights reserved. 43
44. ®
O Framework COBIT
2009 ISACA All Rights reserved. 44
45. ®
COBIT Define Processos, Objetivos e Métricas
Relacionamento
entre Processos,
Objetivos e
Métricas (DS5)
2009 ISACA All Rights reserved. 45
46. Definição de Responsabilidades para Cada Processo
Modelo de matriz de autoridade que pode ser utilizada dentro da
organização para definir papéis e responsabilidades específicas.
Identifica quem é
• (Responsible) - Responsável por executar a
tarefa, isto é, a própria pessoa a fazer o trabalho Modelo RACI
para completar a tarefa
• Accountable - Cobrado pela tarefa que está sendo
executada. É quem entrega o trabalho, mesmo Funções
que outras pessoas estejam executando
• Consulted - Consultado(s) cuja entrada é usada
para completar a tarefa, assim, a comunicação
com este grupo será de 2 vias
• Informed – Informado(s) sobre o status da tarefa.
A comunicação é de mão única (ida).
Atividades
A/
Vincular os objetivos de negócio aos objetivos da TI. C I
R
I C
A/
Identificar dependências críticas e desempenho atual. C C R
R
C C C C C C
Criar um planejamento estratégico de TI. A C C R I C C C C I C
Criar planos táticos da TI. C I A C C C C C R I
Analisar portfolios de programas e gerenciar
C I I A R R C R C C I
portfolios de projetos e de serviços.
2009 ISACA All Rights reserved. 46
47. ®
Produtos COBIT e suas Audiências Primárias
OS produtos COBIT
foram organizados em
três níveis, projetados
para apoiar:
• A gerência executiva
e conselhos
• Negócios e
gerenciamento de TI
• A governança,
controle, segurança
e profissionais de
segurança
COBIT User Guide for
Service Managers
COBIT and
Application Controls
COBIT, Risk IT and Implementing and
Val IT frameworks Continually Improving
IT Governance
2009 ISACA All Rights reserved. 47
48. ®
COBIT Harmoniza com Outros Padrões
• COBIT é frequentemente
usado no mais alto nível de
governança de TI
• Harmoniza as práticas e
normas, tais como ITIL, ISO
27001 e 27002 e PMBOK
– Melhora seu alinhamento às
necessidades do negócio
– Abrange ampla gama de
atividades relacionadas a TI
– Projetado para ser
complementar a, e usado em 27001/2
conjunto com, outras normas
e boas práticas
2009 ISACA All Rights reserved. 48
49. ®
Os 4 Domínios Interrelacionados do COBIT
• Para governar efetivamente
a área de TI, é importante Planejar e Organizar (PO)
considerar as atividades e
os riscos da TI que precisam
ser gerenciados.
Adquirir e Entregar e
• Geralmente ordenados nos
domínios de responsabili- Implementar Dar Suporte
dade: planejar, criar, (AI) (DS)
executar e monitorar.
• No framework COBIT, estes
domínios são denominados Monitorar e Avaliar (ME)
• Planejar e Organizar (PO), que
norteia a entrega de soluções
(AI) e entrega de serviço (DS) • Entregar e Dar Suporte (DS), que recebe as
• Adquirir e Implementar soluções e as faz usáveis pelos usuários e
(AI), que fornece as soluções e • Monitorar e Avaliar (ME), o qual monitora
as encaminha para serem todos os processos e assegura que a
transformadas em serviços direção fornecida está sendo seguida
2009 ISACA All Rights reserved. 49
50. Fronteiras de Controle de Negócios, Gerais e de Aplicação
Responsabilidade Responsabilidade Responsabilidade
do Negócio da TI do Negócio
Controles Controles Controles
de Negócio Gerais de TI de Negócio
Requisitos
Funcionais
Serviços
Requisitos Automatizados
de Controle
Controles de
Aplicação
2009 ISACA All Rights reserved. 50
51. Utilizado por organizações em todo o mundo
‘Continuamos a recomendar que as empresas utilizem [COBIT] para
desafiar os seus procedimentos de governança de TI já estabelecidos
e melhorar os controles que já possuem.’
—Gartner
(para estudos de caso completos, visite www.isaca.org/cobitcasestudies)
2009 ISACA All Rights reserved. 51
52. Para Saber Mais
Visite www.isaca.org/cobit para fazer o download do framework COBIT®
2009 ISACA All Rights reserved. 52
53. ®
COBIT : Revisando
O que faz?
• Aumenta a ... e a ... da área de TI
• Ajuda a TI a compreender as ...
• Posiciona as práticas de modo a atender as necessidades do
negócio tão eficientemente quanto possível
• Garante o alinhamento dos negócios e da ...
• Ajuda os executivos a compreender e gerir investimentos de TI
em todo seu ...
2009 ISACA All Rights reserved. 53
54. ®
COBIT : Revisando
Como Suporta a Governança de TI?
• COBIT suporta a ... de TI ao fornecer um ... para
garantir que:
• A área de TI está ... com o negócio
• A TI possibilita a ... do negócio e maximiza os benefícios
• Os ... de TI são usados com responsabilidade
• Os ... de TI são gerenciados apropriadamente
2009 ISACA All Rights reserved. 54
55. ®
COBIT : Revisando
Quais os benefícios de se implementar o COBIT?
• Os benefícios de implementar o COBIT incluem:
• Uma linguagem comum para executivos de gestão e os
profissionais de TI
• Um melhor entendimento de como o negócio e de TI podem
trabalhar juntos para implementação bem sucedida das
iniciativas de TI
• Maior eficiência e otimização de custos
• Redução do ...
• Desenvolvimento de políticas claras
• Auditorias mais eficientes e bem-sucedidas
• Apropriação e responsabilidades claras, com base na orientação
do processo
2009 ISACA All Rights reserved. 55
56. ITIL v3 e CobiT 4.1: Como usar em conjunto?
27001/2
56 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
58. Próximo passo: NBR-ISO 27002
Norma equivalente à ISO/IEC 17799:2005
A segunda edição cancela e substitui a edição anterior
(ABNT NBR ISO/IEC 17799:2001), a qual foi
tecnicamente revisada
58 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
59. NBR-ISO 27002 – Ponto de Partida da Segurança da Informação
Controles baseados em requisitos legais e nas melhores práticas
Requisitos legais:
Proteção de dados e privacidade de informações pessoais (ver 15.1.4);
Proteção de registros organizacionais (ver 15.1.3);
Direitos de propriedade intelectual (ver 15.1.2).
Melhores práticas:
Documento da política de segurança da informação (ver 5.1.1);
Atribuição de responsabilidades para a segurança da informação (ver
6.1.3);
Conscientização, educação e treinamento em segurança da informação
(ver 8.2.2);
Processamento correto nas aplicações (ver 12.2);
Gestão de vulnerabilidades técnicas (ver 12.6);
Gestão da continuidade do negócio (ver seção 14);
Gestão de incidentes de segurança da informação e melhorias (ver 13.2).
59 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
60. NBR-ISO 27002 – Fatores Críticos de Sucesso (i)
Política de segurança da informação, objetivos e atividades,
que reflitam os objetivos do negócio;
Uma abordagem e uma estrutura para a implementação,
manutenção, monitoramento e melhoria da segurança da
informação que seja consistente com a cultura
organizacional;
Comprometimento e apoio visível de todos os níveis
gerenciais;
Um bom entendimento dos requisitos de segurança da
informação, da análise/avaliação de riscos e da gestão de
risco;
Divulgação eficiente da segurança da informação para todos
os gerentes, funcionários e outras partes envolvidas para se
alcançar a conscientização;
60 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
61. NBR-ISO 27002 – Fatores Críticos de Sucesso (ii)
Distribuição de diretrizes e normas sobre a política de
segurança da informação para lodos os gerentes,
funcionários e outras partes envolvidas;
Provisão de recursos financeiros para as atividades da
gestão de segurança da informação;
Provisão de conscientização, treinamento e educação
adequados;
Estabelecimento de um eficiente processo de gestão de
incidentes de segurança da informação;
Implementação de um sistema de medição, que seja
usado para avaliar o desempenho da gestão da
segurança da informação e obtenção de sugestões para
a melhoria.
61 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
62. NBR-ISO 27002 – Estrutura da Norma
Estruturada em 11 seções subdivididas em categorias
Cada categoria principal de segurança da informação contém:
Um objetivo de controle que define o que deve ser alcançado e
Um ou mais controles que podem ser aplicados para se alcançar o objetivo do
controle.
Seções da ISO 27002
Política de Segurança da Informação (1)
Organizando a Segurança da Informação (2)
Gestão de Ativos (2)
Segurança em Recursos Humanos (3)
Segurança Física e do Ambiente (2)
Gestão das Operações e Comunicações (10)
Controle de Acesso (7)
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6)
Gestão de Incidentes de Segurança da Informação (2)
Gestão da Continuidade do Negócio (1)
Conformidade (3)
62 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
63. NBR-ISO 27002 – Seções e Categorias
Documento da política de
segurança da informação
Política de Política de segurança da
segurança da informação informação
Análise critica da política
de segurança da
Informação
63 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
64. NBR-ISO 27002 – Seções e Categorias
Comprometimento da direção com a
segurança da informação
Coordenação da segurança da informação
Atribuição de responsabilidades para a
segurança da informação
Processo de autorização para os recursos de
processamento da informação
Organização interna
Acordos de confidencialidade
Contato com autoridades
Organizando a Contato com grupos especiais
segurança da informação
Análise crítica independente de segurança da
informação
Identificação dos riscos relacionados com
partes externas
Identificando a segurança da informação,
Partes externas quando tratando com os clientes
64 MBA - Auditoria de TI - Prof. Ciro Bacilla - Identificando segurança da informação nos
cbacilla@gmail.com Prof. Ciro Bacilla
acordos com terceiros
65. NBR-ISO 27002 – Seções e Categorias
Inventário dos ativos
Responsabilidade Proprietário dos
pelos ativos ativos
Uso aceitável dos
Gestão de ativos ativos
Recomendações para
classificação
Classificação da
informação
Rótulos e tratamento
da informação
65 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
66. NBR-ISO 27002 – Seções e Categorias
Papéis e responsabilidades
Antes da
Seleção
contratação
Termos e condições de contratação
Responsabilidades da direção
Segurança em
Durante a Conscientização, educação e treinamento em
recursos contratação segurança da informação
humanos
Processo disciplinar
Encerramento de atividades
Encerramento ou
mudança da Devolução de ativos
contratação
Retirada de direitos de acesso
66 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
67. NBR-ISO 27002 – Seções e Categorias
Perímetro de segurança física
Controles de entrada física
Segurança em escritórios, salas e instalações
Áreas seguras
Proteção contra ameaças externas e do meio ambiente
Trabalhando em áreas seguras
Acesso do público, áreas de entrega e de carregamento
Segurança física
e do ambiente Instalação e proteção do equipamento
Utilidades
Segurança do cabeamento
Segurança de
Manutenção dos equipamentos
equipamentos
Segurança de equipamentos fora das dependências da organização
Reutilização e alienação segura de equipamentos
Remoção de propriedade
67 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
68. NBR-ISO 27002 – Seções e Categorias
Documentação dos procedimentos de operação
Procedimentos e Gestão de mudanças
responsabilidades operacionais Segregação de funções
Separação dos recursos de desenvolvimento, teste e de produção
Entrega de serviços
Gerenciamento de serviços Monitoramento e análise crítica de serviços terceirizados
terceirizados Gerenciamento de mudanças para serviços terceirizados
Planejamento e aceitação dos Gestão de capacidade
sistemas Aceitação de sistemas
Proteção contra códigos Controles contra códigos maliciosos
maliciosos e códigos móveis Controles contra códigos móveis
Cópias de segurança Cópias de segurança das informações
Gerenciamento da segurança em Controles de redes
Gerenciamento das redes Segurança dos serviços de rede
operações e Gerenciamento de mídias removíveis
Descarte de mídias
comunicações Manuseio de mídias Procedimentos para tratamento de informação
Segurança da documentação dos sistemas
Políticas e procedimentos para troca de informações
Acordos para a troca de informações
Troca de informações Mídias em trânsito
Mensagens eletrônicas
Sistemas de informações do negócio
Comércio eletrônico
Serviços de comércio eletrônico Transações on-line
Informações publicamente disponíveis
Registros de auditoria
Monitoramento do uso do sistema
Proteção das informações dos registros (log)
Monitoramento Registros (log) de administrador e operador
Registros (log) de falhas
68 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Sincronização dos relógios Prof. Ciro Bacilla
69. NBR-ISO 27002 – Seções e Categorias
Requisitos de negócio para controle Política de controle de acesso
de acesso
Registro de usuário
Gerenciamento de privilégios
Gerenciamento de acesso do usuário
Gerenciamento de senha do usuário
Análise critica dos direitos de acesso de usuário
Uso de senhas
Responsabilidades dos usuários Equipamento de usuário sem monitoração
Política de mesa limpa e tela limpa
Política de uso dos serviços de rede
Autenticação para conexão externa do usuário
Identificação de equipamento em redes
Controle de acesso à rede Proteção de portas de configuração e diagnóstico remotos
Controle de
Segregação de redes
acessos Controle de conexão de rede
Controle de roteamento de redes
Procedimentos seguros de entrada no sistema (log-on)
Identificação e autenticação de usuário
Controle de acesso ao sistema Sistema de gerenciamento de senha
operacional Uso de utilitários de sistema
Limite de tempo de sessão
Limitação de horário de conexão
Controle de acesso à aplicação e à Restrição de acesso à informação
informação Isolamento de sistemas sensíveis
69 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com e comunicação móvel Bacilla
Computação móvel e trabalho remoto
Computação Prof. Ciro
Trabalho remoto
70. NBR-ISO 27002 – Seções e Categorias
Validação dos dados de entrada
Controle do processamento interno
Processamento correto nas
aplicações Integridade de mensagens
Validação de dados de saída
Política para o uso de controles
criptográficos
Controles criptográficos
Gerenciamento de chaves
Controle de software operacional
Segurança dos arquivos do Proteção dos dados para teste de
sistema sistema
Controle de acesso ao código-fonte
de programa
Procedimentos para controle de
mudanças
Análise crítica técnica das aplicações
após mudanças no sistema
operacional
Segurança em processos de Restrições sobre mudanças em
desenvolvimento e de suporte pacotes de software
Vazamento de informações
Desenvolvimento terceirizado de
software
Gestão de vulnerabilidades
70 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
técnicas
Prof. Ciro Bacilla
Controle de vulnerabilidades técnicas
71. NBR-ISO 27002 – Seções e Categorias
Notificação de eventos de
segurança da informação
Notificação de fragilidades e
eventos de segurança da
Informação
Notificando fragilidades de
segurança da informação
Gestão de incidentes de
segurança da informação Responsabilidades e
procedimentos
Gestão de incidentes de
Aprendendo com os incidentes
segurança da informação e de segurança da informação
melhorias
Coleta de evidências
71 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
72. NBR-ISO 27002 – Seções e Categorias
Incluindo segurança da informação no
processo de gestão da continuidade
de negócio
Continuidade de negócios e
análise/avaliação de riscos
Gestão da Aspectos da gestão da Desenvolvimento e implementação de
continuidade do continuidade do negócio, relativos planos de continuidade relativos à
negócio à segurança da informação segurança da informação
Estrutura do plano de continuidade
do negócio
Testes, manutenção e reavaliação dos
72 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com continuidade do Bacilla
planos de Prof. Ciro negócio