NBR/ISO 27002, COBIT e ITIL

AUDITORIA DE TECNOLOGIA DA
INFORMAÇÃO

NBR-ISO 27002,
ITIL, COBIT & CAATS

Prof. Ciro Bacilla
cbacilla@gmail.com

Tópicos a serem abordados neste encontro

 Gestão de serviços de TI baseado em ITIL
 Gestão de TI baseada no COBIT
 NBR-ISO 27002-2005 (antiga 17799-2005)
 Auditoria da Informação - CAATS

2 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla

ITIL - Information Technology
Infrastructure Library
 Conjunto de Melhores Práticas que orientam o
Gerenciamento de Serviço de TI
 Consiste em uma série de publicações que fornecem
recomendações para o provisionamento da Qualidade
dos Serviços de TI, e dos Processos e recursos
necessários para suportá-los.
 5 livros da ITIL Lifecycle Publication Suite (ITIL v3):
 Service Strategy
 Service Design
 Service Transition
 Service Operation
 Continual Service Improvement - cbacilla@gmail.com
3 MBA - Auditoria de TI - Prof. Ciro Bacilla Prof. Ciro Bacilla

ITIL – Pra quê usar?
 Como foca na medição contínua e na melhoria da
qualidade dos serviços entregues pela área de TI, de
uma perspectiva do negócio e do cliente, proporciona
uma série de benefícios às empresas, incluindo:
 Aumento da satisfação dos clientes em relação aos serviços
prestados pela TI
 Aumento da disponibilidade dos serviços, levando
diretamente a aumento dos lucros e resultados
 Economia advinda da redução de retrabalho, tempo
perdido, melhoria do gerenciamento e uso de recursos
 Melhoria do tempo de disponibilização de novos produtos e
serviços e
4 Melhoria da tomada deProf. Ciro Bacillaecbacilla@gmail.com de riscos Bacilla
MBA - Auditoria de TI - decisão - otimização Prof. Ciro

ITIL

Não é possível gerenciar o que não conseguimos controlar;
Não é possível controlar o que não conseguimos medir;
Não é possível medir o que não conseguimos definir.

Peter Drucker


ITIL
 Gerenciamento de Serviços
 Conjunto especializado de habilidades organizacionais para
fornecer valor a Clientes na forma de Serviços.
 Engloba muito mais que simplesmente a entrega de
serviços. Cada serviço, processo ou componente de
infraestrutura tem um Ciclo de Vida, e a abordagem do
Ciclo de Vida do Gerenciamento de Serviço considera a
Estratégia, Desenho, Transição, Operação e Melhoria
Continuada de Serviços de TI.
 Serviço:
 Um meio de fornecer algo que um Cliente perceba como
tendo certo valor, facilitando a obtenção de Resultados que
os Clientes desejam, sem que eles tenham que arcar com a
propriedade de determinados Custos e Riscos.

Modelo ITIL v3


ITIL v3 – Estratégia de Serviços
 Primeiro volume do ITIL, fornece uma visão do ITIL® que
alinha negócio e TI de modo que cada um extraia o que de
melhor existe no outro.
 Assegura que cada estágio do ciclo de vida do serviço
mantenha-se focado no business case e esteja relacionado a
todos os elementos de processos complementares que se
seguem.
 Os conceitos e a orientação incluídos são:
 Estratégia e planejamento de valor do
Gerenciamento de Serviços
 Vinculação de planos e direções de negócios a
estratégia de serviços de TI
 Planejamento e implementação de estratégia
de serviços
 Riscos e fatores críticos de sucesso

 Compreender as necessidades da ESTRATÉGIA DO
SERVIÇO antes de iniciar a execução das atividades
 Compreender a importância dessa fase no resultado
que será alcançado tanto pela tecnologia como para o
negócio
 Entender a participação na composição do ciclo de vida
 Processos dessa fase:
 Gerenciamento do portfólio de serviços
 Gerenciamento da demanda
 Gerenciamento financeiro


Propostas da Estratégia de Serviços
 Operar e crescer com sucesso e sustentabilidade a longo prazo
 Fazer com que o gerenciamento de serviços seja visto como um
ativo
 Compreender o relacionamento entre serviços, processos e
modelo de negócio
 Estabelecer as metas de TI e alinhá-las com as metas do negócio
 Auxiliar ainda nas questões abaixo:
 Que serviços devem ser oferecidos, e para quem?
 O que temos de diferente em relação à concorrência?
 Como geramos valor para os clientes?
 Como conseguimos patrocínio para os serviços?
 Como montar um caso para investimento estratégico?
 Como definir a qualidade do serviço?
 Como aperfeiçoar a qualidade do serviço?
11
 Como administrar os recursos necessários?
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla

 A Estratégia de Serviços trabalha com a análise
estratégica, planejamento, posicionamento e implementações
relativas aos modelos de serviço de TI, estratégias e objetivos
 Fornece a direção para efetivamente alavancar as capacidades de
Gerenciamento de Serviços para entregar valor aos clientes e
mostrar o valor dos fornecedores de serviço
 Os itens relativos a Pessoas, Processos e Produtos abaixo devem
ser combinados para a operacionalização dessa Unidade com a TI:
 Pessoas  Processos
 Service Definition Manager  Portfolio Management
 Financial Management
 Service Research Manager
 Demand Management
 Financial Analysis Manager
 Produtos
 Service Marketing Manager  Service Request & Planning Tools
 Service Forecast Manager  Service Knowledge & Configuration
12 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
Management Tools Prof. Ciro Bacilla


• Estabelece a Estratégia de
maneira geral para Serviços
de TI e para o Geren-
ciamento de Serviço de TI.

ITIL v3 – Desenho do Serviço
 Busca satisfazer os requisitos de negócio atuais e futuros
 Fornece orientação sobre a produção e a manutenção de
documentos, arquiteturas e políticas de TI para o desenho
de soluções e processos de serviços de TI apropriados e
inovadores.
 Objetivos e elementos do desenho do serviço
 Seleção do modelo de desenho do serviço
 Modelos de custo
 Análise de benefícios/riscos
 Implementação do desenho do serviço
 Medição e controle

 Fornece o direcionamento para o desenvolvimento do
serviço a ser entregue para o usuário.
 Trabalha com métodos específicos para planejar o que foi
definido na fase da estratégia.
 Aqui se encontram os conceitos de disponibilidade,
capacidade e continuidade dos serviços
 Os processos dessa fase são os seguintes:
 Gerenciamento do Nível do Serviço (SLM)
 Gerenciamento do Catálogo de Serviços (SCM)
 Gerenciamento de Disponibilidade (AM)
 Gerenciamento de Segurança da Informação (ISM)
 Gerenciamento da Capacidade (CM)
 Gerenciamento da Continuidade dos serviços de TI (ITCM)

15 GerenciamentoAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
 MBA - dos Fornecedores (SM) Prof. Ciro Bacilla

 Conceitos
 Provedores e fornecedores
 SLAs, OLAs e UCs
 Pessoas, Processos, Produtos e Parceiros
 Aspectos do Desenho
 Insourcing, Outsourcing e Multisourcing
 Principais aspectos
 Identificação dos requisitos do negócio
 Portfólio do serviço
 Mensuração do design
 Arquitetura tecnológica

16 Desenho do processoTI - Prof. Ciro Bacilla - cbacilla@gmail.com
 MBA - Auditoria de Prof. Ciro Bacilla

 O Desenho do Serviço (Service Design) traduz os
objetivos e o planejamento estratégico e cria os
desenhos e as especificações para execução através da
Transição de Serviço
 Security Engineering Manager  Service Catalogue Management
 Desktop Engineering Manager  Service Level Management
 Network Engineering Manager  Capacity Management
 Systems, Servers & Storage Engineering  Availability Management
Manager  Continuity Management
 Applications Engineering Manager  Information Security Management
 Supplier Management
 Produtos
 Service Catalogue Tools
 Service Level Management Tools
 Capacity Planning Tools

17 
 Service Modeling Tools
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla
Service Knowledge & Configuration Management Tools

ITIL v3 – Service Design


ITIL v3 – Transição do Serviço
 Aborda a função de gerenciamento de mudança de longo
prazo, mais abrangente, e as práticas de liberação, levando
em contra riscos, benefícios, mecanismo de entrega e
facilidade das operações contínuas dos serviços.
 Fornece atividades de processos e orientação para a
transição de serviços no ambiente corporativo.
 Os conceitos e a orientação incluídos nessa fase são:
 Gerenciamento de mudança organizacional e cultural
 Gerenciamento do conhecimento
 Sistemas de gerenciamento de conhecimento de
serviço
 Métodos, práticas e ferramentas

19 Melhores práticasAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
 MBA - complementares Prof. Ciro Bacilla

 Capta a lógica estabelecida pelo DESENHO DO SERVIÇO e
efetivamente implementa os pacotes recebidos
 É nessa fase que os serviços saem do projeto e passam para a
produção
 Fase essencial para o negócio e deve ser tratada com bastante
critério e responsabilidade
 Proposta dessa fase:
 Planejar e gerenciar a capacidade e recursos necessários para
empacotar, construir, testar e distribuir uma liberação em produção
 Fornecer uma estrutura consistente e rigorosa para avaliar a capacidade
de serviço e perfil de risco
 Estabelecer e manter a integridade de todos os Ativos de Serviço e
configurações identificadas
 Fornecer conhecimento e informação de boa qualidade
 Fornecer mecanismos de construção e instalação eficientes e repetitíveis
 Garantir que o processo possa ser gerenciado, operado e suportado de
acordo com os requisitos e limitações especificados dentro do Desenho
20 de Serviço MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla

 A Transição do Serviço fornece a orientação baseada no
Desenho do Serviço, assegurando que o serviço entregue
a estratégia pretendida e possa ser operado e mantido
eficientemente
 Security Asset Manager  Support & Transition Management
 Change Management
 Desktop Asset Manager
 Asset & Configuration Management
 Network Asset Manager  Release & Deploy Management
 Systems, Servers & Storage Asset Manager  Validation Management
 Applications Asset Manager  Evaluation Management
 Knowledge Management
 Produtos
 Asset Management Tool
 Service provision Tool
 Run Book Task Automation Tools
 Service Knowledge & Configuration
21 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Tools Prof. Ciro Bacilla
Management

ITIL v3 –Service Transition


ITIL v3 – Operação do Serviço
 Ao manter o foco nas atividades de processos de entrega e
controle, pode-se alcançar cotidianamente um estado
consistente, altamente desejável, de gerenciamento de
serviços.
 Orientações baseada em uma seleção de pontos de controle
familiares de suporte a serviço e entrega de serviço
 Gerenciamento de aplicação
 Gerenciamento de mudança
 Gerenciamento de operações
 Processos e funções de controle
 Práticas escalonáveis

 Nessa fase os serviços entregues pela Transição serão suportados
pelas equipes de TI
 Fase onde o cliente efetivamente sente os resultados das fases
anteriores do Ciclo de Vida do Serviço (Service Lifecycle), pois
recebe não somente o serviço mas também o modelo de suporte
para os serviços
 Processos de Service Operation
 Gerenciamento de Eventos (Event Mgmt)
 Gerenciamento de Incidentes (Incident Mgmt)
 Gerenciamento de Acesso (Access Mgmt)
 Gerenciamento de Problemas (Problem Mgmt)
 Requisições de Serviço (Request Fullfilment)
 Funções de Service Operation
 Service Desk
 Gerenciamento Técnico (Tech Mgmt)
 Gerenciamento de Operações (Operations Mgmt)
24 Gerenciamento -de Aplicações (Applications Mgmt)
 MBA Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Prof. Ciro Bacilla

 A Operação do Serviço fornece um guia para gerenciar um serviço
no dia-a-dia da produção. Fornece também orientações no
suporte a operações de por meio de novos modelos e arquiteturas
tais como serviços compartilhados, utility computing, web
services, e mobile commerce
 Event Management
 Security Operation Manager
 Incident Management
 Desktop Operations Manager  Problem Management
 Network Operations Manager  Fulfillment Management
 Access Management
 Systems, Server & Storage Operations Manager
 Service Desk Function Management
 Applications Operations Manager  Service Operations Function Management
 Technical Operations Function Management
 Application Operations Function Management
 Produtos
 Service Desk with Incident Management Tool
 Problem Management Tool
 Event Management Tool
 Run Book Technology Troubleshooting Tool
 Run Book Application Troubleshooting Tool

Prof. Ciro Bacilla
Service Knowledge & Configuration Management Tools

ITIL v3 – Service Operation


ITIL v3 – Melhoria Contínua do Serviço
 Lado a lado com a entrega de atividades de processos
repetíveis e consistentes como parte da qualidade do
serviço, ITIL® sempre enfatizou a importância de
aprimoramentos contínuos.
 Enfoca os elementos de processos envolvidos em identificar
e introduzir aprimoramentos ao gerenciamento de serviços,
também aborda a extinção de serviço.
 Alavancas de negócio e tecnológicas para
aprimoramentos
 Justificativa
 Aprimoramentos do negócio, financeiros e
organizacionais
 Métodos, práticas e ferramentas
 Melhores práticas complementares

 Nessa fase os processos e serviços entregues aos usuários e
clientes de TI passam por uma análise criteriosa de qualidade
 Busca-se maior desempenho com menores custos para otimizar os
processos de negócio e gerar valor para a organização
 Objetivos do CSI (Continuous Service Mgmt):
 Revisar e analisar e fazer recomendações de cada fase do ciclo de vida
 Revisar e analisar os resultados obtidos com os acordos de nível de
serviço (SLAs)
 Melhorar a qualidade dos serviços de TI
 Melhorar a eficiência dos processos capacitadores do ITSM
 Otimizar o custo-eficiência da entrega dos serviços
 Garantir métodos viáveis para gerenciamento da qualidade dos serviços
 Fornece ainda direcionamento para:
 Melhoria dos serviços
 Melhoria da eficiência e eficácia dos processos
 Melhoria de todas as fases do ciclo de vida
28 Medição dosMBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
 processos e serviços Prof. Ciro Bacilla

 A Melhoria Contínua do Serviço (Continual Service Improvement) fornece
orientações para medir a performance dos serviços através do Ciclo de
Vida do Serviço, sugerindo melhorias na qualidade do serviço, eficiência
operacional e continuidade dos negócios
 Pessoas
 Service Measurement Manager
 Quality Measurement Manager
 Compliance Measurement Manager
 Security Measurement Manager
 Resource Measurement Manager
 Processos
 IT Governance Management (using COBIT best practices)
 IT Resource Management (using PMI methods)
 IT Quality Management (using Six Sigma methods)
 IT Security Management (using ISO standards)
 Produtos
 Compliance Management & Measurement Tools
29 Service KnowledgeAuditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
 MBA - & Configuration Management Tools Prof. Ciro Bacilla

ITIL v3 – Continuous Service Management
• Definição de metas a • Execução das tarefas
serem alcançadas definidas no planejamento
• Definição do método para • Coleta dos dados para
alcançá-las próxima etapa de
verificação do processo
• Educação, treinamento e
conscientização

Plan Do

Act Check
• Definir soluções que • Verificar se o executado está
eliminem as causas da conforme o planejado
falha • Se a meta foi alcançada,
• Avaliar a viabilidade para dentro do método definido
que as ações sejam
30
implantadas
• Identificar osProf. Ciro Bacilla
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
ou no método
desvios na meta

ITIL v3 – Continuous Service Management
Os sete passos da Melhoria Contínua do Serviço
Definir o que deve ser medido

Determinar o que pode ser medido
IDENTIFICAR: Visão e Estratégia
Metas Operacionais e Táticas

Coletar os dados sobre os processos

Processar os dados coletados

Analisar as informações geradas pela fase anterior

Definir os planos de ação para correção e/ou melhorias

Implementar a correção

COBIT


A TI requer supervisão executiva

Por bons motivos:

• As dificuldades de uma companhia fabricante de vestuário na
instalação de um software de cadeia de produção custaram
aprox. US$ 200 milhões

• Uma empresa de capital aberto admitiu que um colapso virtual
do seu sistema de relatórios financeiro reduziu seu valor de
mercado em um terço em um único dia

• Um colapso operacional após a fusão de duas empresas de
transporte foi rastreado como sendo a incapacidade de coordenar
os seus sistemas de TI

2009 ISACA All Rights reserved. 35

A supervisão pode levar à criação de valor

A TI também pode fornecer
benefícios significativos:
• A transformação da cadeia de abastecimento de uma grande
companhia aérea melhorou a previsão da demanda, reduziu os
custos de aquisição e aumentou os níveis de serviço, com
diminuição de custos

• Uma empresa de produtos de tecnologia e serviços economizou
US$ 12 bilhões em dois anos, conectando peças díspares da sua
cadeia de suprimentos, consequentemente reduzindo os níveis de
inventário


Governança de TI é o ponto chave
• As empresas estão
sacrificando dinheiro,
produtividade e vantagem
competitiva por não
implementar a governança de
TI eficaz

• Os executivos precisam de
uma maneira melhor de:
• Dirigir a TI para obtenção de
benefícios
– Medir o valor fornecido pela TI
– Gerenciar os riscos pertinentes
à área de TI


®
COBIT é um roteiro para a boa governança de TI

• Aceito mundialmente como um conjunto de ferramentas que
garante que a área de TI está trabalhando efetivamente
• Funciona como um framework abrangente
• Fornece linguagem comum para se comunicar metas,
objetivos e resultados esperados para todos os interessados
• Baseado em, e integrado a, padrões de indústria e boas
práticas em:
– Alinhamento estratégico da TI com os objetivos de negócio
– Valor dos serviços prestados e novos projetos
– Gerenciamento de risco
– Gerenciamento de recursos
– Gerenciamento de desempenho (Performance)


Desenvolvido pelo líder em governança de TI

Control Objectives for Information and related Technology

Associação de 86.000 membros. Líder mundial em
governança de TI, controle, segurança e garantia de serviços.

Oferece os exames de certificação CISA, CISM e CGEIT.


®
Benefícios do COBIT para os Negócios
COBIT® fornece orientação para a gestão
executiva para governança de TI dentro da
empresa
• Instrumentos mais eficazes para a TI dar suporte aos
objetivos de negócio
• Custos do ciclo de vida de TI mais transparentes e
previsíveis
• Informações da TI mais oportunas e confiáveis
• Maior qualidade de serviços de TI e projetos mais bem
sucedidos
• Gerenciamento mais efetivo dos riscos relacionados à
área de TI


Harmonizando os elementos da Governança de TI

IT
Governance

Gerenciamento
de Recursos


Olhando mais de perto o


COBIT® Responde questões-chave dos Negócios

Is my information technology
organisation doing the right things?

Are we doing them the right way?

Are we getting them done well?

Are we getting the benefits? *

* Based on the “Four Ares” as described by John Thorp in his book The Information Paradox,
written jointly with Fujitsu, first published in 1998 and revised in 2003


®
O Framework COBIT


®
COBIT Define Processos, Objetivos e Métricas
Relacionamento
entre Processos,
Objetivos e
Métricas (DS5)


Definição de Responsabilidades para Cada Processo
Modelo de matriz de autoridade que pode ser utilizada dentro da
organização para definir papéis e responsabilidades específicas.

Identifica quem é
• (Responsible) - Responsável por executar a
tarefa, isto é, a própria pessoa a fazer o trabalho Modelo RACI
para completar a tarefa
• Accountable - Cobrado pela tarefa que está sendo
executada. É quem entrega o trabalho, mesmo Funções
que outras pessoas estejam executando
• Consulted - Consultado(s) cuja entrada é usada
para completar a tarefa, assim, a comunicação
com este grupo será de 2 vias
• Informed – Informado(s) sobre o status da tarefa.
A comunicação é de mão única (ida).

Atividades
A/
Vincular os objetivos de negócio aos objetivos da TI. C I
R
I C

A/
Identificar dependências críticas e desempenho atual. C C R
R
C C C C C C

Criar um planejamento estratégico de TI. A C C R I C C C C I C

Criar planos táticos da TI. C I A C C C C C R I

Analisar portfolios de programas e gerenciar
C I I A R R C R C C I
portfolios de projetos e de serviços.


®
Produtos COBIT e suas Audiências Primárias

OS produtos COBIT
foram organizados em
três níveis, projetados
para apoiar:
• A gerência executiva
e conselhos
• Negócios e
gerenciamento de TI
• A governança,
controle, segurança
e profissionais de
segurança

COBIT User Guide for
Service Managers

COBIT and
Application Controls

COBIT, Risk IT and Implementing and
Val IT frameworks Continually Improving
IT Governance


®
COBIT Harmoniza com Outros Padrões

• COBIT é frequentemente
usado no mais alto nível de
governança de TI
• Harmoniza as práticas e
normas, tais como ITIL, ISO
27001 e 27002 e PMBOK
– Melhora seu alinhamento às
necessidades do negócio
– Abrange ampla gama de
atividades relacionadas a TI
– Projetado para ser
complementar a, e usado em 27001/2

conjunto com, outras normas
e boas práticas


®
Os 4 Domínios Interrelacionados do COBIT
• Para governar efetivamente
a área de TI, é importante Planejar e Organizar (PO)
considerar as atividades e
os riscos da TI que precisam
ser gerenciados.
Adquirir e Entregar e
• Geralmente ordenados nos
domínios de responsabili- Implementar Dar Suporte
dade: planejar, criar, (AI) (DS)
executar e monitorar.
• No framework COBIT, estes
domínios são denominados Monitorar e Avaliar (ME)
• Planejar e Organizar (PO), que
norteia a entrega de soluções
(AI) e entrega de serviço (DS) • Entregar e Dar Suporte (DS), que recebe as
• Adquirir e Implementar soluções e as faz usáveis pelos usuários e
(AI), que fornece as soluções e • Monitorar e Avaliar (ME), o qual monitora
as encaminha para serem todos os processos e assegura que a
transformadas em serviços direção fornecida está sendo seguida


Fronteiras de Controle de Negócios, Gerais e de Aplicação

Responsabilidade Responsabilidade Responsabilidade
do Negócio da TI do Negócio

Controles Controles Controles
de Negócio Gerais de TI de Negócio

Requisitos
Funcionais
Serviços
Requisitos Automatizados
de Controle

Controles de
Aplicação


Utilizado por organizações em todo o mundo

‘Continuamos a recomendar que as empresas utilizem [COBIT] para
desafiar os seus procedimentos de governança de TI já estabelecidos
e melhorar os controles que já possuem.’
—Gartner

(para estudos de caso completos, visite www.isaca.org/cobitcasestudies)


Para Saber Mais
Visite www.isaca.org/cobit para fazer o download do framework COBIT®


®
COBIT : Revisando
O que faz?
• Aumenta a ... e a ... da área de TI
• Ajuda a TI a compreender as ...
• Posiciona as práticas de modo a atender as necessidades do
negócio tão eficientemente quanto possível
• Garante o alinhamento dos negócios e da ...
• Ajuda os executivos a compreender e gerir investimentos de TI
em todo seu ...


®
COBIT : Revisando
Como Suporta a Governança de TI?
• COBIT suporta a ... de TI ao fornecer um ... para
garantir que:
• A área de TI está ... com o negócio
• A TI possibilita a ... do negócio e maximiza os benefícios
• Os ... de TI são usados com responsabilidade
• Os ... de TI são gerenciados apropriadamente


®
COBIT : Revisando
Quais os benefícios de se implementar o COBIT?
• Os benefícios de implementar o COBIT incluem:
• Uma linguagem comum para executivos de gestão e os
profissionais de TI
• Um melhor entendimento de como o negócio e de TI podem
trabalhar juntos para implementação bem sucedida das
iniciativas de TI
• Maior eficiência e otimização de custos
• Redução do ...
• Desenvolvimento de políticas claras
• Auditorias mais eficientes e bem-sucedidas
• Apropriação e responsabilidades claras, com base na orientação
do processo


ITIL v3 e CobiT 4.1: Como usar em conjunto?

27001/2


ITIL© V3 - Cobit© 4th Mapping Service Service Service Service
Continual

Mapeamento ITIL v3 x CobiT 4.1
Service
Strategy Design Transition Operation
Improve-ment
Mapeamento ITIL v3 x CobiT 4.1

Service Asset & Configuration Mgmt

Service Measurement & Control
Transition Planning & Support

Release & Deployment Mgmt

Return on Investment on CSI
Service Validation & Testing
Information Security Mgmt
IT Service Continuity Mgmt
IT Financial Management

Service Catalogue Mgmt
Service Portfolio Mgmt

Incident Management
Strategy Generation

Service Level Mgmt

Request Fulfilment
Knowledge Mgmt
Availability Mgmt

Service Reporting
Demand Mgmt

Capacity Mgmt

Problem Mgmt
Supplier Mgmt

Change Mgmt

Access Mgmt
Event Mgmt
Evaluation
PO Plan & Organise
PO1 Define a Strategic IT Plan x x
PO2 Define the Information Architecture x x x x x
PO3 Determine Technological Direction x x x x
PO4 Define the IT Processes, Organisation and Relationships x x x x x x x x x x x x x
PO5 Manage the IT Investment x x x
PO6 Communicate Management Aims and Direction x x x x x
PO7 Manage IT Human Resources x
PO8 Manage Quality x x x x x x x x x x x x x x x x x x x x x x
PO9 Assess and Manage IT Risks x x x x x x x x x x x x x x x
PO10 Manage Projects x x x x x

AI Acquire & Implement
AI1 Identify Automated Solutions x x x x
AI2 Acquire and Maintain Application Software x x
AI3 Acquire and Maintain Technology Infrastructure x x x x
AI4 Enable Operation and Use x x x x x
AI5 Procure IT Resources x x
AI6 Manage Changes x x x
AI7 Install and Accredit Solutions and Changes x x x x

DS Deliver & Support
DS1 Define and Manage Service Levels x x x
DS2 Manage Third-Party Services x x
DS3 Manage Performance and Capacity x x
DS4 Ensure Continuous Service x
DS5 Ensure Systems Security x
DS6 Identify and Allocate Costs x
DS7 Educate and Train Users x x
DS8 Manage Service Desk and Incidents x x
DS9 Manage the Configuration x
DS10 Manage Problems x
DS11 Manage Data x
DS12 Manage Physical Environment x x x
DS13 Manage Operations x x x x

ME Monitor and Evaluate

57 ME1
ME2
ME3
ME4
Monitor and Evaluate IT Performance
MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com
Monitor and Evaluate Internal Control
Ensure Regulatory Compliance
Provide IT Governance
x
x
x
x x x x
x

x
x x
x

x
x x

x
x
x

x
x
x

x
x
x

x x
x

x x
x
x
Prof. Ciro xBacilla
x x

x
x
x x

Próximo passo: NBR-ISO 27002
 Norma equivalente à ISO/IEC 17799:2005
 A segunda edição cancela e substitui a edição anterior
(ABNT NBR ISO/IEC 17799:2001), a qual foi
tecnicamente revisada


NBR-ISO 27002 – Ponto de Partida da Segurança da Informação
 Controles baseados em requisitos legais e nas melhores práticas
 Requisitos legais:
 Proteção de dados e privacidade de informações pessoais (ver 15.1.4);
 Proteção de registros organizacionais (ver 15.1.3);
 Direitos de propriedade intelectual (ver 15.1.2).
 Melhores práticas:
 Documento da política de segurança da informação (ver 5.1.1);
 Atribuição de responsabilidades para a segurança da informação (ver
6.1.3);
 Conscientização, educação e treinamento em segurança da informação
(ver 8.2.2);
 Processamento correto nas aplicações (ver 12.2);
 Gestão de vulnerabilidades técnicas (ver 12.6);
 Gestão da continuidade do negócio (ver seção 14);
 Gestão de incidentes de segurança da informação e melhorias (ver 13.2).

NBR-ISO 27002 – Fatores Críticos de Sucesso (i)
 Política de segurança da informação, objetivos e atividades,
que reflitam os objetivos do negócio;
 Uma abordagem e uma estrutura para a implementação,
manutenção, monitoramento e melhoria da segurança da
informação que seja consistente com a cultura
organizacional;
 Comprometimento e apoio visível de todos os níveis
gerenciais;
 Um bom entendimento dos requisitos de segurança da
informação, da análise/avaliação de riscos e da gestão de
risco;
 Divulgação eficiente da segurança da informação para todos
os gerentes, funcionários e outras partes envolvidas para se
alcançar a conscientização;

NBR-ISO 27002 – Fatores Críticos de Sucesso (ii)
 Distribuição de diretrizes e normas sobre a política de
segurança da informação para lodos os gerentes,
funcionários e outras partes envolvidas;
 Provisão de recursos financeiros para as atividades da
gestão de segurança da informação;
 Provisão de conscientização, treinamento e educação
adequados;
 Estabelecimento de um eficiente processo de gestão de
incidentes de segurança da informação;
 Implementação de um sistema de medição, que seja
usado para avaliar o desempenho da gestão da
segurança da informação e obtenção de sugestões para
a melhoria.

NBR-ISO 27002 – Estrutura da Norma
 Estruturada em 11 seções subdivididas em categorias
 Cada categoria principal de segurança da informação contém:
 Um objetivo de controle que define o que deve ser alcançado e
 Um ou mais controles que podem ser aplicados para se alcançar o objetivo do
controle.
 Seções da ISO 27002
 Política de Segurança da Informação (1)
 Organizando a Segurança da Informação (2)
 Gestão de Ativos (2)
 Segurança em Recursos Humanos (3)
 Segurança Física e do Ambiente (2)
 Gestão das Operações e Comunicações (10)
 Controle de Acesso (7)
 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6)
 Gestão de Incidentes de Segurança da Informação (2)
 Gestão da Continuidade do Negócio (1)
 Conformidade (3)

NBR-ISO 27002 – Seções e Categorias

Documento da política de
segurança da informação
Política de Política de segurança da
segurança da informação informação
Análise critica da política
de segurança da
Informação


Comprometimento da direção com a

Coordenação da segurança da informação

Atribuição de responsabilidades para a
Processo de autorização para os recursos de
processamento da informação
Organização interna
Acordos de confidencialidade

Contato com autoridades

Organizando a Contato com grupos especiais
Análise crítica independente de segurança da
informação
Identificação dos riscos relacionados com
partes externas
Identificando a segurança da informação,
Partes externas quando tratando com os clientes

64 MBA - Auditoria de TI - Prof. Ciro Bacilla - Identificando segurança da informação nos
cbacilla@gmail.com Prof. Ciro Bacilla
acordos com terceiros


Inventário dos ativos

Responsabilidade Proprietário dos
pelos ativos ativos

Uso aceitável dos
Gestão de ativos ativos

Recomendações para
classificação
Classificação da
informação
Rótulos e tratamento
da informação

Papéis e responsabilidades

Antes da
Seleção
contratação

Termos e condições de contratação

Responsabilidades da direção

Segurança em
Durante a Conscientização, educação e treinamento em
recursos contratação segurança da informação
humanos
Processo disciplinar

Encerramento de atividades

Encerramento ou
mudança da Devolução de ativos
contratação
Retirada de direitos de acesso

Perímetro de segurança física

Controles de entrada física

Segurança em escritórios, salas e instalações
Áreas seguras
Proteção contra ameaças externas e do meio ambiente

Trabalhando em áreas seguras

Acesso do público, áreas de entrega e de carregamento
Segurança física
e do ambiente Instalação e proteção do equipamento

Utilidades

Segurança do cabeamento
Segurança de
Manutenção dos equipamentos
equipamentos
Segurança de equipamentos fora das dependências da organização

Reutilização e alienação segura de equipamentos

Remoção de propriedade

Documentação dos procedimentos de operação

Procedimentos e Gestão de mudanças

responsabilidades operacionais Segregação de funções

Separação dos recursos de desenvolvimento, teste e de produção

Entrega de serviços
Gerenciamento de serviços Monitoramento e análise crítica de serviços terceirizados
terceirizados Gerenciamento de mudanças para serviços terceirizados

Planejamento e aceitação dos Gestão de capacidade

sistemas Aceitação de sistemas

Proteção contra códigos Controles contra códigos maliciosos

maliciosos e códigos móveis Controles contra códigos móveis

Cópias de segurança Cópias de segurança das informações

Gerenciamento da segurança em Controles de redes

Gerenciamento das redes Segurança dos serviços de rede

operações e Gerenciamento de mídias removíveis

Descarte de mídias

comunicações Manuseio de mídias Procedimentos para tratamento de informação

Segurança da documentação dos sistemas

Políticas e procedimentos para troca de informações

Acordos para a troca de informações

Troca de informações Mídias em trânsito

Mensagens eletrônicas

Sistemas de informações do negócio

Comércio eletrônico

Serviços de comércio eletrônico Transações on-line

Informações publicamente disponíveis

Registros de auditoria

Monitoramento do uso do sistema

Proteção das informações dos registros (log)
Monitoramento Registros (log) de administrador e operador

Registros (log) de falhas

68 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com Sincronização dos relógios Prof. Ciro Bacilla

Requisitos de negócio para controle Política de controle de acesso
de acesso
Registro de usuário
Gerenciamento de privilégios
Gerenciamento de acesso do usuário
Gerenciamento de senha do usuário
Análise critica dos direitos de acesso de usuário
Uso de senhas
Responsabilidades dos usuários Equipamento de usuário sem monitoração
Política de mesa limpa e tela limpa
Política de uso dos serviços de rede
Autenticação para conexão externa do usuário
Identificação de equipamento em redes
Controle de acesso à rede Proteção de portas de configuração e diagnóstico remotos
Controle de
Segregação de redes
acessos Controle de conexão de rede
Controle de roteamento de redes
Procedimentos seguros de entrada no sistema (log-on)
Identificação e autenticação de usuário
Controle de acesso ao sistema Sistema de gerenciamento de senha
operacional Uso de utilitários de sistema
Limite de tempo de sessão
Limitação de horário de conexão
Controle de acesso à aplicação e à Restrição de acesso à informação
informação Isolamento de sistemas sensíveis

69 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com e comunicação móvel Bacilla
Computação móvel e trabalho remoto
Computação Prof. Ciro
Trabalho remoto


Validação dos dados de entrada

Controle do processamento interno
Processamento correto nas
aplicações Integridade de mensagens

Validação de dados de saída
Política para o uso de controles
criptográficos
Controles criptográficos
Gerenciamento de chaves

Controle de software operacional
Segurança dos arquivos do Proteção dos dados para teste de
sistema sistema
Controle de acesso ao código-fonte
de programa
Procedimentos para controle de
mudanças
Análise crítica técnica das aplicações
após mudanças no sistema
operacional
Segurança em processos de Restrições sobre mudanças em
desenvolvimento e de suporte pacotes de software
Vazamento de informações
Desenvolvimento terceirizado de
software
Gestão de vulnerabilidades
técnicas
Prof. Ciro Bacilla
Controle de vulnerabilidades técnicas


Notificação de eventos de
Notificação de fragilidades e
eventos de segurança da
Informação
Notificando fragilidades de

Gestão de incidentes de
segurança da informação Responsabilidades e
procedimentos

Gestão de incidentes de
Aprendendo com os incidentes
segurança da informação e de segurança da informação
melhorias

Coleta de evidências


Incluindo segurança da informação no
processo de gestão da continuidade
de negócio

Continuidade de negócios e
análise/avaliação de riscos

Gestão da Aspectos da gestão da Desenvolvimento e implementação de
continuidade do continuidade do negócio, relativos planos de continuidade relativos à
negócio à segurança da informação segurança da informação

Estrutura do plano de continuidade
do negócio

Testes, manutenção e reavaliação dos
72 MBA - Auditoria de TI - Prof. Ciro Bacilla - cbacilla@gmail.com continuidade do Bacilla
planos de Prof. Ciro negócio

NBR/ISO 27002, COBIT e ITIL

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a NBR/ISO 27002, COBIT e ITIL

Semelhante a NBR/ISO 27002, COBIT e ITIL (20)

Último

Último (9)

NBR/ISO 27002, COBIT e ITIL