Pós-Graduação 2009                COBIT                                Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, ...
Índice COBIT1.    Introdução2.    Domínios e processos de Tecnologia3.    Requisitos de Negócio4.    Requisitos e Conceito...
Introdução COBIT Control OBjectives to Information    and related Technologies           Baseado nas definições da ISACA ...
Introdução ISACA•   + 34.000 profissionais (TI, Segurança e Auditores)•   Presente em mais de 100 países;•   Total de 180...
Introdução Missão COBIT “Pesquisar, desenvolver, publicar e promover um conjunto de  Objetivos de Controle, com autoridad...
Introdução Pontos fortes x fracos   ?          Fortalezas                 Fraquezas                   !          - Proce...
Introdução Objetivo de Controle“A formalização sobre “resultado desejado”     ou “propósito a ser alcançado” pela    impl...
Introdução Divisões COBIT• Sumário Executivo      Alta Administração: CEO / CIO• Governance & Control Framework (Estrutu...
Introdução Divisões COBIT• Diretrizes de Gerência       Gerência de Negócios (Operacional), Diretoria,       Gerência d...
Introdução Regra fundamentalPara prover informações relevantes para   a corporação cumprir seus objetivos,    os recursos...
Domínio e processos de tecnologia O cubo COBIT(3 eixos)                  [ 4 x 34 x 210 ]                        50      ...
Processos de Tecnologia Domínio, Processos e Atividades                Agrupamento natural de processos,                e...
Metodologia, Estrutura e escopoEscopoEstruturaDomíniosProcessosObjetivos                    52                CON – A4
Metodologia, Estrutura e escopo        53                CON – A4
Metodologia, Estrutura e escopo...        54                CON – A4
Requisitos de Negócio Critérios para Informações (fiduciários)•   Effectiveness - Eficácia    Informações relevantes e pe...
Requisitos de Negócio Critérios para Informações (segurança)•   Confidentiality – Confidencialidade    Refere-se à proteç...
Requisitos de Negócio Critérios para Informações (qualidade)•   Quality - Qualidade    Condição na qual é oferecido o “en...
Requisitos e Conceitos Recursos de Tecnologia•   Data – Dados    Objetos de dados no seu sentido mais amplo: externos e i...
Requisitos e Conceitos Recursos de Tecnologia•   Facilities (Instalações)    Ambientes ou instalações que comportam e apo...
Domínio e processos de tecnologia Domínio, Processos e Atividades                Agrupamento natural de processos,       ...
Domínio dos objetivos de Controle Domínios COBIT 1. Planejamento e Organização    Planning & Organization        [PO] 2. ...
Domínio dos objetivos de Controle 1. Planejamento e Organização                [PO] •   Estratégia e planejamento tático ...
Domínio dos objetivos de Controle 1. Planejamento e Organização                    [PO]  PO1    Definição de um Plano Est...
Domínio dos objetivos de Controle 2. Aquisição e Implantação                      [AI] •   Realização da estratégia de te...
Domínio dos objetivos de Controle 2. Aquisição e Implantação                        [AI]AI1   Identificação de soluções “...
Domínio dos objetivos de Controle 3. Entrega e Suporte                         [DS] •   Entrega efetiva dos serviços requ...
Domínio dos objetivos de Controle 3. Entrega e Suporte                                 [DS] DS1    Definição e Gerenciame...
Domínio dos objetivos de Controle 4. Monitoração                                 [ME] •   Avaliação freqüente de todos pr...
Domínio dos objetivos de Controle 4. Monitoração                                         [ME]  ME1   Monitoração e Avalia...
Como utilizar a Metodologia Selecionando os Business Drivers      Através de entrevistas realizadas com os  responsáveis ...
Como utilizar a Metodologia Selecionando os IT Drivers    Tendo como referência os Direcionadores de       Negócio (Busin...
Como utilizar a Metodologia Questionários/Auto-Avaliações – Objetivos:•     Identificar quem são os responsáveis pelos as...
Como utilizar a Metodologia Assess Risks                     73                CON – A4
Como utilizar a Metodologia Identificação - preocupações tecnológicas                    74                 CON – A4
Como utilizar a Metodologia Zoom                75                CON – A4
Como utilizar a Metodologia Atendendo os resultados…•   Selecionar Business drivers com maior # de IT drivers suportando-...
Porque adotar a Metodologia? Porque adotar a metodologia?•   Ênfase na administração corporativa•   Gerenciamento das res...
Porque adotar a Metodologia? COBIT para o Security Officer•   Pode ser usado como um modelo para um programa de    segura...
Porque adotar a Metodologia? Mitos do COBIT •   Ferramenta exclusiva de “Compliance”; •   Implantação depende Auditoria; ...
Porque adotar a Metodologia?      80                CON – A4
Exercício 1 Who made Who?                  81         CON – A4
Exercício 2 Definir:•   Modelo de negócio;•   Processo de Tecnologia;•   Atividade relacionada;•   Recurso de Tecnologia;...
Linkshttp://www.bsi-global.com/http://www.iec.chhttp://www.iso.orghttp://www.controlit.orghttp://www.abnt.org.brhttp://www...
Dúvidas ?84        CON – A4
Fim85   CON – A1
Próximos SlideShares
Carregando em…5
×

CObIT Module - OverView

713 visualizações

Publicada em

CObIT OverView, Class #6

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
713
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
24
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

CObIT Module - OverView

  1. 1. Pós-Graduação 2009 COBIT Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  2. 2. Índice COBIT1. Introdução2. Domínios e processos de Tecnologia3. Requisitos de Negócio4. Requisitos e Conceitos5. Domínio e objetivos de Controle6. Como utilizar a metodologia7. Porque adotar a metodologia8. Exercício9. Links10. Dúvidas 41 CON – A4
  3. 3. Introdução COBIT Control OBjectives to Information and related Technologies Baseado nas definições da ISACA (Information Systems Audit and Control Association) 42 CON – A4
  4. 4. Introdução ISACA• + 34.000 profissionais (TI, Segurança e Auditores)• Presente em mais de 100 países;• Total de 180 capítulos• Oferece preparação para a certificação:  CISA – Certified Information Systems Auditor  CISM – Certified Information Security Manager• Programas específicos excelência IT Governance 43 CON – A4
  5. 5. Introdução Missão COBIT “Pesquisar, desenvolver, publicar e promover um conjunto de Objetivos de Controle, com autoridade e foco internacional, aceitos e aplicáveis à Tecnologia da Informação, para o uso rotineiro de gerentes de negócio, auditores e profissionais de segurança da informação.” Visão COBIT “Ser modelo para Governança em TI” 44 CON – A4
  6. 6. Introdução Pontos fortes x fracos ? Fortalezas Fraquezas ! - Processos Operação; - Segurança; ITIL - Serviços (D&S). - Desenvolvimento. IT Mgmt - Controles; - São linhas gerais (macro); CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls - Auditoria. - Segurança. - Controles; - Um guia genérico; 2700x - Recomendações; - Sem material específico. Security Mgmt - Segurança. - Processos & Procedimentos 45 CON – A4
  7. 7. Introdução Objetivo de Controle“A formalização sobre “resultado desejado” ou “propósito a ser alcançado” pela implementação de procedimentos de Controle em atividades específicas à Tecnologia da Informação” 46 CON – A4
  8. 8. Introdução Divisões COBIT• Sumário Executivo  Alta Administração: CEO / CIO• Governance & Control Framework (Estrutura)  Diretores de TI e Auditoria de Sistemas (• Objetivos de Controle  Gerência de TI e Auditoria de Sistemas• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)  Profissionais de Auditoria (business process and goals) 47 CON – A4
  9. 9. Introdução Divisões COBIT• Diretrizes de Gerência  Gerência de Negócios (Operacional), Diretoria,  Gerência de TI, Gerência de Controles/Auditoria• Conjunto de Ferramentas de Implementação  Diretor de TI e Auditoria / Controle  Gerência de TI e Gerência de Auditoria / Controles 48 CON – A4
  10. 10. Introdução Regra fundamentalPara prover informações relevantes para a corporação cumprir seus objetivos, os recursos tecnológicos precisam ser administrados por um conjunto de processos agrupados naturalmente. 49 CON – A4
  11. 11. Domínio e processos de tecnologia O cubo COBIT(3 eixos) [ 4 x 34 x 210 ] 50 CON – A4
  12. 12. Processos de Tecnologia Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 51 CON – A4
  13. 13. Metodologia, Estrutura e escopoEscopoEstruturaDomíniosProcessosObjetivos 52 CON – A4
  14. 14. Metodologia, Estrutura e escopo 53 CON – A4
  15. 15. Metodologia, Estrutura e escopo... 54 CON – A4
  16. 16. Requisitos de Negócio Critérios para Informações (fiduciários)• Effectiveness - Eficácia Informações relevantes e pertinentes ao processo de negócio, fornecidas de forma oportuna, correta, consistente e prontas para uso.• Efficiency - Eficiência Refere-se ao fornecimento de informações através do uso mais produtivo e econômico dos recursos disponíveis.• Reliability of information - Confiabilidade da Informação Refere-se a sistemas que forneçam informações adequadas à administração, tomada de decisão e operação da organização. Elaboração de relatórios, Informações aos órgãos reguladores, Ações estratégicas, táticas ou operacionais• Compliance - Aderência Leis, regulamentos, normas, etc. Imposições ao andamento do negócio. 55 CON – A4
  17. 17. Requisitos de Negócio Critérios para Informações (segurança)• Confidentiality – Confidencialidade Refere-se à proteção de informações confidenciais contra divulgação não autorizada.• Integrity – Integridade Refere-se à integridade das informações, bem como à sua validade com base no conjunto de valores e expectativas do negócio.• Availability – Disponibilidade Refere-se à disponibilidade das informações no momento em que forem necessárias ao processo de negócio. 56 CON – A4
  18. 18. Requisitos de Negócio Critérios para Informações (qualidade)• Quality - Qualidade Condição na qual é oferecido o “entregável”.• Costs – Custos Valor envolvido na “informação” referenciado. Pode ser mensurável ou imensurável.• Forecast - Prazo Quão próximo ou previsível encontram-se os dados solicitados, previamente ou ASAP. 57 CON – A4
  19. 19. Requisitos e Conceitos Recursos de Tecnologia• Data – Dados Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e não-estruturados, gráficos, som, texto, imagem, etc.• Application Systems - Sistemas Aplicativos Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados.• Technology - Tecnologia Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc. 58 CON – A4
  20. 20. Requisitos e Conceitos Recursos de Tecnologia• Facilities (Instalações) Ambientes ou instalações que comportam e apoiam os sistemas de informática.• People (Pessoas) Capacidade, conscientização e produtividade do pessoal para o planejamento, organização, aquisição, entrega, apoio e monitoração dos sistemas e serviços de informática. 59 CON – A4
  21. 21. Domínio e processos de tecnologia Domínio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domínio de responsabilidade da organização. Série de atividades naturalmente agrupadas. Ações necessárias para se atingir um resultado mensurável. 60 CON – A4
  22. 22. Domínio dos objetivos de Controle Domínios COBIT 1. Planejamento e Organização Planning & Organization [PO] 2. Aquisição e Implantação Acquisition & Implementation [AI] 3. Entrega e Suporte Delivery & Support [DS] 4. Monitoração e Avaliação Monitoring & Evaluate [ME] 61 CON – A4
  23. 23. Domínio dos objetivos de Controle 1. Planejamento e Organização [PO] • Estratégia e planejamento tático de tecnologia • Suporte aos objetivos de negócio da companhia • Planejamento, comunicação e gerenciamento • Organização e infra-estrutura tecnológica adequada 62 CON – A4
  24. 24. Domínio dos objetivos de Controle 1. Planejamento e Organização [PO] PO1 Definição de um Plano Estratégico de tecnologia PO2 Definição da arquitetura de Informação PO3 Definição da diretrizes tecnológicas PO4 Definição Processos de TI, organização e relacionamentos PO5 Administração do investimento em tecnologia PO6 Comunicação das metas e instruções administrativas PO7 Administração de Recursos Humanos PO8 Garantia de conformidade com requisitos externos PO9 Avaliação de riscos PO10 Administração de projetos PO11 Administração de qualidade 63 CON – A4
  25. 25. Domínio dos objetivos de Controle 2. Aquisição e Implantação [AI] • Realização da estratégia de tecnologia • Soluções identificadas, desenvolvidas, ou adquiridas e implantadas • Soluções integradas com o processo de negócio • Controles sobre mudanças, problemas e manutenção 64 CON – A4
  26. 26. Domínio dos objetivos de Controle 2. Aquisição e Implantação [AI]AI1 Identificação de soluções “automatizadas”AI2 Aquisição e manutenção de software aplicativoAI3 Aquisição e manutenção da infra-estrutura de tecnologiaAI4 Desenvolvimento/manutenção - procedimentos/documentaçãoAI5 Seleção de recursos de TIAI6 Gestão de mudançasAI7 Instalar e credenciar Soluções e Mudanças 65 CON – A4
  27. 27. Domínio dos objetivos de Controle 3. Entrega e Suporte [DS] • Entrega efetiva dos serviços requeridos • Treinamento e Segurança na operação • Estabelecimento de processos de apoio • Incidentes e Problemas 66 CON – A4
  28. 28. Domínio dos objetivos de Controle 3. Entrega e Suporte [DS] DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s) DS2 Administração dos serviços de terceiros DS3 Administração de desempenho e capacidade DS4 Garantia da continuidade de serviço DS5 Garantia de segurança de sistemas DS6 Identificação e alocação de custos DS7 Educação e treinamento de usuários DS8 Administrando Service-Desk e Incidentes DS9 Administração da configuração DS10 Gerenciamento de problemas DS11 Administração dados, DS12 Instalações e DS13 Operações 67 CON – A4
  29. 29. Domínio dos objetivos de Controle 4. Monitoração [ME] • Avaliação freqüente de todos processos de tecnologia • Conformidade com os controles • Qualidade dos controles • Governança 68 CON – A4
  30. 30. Domínio dos objetivos de Controle 4. Monitoração [ME] ME1 Monitoração e Avaliação da performance de TI ME2 Monitoração e Avaliação dos Controles Internos ME3 Obter garantia independente/conformidade ME4 Prever Governança em TI 69 CON – A4
  31. 31. Como utilizar a Metodologia Selecionando os Business Drivers Através de entrevistas realizadas com os responsáveis pelas linhas de negócio, consultas ao Business Plan e análise dos materiais sobre as tendências de negócio e mercado, definem-se os Direcionadores de Negócio (Business Drivers) 70 CON – A4
  32. 32. Como utilizar a Metodologia Selecionando os IT Drivers Tendo como referência os Direcionadores de Negócio (Business drivers) identificados anteriormente, relacionar os Direcionadores de Tecnologia (IT drivers) que suportam ou viabilizam os Business Drivers identificados. 71 CON – A4
  33. 33. Como utilizar a Metodologia Questionários/Auto-Avaliações – Objetivos:• Identificar quem são os responsáveis pelos assuntos;• Definir qual a importância dos assuntos;• Verificar se existem controles ou monitoração. Este é um bom momento para saber como está o conhecimento da administração do que está sendo feito em tecnologia. Após o preenchimento da tabela, consegue-se ter uma idéia das preocupações mais relevantes 72 CON – A4
  34. 34. Como utilizar a Metodologia Assess Risks 73 CON – A4
  35. 35. Como utilizar a Metodologia Identificação - preocupações tecnológicas 74 CON – A4
  36. 36. Como utilizar a Metodologia Zoom  75 CON – A4
  37. 37. Como utilizar a Metodologia Atendendo os resultados…• Selecionar Business drivers com maior # de IT drivers suportando-o  maiores preocupações da administração  pontos de maior risco potencial.• Dentre os IT drivers que suportam o Business driver escolhido com:  alto número de fatores de risco associados,  Empates - considerar o domínio com maior risco ao negócio• Dentre os domínios de fatores de risco:  o domínio que apresenta a maior incidência de riscos ao IT Driver• Dentro do domínio de risco escolhido  selecionar fator de risco que atenda maior # preocupações de TI 76 CON – A4
  38. 38. Porque adotar a Metodologia? Porque adotar a metodologia?• Ênfase na administração corporativa• Gerenciamento das responsabilidades por recursos• Necessidades específicas - controle de recursos tecnológicos• Soluções orientadas ao negócio da companhia• Estrutura consolidada para a avaliação de riscos• Melhor comunicação entre administração e envolvidos• Identificar real nível de maturidade e evidência dos controles 77 CON – A4
  39. 39. Porque adotar a Metodologia? COBIT para o Security Officer• Pode ser usado como um modelo para um programa de segurança da informação, visando INTEGRAR segurança com os objetivos de TI relacionados aos negócios• Utilize o COBIT para estruturar a Política, as Normas e os Procedimentos de Segurança da Informação 78 CON – A4
  40. 40. Porque adotar a Metodologia? Mitos do COBIT • Ferramenta exclusiva de “Compliance”; • Implantação depende Auditoria; • Concorrência com a Norma BS7799; • Bom nível de abstração e aplicabilidade; • Simples, rápido e barato. 79 CON – A4
  41. 41. Porque adotar a Metodologia? 80 CON – A4
  42. 42. Exercício 1 Who made Who? 81 CON – A4
  43. 43. Exercício 2 Definir:• Modelo de negócio;• Processo de Tecnologia;• Atividade relacionada;• Recurso de Tecnologia;• Mapear 3 “preocupações” considerando critério Segurança;• Documentar e “amarrar” relacionamento. 82 CON – A4
  44. 44. Linkshttp://www.bsi-global.com/http://www.iec.chhttp://www.iso.orghttp://www.controlit.orghttp://www.abnt.org.brhttp://www.isaca.org/cobithttp://www.foxit.nethttp://www.ietf.comhttp://www.dvorax.com.br 83 CON – A4
  45. 45. Dúvidas ?84 CON – A4
  46. 46. Fim85 CON – A1

×