O documento resume a metodologia COBIT, que fornece um conjunto de objetivos de controle para governança e gestão de tecnologia da informação. O COBIT é dividido em 4 domínios principais: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento explica como utilizar a metodologia COBIT para identificar riscos e preocupações de TI e melhorar a governança e gestão de TI de uma organização.
Conteúdo: Gestão de TI, ITIL, COBIT, PMBOK.
Aula 7 da Disciplina de Gerenciamento de Tecnologia da Informação e ERP do MBA em Gestão de Negócios da Faculdade Estácio do Recife.
Conteúdo: Gestão de TI, ITIL, COBIT, PMBOK.
Aula 7 da Disciplina de Gerenciamento de Tecnologia da Informação e ERP do MBA em Gestão de Negócios da Faculdade Estácio do Recife.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
Indicadores de Desempenho para a TI - módulo 3 - Criação do Caderno de Métric...CompanyWeb
Este material fazer parte do curso grátis no modelo EAD:
http://www.companyweb.com.br/ead-ensino-a-distancia-2/curso-pocket-indicadores-de-desempenho-para-a-ti/
* Capacitação nas melhores práticas para elaboração, acompanhamento e mensuração de métricas de desempenho para a área de TI. Definição de KPI (Key Performance Indicator) para a Gestão & Governança de TI.
* Definir os indicadores a serem quantificados, os KPIs (Key Performance Indicators) são parâmetros que visam a medição de fatores críticos para o sucesso e permitem aos gestores a obtenção de um amplo conhecimento do cenário, procurando entender as interações dos índices nas diversas áreas, contribuindo para o Controle e ações pro-ativas através da definição Metas que nortearão a Gestão & Governança;
* Identificar as necessidades de cada área e estabelecer os requisitos para subsidiar a definição dos indicadores a serem utilizados no monitoramento e na avaliação das respectivas áreas;
* Alinhar a TI ao Planejamento Estratégico no BSC – Balanced Scorecard;
* Apresentar um guia de implementação para definir Indicadores (KPIs) e o Painel de Controle (dashboard/cockpit) para de TI;
* Apresentação de diversos Indicadores (KPIs) para a TI, como: Desenvolvimento; Infra-estrutura; Suporte; Direção Estratégica; Escritório de Projetos.
Para maiores informações:
http://www.companyweb.com.br/ead-ensino-a-distancia-2/curso-pocket-indicadores-de-desempenho-para-a-ti/
1 Módulo 1 – Porque medir?
1.1- Porque medir?
1.2- Gestão Pro-ativa ou Reativa;
1.3- Transparência da operação;
1.4- Alinhamento estratégico.
2 Módulo 2 – BSC e a TI
2.1- Conceitos sobre BSC - Balanced Scorecard;
2.2- BSC ligado com a TI.
3 Módulo 3 – Criação do caderno de métricas para a TI
3.1- Como definir sua métrica?
3.2- Técnicas para definir Indicadores (KPIs) como “S.M.A.R.T.” (Specific, Measurable, Attainable, Realistic, Timely) e outras;
3.3- Caderno de Métricas
3.3.1- Template do formulário para KPI
3.3.2- COBIT e as métricas
3.3.3- ITIL e as métricas
3.3.4- Exemplos de Métricas
3.3.5- Métricas do mercado
3.3.6- Bibliotecas de métricas na internet
4 Módulo 4 – Criação de Painel de Controle (dashboard)
4.1- Dashboard como ferramenta da gestão
4.2- Projeto Dashboard
4.3- BSC – Balanced Scorecard e a TI
4.4- Exemplos de Dashboard
4.5- Dashboard e Plano de Ação
4.6- Gráfico Gauge/Velocímetro
4.7- Fatores Críticos de Sucesso
5 Módulo 5 – Implementar Gestão por Indicadores
5.1- 7 Passos para Implementar Gestão de Indicadores
KPI, dashboard, ITIL, COBIT, PMI, PMBOK, BSC, Balanced Scorecard, métricas de TI, GRC, Governança de TI, IT Governance, Painel de Controle
Controles de IT - COBIT
Controles de Planejamento - BSC
Controles de Sistemas – CMM e CMMI
Controles de Segurança – BS7799 e ISO17799
Controles de Gestão de Infra estrutura – ITIL e BS15000
Controles de Monitoramento – ISO 9001:2000
Controles de Gestão de Projetos - PMBOX
Palestra para grupo de alunos e professores da Universidade Gama Filho - Rio de Janeiro
Aborda os principais aspectos da Governança, Risco e Compliance nas organizações, estuda a integração de temas como Governança em TI, Gestão de Serviços, ITIL, COBIT, PMBOK, dentre outros assuntos emergentes no mundo de tecnologia da informação e sua gestão.
Definimos em conjunto com o cliente, os indicadores de performance com os quais a empresa deve ser avaliada no âmbito estratégico, tático e operacional. Conceitos como Balance Scorecard (BSC), budgeting (orçamentação), análise financeira, desempenho de vendas e marketing, human resource scorecard (HRBSC), S&OP (Sales and Operational Planning), entre outros, são aplicados nesta disciplina.
Executamos:
Desenho do Modelo de Analytics (tanto pré-implementação, como para correções);
Implementação de Tecnologias de Business Intelligence;
Gerenciamento dos serviços de implementação de terceiros de maneira a garantir a aderência as especificações.
ISO/IEC 27001:2013 is the current international standard that sets out the requirements to establish, implement and continually improve an ISMS. ISO/IEC 27001 training courses follow a structure to help you familiarize yourself with the standard, understand how to implement an ISMS, and how to assessment it.
Hardening is a security process executed to protect
systems and assets against attackers. Usually include removal of unnecessary services, IdM, patching , kernel tuning, port and protocols mgmt and monitoring over system and process in use.
SWOT, Porter, BCG Matrix, SMART and ScoreCard tooltips for "Enterprise Information Security Mgmt" and consolidation of Key Performance Indicators (PKIs)
2. Índice COBIT
1. Introdução
2. Domínios e processos de Tecnologia
3. Requisitos de Negócio
4. Requisitos e Conceitos
5. Domínio e objetivos de Controle
6. Como utilizar a metodologia
7. Porque adotar a metodologia
8. Exercício
9. Links
10. Dúvidas
41 CON – A4
3. Introdução
COBIT
Control OBjectives to Information
and related Technologies
Baseado nas definições da ISACA
(Information Systems Audit and Control Association)
42 CON – A4
4. Introdução
ISACA
• + 34.000 profissionais (TI, Segurança e Auditores)
• Presente em mais de 100 países;
• Total de 180 capítulos
• Oferece preparação para a certificação:
CISA – Certified Information Systems Auditor
CISM – Certified Information Security Manager
• Programas específicos excelência IT Governance
43 CON – A4
5. Introdução
Missão COBIT
“Pesquisar, desenvolver, publicar e promover um conjunto de
Objetivos de Controle, com autoridade e foco internacional,
aceitos e aplicáveis à Tecnologia da Informação, para o uso
rotineiro de gerentes de negócio, auditores e profissionais
de segurança da informação.”
Visão COBIT
“Ser modelo para Governança em TI”
44 CON – A4
6. Introdução
Pontos fortes x fracos
? Fortalezas Fraquezas !
- Processos Operação; - Segurança;
ITIL - Serviços (D&S). - Desenvolvimento.
IT Mgmt
- Controles; - São linhas gerais (macro);
CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls
- Auditoria. - Segurança.
- Controles; - Um guia genérico;
2700x - Recomendações; - Sem material específico. Security Mgmt
- Segurança. - Processos & Procedimentos
45 CON – A4
7. Introdução
Objetivo de Controle
“A formalização sobre “resultado desejado”
ou “propósito a ser alcançado” pela
implementação de procedimentos de
Controle em atividades específicas à
Tecnologia da Informação”
46 CON – A4
8. Introdução
Divisões COBIT
• Sumário Executivo
Alta Administração: CEO / CIO
• Governance & Control Framework (Estrutura)
Diretores de TI e Auditoria de Sistemas (
• Objetivos de Controle
Gerência de TI e Auditoria de Sistemas
• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)
Profissionais de Auditoria (business process and goals)
47 CON – A4
9. Introdução
Divisões COBIT
• Diretrizes de Gerência
Gerência de Negócios (Operacional), Diretoria,
Gerência de TI, Gerência de Controles/Auditoria
• Conjunto de Ferramentas de Implementação
Diretor de TI e Auditoria / Controle
Gerência de TI e Gerência de Auditoria / Controles
48 CON – A4
10. Introdução
Regra fundamental
Para prover informações relevantes para
a corporação cumprir seus objetivos,
os recursos tecnológicos precisam
ser administrados por um conjunto de
processos agrupados naturalmente.
49 CON – A4
11. Domínio e processos de tecnologia
O cubo COBIT
(3 eixos)
[ 4 x 34 x 210 ]
50 CON – A4
12. Processos de Tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
51 CON – A4
16. Requisitos de Negócio
Critérios para Informações (fiduciários)
• Effectiveness - Eficácia
Informações relevantes e pertinentes ao processo de negócio, fornecidas
de forma oportuna, correta, consistente e prontas para uso.
• Efficiency - Eficiência
Refere-se ao fornecimento de informações através do uso mais produtivo e
econômico dos recursos disponíveis.
• Reliability of information - Confiabilidade da Informação
Refere-se a sistemas que forneçam informações adequadas à administração,
tomada de decisão e operação da organização.
Elaboração de relatórios,
Informações aos órgãos reguladores,
Ações estratégicas, táticas ou operacionais
• Compliance - Aderência
Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.
55 CON – A4
17. Requisitos de Negócio
Critérios para Informações (segurança)
• Confidentiality – Confidencialidade
Refere-se à proteção de informações confidenciais contra divulgação
não autorizada.
• Integrity – Integridade
Refere-se à integridade das informações, bem como à sua validade
com base no conjunto de valores e expectativas do negócio.
• Availability – Disponibilidade
Refere-se à disponibilidade das informações no momento em que
forem necessárias ao processo de negócio.
56 CON – A4
18. Requisitos de Negócio
Critérios para Informações (qualidade)
• Quality - Qualidade
Condição na qual é oferecido o “entregável”.
• Costs – Custos
Valor envolvido na “informação” referenciado. Pode ser mensurável
ou imensurável.
• Forecast - Prazo
Quão próximo ou previsível encontram-se os dados solicitados,
previamente ou ASAP.
57 CON – A4
19. Requisitos e Conceitos
Recursos de Tecnologia
• Data – Dados
Objetos de dados no seu sentido mais amplo: externos e internos,
estruturados e não-estruturados, gráficos, som, texto, imagem, etc.
• Application Systems - Sistemas Aplicativos
Sistemas aplicativos representados pelo conjunto dos procedimentos
manuais e computadorizados.
• Technology - Tecnologia
Hardware, sistemas operacionais, sistemas gerenciadores de banco
de dados, de rede, multimedia, etc.
58 CON – A4
20. Requisitos e Conceitos
Recursos de Tecnologia
• Facilities (Instalações)
Ambientes ou instalações que comportam e apoiam os sistemas de
informática.
• People (Pessoas)
Capacidade, conscientização e produtividade do pessoal para o
planejamento, organização, aquisição, entrega, apoio e monitoração
dos sistemas e serviços de informática.
59 CON – A4
21. Domínio e processos de tecnologia
Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
60 CON – A4
22. Domínio dos objetivos de Controle
Domínios COBIT
1. Planejamento e Organização
Planning & Organization [PO]
2. Aquisição e Implantação
Acquisition & Implementation [AI]
3. Entrega e Suporte
Delivery & Support [DS]
4. Monitoração e Avaliação
Monitoring & Evaluate [ME]
61 CON – A4
23. Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
• Estratégia e planejamento tático de tecnologia
• Suporte aos objetivos de negócio da companhia
• Planejamento, comunicação e gerenciamento
• Organização e infra-estrutura tecnológica adequada
62 CON – A4
24. Domínio dos objetivos de Controle
1. Planejamento e Organização [PO]
PO1 Definição de um Plano Estratégico de tecnologia
PO2 Definição da arquitetura de Informação
PO3 Definição da diretrizes tecnológicas
PO4 Definição Processos de TI, organização e relacionamentos
PO5 Administração do investimento em tecnologia
PO6 Comunicação das metas e instruções administrativas
PO7 Administração de Recursos Humanos
PO8 Garantia de conformidade com requisitos externos
PO9 Avaliação de riscos
PO10 Administração de projetos
PO11 Administração de qualidade
63 CON – A4
25. Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
• Realização da estratégia de tecnologia
• Soluções identificadas, desenvolvidas, ou adquiridas e
implantadas
• Soluções integradas com o processo de negócio
• Controles sobre mudanças, problemas e manutenção
64 CON – A4
26. Domínio dos objetivos de Controle
2. Aquisição e Implantação [AI]
AI1 Identificação de soluções “automatizadas”
AI2 Aquisição e manutenção de software aplicativo
AI3 Aquisição e manutenção da infra-estrutura de tecnologia
AI4 Desenvolvimento/manutenção - procedimentos/documentação
AI5 Seleção de recursos de TI
AI6 Gestão de mudanças
AI7 Instalar e credenciar Soluções e Mudanças
65 CON – A4
27. Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
• Entrega efetiva dos serviços requeridos
• Treinamento e Segurança na operação
• Estabelecimento de processos de apoio
• Incidentes e Problemas
66 CON – A4
28. Domínio dos objetivos de Controle
3. Entrega e Suporte [DS]
DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)
DS2 Administração dos serviços de terceiros
DS3 Administração de desempenho e capacidade
DS4 Garantia da continuidade de serviço
DS5 Garantia de segurança de sistemas
DS6 Identificação e alocação de custos
DS7 Educação e treinamento de usuários
DS8 Administrando Service-Desk e Incidentes
DS9 Administração da configuração
DS10 Gerenciamento de problemas
DS11 Administração dados, DS12 Instalações e DS13 Operações
67 CON – A4
29. Domínio dos objetivos de Controle
4. Monitoração [ME]
• Avaliação freqüente de todos processos de tecnologia
• Conformidade com os controles
• Qualidade dos controles
• Governança
68 CON – A4
30. Domínio dos objetivos de Controle
4. Monitoração [ME]
ME1 Monitoração e Avaliação da performance de TI
ME2 Monitoração e Avaliação dos Controles Internos
ME3 Obter garantia independente/conformidade
ME4 Prever Governança em TI
69 CON – A4
31. Como utilizar a Metodologia
Selecionando os Business Drivers
Através de entrevistas realizadas com os
responsáveis pelas linhas de negócio, consultas
ao Business Plan e análise dos materiais sobre
as tendências de negócio e mercado, definem-se
os Direcionadores de Negócio (Business Drivers)
70 CON – A4
32. Como utilizar a Metodologia
Selecionando os IT Drivers
Tendo como referência os Direcionadores de
Negócio (Business drivers) identificados
anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou
viabilizam os Business Drivers identificados.
71 CON – A4
33. Como utilizar a Metodologia
Questionários/Auto-Avaliações – Objetivos:
• Identificar quem são os responsáveis pelos assuntos;
• Definir qual a importância dos assuntos;
• Verificar se existem controles ou monitoração.
Este é um bom momento para saber como está o conhecimento
da administração do que está sendo feito em tecnologia.
Após o preenchimento da tabela, consegue-se ter uma idéia
das preocupações mais relevantes
72 CON – A4
37. Como utilizar a Metodologia
Atendendo os resultados…
• Selecionar Business drivers com maior # de IT drivers suportando-o
maiores preocupações da administração
pontos de maior risco potencial.
• Dentre os IT drivers que suportam o Business driver escolhido com:
alto número de fatores de risco associados,
Empates - considerar o domínio com maior risco ao negócio
• Dentre os domínios de fatores de risco:
o domínio que apresenta a maior incidência de riscos ao IT
Driver
• Dentro do domínio de risco escolhido
selecionar fator de risco que atenda maior # preocupações de TI
76 CON – A4
38. Porque adotar a Metodologia?
Porque adotar a metodologia?
• Ênfase na administração corporativa
• Gerenciamento das responsabilidades por recursos
• Necessidades específicas - controle de recursos tecnológicos
• Soluções orientadas ao negócio da companhia
• Estrutura consolidada para a avaliação de riscos
• Melhor comunicação entre administração e envolvidos
• Identificar real nível de maturidade e evidência dos controles
77 CON – A4
39. Porque adotar a Metodologia?
COBIT para o Security Officer
• Pode ser usado como um modelo para um programa de
segurança da informação, visando INTEGRAR segurança
com os objetivos de TI relacionados aos negócios
• Utilize o COBIT para estruturar a Política, as Normas e os
Procedimentos de Segurança da Informação
78 CON – A4
40. Porque adotar a Metodologia?
Mitos do COBIT
• Ferramenta exclusiva de “Compliance”;
• Implantação depende Auditoria;
• Concorrência com a Norma BS7799;
• Bom nível de abstração e aplicabilidade;
• Simples, rápido e barato.
79 CON – A4