O documento resume a metodologia COBIT, que fornece um conjunto de objetivos de controle para governança e gestão de tecnologia da informação. O COBIT é dividido em 4 domínios principais: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento explica como utilizar a metodologia COBIT para identificar riscos e preocupações de TI e melhorar a governança e gestão de TI de uma organização.

1. Pós-Graduação 2009
COBIT
Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
jairo.pereira@gmail.com

2. Índice COBIT
1. Introdução
2. Domínios e processos de Tecnologia
3. Requisitos de Negócio
4. Requisitos e Conceitos
5. Domínio e objetivos de Controle
6. Como utilizar a metodologia
7. Porque adotar a metodologia
8. Exercício
9. Links
10. Dúvidas
41 CON – A4

3. Introdução
 COBIT
Control OBjectives to Information
and related Technologies
Baseado nas definições da ISACA
(Information Systems Audit and Control Association)
42 CON – A4

4. Introdução
 ISACA
• + 34.000 profissionais (TI, Segurança e Auditores)
• Presente em mais de 100 países;
• Total de 180 capítulos
• Oferece preparação para a certificação:
 CISA – Certified Information Systems Auditor
 CISM – Certified Information Security Manager
• Programas específicos excelência IT Governance
43 CON – A4

5. Introdução
 Missão COBIT
“Pesquisar, desenvolver, publicar e promover um conjunto de
Objetivos de Controle, com autoridade e foco internacional,
aceitos e aplicáveis à Tecnologia da Informação, para o uso
rotineiro de gerentes de negócio, auditores e profissionais
de segurança da informação.”
 Visão COBIT
“Ser modelo para Governança em TI”
44 CON – A4

6. Introdução
 Pontos fortes x fracos
? Fortalezas Fraquezas !
- Processos Operação; - Segurança;
ITIL - Serviços (D&S). - Desenvolvimento.
IT Mgmt
- Controles; - São linhas gerais (macro);
CObIT - Métricas; - Não indicam "como fazer“; IT Audit&Controls
- Auditoria. - Segurança.
- Controles; - Um guia genérico;
2700x - Recomendações; - Sem material específico. Security Mgmt
- Segurança. - Processos & Procedimentos
45 CON – A4

7. Introdução
 Objetivo de Controle
“A formalização sobre “resultado desejado”
ou “propósito a ser alcançado” pela
implementação de procedimentos de
Controle em atividades específicas à
Tecnologia da Informação”
46 CON – A4

8. Introdução
 Divisões COBIT
• Sumário Executivo
 Alta Administração: CEO / CIO
• Governance & Control Framework (Estrutura)
 Diretores de TI e Auditoria de Sistemas (
• Objetivos de Controle
 Gerência de TI e Auditoria de Sistemas
• Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide)
 Profissionais de Auditoria (business process and goals)
47 CON – A4

9. Introdução
 Divisões COBIT
• Diretrizes de Gerência
 Gerência de Negócios (Operacional), Diretoria,
 Gerência de TI, Gerência de Controles/Auditoria
• Conjunto de Ferramentas de Implementação
 Diretor de TI e Auditoria / Controle
 Gerência de TI e Gerência de Auditoria / Controles
48 CON – A4

10. Introdução
 Regra fundamental
Para prover informações relevantes para
a corporação cumprir seus objetivos,
os recursos tecnológicos precisam
ser administrados por um conjunto de
processos agrupados naturalmente.
49 CON – A4

11. Domínio e processos de tecnologia
 O cubo COBIT
(3 eixos)
[ 4 x 34 x 210 ]
50 CON – A4

12. Processos de Tecnologia
 Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
51 CON – A4

13. Metodologia, Estrutura e escopo
Escopo
Estrutura
Domínios
Processos
Objetivos
52 CON – A4

14. Metodologia, Estrutura e escopo
53 CON – A4

15. Metodologia, Estrutura e escopo
...
54 CON – A4

16. Requisitos de Negócio
 Critérios para Informações (fiduciários)
• Effectiveness - Eficácia
Informações relevantes e pertinentes ao processo de negócio, fornecidas
de forma oportuna, correta, consistente e prontas para uso.
• Efficiency - Eficiência
Refere-se ao fornecimento de informações através do uso mais produtivo e
econômico dos recursos disponíveis.
• Reliability of information - Confiabilidade da Informação
Refere-se a sistemas que forneçam informações adequadas à administração,
tomada de decisão e operação da organização.
Elaboração de relatórios,
Informações aos órgãos reguladores,
Ações estratégicas, táticas ou operacionais
• Compliance - Aderência
Leis, regulamentos, normas, etc. Imposições ao andamento do negócio.
55 CON – A4

17. Requisitos de Negócio
 Critérios para Informações (segurança)
• Confidentiality – Confidencialidade
Refere-se à proteção de informações confidenciais contra divulgação
não autorizada.
• Integrity – Integridade
Refere-se à integridade das informações, bem como à sua validade
com base no conjunto de valores e expectativas do negócio.
• Availability – Disponibilidade
Refere-se à disponibilidade das informações no momento em que
forem necessárias ao processo de negócio.
56 CON – A4

18. Requisitos de Negócio
 Critérios para Informações (qualidade)
• Quality - Qualidade
Condição na qual é oferecido o “entregável”.
• Costs – Custos
Valor envolvido na “informação” referenciado. Pode ser mensurável
ou imensurável.
• Forecast - Prazo
Quão próximo ou previsível encontram-se os dados solicitados,
previamente ou ASAP.
57 CON – A4

19. Requisitos e Conceitos
 Recursos de Tecnologia
• Data – Dados
Objetos de dados no seu sentido mais amplo: externos e internos,
estruturados e não-estruturados, gráficos, som, texto, imagem, etc.
• Application Systems - Sistemas Aplicativos
Sistemas aplicativos representados pelo conjunto dos procedimentos
manuais e computadorizados.
• Technology - Tecnologia
Hardware, sistemas operacionais, sistemas gerenciadores de banco
de dados, de rede, multimedia, etc.
58 CON – A4

20. Requisitos e Conceitos
 Recursos de Tecnologia
• Facilities (Instalações)
Ambientes ou instalações que comportam e apoiam os sistemas de
informática.
• People (Pessoas)
Capacidade, conscientização e produtividade do pessoal para o
planejamento, organização, aquisição, entrega, apoio e monitoração
dos sistemas e serviços de informática.
59 CON – A4

21. Domínio e processos de tecnologia
 Domínio, Processos e Atividades
Agrupamento natural de processos,
em geral de acordo a um domínio de
responsabilidade da organização.
Série de atividades naturalmente agrupadas.
Ações necessárias para se atingir um
resultado mensurável.
60 CON – A4

22. Domínio dos objetivos de Controle
 Domínios COBIT
1. Planejamento e Organização
Planning & Organization [PO]
2. Aquisição e Implantação
Acquisition & Implementation [AI]
3. Entrega e Suporte
Delivery & Support [DS]
4. Monitoração e Avaliação
Monitoring & Evaluate [ME]
61 CON – A4

23. Domínio dos objetivos de Controle
 1. Planejamento e Organização [PO]
• Estratégia e planejamento tático de tecnologia
• Suporte aos objetivos de negócio da companhia
• Planejamento, comunicação e gerenciamento
• Organização e infra-estrutura tecnológica adequada
62 CON – A4

24. Domínio dos objetivos de Controle
 1. Planejamento e Organização [PO]
PO1 Definição de um Plano Estratégico de tecnologia
PO2 Definição da arquitetura de Informação
PO3 Definição da diretrizes tecnológicas
PO4 Definição Processos de TI, organização e relacionamentos
PO5 Administração do investimento em tecnologia
PO6 Comunicação das metas e instruções administrativas
PO7 Administração de Recursos Humanos
PO8 Garantia de conformidade com requisitos externos
PO9 Avaliação de riscos
PO10 Administração de projetos
PO11 Administração de qualidade
63 CON – A4

25. Domínio dos objetivos de Controle
 2. Aquisição e Implantação [AI]
• Realização da estratégia de tecnologia
• Soluções identificadas, desenvolvidas, ou adquiridas e
implantadas
• Soluções integradas com o processo de negócio
• Controles sobre mudanças, problemas e manutenção
64 CON – A4

26. Domínio dos objetivos de Controle
 2. Aquisição e Implantação [AI]
AI1 Identificação de soluções “automatizadas”
AI2 Aquisição e manutenção de software aplicativo
AI3 Aquisição e manutenção da infra-estrutura de tecnologia
AI4 Desenvolvimento/manutenção - procedimentos/documentação
AI5 Seleção de recursos de TI
AI6 Gestão de mudanças
AI7 Instalar e credenciar Soluções e Mudanças
65 CON – A4

27. Domínio dos objetivos de Controle
 3. Entrega e Suporte [DS]
• Entrega efetiva dos serviços requeridos
• Treinamento e Segurança na operação
• Estabelecimento de processos de apoio
• Incidentes e Problemas
66 CON – A4

28. Domínio dos objetivos de Controle
 3. Entrega e Suporte [DS]
DS1 Definição e Gerenciamento dos Níveis de Serviço (SLA’s)
DS2 Administração dos serviços de terceiros
DS3 Administração de desempenho e capacidade
DS4 Garantia da continuidade de serviço
DS5 Garantia de segurança de sistemas
DS6 Identificação e alocação de custos
DS7 Educação e treinamento de usuários
DS8 Administrando Service-Desk e Incidentes
DS9 Administração da configuração
DS10 Gerenciamento de problemas
DS11 Administração dados, DS12 Instalações e DS13 Operações
67 CON – A4

29. Domínio dos objetivos de Controle
 4. Monitoração [ME]
• Avaliação freqüente de todos processos de tecnologia
• Conformidade com os controles
• Qualidade dos controles
• Governança
68 CON – A4

30. Domínio dos objetivos de Controle
 4. Monitoração [ME]
ME1 Monitoração e Avaliação da performance de TI
ME2 Monitoração e Avaliação dos Controles Internos
ME3 Obter garantia independente/conformidade
ME4 Prever Governança em TI
69 CON – A4

31. Como utilizar a Metodologia
 Selecionando os Business Drivers
Através de entrevistas realizadas com os
responsáveis pelas linhas de negócio, consultas
ao Business Plan e análise dos materiais sobre
as tendências de negócio e mercado, definem-se
os Direcionadores de Negócio (Business Drivers)
70 CON – A4

32. Como utilizar a Metodologia
 Selecionando os IT Drivers
Tendo como referência os Direcionadores de
Negócio (Business drivers) identificados
anteriormente, relacionar os Direcionadores de
Tecnologia (IT drivers) que suportam ou
viabilizam os Business Drivers identificados.
71 CON – A4

33. Como utilizar a Metodologia
 Questionários/Auto-Avaliações – Objetivos:
• Identificar quem são os responsáveis pelos assuntos;
• Definir qual a importância dos assuntos;
• Verificar se existem controles ou monitoração.
Este é um bom momento para saber como está o conhecimento
da administração do que está sendo feito em tecnologia.
Após o preenchimento da tabela, consegue-se ter uma idéia
das preocupações mais relevantes
72 CON – A4

34. Como utilizar a Metodologia
 Assess Risks
73 CON – A4

35. Como utilizar a Metodologia
 Identificação - preocupações tecnológicas
74 CON – A4

36. Como utilizar a Metodologia
 Zoom 
75 CON – A4

37. Como utilizar a Metodologia
 Atendendo os resultados…
• Selecionar Business drivers com maior # de IT drivers suportando-o
 maiores preocupações da administração
 pontos de maior risco potencial.
• Dentre os IT drivers que suportam o Business driver escolhido com:
 alto número de fatores de risco associados,
 Empates - considerar o domínio com maior risco ao negócio
• Dentre os domínios de fatores de risco:
 o domínio que apresenta a maior incidência de riscos ao IT
Driver
• Dentro do domínio de risco escolhido
 selecionar fator de risco que atenda maior # preocupações de TI
76 CON – A4

38. Porque adotar a Metodologia?
 Porque adotar a metodologia?
• Ênfase na administração corporativa
• Gerenciamento das responsabilidades por recursos
• Necessidades específicas - controle de recursos tecnológicos
• Soluções orientadas ao negócio da companhia
• Estrutura consolidada para a avaliação de riscos
• Melhor comunicação entre administração e envolvidos
• Identificar real nível de maturidade e evidência dos controles
77 CON – A4

39. Porque adotar a Metodologia?
 COBIT para o Security Officer
• Pode ser usado como um modelo para um programa de
segurança da informação, visando INTEGRAR segurança
com os objetivos de TI relacionados aos negócios
• Utilize o COBIT para estruturar a Política, as Normas e os
Procedimentos de Segurança da Informação
78 CON – A4

40. Porque adotar a Metodologia?
 Mitos do COBIT
• Ferramenta exclusiva de “Compliance”;
• Implantação depende Auditoria;
• Concorrência com a Norma BS7799;
• Bom nível de abstração e aplicabilidade;
• Simples, rápido e barato.
79 CON – A4

41. Porque adotar a Metodologia?
80 CON – A4

42. Exercício 1
 Who made Who?
81 CON – A4

43. Exercício 2
 Definir:
• Modelo de negócio;
• Processo de Tecnologia;
• Atividade relacionada;
• Recurso de Tecnologia;
• Mapear 3 “preocupações” considerando critério Segurança;
• Documentar e “amarrar” relacionamento.
82 CON – A4

44. Links
http://www.bsi-global.com/
http://www.iec.ch
http://www.iso.org
http://www.controlit.org
http://www.abnt.org.br
http://www.isaca.org/cobit
http://www.foxit.net
http://www.ietf.com
http://www.dvorax.com.br
83 CON – A4

45. Dúvidas ?
84 CON – A4

46. Fim
85 CON – A1