Governança de TI e Gestão da Segurança da Informação são temas importantes para empresas de todos os segmentos. A Governança de TI se refere à forma como uma empresa gerencia seus recursos e processos de tecnologia, visando maximizar o valor agregado a seus negócios. Já a Gestão da Segurança da Informação envolve o planejamento, implementação e controle de políticas e procedimentos para proteger a informação da empresa contra ameaças internas externas.
Para garantir eficiência em ambas as áreas, são utilizados frameworks e normas reconhecidos internacionalmente. Um dos mais conhecidos é o COBIT (Control Objectives for Information and Related Technology), que é desenvolvido pela ISACA (Information Systems Audit and Control Association). O COBIT é uma ferramenta que permite uma gestão sistemática da governança de TI, alinhada aos objetivos da organização.
Outro framework relevante é o ITIL (Information Technology Infrastructure Library), que oferece um conjunto de práticas para a gestão de serviços de TI. Ele auxilia na entrega de serviços mais eficientes e eficazes, alinhados com as necessidades de negócio da empresa.
Quanto à segurança da informação, destaca-se a norma ISO/IEC 27001, que é reconhecida mundialmente como uma das referências para a gestão da segurança da informação. A norma oferece um conjunto de requisitos para garantir a confidencialidade, integridade e disponibilidade das informações das empresas.
Além desses existem outras referências de frameworks e normas que podem ser utilizados pelas organizações para aprimorar a governança de TI e a gestão da segurança da informação. O importante é que as empresas se adequem às normas e adotem as melhores práticas para garantir a proteção dos dados e o sucesso do negócio.
3. Governança de TI
Metodologias e FrameWorks
ITIL e BS15000
CobiT
MOF – MSF – MSM
BS7799 / ISO 17799
CMM / CMMI
PMBOK
BSC
4. Governança de TI
Cases
Procter&Gamble
Adotou ITIL em 1997
Economizou US$ 500 milhões em 4 anos:
6 a 8% em corte de custos operacionais
15 a 20% em redução de staff de tecnologia
Governo de Ontario, Canadá
Adotou ITIL para melhorar o serviço de 25.000
usuários em 1.000 locais
Criou um service desk que melhorou a resposta e
reduziu os custos com chamados em 40%
5. Governança de TI
Cases
Estado de Kansas, USA
Usa os padrões do CobiT na sua estratégia de
governo virtual para reduzir custos e manter o
nível de serviço consistente
Dell Computer
Usa o CobiT como parte da sua politica
corporativa Control Self-Assesment (CSA), um
conjunto de controles e verificações que ajudam a
companhia a manter sua alta qualidade
6. Governança de TI
Cases no Brasil
ABN Amro
Iniciou ITIL em 2001 – datacenter e implantação
de equipamentos do banco, incluindo agências
Deve estar concluído em 2005
Centralização do help-desk: aumento de
chamados de 20.000 para 60.000 (aumentou o
controle, não os chamados)
Tempo de atendimento reduzido em 20%
Volume de reclamações reduzido em 80%
94% dos atendimentos completados em menos de
20 segundos
7. Governança de TI
ITIL
IT Infrastructure Library
Criado em 1980 pelo CCTA e transferido ao OGC
(Office of Government Commerce) do governo
britânico
Revisado e reorganizado em 2002
Estrutura de padrões e melhores práticas para
gerenciar os serviços e infra-estrutura de TI
Altamente integrado à norma BS15000 (British
Standards Institution’s Standard for IT Service
Management)
8. Governança de TI
BS15000
Integra-se ao ITIL e complementa-o
Publicação prevista pela ISO em 2006
BSi BS15000:1-2002 - IT Service Management
Specification for Service Management
BSi BS15000:2-2003 - IT Service Management Code
of Practice for Service Management
BSi PD0005:2003 - IT Service Management - A
Managers Guide
BSi PD0015:2002 IT Service Management Self -
Assessment Workbook
9. Governança de TI
Outros Produtos
HP
HP ITSM – deriva do ITIL
Suportado pelo OpenView
IBM
ITM-PI – deriva do ITIL
Criado pela PriceWaterhouseCoopers
Suportado pelo Tivoli
CA
Unicenter – aderente ao ITIL
Pink Elephant – certifica aderência ao ITIL
10. Governança de TI
Normas de Segurança
BS 7799:2002 - Reino Unido
NBR ISO/IEC 17799:2000 -
Brasil/Internacional
Definem um conjunto de boas práticas de
gestão da segurança
Servem de base às políticas de segurança
Seus controles permitem a auditoria de
segurança de informações
11. Governança de TI
MOF – MSF e MSM
Frameworks criados pela Microsoft para
gerenciamento interno e de parceiros,
posteriormente estendido a clientes
MOF – Microsoft Operations Framework
Guia para planejamento, implementação, e manutenção de
processos operacionais de TI para soluções de serviço de
missão critica – baseado no ITIL
MSF – Microsoft Solutions Framework
Guia para projetos de tecnologia
MSM – Microsoft Solutions for Management
Melhores práticas para serviços de implementação e
automação
12. Governança de TI
Modulos da ISO17799
Política de Segurança
Organização da Segurança
Classificação e Controle de Ativos
Segurança de Pessoal
Segurança Física e Ambiental
Gerenciamento de Comunicações e Operações
Controle de Acesso
Desenvolvimento e Manutenção de Software
Planejamento de Continuidade de Negócios
Compliance
13. Governança de TI
Plano de Continuidade de Negócios
Baseado no CobiT, ITIL, MOF
Deve garantir a continuidade dos negócios
(com base na operação de TI) em caso de
incidentes ou mesmo desastres totais
Será usado em caso de problemas – deve ser
simples, fácil de entender e deve estar
disponível às pessoas certas na hora certa
É um compromisso entre o nível de garantia
de continuidade e uso de recursos (pessoas,
equipamentos, serviços)
14. Governança de TI
Gerenciamento de Continuidade
Gerenciamento de Continuidade de Negócios
(BCM) é um processo contínuo de avaliação
de risco e gerenciamento com o objetivo de
garantir que a operação do negócio
continuará se os riscos se materializarem
O centro é o BCP - Plano de Continuidade de
Negócios
Deve envolver todos os interessados
15. Governança de TI
ITIL – COBIT – ISO17799
ITIL – forte em processos de TI, mas limitado
em segurança e desenvolvimento de sistemas
CobiT - forte em controles de TI e métricas
de TI, mas não diz como (fluxos de
processos) e é fraco em segurança
ISO17799 – forte em controles de segurança,
mas não diz como (fluxo de processos)
16. COBIT: Control OBjectives for Information and related Technology
É um GUIA para Gestão e Controle da Tecnologia da Informação,
organizado por Processos. Foi desenvolvido pela fundação do ISACA,
sendo mantido pelo Instituto de Governança de TI.
É um conjunto de estruturas e processos que visa garantir que TI
suporte e maximize, adequadamente, os objetivos e estratégias de
negócio da organização.
Governança de TI
O que é o Cobit?
17. Governança de TI
Origem do Cobit?
Focado em governança, controle e auditoria
de tecnologia da informação
Criado e mantido pelo ISACA – Information
Systems Audit and Control Association
O ISACA mantém o K-NET, um repositório de
conhecimento para os associados e o IT
Governance Institute para difusão dos
conceitos
Está na 4ª edição
18. Governança de TI
Componentes do Cobit
Publicações (impressas ou online)
Executive Summary *
Framework *
Control Objectives *
Audit Guidelines
Implementation Tool Set *
Management Guidelines
Certificação
CISA – Certified Informations Systems Auditor
CISM – Certified Information Security Manager
19. Governança de TI
Componentes do Cobit?
4 domínios
Planejamento e Organização
Aquisição e Implementação
Entrega e Suporte
Monitoramento
34 objetivos de controle de alto nível
318 objetivos de controle detalhados
21. Governança de TI
Cobit – Metodologia – Conceitos Básicos
Motivos para instituir a Governança de TI
22. Governança de TI
Histórico do Cobit?
COBIT 4rd Edition (2005): Melhoria dos controles para assegurar a segurança e disponibilidade dos ativos
de TI na Organização
Sarbanes-Oxley Act (2002): O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto
significativo na adoção do Cobit nos Estados Unidos da América e empresas globais que atua nos EUA
COBIT 3rd Edition (2000): ITGI - IT Governance Institute – incluir normas e guias associadas à gestão. O
ITGI passa a ser o principal editor da framework
COBIT 2nd Edition (1998): Inclui uma ferramenta de suporte à implementação e a especificação de
objetivos de alto nível e de detalhe
COBIT 1st Edition (1996): ISACA – Information Systems Audit and Control Association lança o conjunto de
objetivos de controle para as aplicações de negócio
“Control Objectives”, editado pela EDP Auditors Foundation (em 1986/87 a E.D.P.A.A. – São Paulo Chapter,
atual ABAS, traduziu, publicou e distribuiu os Objetivos de Controle aos seus associados)