CObIT Module - OverView

  • Published on
    17-Dec-2014

  • View
    415

  • Download
    1

DESCRIPTION

CObIT OverView, Class #6

Transcript

  • 1. Ps-Graduao 2009 COBIT Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. ndice COBIT1. Introduo2. Domnios e processos de Tecnologia3. Requisitos de Negcio4. Requisitos e Conceitos5. Domnio e objetivos de Controle6. Como utilizar a metodologia7. Porque adotar a metodologia8. Exerccio9. Links10. Dvidas 41 CON A4
  • 3. Introduo COBIT Control OBjectives to Information and related Technologies Baseado nas definies da ISACA (Information Systems Audit and Control Association) 42 CON A4
  • 4. Introduo ISACA + 34.000 profissionais (TI, Segurana e Auditores) Presente em mais de 100 pases; Total de 180 captulos Oferece preparao para a certificao: CISA Certified Information Systems Auditor CISM Certified Information Security Manager Programas especficos excelncia IT Governance 43 CON A4
  • 5. Introduo Misso COBIT Pesquisar, desenvolver, publicar e promover um conjunto de Objetivos de Controle, com autoridade e foco internacional, aceitos e aplicveis Tecnologia da Informao, para o uso rotineiro de gerentes de negcio, auditores e profissionais de segurana da informao. Viso COBIT Ser modelo para Governana em TI 44 CON A4
  • 6. Introduo Pontos fortes x fracos ? Fortalezas Fraquezas ! - Processos Operao; - Segurana; ITIL - Servios (D&S). - Desenvolvimento. IT Mgmt - Controles; - So linhas gerais (macro); CObIT - Mtricas; - No indicam "como fazer; IT Audit&Controls - Auditoria. - Segurana. - Controles; - Um guia genrico; 2700x - Recomendaes; - Sem material especfico. Security Mgmt - Segurana. - Processos & Procedimentos 45 CON A4
  • 7. Introduo Objetivo de ControleA formalizao sobre resultado desejado ou propsito a ser alcanado pela implementao de procedimentos de Controle em atividades especficas Tecnologia da Informao 46 CON A4
  • 8. Introduo Divises COBIT Sumrio Executivo Alta Administrao: CEO / CIO Governance & Control Framework (Estrutura) Diretores de TI e Auditoria de Sistemas ( Objetivos de Controle Gerncia de TI e Auditoria de Sistemas Diretrizes Auditoria (Mgmt Guidelines - IT Assurance Guide) Profissionais de Auditoria (business process and goals) 47 CON A4
  • 9. Introduo Divises COBIT Diretrizes de Gerncia Gerncia de Negcios (Operacional), Diretoria, Gerncia de TI, Gerncia de Controles/Auditoria Conjunto de Ferramentas de Implementao Diretor de TI e Auditoria / Controle Gerncia de TI e Gerncia de Auditoria / Controles 48 CON A4
  • 10. Introduo Regra fundamentalPara prover informaes relevantes para a corporao cumprir seus objetivos, os recursos tecnolgicos precisam ser administrados por um conjunto de processos agrupados naturalmente. 49 CON A4
  • 11. Domnio e processos de tecnologia O cubo COBIT(3 eixos) [ 4 x 34 x 210 ] 50 CON A4
  • 12. Processos de Tecnologia Domnio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domnio de responsabilidade da organizao. Srie de atividades naturalmente agrupadas. Aes necessrias para se atingir um resultado mensurvel. 51 CON A4
  • 13. Metodologia, Estrutura e escopoEscopoEstruturaDomniosProcessosObjetivos 52 CON A4
  • 14. Metodologia, Estrutura e escopo 53 CON A4
  • 15. Metodologia, Estrutura e escopo... 54 CON A4
  • 16. Requisitos de Negcio Critrios para Informaes (fiducirios) Effectiveness - Eficcia Informaes relevantes e pertinentes ao processo de negcio, fornecidas de forma oportuna, correta, consistente e prontas para uso. Efficiency - Eficincia Refere-se ao fornecimento de informaes atravs do uso mais produtivo e econmico dos recursos disponveis. Reliability of information - Confiabilidade da Informao Refere-se a sistemas que forneam informaes adequadas administrao, tomada de deciso e operao da organizao. Elaborao de relatrios, Informaes aos rgos reguladores, Aes estratgicas, tticas ou operacionais Compliance - Aderncia Leis, regulamentos, normas, etc. Imposies ao andamento do negcio. 55 CON A4
  • 17. Requisitos de Negcio Critrios para Informaes (segurana) Confidentiality Confidencialidade Refere-se proteo de informaes confidenciais contra divulgao no autorizada. Integrity Integridade Refere-se integridade das informaes, bem como sua validade com base no conjunto de valores e expectativas do negcio. Availability Disponibilidade Refere-se disponibilidade das informaes no momento em que forem necessrias ao processo de negcio. 56 CON A4
  • 18. Requisitos de Negcio Critrios para Informaes (qualidade) Quality - Qualidade Condio na qual oferecido o entregvel. Costs Custos Valor envolvido na informao referenciado. Pode ser mensurvel ou imensurvel. Forecast - Prazo Quo prximo ou previsvel encontram-se os dados solicitados, previamente ou ASAP. 57 CON A4
  • 19. Requisitos e Conceitos Recursos de Tecnologia Data Dados Objetos de dados no seu sentido mais amplo: externos e internos, estruturados e no-estruturados, grficos, som, texto, imagem, etc. Application Systems - Sistemas Aplicativos Sistemas aplicativos representados pelo conjunto dos procedimentos manuais e computadorizados. Technology - Tecnologia Hardware, sistemas operacionais, sistemas gerenciadores de banco de dados, de rede, multimedia, etc. 58 CON A4
  • 20. Requisitos e Conceitos Recursos de Tecnologia Facilities (Instalaes) Ambientes ou instalaes que comportam e apoiam os sistemas de informtica. People (Pessoas) Capacidade, conscientizao e produtividade do pessoal para o planejamento, organizao, aquisio, entrega, apoio e monitorao dos sistemas e servios de informtica. 59 CON A4
  • 21. Domnio e processos de tecnologia Domnio, Processos e Atividades Agrupamento natural de processos, em geral de acordo a um domnio de responsabilidade da organizao. Srie de atividades naturalmente agrupadas. Aes necessrias para se atingir um resultado mensurvel. 60 CON A4
  • 22. Domnio dos objetivos de Controle Domnios COBIT 1. Planejamento e Organizao Planning & Organization [PO] 2. Aquisio e Implantao Acquisition & Implementation [AI] 3. Entrega e Suporte Delivery & Support [DS] 4. Monitorao e Avaliao Monitoring & Evaluate [ME] 61 CON A4
  • 23. Domnio dos objetivos de Controle 1. Planejamento e Organizao [PO] Estratgia e planejamento ttico de tecnologia Suporte aos objetivos de negcio da companhia Planejamento, comunicao e gerenciamento Organizao e infra-estrutura tecnolgica adequada 62 CON A4
  • 24. Domnio dos objetivos de Controle 1. Planejamento e Organizao [PO] PO1 Definio de um Plano Estratgico de tecnologia PO2 Definio da arquitetura de Informao PO3 Definio da diretrizes tecnolgicas PO4 Definio Processos de TI, organizao e relacionamentos PO5 Administrao do investimento em tecnologia PO6 Comunicao das metas e instrues administrativas PO7 Administrao de Recursos Humanos PO8 Garantia de conformidade com requisitos externos PO9 Avaliao de riscos PO10 Administrao de projetos PO11 Administrao de qualidade 63 CON A4
  • 25. Domnio dos objetivos de Controle 2. Aquisio e Implantao [AI] Realizao da estratgia de tecnologia Solues identificadas, desenvolvidas, ou adquiridas e implantadas Solues integradas com o processo de negcio Controles sobre mudanas, problemas e manuteno 64 CON A4
  • 26. Domnio dos objetivos de Controle 2. Aquisio e Implantao [AI]AI1 Identificao de solues automatizadasAI2 Aquisio e manuteno de software aplicativoAI3 Aquisio e manuteno da infra-estrutura de tecnologiaAI4 Desenvolvimento/manuteno - procedimentos/documentaoAI5 Seleo de recursos de TIAI6 Gesto de mudanasAI7 Instalar e credenciar Solues e Mudanas 65 CON A4
  • 27. Domnio dos objetivos de Controle 3. Entrega e Suporte [DS] Entrega efetiva dos servios requeridos Treinamento e Segurana na operao Estabelecimento de processos de apoio Incidentes e Problemas 66 CON A4
  • 28. Domnio dos objetivos de Controle 3. Entrega e Suporte [DS] DS1 Definio e Gerenciamento dos Nveis de Servio (SLAs) DS2 Administrao dos servios de terceiros DS3 Administrao de desempenho e capacidade DS4 Garantia da continuidade de servio DS5 Garantia de segurana de sistemas DS6 Identificao e alocao de custos DS7 Educao e treinamento de usurios DS8 Administrando Service-Desk e Incidentes DS9 Administrao da configurao DS10 Gerenciamento de problemas DS11 Administrao dados, DS12 Instalaes e DS13 Operaes 67 CON A4
  • 29. Domnio dos objetivos de Controle 4. Monitorao [ME] Avaliao freqente de todos processos de tecnologia Conformidade com os controles Qualidade dos controles Governana 68 CON A4
  • 30. Domnio dos objetivos de Controle 4. Monitorao [ME] ME1 Monitorao e Avaliao da performance de TI ME2 Monitorao e Avaliao dos Controles Internos ME3 Obter garantia independente/conformidade ME4 Prever Governana em TI 69 CON A4
  • 31. Como utilizar a Metodologia Selecionando os Business Drivers Atravs de entrevistas realizadas com os responsveis pelas linhas de negcio, consultas ao Business Plan e anlise dos materiais sobre as tendncias de negcio e mercado, definem-se os Direcionadores de Negcio (Business Drivers) 70 CON A4
  • 32. Como utilizar a Metodologia Selecionando os IT Drivers Tendo como referncia os Direcionadores de Negcio (Business drivers) identificados anteriormente, relacionar os Direcionadores de Tecnologia (IT drivers) que suportam ou viabilizam os Business Drivers identificados. 71 CON A4
  • 33. Como utilizar a Metodologia Questionrios/Auto-Avaliaes Objetivos: Identificar quem so os responsveis pelos assuntos; Definir qual a importncia dos assuntos; Verificar se existem controles ou monitorao. Este um bom momento para saber como est o conhecimento da administrao do que est sendo feito em tecnologia. Aps o preenchimento da tabela, consegue-se ter uma idia das preocupaes mais relevantes 72 CON A4
  • 34. Como utilizar a Metodologia Assess Risks 73 CON A4
  • 35. Como utilizar a Metodologia Identificao - preocupaes tecnolgicas 74 CON A4
  • 36. Como utilizar a Metodologia Zoom 75 CON A4
  • 37. Como utilizar a Metodologia Atendendo os resultados Selecionar Business drivers com maior # de IT drivers suportando-o maiores preocupaes da administrao pontos de maior risco potencial. Dentre os IT drivers que suportam o Business driver escolhido com: alto nmero de fatores de risco associados, Empates - considerar o domnio com maior risco ao negcio Dentre os domnios de fatores de risco: o domnio que apresenta a maior incidncia de riscos ao IT Driver Dentro do domnio de risco escolhido selecionar fator de risco que atenda maior # preocupaes de TI 76 CON A4
  • 38. Porque adotar a Metodologia? Porque adotar a metodologia? nfase na administrao corporativa Gerenciamento das responsabilidades por recursos Necessidades especficas - controle de recursos tecnolgicos Solues orientadas ao negcio da companhia Estrutura consolidada para a avaliao de riscos Melhor comunicao entre administrao e envolvidos Identificar real nvel de maturidade e evidncia dos controles 77 CON A4
  • 39. Porque adotar a Metodologia? COBIT para o Security Officer Pode ser usado como um modelo para um programa de segurana da informao, visando INTEGRAR segurana com os objetivos de TI relacionados aos negcios Utilize o COBIT para estruturar a Poltica, as Normas e os Procedimentos de Segurana da Informao 78 CON A4
  • 40. Porque adotar a Metodologia? Mitos do COBIT Ferramenta exclusiva de Compliance; Implantao depende Auditoria; Concorrncia com a Norma BS7799; Bom nvel de abstrao e aplicabilidade; Simples, rpido e barato. 79 CON A4
  • 41. Porque adotar a Metodologia? 80 CON A4
  • 42. Exerccio 1 Who made Who? 81 CON A4
  • 43. Exerccio 2 Definir: Modelo de negcio; Processo de Tecnologia; Atividade relacionada; Recurso de Tecnologia; Mapear 3 preocupaes considerando critrio Segurana; Documentar e amarrar relacionamento. 82 CON A4
  • 44. Linkshttp://www.bsi-global.com/http://www.iec.chhttp://www.iso.orghttp://www.controlit.orghttp://www.abnt.org.brhttp://www.isaca.org/cobithttp://www.foxit.nethttp://www.ietf.comhttp://www.dvorax.com.br 83 CON A4
  • 45. Dvidas ?84 CON A4
  • 46. Fim85 CON A1