INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAES

COBIT 4.1 Produtos do ITGI que suportam o COBIT e outros Frameworks

Docente: Camilo Amarcy

Email: Camilo@Amarcy.com Cell: +258823032445 Skype: camilo.issufo.amarcy

Temas do Captulo COBIT Quickstart; IT Assurance Guide; COBIT Online; COBIT Security Baseline; IT Governance Implementation Guide; Val IT

Camilo Amarcy

COBIT Quickstart Principais Produtos Relacionados com o COBIT

A ISACA e o ITGI desenvolveram vrios produtos acessrios para ajudar a implementar os objectivos de controle e governana de TI:

Camilo Amarcy

COBIT Quickstart Livro Breve Introduo Parte 1

uma verso resumida dos recursos do COBIT que serve de ponto de partida para empresas que querem ter uma estrutura bsica de governana de TI, priorizando os controles mais importantes;
Representa apenas 20% do contedo:

direcionado para empresas de pequeno e mdio porte (SMEs) onde a TI no estratgica ou absolutamente crtica para a sobrevivncia da empresa

Camilo Amarcy

COBIT Quickstart Livro Breve Introduo Parte 2

Para cada processo de TI, fornece uma descrio resumida, prtica de gerenciamento, referncia com outros objectivos de controle, abordagem para auto-avaliao, principais responsveis e mtricas mais importantes;

Fornece ferramentas de autoavaliao, ajudando a identificar se ele apropriado organizao;

Camilo Amarcy

COBIT Quickstart Prticas de Practices) Controle (Control

Outra publicao fornecida pelo ITGI a Prticas de Controle. Estas prticas traduzem as objectivos de controle do COBIT em prticas detalhadas e implementveis, e fornecem uma perspectiva de valor e risco; Enquanto que os objectivos de controle definem o que precisa ser feito, as prticas de controle fornecem um detalhamento de como implelemtnar os obje3ctivos e por que eles podem ser necessrios; Para cada objectivo de controle h de 3 a 12 prticas de controle;
Camilo Amarcy

IT Assurance PO10 Gerenciar Projectos Prticas de Controle

Camilo Amarcy

IT Assurance Guia de Validao/Garantia Parte 1

um guia de validao (ou garantia) para profissionais que precisam de orientaes para garantir o funcionamento dos controles internos e melhoria de processos;

Fornece conselhos sobre como testar o funcionamento de cada objectivo de controle, assegurando que os controles so suficientes e ajudando a documentar os pontos fracos dos controles; Ajuda a elaborar um conjunto de acees e plano de auditoria. Entretanto, no deve ser visto como uma norma de auditoria, com regras nicas;
Deve ser usado em conjunto com o COBIT para testar os objectivos de controle;
Camilo Amarcy

IT Assurance Guia de Validao/Garantia Parte 2

O IT Assurance Guide oferece uma estrutura para o plano (roadmap) de auditoria/validao/garantia composta por trs estgios: Planeamento, Definio de Escopo e Execuo

Camilo Amarcy

IT Assurance Execuo do roadmap de validao/garantia Parte 1

O estgio de Execuo subdivide-se em 6 etapas:

1. Refinar o entendimento ddo que ser validado na TI;

1. 2. Identificar/confirmar os processos de TI crticos; Auto-avaliao da maturidade dos processos;

2. Redefinir o escopo dos objectivos de controle chave para questes que sero validadas na TI;
1. 2. Actualizar a seleco de objectivos de controle; Personalizar os objectivos de controle;

3.

Construir um programa de auditoria detalhado;

3. Testar a efectividade do desenho de controle dos objectivos de controle chave;

1. 2. Testar e avaliar os controles; Actualizar/avaliar maturidade dos processos. Camilo Amarcy

IT Assurance Execuo do roadmap de validao/garantia Parte 2

O estgio de Execuo subdivide-se em 6 etapas:

4. Testar o resultado dos objectivos de controle chave

1. Controles e auto-avaliao;

2.

Testar e valiar os controles.

5. Documentar o impacto das fraquezas do controle

1. Diagnstico operacional e/ou riscos de projectos residuais;

6. Desenvolver e comunicar as recomendaes em geral

1. Reportar conclusees de validao Camilo Amarcy

COBIT Online Verso Online

O COBIT Online uma base de recursos na web com funcionalidades interactivas;

um servio disponvel apenas para quem tem uma assinatura no site da ISACA:

Camilo Amarcy

Security Baseline Linha de Segurana

O COBIT Security Baseline foca nos riscos especficos da segurana de TI, de forma simples de seguir e implementar; Ajuda tambm a conscientizar sobre importncia da segurana da informao; a

No um guia tcnico. Possui linguagem acessvel para qualquer tipo de pessoa, como usurios domsticos ou usuruios de pequenas e mdias empresas (executivos e gerentes), uma destilao do COBIT, sugerindo 44 passos para alcanar a segurana e referenciando controles da ISO 27002 (substitui a ISO 17799) e objectivos de controle do COBIT para cada passo.
Camilo Amarcy

Security Baseline Kits de Sobrevivncia da Segurana

Existem 6 kits de sobrevivncia:

Camilo Amarcy

Security Baseline Guia de Implantao de Governana de TI

O IT Governance Implementation Guide um roadmap para o conselho de administrao, gerncia executiva, profissionais de auditoria em TI e para os gerentes de conformidade. Este guia fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida de Governana de TI contnuo usando o COBIT; Este guia traz uma metodologia genrica nas seguintes reas:
Por que a Governana de TI importante e porque as organizaes devem implant-la; Como o COBIT est vinculado com a Governana de TI e como o COBIT possibilita a implantaa da Governana de TI; Partes Interessadas na Governana de TI; Roadmap para implantar a Governana de TI usando o COBIT. Camilo Amarcy

Security Baseline IT Governance Implementation Guide - Roadmap

Roadmap de implementao sugerido:

O foco inicial para desenvolver um programa de governana de TI identificar necessidade e entradas para direitos e tomadas de deciso na governana com base em: Objectos da TI no suporte ao negcio; Requisitos/regulamentos internos e externos

Camilo Amarcy

Security Baseline Framework do VAL IT

um framework de governana baseado no COBIT que inclui orientaes e processos de suporte relacionados avaliao e seleco de investimentos de negcio viabilizados por TI, bem como os benefcios da realizao e entrega de valor desses investimentos; Seu objectivo ajudar a gerncia a assegurar que a organizao obtenha valor derivado dos investimentos em TI com um custo razovel e a um nvel de risco aceitvel; Complementa o COBIT a partir de uma perspectiva financeira e de negcio.

Download em: http://www.isaca.org

Camilo Amarcy

Security Baseline Por que gerenciar os investimentos em TI?

Uma pesquisa realizada pelo Meta Group em 2004 levantou alguns dados interessantes: 85% das organizaes damanda business cases para projectos de mudana; Somente 40% dos projectos aprovados tem argumentos vlidos (realistas) sobre benefcios esperados; Menos de 10% das organizaes asseguram benefcios realizados psprojecto.

Camilo Amarcy

Security Baseline VAL IT - Publicaes

O ITGI lanou trs publicaes relacionadas:

Camilo Amarcy

Security Baseline Princpios do VAL IT Parte 1

Os investimentos viabilizados pela TI sero administrados como um portflio de investimentos;

Os investimentos viabilizados pela TI incluiro um escopo completo de actividades que so necessrias para gerar valor ao negcio;
Os investimentos viabilizados pela TI sero administrados atravs de todo o seu ciclo de vida econmico; As prticas de entrega de valor reconhecero que existem diferentes categorias de investimenos que sero avaliadas e administradas de maneiras diferentes;
Camilo Amarcy

Security Baseline Princpios do VAL IT Parte 2

As prticas de entrega de valor iro definir e monitorar mtricas-chave e respondero rapidamente a quaisquer mudanas ou divergncias; As prticas de entrega de valor devem engajar todos os stakeholders e definir uma prestao de contas apropriada sobre a entrega de capacidades e obteno de benefcios do negcio; As prticas de entrega de valor sero continuamente monitoradas, avaliadsas e melhoradas.

Camilo Amarcy

Security Baseline The 4 Ares (Os 4 ares estamos) Parte 1

Questes de estratgia. investimento est: O

Alinhado com a nossa viso?

Consistente com os princpios dos nossos negcios? Contribuindo para os objectivos estratgicos? Fornecendo valor a um custo razovel e a um nvel de risco aceitvel?

Camilo Amarcy

Security Baseline The 4 Ares (Os 4 ares estamos) Parte 2

Questes de arquitectura. investimento est: O

Alinhado com a nossa arquitectura?

Consistente princpios arquitetura?

com os da nossa
para nossa outras

Contribuindo populao da arquitetura? Alinhado com iniciativas?

Camilo Amarcy

Security Baseline The 4 Ares (Os 4 ares estamos) Parte 3

Questes de entrega. Ns temos:
Processos efectivos e disciplinados para o gerenciamento de entrega e mudanas? Recursos tcnicos e de negcio competentes e disponveis para entregar: Capacidades necessrias? Mudanas organizacionais necessrias para potencializar as capacidades?
Camilo Amarcy

Security Baseline The 4 Ares (Os 4 ares estamos) Parte 4

Questes de valor. Ns temos: Um claro entendimento dos benefcios esperados? Clara prestao de contas para realizar os benefcios? Mtricas relevantes? Um processo efectivo para a realizao de benefcios?
Camilo Amarcy

Security Baseline Processos do VAL IT

Camilo Amarcy

Security Baseline VAL IT x COBIT

Os processos do VAL IT expandem os processos do COBIT nos quatro domnios:

Camilo Amarcy

Temas do Captulo Padro ISO 33850 Governana de TI Relacionamento do COBIT com as melhores prticas: ITIL V3;

ISO 20000;
ISO/IEC 27001, ISO/IEC 27002; PMBOK; PRINCE2; CMMI; TOGAF; Outros padres: BS 25777, M_o_R e eSCM
Camilo Amarcy

Security Baseline Quais padres e modelos podem ajudar?

Camilo Amarcy

Security Baseline Qual o modelo mais adoptado para operao de TI?

Dados da pesquisa realizada no itSMF Brasil Conference em 2007 com 200 CIOs de grandes empresas:

Fonte: http://gti.openufla.com.br/index.php?id?22
Camilo Amarcy

Security Baseline ISO/IEC 38500 Novo padro para Governana de TI

Publicada em Abril de 2008; Fornece orientao sobre o papel da alta administrao na governana de TI; Ajuda o comit da governana a avaliar, dirigir, monitorar o uso da TI e a atender aos requisitos regulatrios e obrigaes ticas: Prov seis princpios orientadores: Responsabilidade; Estratgia; Aquisies; Desempenho; Conformidade; Comportamento Humano
Camilo Amarcy

Security Baseline Principios Orientadores Parte 1

Responsabilidade: necessrio estabelecer estruturas organizacionais, papis , responsabilidades e nveis de autoridade para tomada de decises e tarefas; Estratgia: os requisitos de negcio precisam ser traduzidos em metas para a TI e com base nestas metas a TI vai elaborar um planeamento apropriado para a sua capacidade;

Aquisies: os projectos de TI devem ser vistos como parte dos programas de mudana organizacional: os processos de negcio devem ser revistos e as pessoas precisam de treinamento;
Camilo Amarcy

Security Baseline Principios Orientadores Parte 2

Desempenho: preciso definir metas de desempenho e mtricas para monitorar o atingimento das metas; Conformidade: polticas e procedimentos so necessrios para a gesto e equipe seguirem, para assegurar que metas da organizao sejam atingidas, riscos sejam mitigados e a conformidade seja alcanada; Comportamento Humano: As mudanas promovidas pela TI requerem mudanas culturais e comportamentais dentro da empresa, assim como com os clientes e parceitos.
Camilo Amarcy

Security Baseline COBIT Mappings

O ITGI desenvolver vrios guias para ajudar a utilizar o COBIT em conjunto com outros modelos:
Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for business benefit; Mapping of ITIL V3 with COBIT 4.1 Mapping of NIST SP800-53 Rev 1 with COBIT 4.1 Mapping of TOGAF 8.1 with COBIT 4.0 Mapping of CMMI for development V1.2 with COBIT 4.0 Mapping of ITIL with COBIT 4.0 Mapping of PRINCE2 with COBIT 4.0 Mapping of ISO/IEC 17799: 2005 with COBIT 4.0; Mapping PMBOK to COBIT 4.0; Mapping SEIs CMM for software to COBIT 4.0;

Mapping to ISO/IEC 17799:2000 with COBIT, 2nd edition

Camilo Amarcy

Security Baseline ITIL V3 (IT Infrastructure Library)

um conjunto das boas prticas para o Gerenciamento do Ciclo de Vida do Servio; Desenvolvida inicialmente pelo OGC do Reino Unido e usada hoje por milheres de empresas no mundo todo.

Camilo Amarcy

Security Baseline ITIL V3 - Ciclo de Vida de Servio e Processos

Camilo Amarcy

Security Baseline A ITIL ajuda a definir os processos

Camilo Amarcy

Security Baseline Comparando contedos ITIL V3 x COBIT

Comparando o contedo que a ITIL e o COBIT fornecem para o processo de Gerenciamento de Incidentes, temos:

Camilo Amarcy

Security Baseline ISO/IEC 20000 Sistema de Gesto de Servios de TI Parte 1

A ISO 20000 pode ser usada para certificar o sistema de Gerenciamento de Servios de TI;
No Brasil temos algumas empresas certificadas. Consulte o site:
http//www.isoiec20000certification.com

Foi originalmente publicada pela BSI Brithis Standard Institution como BS 15000 finalmente adotada pela organizao ISO em 2005

Camilo Amarcy

Security Baseline ISO/IEC 20000 Sistema de Gesto de Servios de TI Parte 2

A ISO 20000 composta de duas partes:

Parte 1: Especificao, fornecendo requisitos para um sistema de Gerenciamento de Servios de TI;

Parte 2: Cdigo de prtica, que contm recomendaes das melhores prticas. Serve apenas como um guia.

Norma disponvel no site: www.abntnet.net

Camilo Amarcy

Security Baseline ISO/IEC 27001 Sistema de Gesto da Segurana da Informao

A ISO/IEC 27001 ajuda as organizaes a implantarem um SGSI (Sistema de Gesto da Segurana da Informao), fornecendo directrizes e princpios para iniciar, implementar, manter e aperfeioar o SGSI;; Fornece mais de 133 controles de segurana; Recomenda-se que seja usada em conjunto com a ISO/IEC 27002 (substitui a ISO/IEC 17799), que o cdigo de prtica para o SGSI; A meta das duas normas salvaguardar a confidencialidade, integridade e disponibilidade da informao escrita, falada e electrnica; A ISO 27001 considera: Poltica de Segurana; Segurana Organizacional; Classificao e Controle de Ativos; Segurana Pessoal; Segurana Fsica e Ambiental
Camilo Amarcy

Security Baseline BS 25777 Continuidade do Servio de TI Parte 1

Continuidade do negcio para muitas empresas no mais um processo deixado sorte ou um processo reativo, sem planeamento algum. As empresas precisam de processos proactivos e isso foi resolvido com a BS 25999. Entretando, no d para planear a continuidade do negcio sem considerar a continuidade de TI; A BS 25777 foi lanada para suportar a integrao do plano de continuidade da TI com a poltica de continuidade do negcio BS 25999
Camilo Amarcy

Security Baseline BS 25777 Continuidade do Servio de TI Parte 2

A continuidade da TI foca no apenas na probabilidade e impacto dos incidentes, mas tambm na habilidade da organizao de detectar rapidamente e responder aos incidentes. Isto requer que a organizao monitore os servios de TI para assegurar que: Os sistemas e dependncias de componentes so conhecidas e aplicados na avaliao de riscos; Os servios de TI esto em conformidade com regulamentos, resilincia e recuperveis a um nvel requerido; Eventos no esperados so detectados rapidamente e resolvidos conforme os objectivos de tempo de recuperao e que ento sejam investigados; Dependncias entre servios de TI e influncias externas so cionhecidas, formalmente e usadas na avaliao de riscos durante a avaliao do impacto das mudanas;
Camilo Amarcy

Security Baseline PMBOK Project Management Body of Knowledge

um corpo de Conhecimento para o Gerenciamento de Projectos desenvolvido pelo Project Management Institute (PMI); Tem ampla aceitao pelo mercado actual; Deve ser visto mais como um guia do que uma metodologia; Tem 42 processos distribuidos em 9 reas de conhecimento; Qualquer tipo de projecto pode ser gerenciado a partir destas prticas;

cedido gratuitamente para os membros do PMI. Pode ser comprado em algumas livrarias; H mais de 300.000 profissionais PMP no mundo todo.

Disponvel gratuitamente para

associados no site www.pmi.org

Camilo Amarcy

Security Baseline Processos do PMBOK Quarta Edio

Camilo Amarcy

Security Baseline PRINCE2 Project In Enviroment 2nd Edition

Controlled

Desenvolvido inicialmente pelo CCTA (actual OGC) para ser um padro do governo britnico no gerenciamento de projectos de TI; Actualmente uma metodologia para o gerenciamento de qualquer tipo de projecto; usaod em mais de 50 pases e tem mais de 250.000 practitioners;

Comparando com o PMBOK: Foca nas principais reas de risco; Altamente prescritivo (metodologia), especialmente na estrutura dos processos; Todos os processos devem ser considerados; Orientado a Business Case Os projectos devem gerar entregveis em vez de benefcios para o negcio
Camilo Amarcy

Security Baseline CMMI (Capacity Maturity Model Integration) for Development

CMMI-DEV representa as melhores prticas relacionadas s actividades de desenvolvimento e manuteno de software e hardware; Criado pelo Software Engineering Institute (SEI) da Carnegie Mellow University. Contm 22 reas de processo que cobrem o ciclo de vida de desenvolvimento

Camilo Amarcy

Security Baseline TOGAF (The Open Architecture Framework)

Group

um framework de arquitectura corporativa que prov uma abordagem global ao design, planeamento, implementao e governana de uma arquitectura de informao corporativa; A arquitectura tipocamente modelada em quatro nveis ou domnios: Negcios (Business), Aplicao (Application), Dados (Data) e Tecnologia (Technology). Um conjunto de arquitecturas base fornecido para permitir a equipa de arquitectura vislumbrar o estado futuro e actual da arquitectura de TI;
A viso do Open Group que TOGAF seja um mtodo prtico e confivel para definir as necessidades de negcio e desenvolver uma arquitectura que as atenda.
Camilo Amarcy

Security Baseline M_o_R (Management of Risk)

Desenvolvido pelo OGC do Reino Unido;

Fornece um framework genrico para o gerenciamento de riscos em todas as partes de uma organizao: riscos estratgicos, de programa, projecto e operacionais;
Incorpora todas as actividades necessrias para identificar e controlar a exposio a quaisquer riscos, positiva ou negativa, o qual pode impactar os objectivos de negcio da sua organiza; Oferece um roadmap para o gerenciamento de riscos, trazendo junto principios, abordagem, conjunto de processos inter-relacionados, e pontos para mais fontes detalhadas com orientaes sobre tcnicas de gerenciamento.
Camilo Amarcy

Security Baseline eSCM (eSourcing Capability Model)

A Universidade Carnegie Mellow mantm um Centro de Qualificaa para Servios de TI (IT Service Qualification Center ITSqc) que desenvolveu modelos de qualidade e mtodos de qualificao para organizaes envolvidas no eSourcing.

Camilo Amarcy

Security Baseline Outros Padres

Camilo Amarcy

Security Baseline Finalidade

Camilo Amarcy

Estamos a ver: COBIT 4.1

COBIT 4.1 Control Objectives for Information and related Technology

http://pt.wikipedia.org/wiki/CobiT

54

Camilo Amarcy