COBIT - DS11 Gerenciamento de Dados

confidencialidade

disponibilidade

confiabilidade
compliance

instalaes
integridade

aplicativos
tecnologia
eficincia

pessoas
eficcia

dados
P P
Definio:

Controle sobre o processo de TI de

gerenciamento de dados
que satisfaa a exigncia do negcio de
assegurar que os dados permaneam completos, precisos e vlidos durante sua entrada,
atualizao e armazenagem
atingido mediante
uma combinao efetiva de controles aplicativos e gerais sobre a produo de TI
e leva em considerao
projeto de formulrios
controle de documentos fonte
controle de entradas, processamento e sadas
gerenciamento de identificao, movimentao e arquivamento de mdias
backup e recuperao de dados
autenticao e integridade
definio de gestores de dados
polticas de administrao de dados
padres de modelos e representaes de dados
integrao e consistncia entre plataformas
necessidades legais

11.1. Procedimentos de Preparao de Dados

A administrao deve estabelecer procedimentos de preparao de dados a serem seguidos pelos
departamentos usurios. Nesse contexto, o design dos formulrios de entrada deve assegurar que
erros e omisses sejam minimizados. Procedimentos de tratamento de erros durante a gerao dos
dados devem assegurar razoavelmente que erros e irregularidades sejam detectados, reportados e
corrigidos.

11.2. Procedimentos de Autorizao de Documentos Fonte

A administrao deve assegurar que os documentos fonte so devidamente preparados por pessoal
autorizado, que esteja agindo dentro de sua alada, e que haja adequada segregao de funes
em relao origem e aprovao dos documentos fonte.

11.3. Captura de Documentos Fonte

Os procedimentos da organizao devem assegurar que todos os documentos fonte autorizados
esto completos e precisos, devidamente computados e transmitidos tempestivamente para
entrada.

11.4. Tratamento de Erros de Documentos Fonte

Os procedimentos de tratamento de erros durante a origem dos dados devem assegurar
razoavelmente que erros e irregularidades sejam detectados, reportados e corrigidos.

11.5. Reteno de Documentos Fonte

Procedimentos devem estar implementados para assegurar que os documentos fonte originais so
retidos ou so reproduzveis pela organizao por um perodo de tempo adequado para facilitar a
recuperao ou reconstruo dos dados, bem como para satisfazer exigncias legais.

1/4
COBIT - DS11 Gerenciamento de Dados
11.6. Procedimentos de Autorizao de Dados de Entrada
A organizao deve estabelecer procedimentos apropriados para assegurar que a entrada de dados
seja realizada apenas por pessoal autorizado.

11.7. Checagens de Preciso, Completabilidade e Autorizao

Os dados transacionais introduzidos para processamento (gerados pelo usurio, por sistemas ou
interfaces) devem estar sujeitos a uma srie de controles para checagem de preciso,
completabilidade e validade. Tambm devem ser estabelecidos procedimentos para assegurar que
os dados introduzidos sejam validados e editados o mais prximo possvel do ponto de origem.

11.8. Tratamento de Erros de Entrada de Dados

A organizao deve estabelecer procedimentos para a correo e resubmisso de dados
erroneamente introduzidos.

11.9. Integridade do Processamento de Dados

A organizao deve estabelecer procedimentos para o processamento de dados que assegurem
que a separao de funes mantida e que o trabalho executado rotineiramente verificado. Os
procedimentos devem assegurar que controles adequados tais como totais de controle entre
execues e atualizao de arquivos mestre esto ocorrendo.

11.10. Validao e Edio do Processamento de Dados

A organizao deve estabelecer procedimentos que assegurem que a validao, autenticao e
edio do processamento dos dados seja realizada o mais prximo possvel do ponto de origem.
Quando utilizando sistemas de inteligncia artificial, esses sistemas devem estar inseridos em uma
poltica de controle interativo com operadores humanos para assegurar que decises vitais sejam
autorizadas.

11.11. Tratamento de Erros de Processamento de Dados

A organizao deve estabelecer procedimentos de tratamento de erros de processamento de dados
que permitam que transaes erradas sejam identificadas sem serem processadas e sem
interrupo indevida do processamento de outras transaes vlidas.

11.12. Tratamento e Reteno de Sadas

A organizao deve estabelecer procedimentos para o tratamento e reteno das sadas de seus
programas aplicativos. No caso em que instrumentos negociveis (por exemplo, cartes) sejam os
repositrios das sadas, cuidados especiais devem ser tomados para prevenir uso imprprio.

11.13. Distribuio de Sadas

A organizao deve estabelecer e comunicar procedimentos escritos para a distribuio das sadas
de tecnologia da informao.

11.14. Balanceamento e Conciliao de Sadas

A organizao deve estabelecer procedimentos para assegurar que as sadas sejam rotineiramente
checadas com totais de controle pertinentes. Trilhas de auditoria devem ser providenciadas para
facilitar o rastreamento do processamento das transaes e a reconciliao de dados corrompidos.

11.15. Reviso e Tratamento de Erros de Sadas

A administrao da organizao deve estabelecer procedimentos para assegurar que a preciso
dos relatrios de sada examinada pelo proprietrio e usurios pertinentes. Tambm devem haver
procedimentos ativos para controlar erros contidos nas sadas.

11.16. Previso de Segurana sobre Relatrios de Sada

A organizao deve estabelecer procedimentos para assegurar que a segurana dos relatrios de
sada mantida para aqueles aguardando distribuio, assim como para aqueles j distribudos aos
usurios.

2/4
COBIT - DS11 Gerenciamento de Dados
11.17. Proteo de Informaes Sensveis durante Transmisso e Transporte
A administrao deve assegurar que seja proporcionada proteo adequada para as informaes
sensveis, durante sua transmisso e transporte, contra acesso no autorizado, modificao e
desvios de endereamento.

11.18. Proteo de Informaes Sensveis Descartadas

A administrao deve definir e implementar procedimentos para evitar acesso a informaes e
softwares sensveis a partir de computadores, discos e outros equipamentos ou mdias quando de
sua baixa ou transferncia para outro uso. Tais procedimentos devem garantir que os dados
indicados como eliminados ou para serem destrudos no possam ser recuperados por pessoal
interno ou terceiros.

11.19. Gerenciamento de Armazenagem

Procedimentos devem ser desenvolvidos para o gerenciamento de armazenagem, considerando
exigncias de recuperao, custo benefcio e poltica de segurana.

11.20. Termos de Perodo de Reteno e Armazenagem

Perodos de reteno e condies de armazenagem devem ser definidos para os documentos,
dados, programas, relatrios e mensagens (entrada e sada), assim como dos dados (chaves,
certificados) utilizados para sua criptografia e autenticao.

11.21. Sistema de Gerenciamento da Biblioteca de Mdias

A rea de produo deve estabelecer procedimentos para assegurar que o contedo das mdias de
sua biblioteca contendo dados seja inventariado sistematicamente, que quaisquer discrepncias
descobertas pelo inventrio fsico sejam remediadas de maneira oportuna e que sejam tomadas
medidas para manter a integridade das mdias magnticas armazenadas na biblioteca.

11.22. Responsabilidades do Gerenciamento da Biblioteca de Mdias

Procedimentos internos projetados para proteger o contedo das mdias da biblioteca devem ser
estabelecidos pela administrao da rea de produo. Padres devem ser definidos para a
identificao externa, controle de movimentao fsica e armazenamento, possibilitando seu
inventrio. Responsabilidades pelo gerenciamento das mdias (fitas magnticas, cartuchos, discos e
disquetes) devem ser designadas a funcionrios especficos da rea de produo.

11.23. Backup e Restaurao

A administrao deve implementar uma estratgia adequada de backup e recuperao para
assegurar que inclua uma reviso dos requerimentos do negcio, assim como o desenvolvimento,
implementao, teste e documentao do plano de contingncia. Procedimentos devem ser
estabelecidos para assegurar que os backups estejam satisfazendo todas as exigncias acima
mencionadas.

11.24. Servios de Backup

Procedimentos devem estar ativos para assegurar que os backups sejam efetuados de acordo com
a estratgia definida e que sua utilidade seja regularmente verificada.

11.25. Armazenagem de Backup

Os procedimentos de backup devem incluir o armazenamento adequado dos arquivos de dados,
software e documentao pertinente, tanto no site quanto em site externo. Os backups devem ser
armazenados seguramente e os sites de armazenamento revistos periodicamente considerando a
segurana de acesso fsico, segurana dos arquivos de dados e outros itens.

11.26. Arquivamento
A administrao deve implementar poltica e procedimentos para assegurar que o arquivamento
est de acordo com as exigncias legais e do negcio e est devidamente salvaguardado e
inventariado.

3/4
COBIT - DS11 Gerenciamento de Dados
11.27. Proteo de Mensagens Sensveis
Considerando a transmisso de dados atravs da Internet ou outra rede pblica, a administrao
deve definir e implementar procedimentos e protocolos a serem utilizados para assegurar a
integridade, confidencialidade e no repudiao de mensagens sensveis.

11.28. Autenticao e Integridade

A autenticao e a integridade da informao originada externamente organizao, se recebida
por telefone, correio de voz, documentos em papel, fax ou e-mail, devem ser devidamente checadas
antes que uma ao potencialmente crtica seja tomada.

11.29. Integridade de Transaes Eletrnicas

Levando em considerao que os tradicionais limites de tempo e geogrficos so menos restritivos,
a administrao deve definir e implementar procedimentos e prticas apropriados para transaes
eletrnicas crticas e sensveis, assegurando a integridade e autenticidade de:
Atomicidade: unidade de trabalho indivisvel, todas suas aes terminam ou todas falham;
Consistncia: se a transao no pode chegar a um estado estvel ao seu trmino, ela deve
retornar o sistema ao seu estado inicial;
Isolamento: o comportamento da transao no afetado por outras transaes que
executam concorrentemente; e
Durabilidade: os efeitos da transao so permanentes aps sua confirmao, ou seja, suas
alteraes devem sobreviver a problemas/falhas de sistema.

11.30. Integridade Continuada de Dados Armazenados

A administrao deve assegurar que a integridade e correo dos dados mantidos em arquivos ou
outras mdias (por exemplo, cartes eletrnicos) seja checada periodicamente. Ateno especial
deve ser dispensada a tokens, arquivos de referncia e arquivos contendo informaes privativas.

4/4