SEFAZ INFORMÁTICA Fundamentos de COBIT Prof. Márcio Hunecke

Transcrição

1 SEFAZ INFORMÁTICA Fundamentos de COBIT Prof. Márcio Hunecke

2

3 Informática FUNDAMENTOS DE COBIT (VERSÃO 5) O COBIT 5, criada pela ISACA (Information Systems Audit and Control Association), fornece um modelo operacional com uma linguagem comum para todas as partes do negócio envolvidos em atividades de TI e fornece uma estrutura para medir e monitorar o desempenho de TI, a comunicação com os prestadores de serviços e integrar as melhores práticas de gestão. A versão 5 do COBIT vem em substituição à versão 4.1, que era focada exclusivamente em TI. O framework do COBIT 5 foi consideravelmente reestruturado, ganhando uma aparência nova. Foram estabelecidos 05 princípios do COBIT, transformando o framework em um principlesdriven framework (framework dirigido por princípios). Benefícios a serem atingidos com COBIT 5 Incrementar benefícios para stakeholders (Partes Interessadas) Manter risco em um nível aceitável, pois é impossível eliminar Otimizar custos, balanceando investimentos e cortes de despesas Cumprir regulamentação imposta por órgãos reguladores Manter informação de alta qualidade (tomada de decisão) A Família de produtos do COBIT 5 COBIT 5 Framework; COBIT 5 Guias de Habilitadores (Processos, Informação e outros guias); COBIT 5 Guias Professionais (Implementação, Segurança, Garantia, Riscos e outros guias); COBIT 5 Ambiente Colaborativo; Guia para auto avaliação. Guia para auditores. 3

4 Cinco Princípios Básicos 1. Atender as necessidades das Partes Interessadas (Meeting Stakeholder Needs): As empresas existem para criar valor para seus stakeholders, mantendo um equilíbrio entre a realização dos benefícios, a valorização do risco e uso de recursos. COBIT 5 fornece todos processos necessários e outros ativadores (enablers) para apoiar a criação de valor de negócio através do uso de TI. Todas empresas têm objetivos diferentes e podem personalizar COBIT 5 para atender seu próprio contexto, com os objetivos em cascata, traduzindo objetivos da empresa em objetivos gerenciáveis e específicos da TI e mapeando estes em processos e práticas. COBIT 5.0 contém processos específicos para suportar necessidades através do uso de recursos de TI. 2. Cobrir a Empresa de Ponta a Ponta (Covering the Enterprise End-to-end): esta é a principal mudança obtida pela versão 5 do COBIT. O framework busca cobrir a Governança Coorporativa, abrangendo todas as funções e processos corporativos, além da própria Governança de TI. 3. Aplicação de um Framework Único e Integrado (Applying a Single Integrated Frameword): o COBIT 5 buscou alinhar as práticas com outros níveis de boas práticas e frameworks de mercado (BSC, COSO, VAL IT, RISC IT e ISO 38500, ITIL) buscando supri-las em uma única ferramenta. 4

5 Fundamentos de COBIT Prof. Márcio Hunecke 4. Permitir uma Abordagem Holística (Enabling a Holistic Approach): são definidos elementos que funcionam como suprimentos para a integração da visão holística da Governança. Estes suprimentos (ou habilitadores) são: Princípios, Processos, Organização, Cultura, Informação, Serviços, Pessoas, Infraestrutura, Aplicações e Competências. Vale mencionar que estes elementos se aproximam bastante dos recursos e habilidades definidos pela Biblioteca da ITIL. 5. Separar Governança da Gestão (Separating Gevernance From Mangement): o framework criou um Domínio de processos para a Governança independente do domínio de Gestão, com o objetivo de esclarecer as divergências entre os conceitos e aplicá-los de forma isolada, apesar de integrados por objetivos comuns. Três Objetivos em Cascata Necessidades das partes interessadas podem ser relacionadas a um conjunto de metas genéricas da empresa. Estes objetivos empresariais foram desenvolvidos utilizando as dimensões do Balanced Scorecard (BSC) e representam uma lista de objetivos comumente usados que uma empresa pode definir para si. Embora esta lista não seja exaustiva, a maioria dos objetivos específicos da empresa podem ser mapeados facilmente em um ou mais objetivos genéricos da empresa. A realização dos objetivos da empresa exige uma série de resultados relacionados, que são representados pelas metas relacionadas a TI. A relação entre informação, tecnologia e os objetivos da TI estruturam-se com base nas dimensões do IT Balanced Scorecard (IT-BSC). COBIT 5 define 17 objetivos relacionados à TI. A cascata de objetivos do COBIT 5 é o mecanismo de tradução das necessidades das partes interessadas em objetivos corporativos específicos, personalizados, exequíveis, objetivos de TI e metas dos habilitadores. Esta tradução permite a configuração de objetivos específicos em cada nível e em cada área da organização em apoio aos objetivos gerais e às exigências das partes interessadas e, portanto, apoia efetivamente o alinhamento entre as necessidades corporativas e os serviços e soluções de TI. 5

6 Sete Categorias de Habilitadores / Facilitadores / Viabilizadores 1. Princípios, Políticas e Frameworks (Principles, policies and frameworks): é um guia prático para traduzir o comportamento desejado para o gerenciamento das atividades do dia-a-dia. 2. Processos (Processes): descreve um conjunto organizado de práticas e atividades para atingir determinados objetivos e produzir um conjunto de saídas para alcançar objetivos globais relacionados com IT. 3. Estruturas Organizacionais (Organizational structures): são as principais entidades de tomada de decisão em uma empresa. 4. Cultura, Ética e Comportamento (Culture, ethics and behaviour): dos indivíduos e da empresa não podem ser ignorados para o sucesso em governança e gestão de atividades. 5. Informação (Information): é generalizada em toda a qualquer organização e inclui todas as informações produzidas e utilizadas pela empresa. Informação é necessária para manter a organização funcionando e bem regulada, mas a nível operacional, a informação é muitas vezes a chave do produto da empresa em si. 6

7 Fundamentos de COBIT Prof. Márcio Hunecke 6. Serviços, Infraestrutura e Aplicações (Services, infrastructure and applications): incluem a infraestrutura, tecnologia e aplicações que fornecem a empresa os serviços e processamento de tecnologia de informação. 7. Pessoas, Habilidades e Competências (People, skills and competencies): estão ligados a pessoas e são necessários para a conclusão bem-sucedida de todas as atividades e também para a tomada de decisões corretas e ações corretivas. Cinco Domínios e 37 Processos O Modelo de Referência de Processos do COBIT 5 divide os processos de gestão e governança de TI da empresa em: Governança: Contém 1 domínio e 5 processos que estão incluídos neste domínio EDM Avaliar, Direcionar e Monitorar (Evaluate, Direct and Monitor). Gestão: Contém 4 domínios alinhados com PBRM Planejamento, Construção, Execução e Monitoração (plan, build, run and monitor). 7

8 8

9 Questões 1. (2018 CESPE TCE-MG Analista de Controle Externo Ciência da Computação) A segurança da informação visa garantir confidencialidade, integridade e disponibilidade dos ativos, além de manter o impacto e a ocorrência de incidentes de segurança da informação nos níveis exigidos pela organização. A partir dessas informações, é correto afirmar que o gerenciamento da segurança da informação é tratado a) pelo COBIT 5 no domínio construir, adquirir e implementar (BAI) e parcialmente pelo ITIL v3 por meio do processo gerenciamento de acesso no estágio operação de serviço. b) parcialmente por ambos: pelo processo gerenciar disponibilidade e capacidade do domínio construir, adquirir e implementar (BAI) do COBIT 5; e pelo processo gerenciamento da disponibilidade do estágio operação do ITIL v3. c) somente pelo ITIL v3, no estágio operação de serviços. d) somente pelo COBIT 5, no domínio construir, adquirir e implementar (BAI). e) em ambos: no estágio desenho de serviço do ITIL v3; e no domínio alinhar, planejar e organizar (APO) do COBIT (2018 CESPE MPE-PI Analista Ministerial Tecnologia da Informação) De acordo com o COBIT 5, julgue o item que segue. O sistema de governança deve considerar todas as partes interessadas para encaminhar as tomadas de decisão relativas a benefícios, riscos e avaliação de recursos. 3. (2018 CESPE MPE-PI Analista Ministerial Tecnologia da Informação) De acordo com o COBIT 5, julgue o item que segue. À governança cabe planejar, desenvolver, executar e monitorar atividades alinhadas ao direcionamento acordado com as partes interessadas, de forma equilibrada e baseada em prioridades. 4. (2018 CESPE IPHAN CESPE 2018 IPHAN Analista I Área 7 ) Julgue o próximo item, relativo ao princípio e fundamento de COBIT 5. Os habilitadores, que influenciam o funcionamento da governança e gestão corporativa de TI, possuem um ciclo de vida desde sua criação, passando por sua vida útil até chegar ao descarte. 5. (2018 CESPE IPHAN CESPE 2018 IPHAN Analista I Área 7) Julgue o próximo item, relativo ao princípio e fundamento de COBIT 5. A cascata de objetivos tem por finalidade desdobrar os objetivos de TI em objetivos corporativos. 6. (2018 CESPE IPHAN CESPE 2018 IPHAN Analista I Área 7) Julgue o próximo item, relativo ao princípio e fundamento de COBIT 5. A adoção do COBIT auxilia as empresas a atingirem os objetivos estratégicos através da utilização eficaz e inovadora de TI e a manterem o cumprimento de leis, regulamentos, acordos contratuais e políticas, entre outros benefícios. 9

10 7. (2018 CESPE EMAP CESPE 2018 EMAP Analista Portuário Tecnologia da Informação) Julgue o seguinte item, relativos a governança e gestão de tecnologia da informação (TI), conforme os diversos frameworks, modelos de gestão, bibliotecas e processos. Na gestão de recursos de TI do COBIT 5, a seleção de fornecedores deve ser realizada de acordo com os pareceres legais e contratuais, devendo-se assegurar a melhor opção para atender aos objetivos do negócio. 8. (2018 CESPE EBSERH CESPE 2018 EBSERH Analista de Tecnologia da Informação) Acerca de governança e gestão de tecnologia da informação, julgue o seguinte item. De acordo com o COBIT 5, serviços, aplicações e infraestrutura são os instrumentos pelos quais as decisões de governança são institucionalizadas dentro da empresa e promovem a interação entre as decisões de governança e o gerenciamento. 9. (2018 CESPE STJ CESPE 2018 STJ Técnico Judiciário Suporte Técnico) Julgue o item a seguir, a respeito de noções gerais sobre governança de TI e gerenciamento de serviços. Para o COBIT 5 o planejamento, gerenciamento e aplicação da TI para atender às necessidades do negócio inclui tanto a demanda como o fornecimento de serviços de TI pelas unidades internas como por fornecedores externos. É o mesmo entendimento que a ISO 38500, com exceção, nesta última, na qual ficam exclusos do âmbito do uso da TI serviços tais como o fornecimento de software como serviço. 10. (2018 CESPE STJ CESPE 2018 STJ Técnico Judiciário Desenvolvimento de Sistemas) Julgue o próximo item, relativo à governança de TI, à NBR ISO/IEC 38500:2009, ao COBIT 5 e ao DevOps. Para o COBIT 5, os processos são considerados habilitadores corporativos, assim como os serviços, a infraestrutura e os aplicativos. 11. (2018 CESPE STJ CESPE 2018 STJ Técnico Judiciário Desenvolvimento de Sistemas) Julgue o próximo item, relativo à governança de TI, à NBR ISO/IEC 38500:2009, ao CO- BIT 5 e ao DevOps. No COBIT 5, é preferível o domínio construir, adquirir e implementar ao domínio alinhar, planejar e organizar para o gerenciamento dos processos relacionados à gerência de programas e projetos e à gerência de definição de requisitos, pois naquele primeiro domínio têm prioridade os processos afetos ao planejamento e ao entendimento dos objetivos do negócio. 12. (2018 CESPE STJ CESPE 2018 STJ Técnico Judiciário Desenvolvimento de Sistemas) Julgue o próximo item, relativo à governança de TI, à NBR ISO/IEC 38500:2009, ao COBIT 5 e ao DevOps. A NBR ISO/IEC 38500:2009 está alinhada à área chave de governança do COBIT 5, pois preconiza a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda às necessidades atuais e contínuas da estratégia de negócio da organização. Gabarito: 1. E 2. C 3. E 4. C 5. E 6. C 7. C 8. E 9. E 10. C 11. E 12. C 10