ALINE DE SOUZA CAPELLI LUCIMAR BARBOSA

Tamanho: px
Começar a partir da página:

Download "ALINE DE SOUZA CAPELLI LUCIMAR BARBOSA"

Transcrição

1 CENTRO UNIVERSITÁRIO FUNDAÇÃO SANTO ANDRÉ ALINE DE SOUZA CAPELLI LUCIMAR BARBOSA COBIT: ANALISANDO O NÍVEL DE MATURIDADE DOS RISCO S DE T.I. DA EMPRESA ALPHA Santo André 2012

2 ALINE DE SOUZA CAPELLI LUCIMAR BARBOSA COBIT: ANALISANDO O NÍV EL DE MATURIDADE DOS RISCO S DE T.I. DA EMPRESA ALPHA Trabalho de Conclusão de Curso apresentado como exigência parcial para conclusão do curso de Pós- Graduação em Governança Corporativa em Gestão de Operações em T.I. ao Centro Universitário Fundação Santo André. Orientador: Ricardo Crepalde. Santo André 2012

3 ALINE DE SOUZA CAPELLI LUCIMAR BARBOSA COBIT: ANALISANDO O NÍVEL DE MATURIDADE DOS RISCO S DE T.I. DA EMPRESA ALPHA Trabalho de Conclusão de Curso apresentado como exigência parcial para obtenção do grau de Pós-Graduado, ao Centro Universitário Fundação Santo André, curso de Governança Corporativa em Gestão de Operações em T.I.. Data / /. Prof(a). Dr(a). Instituição : Prof(a). Dr(a). Instituição : Prof(a). Dr(a). Instituição : Assinatura Assinatura Assinatura

4 Dedicatória: este trabalho é dedicado aos nossos pais, à nossa família e amigos pelo incentivo, paciência e, por além de acreditarem em nós, estarem sempre ao nosso lado.

5 AGRADECIMENTOS Agradecemos a Deus por tudo que nos tem concedido, à nossa família por estar sempre presente e nos incentivar a seguir em frente, ao professor Ricardo Crepalde pela paciência e aprendizado que transmitiu durante o desenvolvimento deste trabalho e aos professores e colegas com os quais tivemos o privilégio de estudar durante o período do curso.

6 O bom gerenciamento consiste em mostrar às pessoas medianas como fazer o trabalho de pessoas superdotadas. (John D. Rockefeller )

7 RESUMO O Nível de Maturidade dos Riscos de T.I. de uma empresa é atribuído pelo nível de conhecimento que ela possui para lidar com o processo. Para medirmos esse nível de maturidade da empresa Alpha adotamos o COBIT, que exerce grande influência neste aspecto já que é um framework voltado para governança de T.I.. Sua implementação nas organizações vem trazendo diversos benefícios que vão desde padronização dos processos, análise do nível de maturidade, transparência do negócio aos clientes, até o alinhamento da T.I. à estratégia de negócio. A gestão de riscos é considerada um dos pilares da governança de T.I., com o objetivo principal de garantir que qualquer falha não coloque em risco os objetivos estratégicos da organização. A partir do conhecimento do estágio atual da empresa no processo de Gestão de Risco através do nível de maturidade é possível estabelecer um caminho para atingir outros níveis. As deficiências encontradas no processo de Gestão de Risco da empresa Alpha requerem mapeamentos de planos de ações para serem priorizados dentro da organização a fim de alcançar os objetivos mapeados. Palavras-chave: Maturidade. Riscos.

8 ABSTRACT The Risk Maturity Level of an IT company is awarded by the level of knowledge that it has to deal with the process. To measure this level of maturity of the Alpha company, it was adopted COBIT, that exerts great influence on this aspect since it is facing a framework for IT governance and its implementation in organizations has brought many benefits ranging from standardization of processes, analysis of the level of maturity, transparency of business customers, and the alignment of IT and business strategy. Risk management is considered a cornerstone of IT governance, with the main objective to ensure that any failure would not endanger the strategic goals of the organization. From the knowledge of the current stage in the process of Risk Management through the level of maturity, it is possible to establish a way to reach other levels. The deficiencies found in the process of risk management at Alpha company requires mapping of plans for actions to prioritize within the organization to achieve the objectives mapped. Keywords: Maturity. Risk.

9 LISTA DE FIGURAS Figura 1: Visão Geral do gerenciamento de risco do Projeto Figura 2 - Matriz Tridimensional em Forma de Cubo Figura 3 - Comparativo Melhores Práticas Figura 4 - Princípios Básicos do COBIT Figura 5 - Áreas de Foco da Governança de T.I., na Visão do COBIT Figura 6 - Áreas de Foco na Governança de T.I. utilizada pelo processo PO Figura 7 - Critérios de informação utilizada pelo processo PO Figura 8 - Definindo os objetivos de T.I. e a arquitetura da empresa para T.I Figura 9 - Gerenciando os Recursos de T.I. para Entregar os Objetivos de T.I Figura 10 - Recursos utilizados no processo PO Figura 11 - Os Quatro Domínios Inter-relacionados do COBIT Figura 12 - Visão Geral do Modelo do COBIT Figura 13 - Objetivos de Controle do Domínio PO (Planejamento e Organização) Figura 14 - Processos de T.I Figura 15 - Modelo de Maturidade Genérico Figura 16 - Representação Gráfica dos Modelos de Maturidade Figura 17 - Exemplo de Relacionamento de Objetivos Figura 18 - Cubo do COBIT Figura 19 - Critérios de Informação, medidas de controle do processo PO Figura 20 - Nomenclatura - PO Figura 21 - Descrição do Processo - PO Figura 22 - Premissas - PO Figura 23 - Áreas de Foco - PO Figura 24 - Recursos PO Figura 25 - Nomenclatura e descrição do objetivo de controle detalhado PO Figura 26 - Entrada e saída do processo PO Figura 27 - Tabela Raci do processo PO Figura 28 - Objetivos e Métricas PO Figura 29 - Modelo de Maturidade PO Figura 30 - Diretrizes de Gerenciamento PO Figura 31 - Processos de entrada e saída - PO Figura 32 - Processos de entrada e saída PO Figura 33 - Tabela RACI - PO Figura 34 - Apresentação dos Objetivos e Métricas Figura 35 - Objetivos e Métricas - PO Figura 36 - Porcentagem por capítulo Figura 37 - Nível de Maturidade Inexistente Figura 38 - Nível de Maturidade - Inicial Figura 39 - Nível de Maturidade - Repetível Figura 40 - Nível de Maturidade - Definido Figura 41 - Nível de Maturidade Gerenciado Figura 42 - Nível de Maturidade - OT.I.mizado Figura 43 - Cálculo do nível de maturidade Figura 44 - Tabela Raci da Empresa Alpha... 77

10 QUADROS Quadro 1 - Questões e Processos dos Domínios do COBIT - PO (Planejamento e Organização) Quadro 2 - Questões e Processos dos Domínios do COBIT - AI (Aquisição e Implementação) Quadro 3 - Questões e Processos dos Domínios do COBIT - DS(Entrega e Suporte) Quadro 4 - Questões e Processos dos Domínios do COBIT - ME (Monitoração e Avaliação) Quadro 5 Hardware e seus dispositivos componentes Quadro 6 Software / Plataformas / Sistemas Quadro 7 Identificação de Eventos Quadro 8 Plano de Resposta aos Riscos Quadro 9 Plano de Ação... 68

11 TABELAS Tabela 1 - Níveis de Impacto Tabela 2 - Níveis de Probabilidade Tabela 3 Cálculo de Impacto e Probabilidade... 65

12 LISTA DE ABREVIATURAS E SIGLAS BACEN Banco Central do Brasil CEO Chief Executive Officer CFO Chief Financial Officer CIO Chief Information Officer CMMI Capability Maturity Model Integration COBIT Control Objectives for Information and related Technology ISACA Information Systems Audit and Control Association ISO International Organization for Standardization ITGI Information Technology Governance Institute KGI Key Goal Indicators KPI Key Performance Indicators PMBOK Project Management Body of Knowledge PMO Project Management Officer RACI Responsible, accountable, consulted and/or informed T.I. Tecnologia da Informação

13 SUMÁRIO 1 INTRODUÇÃO Metodologia GESTÃO DE RISCOS Visão Geral do Risco Riscos Melhores práticas Comparativo Melhores Práticas O COBIT Focos da Governança segundo o COBIT: Critérios de Informação Objetivos de Negócio e Objetivos de T.I Recursos de T.I Domínios Processos Objetivos de Controle Atividades Modelo de Maturidade Medição de Performance Estrutura do Modelo Navegação pelo Modelo ANÁLISE DA EMPRESA APLHA Perfil da Empresa Descrição da Área de T.I Gestão de Risco na Empresa Alpha Análise da Maturidade do processo PO Planos de Ação DISCUSSÃO CONSIDERAÇÕES FINAIS... 80

14 14 1 INTRODUÇÃO Ao longo das últimas décadas, a informação se tornou um dos ativos mais valiosos para as organizações, sendo que o vazamento ou a indisponibilidade da informação pode colocar em risco a execução de processos de negócios vitais para a empresa. Para Sêmola (2003), esse cenário se torna ainda mais crítico com o crescente aumento das vulnerabilidades associadas aos diversos ativos (que oferecem suporte aos processos de negócios das empresas) e com o surgimento, em grande escala, de ameaças capazes de explorar essas vulnerabilidades. Para enfrentar essa realidade, é exigido das empresas o desenvolvimento de recursos e processos cada vez mais eficientes para manter as informações seguras. Neste contexto, a gestão de riscos representa um recurso essencial para que a empresa possa estimar ameaças, vulnerabilidades e impactos. O risco é a probabilidade de ameaças explorarem vulnerabilidades, gerando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente impactos (conseqüências) nos negócios. Já o processo de gestão de riscos compreende um conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos [ABNT, 2006]. As autoras acreditam que as empresas precisam implementar uma gestão de risco sistematizada e consistente, utilizando primeiramente um modelo de maturidade voltado a Gestão de Riscos, que meça ou avalie o nível de maturidade desse processo em uma organização. Tal modelo encontrado no framework do COBIT 4.1. O COBIT (Control Objectives for Information and Related Technology) é um framework voltado para governança de T.I. (Tecnologia da Informação). Segundo Fernandes e Abreu (2008) a própria definição de Governança de T.I. presente na versão 4.1 do COBIT ilustra a importância de T.I. dentro da organização: responsabilidade da alta direção, consiste na liderança, nas estruturas organizacionais e nos processos que garantem que a tecnologia da informação da empresa sustente e estenda as estratégias e objetivos da organização. A maturidade em Gestão de Risco da empresa a coloca a frente de possíveis situações críticas com o poder de solucioná-las ou mitigá-las, diminuindo o seu impacto. Por meio do COBIT podemos medir a maturidade da empresa no processo de Gestão de Risco e, caso necessário, apontar onde a sua atuação deve melhorar para atingir o próximo nível de maturidade.

15 Para avaliar o nível de maturidade, este trabalho apresentará algumas teorias existentes no mercado que auxiliam no processo de gestão de risco e apresentaremos o framework do COBIT. Segundo Fernandes e Abreu (2008), o principal objetivo do COBIT é contribuir para o sucesso da entrega de produtos e serviços de T.I., a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execução. Com a Gestão de Riscos temos uma Governança de T.I. mais forte, demonstrando ao negócio a seriedade e o comprometimento com os objetivos estratégicos, tornando o alinhamento entre T.I. e Negócio mais sólido e eficiente, ou seja, fortalecendo cada vez mais a organização. Deste modo, busca-se por meio deste trabalho avaliar o nível de maturidade da gestão de risco na empresa Alpha. Para tanto, é utilizado o framework do Cobit 4.1, especificamente o que se refere ao processo PO9 Avaliar e Gerenciar os riscos de T.I., principalmente seus níveis de maturidade. O presente trabalho apresenta-se organizado da seguinte maneira: o capítulo 1 apresenta o framework do COBIT; o capítulo 2 apresenta o processo de gestão de riscos; o capítulo 3 apresenta a analise de maturidade da empresa Alpha e, finalmente, o capítulo 5 encerra este trabalho com as considerações finais. 1.1 Metodologia A fonte mais importante de pesquisa para este trabalho foram livros de governança, o próprio framework do COBIT, site oficial do ISACA (Information Systems Audit and Control Association). Preocupou-se também em obter informações recentes, que pudessem refletir o momento atual dos assuntos tratados. Neste sentido, uma das fontes utilizadas foi a Internet, através de sites conhecidos, relacionadas aos temas abordados, revistas organizacionais, sites oficiais e com conteúdo com tópicos relevantes. Para atender a proposta da análise de maturidade da empresa Alpha e demostrar um plano de ação, efetuou-se um levantamento de informações na empresa, tendo como base o processo PO9 do framework do COBIT. Dessa forma, para desenvolver a análise buscou-se:

16 1. Efetuar um levantamento bibliográfico. Este levantamento contemplou: governança de T.I., gestão de risco, análise de maturidade e framework do COBIT. 2. Estudar e analisar a organização contemplada na análise. 3. Desenvolvimento do Plano de Ação apurados perante a análise de maturidade do processo do COBIT.

17 2 GESTÃO DE RISCOS Gerência de Riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização o mínimo possível. É um conjunto de técnicas que visa reduzir ao mínimo os efeitos das perdas acidentais, enfocando o tratamento aos riscos que possam causar danos pessoais, ao meio ambiente e à imagem da empresa. A Gestão de Riscos de T.I. precisa estar no dia-a-dia dos CIOs (Chief Information Officer) através de processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores de riscos, inclusão da análise de riscos no Plano Diretor de T.I. ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da T.I. (DOROW, 2010). Atualmente, todas as grandes, pequenas e médias empresas se utilizam, com êxito, da Gerência de Riscos, pois ela proporciona uma correta proteção dos ativos e do patrimônio dos acionistas, eliminando ou reduzindo, efetivamente, a maioria dos riscos acidentais. As primeiras técnicas de gestão de riscos foram implantadas pelas seguradoras em meados do século 20 com apólices de navios. Entre as décadas de 60 e 80, motivado pela possibilidade de prever o futuro e evitar perdas previsíveis, o setor financeiro se dedicou ao aperfeiçoamento das técnicas de controle de risco. 2.1 Visão Geral do Risco Entende-se por risco o "evento ou condição incerta que, se acontecer, tem um efeito positivo ou negativo para a organização" (PMBOK, 2004), ou "a chance de algo acontecer e que terá impacto nos objetivos" (ASNZS, 2004). Ainda, a segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio (ISO1799, 2000).

18 Em 1994 o JP Morgan lança o Value at Risk (VaR), cálculo utilizado pelas instituições financeiras para medir os riscos de portfólios de aplicações. Após os escândalos financeiros de 2002 (Enron e WorldCom) institui-se o ato Sarbanes-Oxley (Sox), que trata de uma imposição às empresas listadas na Bolsa de Valores de Nova York obrigando-as a investir no controle e declarar anualmente os riscos potenciais. O acordo Basiléia II (resolução 3380 do Bacen Banco Central), que também é resultante de escândalos financeiros, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros. Os riscos podem ser gerenciados de quatro formas: Mitigação de Riscos: implementação de controles que protejam contra riscos; Transferência de Riscos: compartilhamento de riscos com parceiros ou contratar seguro apropriado; Aceitação de Riscos: confirmação e monitoração de riscos, e ter um plano de resposta ao risco pronto; Evitando os riscos: adoção uma opção diferente que evite completamente o risco. 2.2 Riscos Melhores práticas PMBOK Segundo PMBOK Guide (2004) os principais processos da gerência de riscos do projeto são: Planejamento do Gerenciamento de Riscos: Decisão de como abordar e planejar as atividades de gerenciamento de riscos do projeto. À medida que o planejamento do projeto avança, é possível verificar os possíveis riscos e seu impacto para o projeto. Dessa forma, é preciso planejar o gerenciamento desses riscos descrevendo como deverão ser acompanhados. Identificação de Riscos: Com foco nos objetivos do projeto, escopo, qualidade, prazo e custos, pode-se mapear os fatores que poderão impactar o cumprimento do planejado e, dessa forma, analisar quais riscos deverão ser minimizados ou evitados e quais oportunidades poderão ser maximizadas.

19 Análise Qualitativa de Riscos: Processo de avaliar o impacto e a probabilidade dos riscos encontrados e qualificá-los potencialmente para sua priorização conforme as categorias a seguir: MB Muito Baixo B Baixo M Moderado A Alto MA Muito Alto Análise Quantitativa de Riscos: Análise numérica de probabilidade e impacto em caráter individual baseada em informações históricas de ocorrências. Planejamento de Respostas a Riscos: Desenvolvimento de procedimentos e técnicas para reduzir as ameaças causadas pelos riscos Monitoramento e Controle de Riscos: Monitoramento com identificação de novos riscos e execução de planos de redução de riscos. Avaliação da eficácia dos planos durante o projeto. A Figura 1 representa a visão geral do gerenciamento de risco, segundo o PMBOK, com todas as entradas e saídas dos processos COBIT Segundo o IT Governance Institute ITGI (2007), os processos (objetivos de controle detalhado) do gerenciamento de riscos são: Alinhamento da gestão de riscos de T.I. e de Negócios: Estabelecimento de uma estrutura de gestão de riscos de T.I. alinhada com a estrutura de gestão de riscos da organização (corporação). Estabelecimento do Contexto de Risco: Estabelecimento do contexto ao qual a estrutura de avaliação de risco é aplicada para assegurar resultados esperados. Isso inclui a definição dos contextos interno e externo de cada avaliação de risco, o objetivo da avaliação e os critérios pelos quais os riscos são avaliados.

20 Figura 1: Visão Geral do gerenciamento de risco do Projeto Fonte: PMBOK, 2004 Identificação de Eventos: Identificação de eventos (importante ameaça real que explora significativas vulnerabilidades) com potencial impacto negativo nos objetivos ou nas operações da organização, incluindo aspectos de negócios, regulamentação, jurídicos, de tecnologia, parcerias de negócio, recursos humanos e operacionais. Determinação da natureza do impacto e manutenção desta informação. Registro e manutenção de um histórico dos riscos relevantes.

21 Avaliação de Risco: Avaliação regular da probabilidade e o impacto de todos os riscos identificados, utilizando métodos qualitativos e quantitativos. A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria e com base no portfólio da organização. Resposta ao Risco: Desenvolvimento e manutenção de um processo de respostas a riscos para assegurar que controles com uma adequada relação custo-benefício mitiguem a exposição aos riscos de forma contínua. O processo de resposta ao risco deve identificar estratégias de risco, tais como evitar, reduzir, compartilhar ou aceitar o risco, determinar responsabilidades, e considerar os níveis de tolerância definidos. Manutenção e Monitoramento do Plano de Ação de Risco: Priorização e planejamento das atividades de controle em todos os níveis da organização para implementar as respostas aos riscos identificadas como necessárias, incluindo a identificação de custos, benefícios e responsabilidade pela execução. Obtenção de aprovações para ações recomendadas e aceitação de quaisquer riscos residuais e assegurar que as ações aprovadas sejam assumidas pelos donos dos processos afetados. Monitoramento da execução dos planos e reporte de qualquer desvio para a Alta Direção COSO O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. É patrocinada por cinco das principais associações de classe de profissionais ligados à área financeira nos Estados Unidos. O objetivo do COSO são os Controles Internos. Entenda-se por Controle Interno um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa (COSO, 2007). Pelo COSO, o Controle Interno é um processo constituído de cinco elementos, que estão inter-relacionados e presentes em todo o controle interno: Ambiente de controle; Avaliação e gerenciamento dos riscos;

22 Atividade de controle; Informação e comunicação; Monitoramento. No ERM (Enterprise Risk Management Framework), também conhecido como COSO2, existe um relacionamento direto entre os objetivos e os componentes do gerenciamento de riscos corporativos. Esse relacionamento é representado em uma matriz tridimensional na Figura 2: As quatro categorias de objeto nas colunas verticais; Os oito componentes nas linhas horizontais; As unidades de uma organização na terceira dimensão. Figura 2 - Matriz Tridimensional em Forma de Cubo Fonte: COSO, 2007 Ambiente Interno: o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão. Fixação de Objetivos: os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que proporcionem suporte e

23 estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos. Identificação de Eventos: os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos. Avaliação de Riscos: os riscos são analisados considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais. Resposta a Risco: a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando através do desenvolvimento de uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco. Atividades de Controle: políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia. Informações e Comunicações: as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permita que se cumpra suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis da organização. Monitoramento: a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas. 2.3 Comparativo Melhores Práticas Na figura 3 apresentamos um comparativo da abordagem de gestão de riscos em três melhores práticas conforme apresentado no item anterior:

24 Figura 3 - Comparativo Melhores Práticas O PMBOK é baseado em gestão de Projetos, o COSO tem como objetivo principal controles internos, e o framework do COBIT é destinado à governança de T.I.. Por esse motivo foi o modelo escolhido para o desenvolvimento do trabalho.

25 3 O COBIT O COBIT (Control Objectives for Information and Related Technology) foi criado em 1994 pelo ITGI (IT Governance Institute) com a finalidade de ajudar a aperfeiçoar informações sobre investimentos e a prover medidas para o tratamento de necessidades das organizações. O modelo passou por diversas evoluções e, em 2007, foi publicada a versão 4.1, que será abordada neste trabalho. Conforme explica o ITGI (2007): O COBIT é focado no que é necessário para atingir um adequado controle e gerenciamento de T.I. e está posicionado em elevado nível. O COBIT foi alinhado e harmonizado com outros padrões e boas práticas de T.I. mais detalhados. O COBIT atua como um integrador desses diferentes materiais de orientação, resumindo os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios. O COSO (e outra metodologias similares) é geralmente aceito como uma metodologia de controle interno para corporações. O COBIT é um modelo de controles internos geralmente aceitos para a área de T.I.. Dentre os vários benefícios em se adotar o COBIT, encontram-se: Esclarecimento de responsabilidades na organização de T.I.; Especificação das necessidades e os controles de T.I.; Fornecimento de diretrizes para o gerenciamento de riscos; Fornecimento de um modelo de boas práticas conhecido e disseminado; Viabilização da medição de metas de desempenho da organização de T.I Focos da Governança segundo o COBIT: Missão e Objetivo Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de T.I. atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de T.I. e profissionais de avaliação. (ITGI, 2007). Dentre os objetivos do COBIT encontram-se a orientação ao negócio, o direcionamento da Governança de T.I., relacionando processos, recursos e informações de T.I.

26 aos objetivos e estratégias de negócio e o sucesso na entrega dos produtos e serviços de T.I. a partir das necessidades do negócio. Conforme explica a T.I. Exames (2008), o COBIT é um framework que fornece as melhores práticas para o gerenciamento de processos de T.I., estruturado de uma forma gerenciável e lógica, atendendo as várias necessidades de gestão da organização, tratando os riscos de negócio, questões técnicas, necessidades de controle e métricas de desempenho Princípios De acordo com o ITGI (2007), o modelo COBIT é baseado nos seguintes princípios: Prover a informação de que a organização precisa para atingir os seus objetivos, as necessidades para investir, gerenciar e controlar os recursos de T.I. usando um conjunto estruturado de processos para prover os serviços que disponibilizam as informações necessárias para a organização. Tais princípios estão esquematizados na Figura 3. Figura 4 - Princípios Básicos do COBIT Fonte: ITGI(2007).

27 O princípio do COBIT é assegurar que os recursos de T.I. estarão alinhados com os objetivos da organização e vincular as expectativas dos gestores de T.I. com suas responsabilidades Foco e Características A principal característica do modelo do COBIT é o foco no negócio, orientado a processos. Possui maior enfoque nos controles dos processos do que na execução das atividades. O modelo foi desenvolvido para ser utilizado principalmente no nível estratégico de uma organização, auxiliando os executivos em uma gestão baseada em um modelo de processos. Para ITGI (2007), os pilares fundamentais que sustentam o núcleo da Governança de T.I. podem ser representados por cinco áreas, conforme mostra a Figura 4. Figura 5 - Áreas de Foco da Governança de T.I., na Visão do COBIT. Fonte: IT Governance Institute (2007) Alinhamento Estratégico: se refere a alinhar a T.I. com as estratégias do negócio. Verificar se os investimentos da empresa em T.I. estão em harmonia com os objetivos

28 estratégicos da empresa. Segundo Fernandes e Abreu (2008) é o alinhamento das operações da empresa com as de T.I.; Entrega de Valor: Entrega de qualidade apropriada dentro do prazo e custo, a qual deve atingir os benefícios que foram prometidos. Para uma entrega de valor de T.I. efetivada ser alcançada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados; Gerenciamento de Riscos: está diretamente ligada à boa governança e envolve, entre outras coisas, a identificação de riscos sistêmicos, tecnológicos e de informação, a fim de dar maior proteção aos ativos de T.I.. O gerenciamento de risco busca preservar valor. Para Fernandes e Abreu (2008) deve ter um conhecimento dos riscos por parte da alta direção, entendimento claro dos requisitos e tendências da empresa para os riscos, transparência acerca dos riscos significativos para a empresa e incorporação de responsabilidades para o gerenciamento de riscos na organização; Gerenciamento de Recursos: item chave para a performance de T.I. ter sucesso é o investimento otimizado, uso e alocação de recurso de T.I. (pessoas, aplicações, tecnologia e informação) para atender as necessidades da organização. Monitoração de Performance: Se não é possível medir o processo, não há como gerenciá-lo. Se não existir nenhuma forma de medir e monitorar as atividades de T.I., não é possível governar a T.I. (ITGI, 2007). Para Fernandes e Abreu (2008), deve-se utilizar, além de medições convencionais, indicadores de desempenho que traduzam a estratégia em ações para atingir objetivos mensuráveis. A governança de T.I., quando implantada de forma integrada, permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnológicos e suas informações, transformando-as em maximização de benefícios, oportunidades de negócio e vantagem competitiva no mercado (FERNANDES e ABREU, 2008, p. 176). Para exemplificar, a Figura 5 demonstra o foco na governança de T.I. de acordo com o processo PO9.

29 Figura 6 - Áreas de Foco na Governança de T.I. utilizada pelo processo PO9 Fonte: IT Governance Institute (2007) 3.2 Critérios de Informação Os critérios de informação definirão como a informação será controlada em cada processo aplicado na empresa para que sejam alcançados os objetivos do negócio. Segundo o ITGI (2007), para atender aos objetivos de negócios as informações precisam se adequar a certos critérios de controles, os quais o COBIT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos, como segue: 1. Eficácia: Lida com informações que são relevantes e pertinentes ao processo de negócio, bem como entregues de maneira oportuna e correta, consistente e utilizável. 2. Eficiência: Diz respeito à prestação de informações por meio do ideal com relação a utilização de recursos. 3. Confidencialidade: Diz respeito à proteção de informações sensíveis da divulgação não autorizada. 4. Integridade: Diz respeito à exatidão e integridade das informações, bem como a sua validade, de acordo com os valores e expectativas de negócios.

30 5. Disponibilidade: Refere-se à informação estar disponível, quando exigido pelo processo de negócio, agora e no futuro. Também diz respeito à preservação dos recursos e capacidades necessárias associadas. 6. Conformidade: Trata de cumprir com as leis, regulamentos e regimes contratuais a que o processo de negócio está sujeito. 7. Confiabilidade: Refere-se ao fornecimento de informações adequadas de gestão para operar a organização e para a gestão de exercer as suas responsabilidades de governança. A Figura 6 é um exemplo gráfico dos critérios de informação do processo PO9 (Avaliar e Gerenciar os Riscos de T.I.) Figura 7 - Critérios de informação utilizada pelo processo PO9 Fonte: IT Governance Institute (2007) 3.3 Objetivos de Negócio e Objetivos de T.I. Os Objetivos de Negócio retratam quais as principais necessidades da organização e os Objetivos de T.I. mostram quais os objetivos a T.I. precisa atender para um objetivo de negócio específico. Para Veras (2010), esses Objetivos de Negócio devem levar a uma clara definição dos objetivos próprios da área de T.I. (os Objetivos de T.I. ), o que por sua vez irá definir os recursos e capacidades de T.I. (a arquitetura de T.I. para a organização) necessários para executar de maneira bem-sucedida a parte que cabe a T.I. na estratégia da empresa, conforme ilustrado na Figura 7.

31 Figura 8 - Definindo os objetivos de T.I. e a arquitetura da empresa para T.I. Fonte: ITGI (2007) Uma vez que os objetivos alinhados estejam definidos, eles precisam ser monitorados para assegurar que as entregas atendam às expectativas. Isto é alcançado por métricas derivadas dos objetivos e capturadas pelo scorecard de T.I. (ITGI, 2007). 3.4 Recursos de T.I. Os serviços que fornecem informações necessárias para que a organização atinja seus objetivos são disponibilizados através de um conjunto de processos de T.I. que utilizam recursos de T.I., ou seja, pessoas (habilidades, conhecimentos, índice de produtividade) e infraestrutura (hardware, sistemas operacionais, banco de dados, etc.) para executar aplicações automatizadas e procedimentos manuais que manipulam e processam informações de negócio (FERNANDO E ABREU, 2008). Os recursos de T.I. identificados na documentação do framework do COBIT (ITGI, 2007) podem ser definidos como segue: Aplicativos são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações. Informações são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios.

32 Infraestrutura refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos. Pessoas são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Podem ser internos, terceirizados ou contratados, conforme necessário. A Figura 8 mostra como os objetivos de negócios influenciam o modo como os recursos de T.I. precisam ser gerenciados pelos processos para entregar os objetivos. A Figura 9 mostra os recursos utilizados no processo PO9 (Avaliar e Gerenciar os Riscos de T.I.). Figura 9 - Gerenciando os Recursos de T.I. para Entregar os Objetivos de T.I. Fonte: ITGI (2007)

33 Figura 10 - Recursos utilizados no processo PO9 Fonte: ITGI (2007) 3.5 Domínios O COBIT define as atividades de T.I. em um modelo de processos genéricos com quatro domínios. Esses domínios são Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar. Esses domínios mapeiam as tradicionais áreas de responsabilidade de T.I. de planejamento, construção, processamento e monitoramento (ITGI, 2007), conforme indica a Figura 10. Figura 11 - Os Quatro Domínios Inter-relacionados do COBIT Fonte: ITGI (2007) Planejamento e Organização (PO): Este domínio cobre estratégias e táticas, e se preocupa com a melhor forma com a qual a T.I. pode contribuir para atingir os objetivos de negócio. Segundo Fernandes e Abreu

34 (2008), envolve planejamento, comunicação e gerenciamento em diversas perspectivas. Adquirir e Implementar (AI): Para conseguir cumprir as estratégias de T.I., as soluções precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas nos processos de negócio. De acordo com Fernandes e Abreu (2008), mudanças e manutenções em sistemas existentes também estão cobertas por esse domínio, para garantir a continuidade dos respectivos ciclos de vida. Entrega e Suporte (DS): Este domínio trata de entrega de serviços solicitados, o que inclui gerenciamento de segurança e continuidade de serviços de suporte para os usuários e gerenciamento de dados e recursos operacionais, além da entrega do serviço propriamente dita (ITGI, 2007). O domínio Entrega e Suporte gerencia os serviços de T.I., acordando e monitorando os níveis de serviços de modo com que fique alinhado com a estratégia de negócio. Monitorar e Avaliar (ME): Conforme ITGI (2007), Todos os processos de T.I. precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança. A monitoração e avaliação garantem a qualidade e a aderência no processo mesmo após algum tempo. 3.6 Processos Para garantir a completa gestão de T.I., cada domínio possui um conjunto de processos estruturados para gerenciar e controlar as iniciativas de T.I. nas empresas. No total são 34 (trinta e quatro) processos que são responsáveis por especificar o que é preciso para o negócio alcançar os seus objetivos. Segundo ITGI (2007): O COBIT define as atividades de T.I. em um modelo de processos genéricos com quatro domínios. O COBIT é mostrado graficamente na Figura 11, com o modelo de processos do COBIT de 4 domínios contendo 34 processos genéricos, gerenciando os recursos de T.I. para

35 entregar as informações para a área de negócio de acordo com os requerimentos de negócio e governança. Estes processos especificam o que o negócio precisa para alcançar seus objetivos. A entrega de informação é controlada por esses 34 objetivos de controle de alto nível, um para cada processo (T.I.. EXAMES, 2008). Figura 12 - Visão Geral do Modelo do COBIT Fonte: ITGI (2007) O modelo de processos foi desenvolvido para ser compreensível não somente pelos gerentes de T.I., mas também pelos gerentes de negócio da empresa. Ele possui todos os processos normalmente encontrados em T.I., sendo assim utilizado pelos gerentes

36 operacionais para organizar e gerenciar as atividades, pois possibilita a definição de responsabilidades, delegando um proprietário a cada processo, proporcionando, dessa forma, uma melhor organização. Consecutivamente, fornece também uma metodologia para medição e monitoramento da performance de T.I.. Nos quadros a seguir, são apresentadas questões gerenciais, os processos de T.I. e seus respectivos domínios: Quadro 1 - Questões e Processos dos Domínios do COBIT - PO (Planejamento e Organização) Fonte: Fernandes e Abreu (2008) Quadro 2 - Questões e Processos dos Domínios do COBIT - AI (Aquisição e Implementação) Fonte: Fernandes e Abreu (2008)

37 Quadro 3 - Questões e Processos dos Domínios do COBIT - DS(Entrega e Suporte) Fonte: Fernandes e Abreu (2008) Quadro 4 - Questões e Processos dos Domínios do COBIT - ME (Monitoração e Avaliação) Fonte: Fernandes e Abreu (2008) O domínio Planejar e Organizar possui 10 processos que são identificados pela sigla PO; o domínio Adquirir e Implementar possui 7 processos, identificados pela sigla AI; o domínio Entregar e Suportar possui 13 processos, identificados pela sigla DS; e o domínio Monitorar e Avaliar possui 4 processos, identificados pela sigla ME.

38 Segundo Santos (2010), cada processo de T.I. do COBIT possui: Um requisito de negócio que a T.I. satisfaça; Metas-chave em que se focar; Controles-chave que ajudem a alcançar as metas; Métricas-chave que ajudem a medir a performance; Objetivos de Controle detalhados. O COBIT é orientado ao negócio, fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios e possui práticas definidas para a gestão de seus processos. A correta implantação dessas práticas garante que a entrega e qualidade dos produtos e serviços atendam as necessidades do negócio (FAGUNDES, 2011) Embora a maioria das organizações tenha definido as responsabilidades de T.I. de planejar, construir, processar e monitorar e muitas delas tenham os mesmos processos-chave, poucas terão a mesma estrutura de processos ou aplicarão todos os 34 processos do COBIT. O COBIT fornece uma completa lista de processos que podem ser utilizados para verificar a totalidade das atividades e responsabilidades. No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa (ITGI, 2007). Ainda segundo o ITGI (2007): A empresa precisa fazer escolhas relacionadas a esses processos ao: Selecionar aqueles que são aplicáveis; Decidir quais deles serão implementados; Escolher como implementá-los (frequência, abrangência, automação, etc.) Aceitar o risco de não implementar aqueles que podem ser aplicáveis 3.7 Objetivos de Controle Controle é definido como políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que os eventos indesejados serão prevenidos ou mesmo detectados e corrigidos (ITGI, 2007).

39 Para Fernandes e Abreu (2008), um objetivo de controle define o resultado desejado ou propósito a ser atingida através da implementação de procedimentos de controle de uma atividade de T.I. específica. Cada processo de T.I. precisa ser controlado para que ele possa atingir seus objetivos. Os executivos devem tomar medidas para melhorias de sua estrutura de T.I., pois é esta estrutura que suporta o negócio e os processos, possibilitando o controle efetivo das metas de T.I.. O framework do COBIT é composto por 34 processos de T.I. em 4 domínios. Cada processo de T.I. tem um objetivo de controle de alto nível, o qual pode conter vários objetivos de controle, conforme mostrado na Figura 13 - Objetivos de Controle do Domínio PO (Planejamento e Organização). Existem dois tipos de objetivos de controle: Objetivo de Controle de Alto Nível: é uma declaração de um resultado desejado a ser alcançado através de implementação de procedimentos de controle dentro de uma atividade de T.I. específica (FAGUNDES, 2010). Objetivo de Controle Detalhado: Se baseia em objetivos de controle de alto nível, focando no controle de tarefas-chave e em atividades que estão relacionadas com os processos de T.I. (FAGUNDES, 2010). Figura 13 - Objetivos de Controle do Domínio PO (Planejamento e Organização) Fonte: T.I. Exames (2011)

40 3.8 Atividades A estrutura do COBIT é formada a partir do conjunto de domínios, processos e atividades. As atividades são definidas a partir dos processos, como mostra a Figura 13: Figura 14 - Processos de T.I. Fonte: ITGI (2007) De acordo com Santos (2010): Atividades são ações necessárias para alcançar resultados mensuráveis. Além disso, as atividades têm ciclo de vida e incluem muitas tarefas discretas. O modelo de processos do COBIT permite que as atividades de T.I. sejam definidas e organizadas. Assim, pode-se afirmar que os processos do COBIT agrupam as principais atividades de T.I. em um modelo de processos, facilitando o gerenciamento dos recursos de T.I. para atender as necessidades do negócio.

41 As atividades de T.I. devem relacionar riscos de negócios, necessidades de controle e questões técnicas. Essas atividades ainda auxiliam na auditoria, devido às métricas de desempenho das atividades. Elas são monitoradas e constantemente avaliadas. E também permitem o acompanhamento eficaz do desempenho do processo. O COBIT sugere diversas atividades de controle, mas cada organização pode adaptar as práticas de acordo com a sua necessidade. As atividades são apresentadas na documentação do COBIT na página de Descrição do Processo. O COBIT sugere diversas atividades de controle nos processos, porém cabe a cada organização adaptar as práticas de acordo com a sua necessidade. 3.9 Modelo de Maturidade O modelo de maturidade é usado pelos executivos para fazer estudos e auxiliar na implantação de melhorias, também permitem a classificar empresas em categoria de maturidade, possibilitando o benchmark entre empresas. Com isso é possível saber se a estrutura de T.I. atende às suas necessidades, o que será preciso implantar e implementar, como precisará se enquadrar e se os investimentos valem os benefícios que serão obtidos. Segundo Fagundes (2010), os modelos de maturidade de governança são usados para o controle dos processos de T.I. e fornecem um método eficiente para classificar o estágio da organização de T.I.. A governança de T.I. e seus processos, cujos objetivos são adicionar valor ao negócio através do balanceamento do risco e retorno do investimento, podem ser classificados da seguinte forma: Figura 15 - Modelo de Maturidade Genérico Fonte: ITGI(2007)

42 Os níveis de maturidade são designados como perfis de processos de T.I. que a empresa reconheceria como descrição de possíveis situações atuais e futuras. Eles não são designados como um modelo inicial, onde não se pode avançar para o próximo nível sem antes ter cumprido todas as condições do nível inferior. Com os modelos de maturidade do COBIT, diferentemente do enfoque original CMMI, não há intenção de medir os níveis de maneira precisa ou tentar certificar que aquele nível foi exatamente atingido. A avaliação de maturidade do COBIT espera resultar em um perfil em que as condições relevantes para diversos níveis de maturidade serão atingidas (ITGI, 2007). O uso de ferramentas para medição de performance são efetivos neste caso, pois auxiliam os proprietários de cada processo a comparar o que têm atualmente com os objetivos de controle definidos afim de tomar ações corretivas e implantar melhorias. O COBIT utiliza dois tipos de medidores de performance, que são as Medições de Resultados, que definem as medições que informam a gerência se um processo de T.I. atingiu os objetivos, e Indicadores de Desempenho, que informam a gerência o quanto os processos de T.I. estão sendo bem executados (FAGUNDES, 2010). O modelo de maturidade do COBIT é baseado no modelo de maturidade SW-CMM - Capability Maturity Model for Projects of Software Development, do SEI Software Engineering Institute, tendo particularidades próprias e adaptado à estrutura do COBIT, sendo interpretadas de acordo com a natureza de seus processos. Na Figura 15, podemos ver como é representado graficamente o modelo de maturidade no COBIT. Figura 16 - Representação Gráfica dos Modelos de Maturidade Fonte: ITGI (2007) As organizações precisam avaliar onde elas estão e onde são requeridas melhorias, bem como implementar um conjunto de ferramentas de gerenciamento para atingir esses aprimoramentos (ITGI, 2007).

43 3.10 Medição de Performance No COBIT 4.1 (ITGI, 2007), os objetivos e as métricas de T.I. podem ser definidos em três níveis: Objetivos e métricas de T.I. que definem o que os negócios esperam de T.I. e como medir isso; Objetivos e métricas dos processos que definem o que os processos de T.I. precisam entregar para suportar os objetivos de T.I. e como medir isso; Objetivos e métricas de atividades que estabelecem o que precisa acontecer dentro do processo para atingir a requerida performance e como medir isso. Um objetivo de T.I. pode ser atingido através de um ou vários objetivos de processos, que por sua vez necessitam de uma ou várias atividades para atingir os objetivos das atividades. A figura a seguir exemplifica o relacionamento de tais objetivos: Figura 17 - Exemplo de Relacionamento de Objetivos Fonte: ITGI(2007) As metas de negócio podem ser definidas determinando quantas serão as metas de T.I. e quais dessas metas serão suportadas. Para Fernandes e Abreu (2008), as metas por atividades permitem o acompanhamento eficaz do desempenho do processo. O COBIT apresenta dois tipos de indicadores, são eles: a. Medidas de resultado (OM Outcome Measures): Chamados também de Lag Indicators (indicadores de históricos), pois somente podem ser medidos após os fatos terem ocorrido; Indicam se os objetivos foram atingidos; Às vezes são expressos em critérios de informação;

44 Possuem foco nos critérios de informação identificados como os mais importantes para o processo. b. Indicadores de performance (PI Performance Indicators): Substituiu o termo anteriormente utilizado, KPI Chamado de Lead Indicators (indicadores de tendência) ou indicadores de performance, pois são medidos previamente ao acontecimento dos fatos; Prognóstico da probabilidade de sucesso ou fracasso no futuro, indicam se os objetivos serão atingidos ou não; Possuem foco nos recursos de T.I., identificados como os mais importantes para o processo. Conforme ITGI (2007), as métricas foram desenvolvidas com as seguintes características: Um índice elevado de preocupação com resultados versus o esforço; Comparável internamente; Comparável externamente independente do tamanho da empresa ou mercado de atuação; É melhor ter algumas boas métricas (pode até ser uma muito boa que poderia ser influenciada por diferentes meios) do que uma longa lista de métricas de baixa qualidade; Fácil de mensurar, não sendo confundida com metas. A medição de performance tem como objetivo facilitar a tomada de decisões nas organizações, pois disponibiliza informações completas através de indicadores da atual situação ou até mesmo do futuro, relacionadas principalmente à produtividade da organização. Desta forma, os gestores podem agir para corrigir ou manter boas ações para a melhor qualidade de seus produtos e/ou serviços. Os processos de uma organização precisam ser mensuráveis, ou seja, traduzidos em medidas de desempenho, pois se não forem medidos não poderão ser controlados nem melhorados.

45 3.11 Estrutura do Modelo A estrutura (framework) do COBIT foi idealizada de forma a atender às necessidades de controle da organização relacionadas à Governança de T.I., tendo como principais características o foco nos requisitos de negócio, a orientação para uma abordagem de processos, a utilização extensiva de mecanismos de controle e direcionamento para análise das medições e indicadores de desempenho obtidos ao longo do tempo (FERNANDES e ABREU, 2008). O modelo de processos do COBIT permite que as atividades de T.I. e os recursos que as suportam sejam apropriadamente gerenciados e controlados com base nos objetivos de controle do COBIT. Em resumo, os recursos de T.I. são gerenciados pelos processos de T.I. para atingir os objetivos de T.I. que respondem aos requisitos de negócio. Este é o princípio básico do modelo do COBIT, como ilustrado na Figura 17 (ITGI, 2007). Figura 18 - Cubo do COBIT Fonte: IT Governance InsT.I.tute (2007) Nos 4 domínios ocorre um agrupamento natural dos processos e estes representam o ciclo de vida da T.I..

46 A seqüência lógica de atividades, papéis e responsabilidades, são mostrados nos 34 processos de T.I. que gerenciam os recursos de T.I.. As atividades são um conjunto de tarefas e passos, contendo ações necessárias para alcançar um resultado mensurável Navegação pelo Modelo Medidas de Controle As medidas de controle para cada processo de T.I. não satisfazem todos os requisitos de negócio no mesmo grau. A estrutura do COBIT define 3 graus de controle. Primário: Os controles do processo impactam diretamente o critério de informação a que se refere. Secundário: Satisfaz parcialmente ou indiretamente o critério de informação a que se refere. Em branco: Pode ser aplicável, entretanto os requisitos são satisfeitos de forma mais adequada por outro critério neste mesmo processo e/ou ainda em outro processo. Figura 19 - Critérios de Informação, medidas de controle do processo PO9 Fonte: IT Governance InsT.I.tute (2007) A Figura 18 contém uma descrição do processo que resume os objetivos do Processo PO9, apresentada no formato de cascata. Demonstra também o mapeamento dos critérios de informação, recursos de T.I. e áreas de foco de governança de T.I.. A letra P indica um relacionamento primário e a letra S indica um secundário. (ITGI, 2007)

47 Descrição do Processo Neste tópico será apresentada a estrutura geral dos processos do COBIT. Todos seguem o mesmo modelo, sendo empregada a cada um dos itens e tabelas o que está sendo tratado. A seguir será apresentado o exemplo de um processo usando o PO9 Avaliar e Gerenciar os Riscos de T.I.. Nomenclatura: É representada por 2 (duas) letras e 2 (dois) números. DS 12 Nome Domínio Num. Do Processo Nome do Processo Exemplo: Figura 20 - Nomenclatura - PO9 Fonte: ITGI (2007) Descrição do Processo: uma breve descrição da aplicação do processo. Figura 21 - Descrição do Processo - PO9 Fonte: ITGI(2007) Premissas: Controle sobre o seguinte processo de T.I. (O que se pretende); que satisfaça aos seguintes requisitos do negócio para a T.I. (Objetivo, quando será efetivo); Com foco em (Área de foco); É alcançado por (O que precisa ser feito); É medido por (Quais serão as formas de métricas usadas para alcançar os objetivos). Exemplo:

48 Figura 22 - Premissas - PO9 Fonte: ITGI(2007) Critérios de informação: Os critérios marcados com P (Primário) são os que devem ser fielmente seguidos e aplicados no processo, conforme exemplificado anteriormente na Figura 18. Foco: Onde o processo terá foco e a qual área pertence. São divididos em primário e secundário. Figura 23 - Áreas de Foco - PO9 Fonte: ITGI(2007) Recursos: São os recursos que receberão os investimentos no processo.

49 Figura 24 - Recursos PO9 Fonte: ITGI(2007) Objetivos de Controle Detalhados: Nomenclatura: É representada por 2 Letras e 2 números e 1 número seqüencial do objetivo. PO 9 1 Domínio Num. do processo Num do Objetivo Exemplo: Figura 25 - Nomenclatura e descrição do objetivo de controle detalhado PO9 Fonte: ITGI(2007) Diretrizes de Gerenciamento Segundo ITGI (2007), Diretrizes de gerenciamento oferecem ferramentas para ajudar a designação de responsabilidades, medição de performance, benchmark e tratamento de deficiências em capacidade. O processo de entrada e saída mostra a relação de um processo com outros, o que um processo precisa de outros processos e as suas entregas; a Tabela RACI mostra as atividades e responsabilidades de cada processo; e Objetivos e Métricas demonstram como o processo deve ser medido. Nos próximos tópicos serão detalhados esses três itens. Entradas e saídas: São as relações com outros processos do COBIT.

50 Figura 26 - Entrada e saída do processo PO9 Fonte: IT Governance InsT.I.tute (2007) Tabela RACI: Define quais serão as atividades e o responsável por elas. Figura 27 - Tabela Raci do processo PO9 Fonte: IT Governance Institute (2007) Objetivos gerais: São representados graficamente. Definem os direcionamentos e relações dos objetivos e métricas.

51 Modelo de Maturidade Figura 28 - Objetivos e Métricas PO9 Fonte: ITGI (2007) É definido como o requisito do negócio ira se enquadrar no processo. Exemplo:

52 Diretrizes de Gerenciamento Figura 29 - Modelo de Maturidade PO9 Fonte: ITGI (2007)

53 Diretrizes de gerenciamento compõem a seção 3 do COBIT e apresentam os processos de entrada e saída, tabela RACI e objetivos e métricas, conforme explica a Figura 29: Figura 30 - Diretrizes de Gerenciamento PO9 Fonte: ITGI(2007)

54 O processo de entrada e saída mostra a relação de um processo com outros, o que um processo precisa de outros processos e as suas entregas; a Tabela RACI mostra as atividades e responsabilidades de cada processo; e Objetivos e Métricas demonstram como o processo deve ser medido. As entradas, as saídas, as responsabilidades, as métricas e os objetivos são ilustrativos e não uma receita completa ou exaustiva. Eles fornecem uma base de conhecimento especializado a partir da qual cada organização deve selecionar o que se aplica de maneira eficiente e eficaz considerando-se a estratégia, os objetivos e as políticas da organização. (ITGI, 2007) Relacionamentos com outros Processos: entradas e saídas Os processos do COBIT se relacionam entre si. Um processo possui diversas entradas e elas necessitam de outros processos para compor suas informações. Esse processo, por sua vez, terá saídas que serão utilizadas por outros processos. O responsável por avaliar qual entrada o processo irá receber e qual saída irá proporcionar é o proprietário do processo. Segundo ITGI (2007), As entradas do processo são o que o proprietário do processo precisa dos outros e As saídas do processo são aquelas que o proprietário do processo têm que entregar. O COBIT identifica de onde as entradas primárias serão obtidas para cada processo. Alguns processos têm entradas de fora da estrutura do COBIT (PO1 e ME3), e as saídas identificam para quais processos de T.I. o processo fornece dados. Estas saídas são os entregáveis (documento, plano, relatório) gerados por um processo. A figura a seguir mostra como esse relacionamento dos processos é apresentado no COBIT:

55 Figura 31 - Processos de entrada e saída - PO9 Fonte: ITGI (2007) Existem saídas que servem de entrada para todos os processos. Essas saídas são marcadas como ALL nas tabelas de saídas (como mostra a figura a seguir). Sendo assim, elas não são necessitam ser mencionadas como entradas para todos os processos. Figura 32 - Processos de entrada e saída PO6 Fonte: ITGI (2007) O COBIT fornece exemplos de entradas e saídas básicos que servem para qualquer processo, incluindo requisitos externos de T.I. (ITGI, 2007) Tabela RACI O COBIT define a Tabela RACI como Atividades e orientações sobre papéis e responsabilidades em uma tabela que indica quem é responsável, responsabilizado, consultado e informado (ITGI, 2007). A Tabela RACI contém as atividades que compõem os processos, seus respectivos responsáveis e os papéis que cada um exerce. Cada processo possui uma Tabela RACI. Segundo ITGI (2007), O entendimento dos papéis e responsabilidades de cada processo é essencial para uma efetiva governança. A Tabela RACI está na seção 3 do Modelo COBIT. A figura a seguir mostra a Tabela RACI do processo PO9 Avaliar e Gerenciar os Riscos de T.I..

56 Figura 33 - Tabela RACI - PO9 Fonte: ITGI (2007) Conforme mostra a tabela, temos as seguintes funções: Chief Executive Officer (CEO); Chief Financial Officer (CFO); Executivo de Negócio; Chief Information Officer (CIO); Proprietário do Processo de Negócio; Responsável por Operações; Responsável por Arquitetura; Responsável por Desenvolvimento; Responsável pela Administração de T.I. (nas grandes empresas, é o responsável por funções como recursos humanos, orçamentos e controles internos); Project Management Officer (PMO) ou função equivalente; Conformidade, auditoria, riscos e segurança (grupos como responsabilidades por controles, mas não de operações de T.I.). Os papéis, segundo ITGI (2007) são: Responsável (R) - A pessoa que precisa garantir que as atividades serão executadas com sucesso. Responsabilizado (A) - A pessoa ou grupo que tem a autoridade de aprovar ou aceitar a execução de uma atividade. Consultado (C) - As pessoas cujas opiniões serão obtidas em uma atividade (comunicação bi-direcional).

57 Informado (I) - As pessoas que são mantidas informadas sobre o andamento de uma atividade (uma via de comunicação). Alguns processos podem possuir papéis específicos para tratá-los. A Tabela RACI mostra quem é Responsável, Responsabilizado, Consultado e Informado pelas atividades, dentro de cada função. Por exemplo, a atividade Identificar os objetivos internos de T.I. tem como papel de Consultado (C) o Responsável por Arquitetura, o Responsável por Desenvolvimento e Responsável pela Administração de T.I., e como Responsável (R) e Responsabilizado (A) o Proprietário pelo processo de negócio. Então, cada atividade está delegada a uma função que possui determinado papel sobre ela. Essa definição do que precisa ser delegado e para quem ajuda a avaliar a performance do processo. Segundo ITGI (2007), Responsáveis pela implementação e auditores podem identificar os requisitos de controle aplicáveis a partir dos objetivos de controles e das responsabilidades pelas atividades apresentadas na tabela RACI associada Processos, Metas e Métricas O modelo COBIT permite que as atividades de T.I. e seus recursos sejam alinhados e monitorados usando os objetivos e métricas do COBIT. Para todo e qualquer processo de T.I., os objetivos e métricas são apresentados conforme a Figura 33. Figura 34 - Apresentação dos Objetivos e Métricas Fonte: ITGI(2007)

58 Para exemplificar a utilização dos Processos, metas e métricas, utilizaremos o Processo PO9 Avaliar e Gerenciar os Riscos de T.I.. Conforme ITGI (2007), o objetivo deste processo é o gerenciamento eficaz do ambiente físico que deve reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas. A figura a seguir mostra os Objetivos e Métricas formuladas para o PO9: Figura 35 - Objetivos e Métricas - PO9 Fonte: ITGI (2007)

59 4 ANÁLISE DA EMPRESA APLHA 4.1 Perfil da Empresa A empresa Alpha atua no ramo de consultoria em Engenharia Civil, fundada em Esteve no 27º lugar no ranking de empresas de consultoria na área de transportes da revista O Empreiteiro em 2008, baseado no faturamento bruto. Está presente no planejamento, projeto e implantação de grandes empreendimentos no Brasil e na América Latina, com 377 profissionais, atuando internamente e externamente em consórcios e clientes. As áreas de atuação da empresa Alpha são: Transportes; Saneamento e Meio Ambiente; Infraestrutura Urbana; Edificações e Sistemas de Informações Gerenciais. Tem como principais clientes: Órgãos Federais, Estaduais e Municipais; Agências Governamentais; Grandes construtoras; Concessionárias e Companhias Privadas. Contemplou alguns serviços importantes como: Prolongamento da Rodovia dos Bandeirantes; Duplicação da Rodovia dos Imigrantes; Linha 5 do Metrô de São Paulo, entre outros. 4.2 Descrição da Área de T.I Recursos A Tecnologia da Informação da empresa Alpha serve para designar o conjunto de recursos tecnológicos e computacionais para a geração e uso da informação. Atualmente a T.I. da empresa está fundamentada nos seguintes componentes: Hardware e seus dispositivos periféricos; Softwares e seus recursos; Sistemas de telecomunicações; Gestão de dados e informações. Demostra-se a seguir uma relação de recursos e plataformas mais importantes que a T.I. suporta:

60 Quadro 5 Hardware e seus dispositivos componentes Quantidade Descrição 250 Computadores 30 Notebooks 21 Servidores de Aplicação e Armazenamento 15 Impressoras e Plotters 10 Câmeras de CFTV 1 PABX Em relação a sistemas, a empresa Alpha possui sistemas desenvolvidos internamente e sistemas adquiridos de empresas terceirizadas, conforme Quadro 6. Descrição Plataforma Microsoft Sistema de Biblioteca (Interno) Sistema de Alocação de Horas (Interno) Sistema Fator K (Interno) Emissão de Fatura (Interno) Controle de T.I. (Interno) Aplicativo AutoCAD Aplicativo Microstation Aplicativo IntelliCAD Quadro 6 Software / Plataformas / Sistemas Necessidade do Negócio A plataforma de toda a empresa atualmente é Microsoft. Supre a necessidade da organização para manter o armazenamento dos mapas digitais e em papeis (Biblioteca Mapas) e projetos concluídos (Biblioteca Projetos) Sistema que verifica e gerencia as horas alocadas em determinado projeto de cada funcionário Sistema de relatórios com os dados da alocação de horas trabalhadas no projeto por centro de custo Sistemas de faturas Sistema de cadastro de ICs (Hardware, Software) Software que facilita a confecção de Plantas e Croquis, oferecendo ferramentas para realizar projetos em computador. Software para desenhar, modelar, visualizar e documentar projetos de Infraestrutura. Software compatível com AutoCAD que tem como objetivo de emular a interface e funções básicas do AutoCAD. Bentley Inroads Software que oferece o recurso de modelagem em 3D. Auto Turn SAP 2000 Ferramenta para projetos de cruzamentos, terminais, estacionamentos, entre outros. Software utilizado para Análise Estrutural CAD/TQS Sistema Computacional Gráfico destinado à elaboração de projetos de estruturas de concreto STRAP Settle 3D ELSYM-5/HDM4 Programa de análise estrutural por elementos finitos (planos, sólidos) entre outros. Software para geotecnia (estudo de solo). Softwares de projetos de pavimentação.

61 Descrição Synchro/Sim Traffic Google Earth Professional Microsoft Project Microsoft Visio Necessidade do Negócio Software para projeto de Sinalização e Tráfego. Ferramenta de pesquisa e apresentação de dados geográficos. Ferramenta avançada de Gerenciamento de Projetos. Ferramenta para desenho e diagramação de projetos. CorelDraw Aplicativos gráficos para desenvolvimento de logotipos, materiais de marketing, entre outros. Adobe Photoshop Microsoft SQL Server Microsoft Visual Studio Prosoft Sênior AnT.I.vírus McAfee S.O.S Backup SOMA Qualitor Pcounter Open Manager Aplicativo para edição de imagens dos projetos. Plataforma de Banco de Dados utilizado nos sistemas internos. Ferramenta para desenvolvimento de aplicações básicas. Sistema de informação que integra todos os dados e processos da organização (RH, Finanças, Contabilidade, etc). Sistema de informação que está sendo implantado para integrar todos os dados e processos da organização (RH, Finanças, Contabilidade, etc). Proteção para desktops, servidores de arquivos com tecnologia avançada. Software para execução de Backup em HD e em Fita. Software de gerenciamento Telefônico (ligações). Sistema de abertura de chamados. Aplicativo para gerenciamento e contabilização de impressão em rede. Solução dinâmica para atualização da Tela Digital o conteúdo do site Governança de T.I. na empresa Alpha Dentro da organização, o departamento da Tecnologia da Informação é responsável por todas as funções de informática. A unidade de T.I. da empresa Alpha ainda não tem uma estrutura organizacional definida, sendo que os funcionários fazem diversas tarefas inter-relacionadas. As funções e responsabilidades não são definidas e nem documentadas. A organização possuí uma política de segurança disponibilizada através da Intranet, os colaboradores são orientados quando iniciam na empresa sobre o documento porém, as informações da política de segurança não são completas e claras.

62 Verifica-se que a empresa Alpha não possui um processo de governança estabelecido para gerir a evolução da empresa nos aspectos de Gestão de Riscos. Percebe-se assim, que não existe apuração de indicadores que mostrem resultados mensuráveis para a empresa, que não há processos definidos para adoção, desenvolvimento e amadurecimento da gestão de riscos e que a falta da obrigatoriedade desse monitoramento torna a empresa vulnerável a perdas que poderiam ser evitadas. Dessa forma, tem-se por objetivo estabelecer o processo de Governança que permita gerenciar os possíveis riscos por meio da definição de metas de controle, qualidade e prazo para impulsionar o crescimento da organização. A Governança visa estabelecer processos para tomada de decisões, suportados por informação fidedigna, em diferentes níveis hierárquicos, tornando os tomadores de decisões capazes de tomar, patrocinar e direcionar as decisões corretas. Através do processo de governança para a Gestão de Riscos, será possível antecipar possíveis problemas, minimizando impactos / indisponibilidades. O engajamento das áreas será o fator principal para aderência aos processos, que irão gerar os indicadores para medir o alcance das metas definidas e acompanhar os resultados. A operacionalização da governança propõe uma estrutura transparente através de indicadores e consolidação de resultados que direcionam a tomada de decisão, com mecanismos alinhados à direção do negócio e aos objetivos da empresa Alpha, definindo papéis e responsabilidades e ampliando a atuação da liderança no amadurecimento da Gestão de Riscos. 4.3 Gestão de Risco na Empresa Alpha A empresa Alpha vem buscando reformulações na T.I., para entregar os seus serviços com qualidade, prazo e custo, alinhando a Tecnologia da Informação ao negócio. A empresa tem investido em tecnologia, tais como servidores para contingência; instalação de firewall; criação de Data Center externo, entre outros investimentos. Dessa forma a empresa Alpha levantou a necessidade de possuir uma área de gestão de risco, pois atualmente essa atividade é de responsabilidade do gerente de Tecnologia da Informação e o gerenciamento de riscos possui diversas deficiências, sendo algumas delas: Falta de um processo para identificar os riscos e planejar a atuação sobre o mesmo;

63 Não existem análises necessárias para mitigar ou eliminar os riscos identificados; Falta de monitoramento para o controle da informação; Não existe uma análise qualitativa e quantitativa dos riscos; A organização depende dos serviços oferecidos pela tecnologia da informação e a gestão de riscos é um processo importante e contínuo que deve fazer parte da sua estratégia. Por esse motivo faremos uma análise do nível de maturidade da empresa Alpha em relação ao processo PO9 (Avaliar e Gerenciar os Riscos de T.I) Alinhamento da Gestão de Risco O alinhamento da gestão de risco consiste em estabelecer uma estrutura de gestão de risco de T.I. alinhada com a estrutura de gestão de risco da organização. A empresa Alpha não possui uma gestão de risco em nenhum aspecto; porém, existe uma conscientização da necessidade da análise, sendo iniciada com a gestão de riscos de T.I.. O processo de gestão de risco pode ser dividida em etapas para facilitar a sua implementação, bem como estabelecer os resultados esperados em cada uma delas Estabelecimento do Contexto de Risco O estabelecimento do contexto do risco busca identificar o objetivo da avaliação e os critérios pelos quais os riscos são avaliados. Esse estudo tem como objetivo o conhecimento real da situação da empresa, a identificação de vulnerabilidades, ameaças e riscos da área de tecnologia da informação, alinhados com o objetivo da organização. Para análise de risco, foi feita uma divisão em capítulos para melhor identificação das ameaças, conforme descrito abaixo: Data Center: Inventários, distribuições, controle de manutenção, controle de falhas, roteamento de cabos, facilidade de acesso, condições ambientais;

64 Segurança da Informação: Políticas de Acesso, política de senha, procedimento de suspensão e reativação, regras de segurança, etc Internet: Níveis de Segurança, firewall, antivírus, comércio eletrônico, sites restritos, filtros de conteúdo, etc Sistema e Rede: Integridade dos dados, acesso restrito, backup, indisponibilidade, etc Identificação de Eventos Nessa etapa são levantados, identificados e descritos quais os eventos que podem causar impacto negativo sobre as operações de T.I.. A identificação dos eventos deve possibilitar o entendimento das circunstâncias em que os eventos podem ocorrer, os fatores que permitam reconhecê-las. Para isso foi realizado uma reunião com os gestores de T.I., e um analista para realizar o levantamento dos dados referente aos riscos de T.I., separados por capítulo. Capítulo Data Center Segurança da Informação Internet Quadro 7 Identificação de Eventos Eventos Acesso Físico não autorizado ao Data Center Danos aos discos físicos Destruição de dados, discos, documentos, relatórios Falha do hardware Cabeamento não estruturado Iluminação Data Center Acesso irrestrito a documentos eletrônicos Ataque de vírus Alteração indevida de informações Falta de conscientização em riscos por parte da Alta Administração Política de Segurança incompleta Hackers, Crackers, Criminosos Profissionais Analisador de pacotes na rede vulneráveis Redes sem fio Wireless

65 Capítulo Sistema e Rede Eventos Programas para Acesso Remoto Software para scanning de vulnerabilidades Acesso a site irrestrito Proteção Perda de arquivos Falha de programa aplicativo, sistema operacional, etc Indisponibilidade dos sistemas Queda do link de Internet Avaliação de Risco Após o levantamento dos eventos, foram mapeados e compilados os riscos inerentes as operações de T.I., e classificados pela probabilidade e impacto, conforme demostrados nas tabelas abaixo. Fora, utilizadas as escalas expostas na Tabela 1 e 2. Tabela 1 - Níveis de Impacto Nível Impacto 5 Crítico 4 Sério 3 Moderado 2 Menor 1 Negligenciável Fonte: FAGUNDES (2011) Nível Tabela 2 - Níveis de Probabilidade Probabilidade 5 Altamente provável 4 Muito provável 3 Provável 2 Pouco provável 1 Improvável Fonte: FAGUNDES (2011) Tabela 3 Cálculo de Impacto e Probabilidade Capítulo Eventos Impacto Prob Risco Data Center Acesso físico não autorizado ao Data Center

66 Segurança da Informação Internet Sistema e Rede Danos aos discos físicos Destruição de dados, discos, documentos, relatórios Falha do hardware Cabeamento não estruturado Iluminação Data Center Acesso irrestrito a documentos eletrônicos Ataque de vírus Alteração indevida de informações Falta de conscientização em riscos por parte da Alta Administração Política de Segurança incompleta Hackers, Crackers, Criminosos Profissionais Analisador de pacotes na rede vulneráveis Redes sem fio Wireless Programas para acesso remoto Software para scanning de vulnerabilidades Acesso a site irrestrito Proteção não funcional Perda de arquivos Falha de programa aplicativo, sistema operacional, etc Indisponibilidade dos sistemas Queda do link de Internet Após a análise foi identificado que a área mais exposta a risco é de Data Center, com 91%, conforme mostrado na Figura 35. Figura 36 - Porcentagem por capítulo

67 4.3.5 Resposta ao Risco O Plano de Respostas aos Riscos é o plano que define qual estratégia será adotada para cada risco identificado. Estas estratégias podem ser: Aceitar o risco: nenhuma ação é tomada para evitar o risco, minimizar seus efeitos, etc. Mitigar o risco: são tomadas ações para minimizar o impacto do risco ao projeto, caso ele ocorra. Eliminar ou prevenir o risco: são tomadas ações para eliminar a probabilidade de ocorrência do risco. Transferir o risco: esta estratégia significa transferir à outra parte, a responsabilidade pelo risco. Um exemplo é a contratação de seguros. Segue abaixo o Plano de Resposta aos Riscos da empresa Alpha: Data Center Segurança da Informação Internet Quadro 8 Plano de Resposta aos Riscos Risco Aceitar Mitigar Eliminar Transferir Acesso Físico não autorizado ao Data Center Danos aos Discos Físicos Destruição de dados, discos, documentos, relatórios Falha do hardware Cabeamento não estruturado Iluminação Data Center Acesso irrestrito a documentos eletrônicos Ataque de vírus Alteração indevida de informações Falta de conscientização em riscos por parte da Alta Administração Política de Segurança incompleta Hackers, Crackers, Criminosos Profissionais Analisador de pacotes na rede vulneráveis Redes sem fio Wireless Programas para acesso remoto Software para scanning de vulnerabilidades Acesso a site irrestrito X X X X X X X X X X X X X X X X X

68 Sistema e Rede Risco Aceitar Mitigar Eliminar Transferir Proteção não funcional Perda de arquivos X X Falha de programa aplicativo, sistema operacional, etc Indisponibilidade dos sistemas Queda do link de Internet X X X X Manutenção e Monitoramento do Plano de ação Para cada capítulo foi especificado como está a situação atualmente e as recomendações necessárias para o Plano de Ação. Data Center Segurança da Informação Quadro 9 Plano de Ação Risco Atualmente Desejável Acesso Físico não autorizado ao Data Center Danos aos Discos Físicos Destruição de dados, discos, documentos, relatórios Falha do Hardware Cabeamento não estruturado Iluminação Data Center Acesso irrestrito a documentos eletrônicos Ataque de Vírus Alteração indevida de informações Falta de conscientização em riscos por parte da Alta Administração O Acesso não é controlado A maioria dos servidores não tem contingência O Backup é feito em HD e em fita armazenado no local Segundo registros de incidentes, ocorrem muitos erros nas placas das controladoras Os cabos de redes não estão identificados Algumas lâmpadas encontram-se fracas Existe uma proteção nos dados, porém não é documentada Existe um antivírus mas alguns servidores não estão atualizados Os acessos a arquivos são feitos, porém não há documentação nem data para retirada de acesso A Alta Administração não tem consciência da Biometria (acesso digital, voz ou face) Realizar espelhamento dos servidores que ainda não possuem espelhamento Realizar backup externo e armazenar as fitas em outro local Fazer um Check-up e monitoramentos nas placas controladoras Identificação de todo o cabeamento do Data Center Trocar as lâmpadas do Data Center Documentar e disponibilizar o acesso aos dados Atualizar o antivírus Documentar acessos e estipular data para retirar acessos Enviar documentação, e marcar reuniões para

69 Internet Sistema e Rede Risco Atualmente Desejável gestão de risco esclarecimento do assunto Política de Segurança incompleta Hackers, Crackers, Criminosos Profissionais Analisador de Pacotes na Rede vulneráveis Redes sem fio Wireless Programas para acesso remoto Software para scanning de Vulnerabilidades Acesso a site irrestrito Proteção não funcional Perda de arquivos Falha de programa aplicativo, sistema operacional, etc Indisponibilidade dos sistemas Queda do Link de Internet A Política de Segurança não engloba todos os serviços e não disponibiliza informações de bloqueios de sites, troca de senhas. Existe um programa (TMG), porém os funcionários não estão capacitados para utilizar os recursos avançados Existe um programa da Microsoft, SCCM, porém os funcionários não estão capacitados para utilizar os recursos avançados A rede wireless é protegida por senha, mas não existe política pra troca periódica da senha A empresa possui um software livre de acesso remoto que não é 100% seguro Não existe um software para essa finalidade É feito um levantamento para bloqueio de sites, porém não há documentação e nem programação O atualmente é externo no servidor Terra O backup é feito local no HD Alguns servidores ainda não possuem duplicação Alguns servidores ainda não possuem duplicação Atualmente a empresa possui dois links de internet, sendo que se um cair o outro assume. Porém, a velocidade do link de backup é menor para atender a demanda Revisar política de segurança, atualizar e disponibilizar nova versão Oferecer treinamentos para que os colaboradores se especializem no aplicativo Oferecer treinamentos para que os colaboradores se especializem no aplicativo Criar procedimento para troca de senha Pesquisar no mercado e adquirir licença de software para acesso remoto confiável Pesquisar no mercado e adquirir um software para essa finalidade Programar as tarefas para pesquisa e bloqueio de sites restritos e documentar. Planejar projeto para implantação de Exchange com proteção Realizar um projeto para backup externo e DFS Realizar projeto para duplicação de servidores Realizar projeto para duplicação de servidores Aumentar a velocidade do link de backup.

70 De jeito nenhum Um Pouco De Alguma forma Completamente Relative Importance 4.4 Análise da Maturidade do processo PO9 Esta analise teve como objetivo avaliar o grau de maturidade nos processos de T.I. da empresa Alpha com relação aos objetivos de controle existentes no COBIT. O grau de maturidade atual foi analisado e com base nesses resultados, foram propostas ações visando a elevação de maturidade dos processos de T.I.. Dentre as ferramentas disponibilizadas para a aplicação do COBIT encontra-se o COBIT Management Guidelines, que provê um modelo de maturidade semelhante ao CMMI, com níveis de 0 (Não existente) a 5 (Otimizado), sendo que em cada nível existe uma descrição de como devem estar dispostos os processos para alcançá-los. Além disso, este modelo pode ser utilizado como um checklist para identificar melhorias nos processos de T.I. existentes na organização. A planilha utilizada para medir o nível de maturidade é fornecida através do IT Governance Implementation Guide, em formato excel. Segundo ISACA(2009), esta se baseia no negócio de T.I. em relação aos objetivos de negócio. Uma vez que a priorização dos objetivos de negócio é determinado, a importância das metas de T.I. em relação aos objetivos de negocio também é determinado. Para cada processo, um nível de maturidade global será calculado com base na importância de cada afirmação e o peso atribuído a ele. (ISACA, 2009) Cada instrução foi classificada em: Não acontece; Um pouco; De alguma forma e completamente, baseado nas descrições dos processos, políticas, normas ou especificações técnicas. Seguem as atribuições das instruções: Nível de Maturidade 0 Inexistente Nr Statement Peso Você Concorda 1 Não acontece avaliação de risco para processos e decisões de 8 x 2,64 negócio 2 A organização não considera os impactos no negócio associado a 9 x 2,97 vulnerabilidades da segurança e incertezas de Projetos de desenvolvimento 3 Gerenciar riscos não é considerado relevante para adquirir 10 x 3,30 soluções ou entregar serviços de T.I Total Weight 27 Figura 37 - Nível de Maturidade Inexistente

71 Nível de Maturidade 1 Inicial/Ad Hoc Nr Statement Peso Você Concorda 1 Os riscos de TI são considerados de forma ad hoc 6 x 1,98 2 Avaliações informais de risco de projetos são realizadas quando 7 x 2,31 solicitadas em cada projeto 3 Avaliação de risco são as vezes identificadas em um plano de 5 x 1,65 projeto, mas raramente atribuídas aos gerentes correspondentes 4 Riscos específicos relacionados a TI, como segurança, 7 x 2,31 disponibilidade e integridade, são ocasionalmente considerados nos projetos 5 Os riscos de TI que afetam o dia-a-dia da operação são 5 x 1,65 raramentes discutidos em reuniões gerenciais 6 Mesmo onde os riscos são levantados, as ações para mitiga-los 5 x 1,65 são inconsistentes 7 Está surgindo um entendimento de que os riscos de TI são 5 x 1,65 importantes e devem ser considerados Total Weight 40 Figura 38 - Nível de Maturidade - Inicial Nível de Maturidade 2 Repetível, porém Intuitivo Nr Statement Peso Você Concorda 1 Existe uma abordagem imatura e inicial de avaliação de risco 5 x 1,65 2 utilizada a critério de alguns gerentes de projeto A gestão de risco é superficial e geralmente aplicada somente a 5 x 1,65 3 grandes projetos ou em resposta a problemas O processo de mitigação de risco está começando a ser 5 x 1,65 implementado onde são identificados riscos Total Weight 15 Figura 39 - Nível de Maturidade - Repetível Nível de Maturidade 3 Definido Nr Statement Peso Você Concorda 1 Uma política corporativa de gestão de risco define onde e como 5 x 0,00 conduzir as avaliações de risco. 2 A gestão de risco segue um processo definido e documentado. 5 x 0,00 3 Há treinamento em gestão de risco disponível para todo o pessoal 5 x 0,00 4 Decisões de seguir o processo de gestão de risco e receber 5 x 1,65 treinamento são deixadas a critério de cada indivíduo 5 A metodologia de avaliação de risco é convincente, robusta e 5 x 0,00 assegura a identificação dos riscos chave para o negócio 6 Um processo para mitigar os riscos-chave é implementado 5 x 0,00 após a identificação dos riscos. 7 As responsabilidades pela gestão de riscos estão definidas nas 5 x 0,00 descrições de cargo. Total Weight 35 Figura 40 - Nível de Maturidade - Definido

72 Nível de Maturidade 4 Gerenciado e Mensurável Nr Statement Peso Você Concorda 1 A avaliação e a gestão de risco são procedimentos padronizados. 5 x 0,00 2 A avaliação e a gestão de risco são procedimentos padronizados. 5 x 0,00 As exceções do processo de gestão de risco são relatadas à Diretoria de TI 3 A gestão de risco de TI é uma responsabilidade da Alta Direção. 5 x 1,65 4 O risco é avaliado e mitigado no nível de projeto 5 x 0,00 e também regularmente no nível de operação de TI. 5 O comitê executivo é avisado das mudanças no ambiente de 5 x 0,00 negócios e de TI que podem afetar consideravelmente os cenários de riscos relacionados a TI. 6 A Diretoria é capaz de monitorar a posição do risco 5 x 0,00 e tomar decisões fundamentadas no nível de exposição aceitável 7 Todos os riscos identificados têm um responsável definido, e o 5 x 0,00 comitê executivo e a Diretoria de TI estabeleceram os níveis de risco que a organização irá tolerar. 8 A área de TI desenvolveu indicadores 5 x 0,00 padrão para avaliar riscos e definir taxas de riscos/retornos 9 A área de TI aloca recursos para um projeto de gestão de risco 5 x 0,00 operacional a fim de reavaliar periodicamente os riscos. 10 Um banco de dados de gestão de risco é estabelecido, e uma 5 x 1,65 parte dos processos de gerenciamento de risco está começando a ser automatizada 11 A área de TI estuda estratégias de mitigação de riscos 5 x 1,65 Total Weight 55 Figura 41 - Nível de Maturidade Gerenciado Nível de Maturidade 5 Otimizado Nr Statement Peso Você Concorda 1 O gerenciamento de risco atingiu um estágio de desenvolvimento 5 x 0,00 em que há um processo organizacional estruturado em vigor 2 Boas práticas são aplicadas em toda a organização 5 x 1,65 3 A captura, a análise e o relato de dados de gestão de risco 5 x 0,00 estão altamente automatizados 4 É recebida orientação de lideranças da área, e a organização de TI 5 x 0,00 participa de grupos de discussão para troca de experiências 5 A gestão de risco está totalmente integrada às operações de 5 x 0,00 negócio e de TI, é bem aceita e envolve extensivamente os usuários dos serviços de TI. 6 A Direção de TI detecta e age quando grandes decisões 5 x 1,65 operacionais e de investimentos de TI são tomadas sem considerar o plano de gestão de risco. 7 Direção de TI avalia continuamente as estratégias de mitigação 5 x 0,00 de risco. Peso Total 35 Figura 42 - Nível de Maturidade - OT.I.mizado Após o preenchimento do peso e status, é apresentado o cálculo de maturidade equivalente á 0,89, conforme mostrado na figura 42.

73 PO9 Avaliar e Gerenciar os Riscos de TI Nível Compliance Contribuição Valor 0 0,33 0,00 0,00 1 0,33 1,00 0,33 2 0,33 1,00 0,33 3 0,05 1,00 0,05 4 0,09 1,00 0,09 5 0,09 1,00 0,09 Maturity Level = Figura 43 - Cálculo do nível de maturidade 0,89 De acordo com o resultado alcançado, verificamos que a empresa Alpha encontra-se no nível de maturidade 1(Inicial), que representa que a empresa não possui um processo padronizado e o pouco que possui é aplicado individualmente de forma desorganizada. Porém, a empresa reconhece as questões que devem ser trabalhadas e possui evidências necessárias para trabalhar a sua maturidade. 4.5 Planos de Ação O presente Plano de Ação baseia-se na análise e diagnóstico dos processos PO9 apresentados no tópico 4.4 e na adequação ao modelo do COBIT dentro das necessidades da empresa Alpha. Através da análise realizada, obtivemos o resultado que a empresa Alpha encontra-se no nível 1(Inicial) de maturidade em relação ao processo PO9 (Analisar e Gerenciar Riscos). Obtivemos evidências nas quais a empresa reconhece que existem questões que precisam ser trabalhadas, pois no enfoque geral seu gerenciamento encontra-se desorganizado. Para o sucesso do projeto são fatores essenciais a comunicação efetiva dentro da equipe envolvida, apoio integral de todas as áreas da empresa Alpha, equipe comprometida completamente com o objetivo proposto, acompanhamento do plano e da planilha RACI. Através do resultado adquirido do nível de maturidade, foram priorizadas algumas ações necessárias para o ganho de maturidade dentro da organização focando nos pontos mais deficientes.

74 1. Foi determinado que todas as reuniões gerenciais devem incluir na pauta o tema Gestão de Riscos para discussões de riscos que afetem o dia-a-dia da operação. Essa atividade foi determinada de responsabilidade de um consultor de Gestão de Riscos que suporta as reuniões gerencias e foi estabelecida uma freqüência quinzenal. A inclusão na pauta das reuniões gerenciais do item Gestão de Risco trará a organização um plano de comunicação efetivo entre ambos os stakeholders já nas etapas iniciais do gerenciamento de riscos, pois a comunicação e consulta deve acontecer entre todas as etapas (ISO 2008). 2. O grande desafio é a atuação pró-ativa que depende de uma dedicação para a realização de análises de relatórios fornecidos por outras áreas. Dessa forma solicitamos a todos os departamentos da organização que fornecessem mensalmente um relatório de provisão de riscos, por meio dos quais é possível mensurar a possibilidade de algum problema, por exemplo: Data Center prevê que um determinado servidor está operando com 80% de sua memória locada, e prevê que os 20% restante será utilizado dentro de 6 meses. Incluindo essa informação no Relatório de Provisão de Riscos, a organização terá tempo hábil para se programar e analisar a mitigação do risco de estourar a memória do servidor impactando os serviços disponíveis no mesmo servidor, ou até mesmo eliminar o risco apontado comprando mais memória para o servidor. Para essa ação temos dois papeis muito importantes, onde cada área deverá ter um responsável para focar no Relatório de Provisão de Riscos e enviar ao consultor responsável pela Gestão de Riscos. O consultor responsável pela Gestão de Riscos deverá realizar análises dos relatórios e tendências, a fim de obter respostas aos riscos antes que os mesmos possam ocorrer, se planejando em tempo hábil a prever recursos necessários mitigando os possíveis impactos. Os Riscos apontados como pró-ativos deverão ser tratados nas reuniões gerenciais. 3. Devido ao tempo médio de durabilidade dos projetos realizados dentro da empresa Alpha, determinamos como responsabilidade do gerente do projeto, a elaboração de um documento para compartilhar aos membros de outras equipes o conteúdo de lições aprendidas. Essas informações serão compartilhadas para ajudar aos membros de outras equipes e será gerida pelo consultor responsável pela Gestão de Riscos, o qual irá analisar arquivos de projetos anteriores por organizações envolvidas, podendo ser relatórios de projetos ou planos de respostas ao risco

75 juntamente com as lições aprendidas organizadas que descrevam problemas e soluções anualmente para apoiar na identificação de possíveis riscos em novos projetos. Essa atividade fica sob a responsabilidade do gerente do projeto, o qual deverá se dedicar a cada fim de projeto na elaboração de um material que possa ser compartilhado com a equipe, apontando lições aprendidas e o controle de riscos gerado no decorrer do seu projeto, bem como as soluções aplicadas que passaram a ser acompanhadas pelo consultor responsável pela Gestão de Riscos. 4. Foi determinado que o consultor responsável pela Gestão de Riscos deve levar em consideração em toda avaliação realizada os riscos específicos de segurança, disponibilidade e integridade e os mesmos devem ser discutidos nas reuniões gerenciais quinzenalmente; 5. O consultor responsável pela Gestão de Riscos deverá realizar uma avaliação de riscos e decisões de negócio, determinar a prioridade de cada risco, através de uma comparação entre o nível estimado e critérios pré-estabelecidos (nível de aceitação) para determinar a importância do risco, se o risco não coincidir com o critério pré-estabelecido o risco deve ser tratado. Essa análise deve ser realizada pontualmente em todos os riscos mapeados e levados às reuniões gerencias para conhecimento de todos. 6. Através do conhecimento do impacto no negócio, o consultor responsável pela Gestão de Riscos deve conscientizar os gestores das incertezas causadas no desenvolvimento de projetos e vulnerabilidade de segurança. Isso deve acontecer nas reuniões gerenciais e caso necessário, pontualmente ao gerente responsável pelo projeto no momento da conclusão da análise. 7. O consultor responsável pela Gestão de Riscos deve desenvolver um padrão a ser considerado no gerenciamento de risco nas soluções e nas entregas de serviço em cada análise realizada a fim de alcançar maior qualidade no gerenciamento dos riscos e propor soluções tangíveis à organização. 8. Devido a organização não possuir mitigação de risco consistente, deve agir antecipadamente para redução da probabilidade da ocorrência do risco dedicandose na análise pró-ativa dos relatórios enviados pelas áreas envolvidas. Essa análise deve ser realizada pelo consultor responsável pela Gestão de Riscos com o apoio das áreas que deverão enviar o relatório de provisão de riscos.

76 9. O consultor responsável pela Gestão de Riscos deve realizar a monitoração dos riscos mapeados, através de relatórios e indicadores e outros registros dos projetos que forneçam informações sobre os seus desempenhos, que servirão para controle e monitoramento futuro. Essa monitoração deve acontecer diariamente e ser consolidada para a apresentação na reunião gerencial quinzenalmente. 10. Após o mapeamento e classificação dos riscos, o consultor responsável pela a Gestão de Riscos deve identificar a lista de respostas ao risco, que inclui as ações que devem ser tomadas aos riscos identificados, os responsáveis e as datas limites. Os responsáveis devem ser notificados de forma a compreender suas responsabilidades dentro dos riscos apontados 11. A cada início de projeto, o consultor responsável pela Gestão de Riscos deve solicitar a realização de um brainstorming com os envolvidos do projeto a fim de obter uma lista dos riscos que depois sofrerão o processo de análise. Essa atividade tem por objetivo estimular discussões a fim de mapearmos inicialmente os possíveis riscos do projeto. 12. O consultor responsável pela Gestão de Riscos é responsável pela realização do controle dos riscos desde a sua captura, como a estimativa da sua data alvo para mitigação/eliminação e os responsáveis envolvidos. Essa atividade deve ser realizada diariamente e reportada nas reuniões gerenciais quanto a sua evolução. Através das atividades determinadas nos itens acima, criamos uma Tabela RACI a fim de determinar os papeis e responsabilidade de cada um para a Gestão de Riscos ser efetiva:

77 Figura 44 - Tabela Raci da Empresa Alpha Fazem parte da equipe deste projeto: um consultor de Gestão de Risco, que será responsável pelo levantamento dos processos atuais referentes à gestão de risco da empresa Alpha, o gerente de T.I., que servirá de link entre as áreas envolvidas e consultoria e será o aprovador da maior parte das atividades e os analistas que servirão como guias e informados das atividades realizadas.

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz SENAC GO Gestão da Tecnologia da Informação Tópicos especiais em administração Professor Itair Pereira da Silva Alunos: Eduardo Vaz Jalles Gonçalves COBIT COBIT (CONTROL OBJETIVES FOR INFORMATION AND RELATED

Leia mais

Governança de TI através do COBIT

Governança de TI através do COBIT 4.0 COBIT III Congresso de Gestão de TI Governança de TI através do COBIT GOVERNANÇA CORPORATIVA Mercado e Empresa - Relacionamentos SOCIEDADE AGENTES FINANCEIROS PROFISSIONAIS MEIO AMBIENTE GOVERNO CLIENTES

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI)

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) Os principais modelos de melhores práticas em TI Carlos Henrique Santos da Silva, MSc, PMP, ITIL

Leia mais

Gestão de Sistemas de Informação II Estrutura do COBIT

Gestão de Sistemas de Informação II Estrutura do COBIT Gestão de Sistemas de Informação II Estrutura do COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT As organizações organizam suas atividades de TI em grupos, equipes, células, ao invés de organizá-las

Leia mais

Governança de TI. Importância para as áreas de Auditoria e Compliance. Maio de 2011. IT Governance Discussion

Governança de TI. Importância para as áreas de Auditoria e Compliance. Maio de 2011. IT Governance Discussion Governança de TI Importância para as áreas de Auditoria e Compliance Maio de 2011 Page 1 É esperado de TI mais do que deixar o sistema no ar. Page 2 O que mudou o Papel de TI? Aumento de riscos e de expectativas

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc Mestre em Informática na área de Sistemas de Informação

Leia mais

IMPLANTAÇÃO DE GOVERNANÇA DE TI

IMPLANTAÇÃO DE GOVERNANÇA DE TI 1 IMPLANTAÇÃO DE GOVERNANÇA DE TI André Luiz Guimarães dos Reis 1 1 João Souza Neto 2 1 Tomas Roberto C. Orlandi 3 1 andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br 1 Empresa

Leia mais

Governança de TI Cobit

Governança de TI Cobit Governança de TI Cobit Prof. Walter Cunha falecomigo@waltercunha.com http://waltercunha.com Bibliografia* Implantando a Governança de TI - da Estratégia à Gestão de Processos e Serviços - Aguinaldo Aragon

Leia mais

COBIT FRAMEWORK MODELO COBIT A NECESSIDADE DE UM MODELO DE CONTROLE PARA A GOVERNANÇA DE TI

COBIT FRAMEWORK MODELO COBIT A NECESSIDADE DE UM MODELO DE CONTROLE PARA A GOVERNANÇA DE TI COBIT FRAMEWORK MODELO COBIT MISSÃO DO COBIT: Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente nais de avaliação. A NECESSIDADE DE

Leia mais

CobiT 4.1 Plan and Organize Manage Projects PO10

CobiT 4.1 Plan and Organize Manage Projects PO10 CobiT 4.1 Plan and Organize Manage Projects PO10 Planejar e Organizar Gerenciar Projetos Pedro Rocha http://rochapedro.wordpress.com RESUMO Este documento trás a tradução do objetivo de controle PO10 (Gerenciamento

Leia mais

Por que conhecer o COBIT 5

Por que conhecer o COBIT 5 10Minutos Tecnologia da Informação Saiba quais são as novidades da versão 5 do COBIT Por que conhecer o COBIT 5 Destaques A utilização do COBIT 5 como guia de melhores práticas permite alinhar de modo

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA. PMBoK

Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA. PMBoK Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA PMBoK 1. (FCC/ANALISTA-MPU 2007) De acordo com o corpo de conhecimento da gerência de projetos, as simulações

Leia mais

Guia de Estudo para Exame de Certificação do Cobit Foundation

Guia de Estudo para Exame de Certificação do Cobit Foundation Guia de Estudo para o Exame Certificação do Cobit Foundation 4.1 autor: Rildo Santos rildo.santos@etecnologia.com.br rildo.santos@companyweb.comb.r www.companyweb.com.br www.rildosan.blogspot.com Todos

Leia mais

Atividade: COBIT : Entendendo seus principais fundamentos

Atividade: COBIT : Entendendo seus principais fundamentos SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DO PIAUÍ CAMPUS FLORIANO EIXO TECNOLÓGICO: INFORMAÇÃO E COMUNICAÇÃO CURSO: TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PERÍODO

Leia mais

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento MBA em Sistemas de Informação CobiT Conteúdo 1. Sumário Executivo 2. Estrutura 3. Objetivos de Controle 4. Diretrizes de Gerenciamento 5. Modelo de Maturidade 6. Guia de Certificação de TI 7. Implementação

Leia mais

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Ciência da Computação Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Agenda Histórico Conceitos básicos Objetivos Visão Geral do Modelo Publicações: Estratégia de

Leia mais

Wesley Vaz, MSc., CISA

Wesley Vaz, MSc., CISA Wesley Vaz, MSc., CISA Objetivos Ao final da palestra, os participantes deverão ser capazes de: Identificar e compreender os princípios do Cobit 5; Identificar e conhecer as características dos elementos

Leia mais

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved Conhecimento em Tecnologia da Informação CobiT 5 Apresentação do novo framework da ISACA Apresentação Este artigo tem como objetivo apresentar a nova versão do modelo de governança de TI, CobiT 5, lançado

Leia mais

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço Utilizando o CobiT e o Balanced Scorecard como instrumentos para o Gerenciamento de Níveis de Serviço Win Van Grembergen, http://www/isaca.org Tradução de Fátima Pires (fatima@ccuec.unicamp.br) Na economia

Leia mais

Gestão Estratégica da TI. Prof. Renato Lima, PMP, ITIL, CGEIT Assunto: Governança de TI

Gestão Estratégica da TI. Prof. Renato Lima, PMP, ITIL, CGEIT Assunto: Governança de TI Gestão Estratégica da TI Prof. Renato Lima, PMP, ITIL, CGEIT Assunto: Governança de TI Introdução Motivadores Popularização das redes de computadores Avanço tecnológico Internet como veículo de comunicação

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Unidade V GOVERNANÇA DE TI

Unidade V GOVERNANÇA DE TI GOVERNANÇA DE TI Unidade V CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 1 O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit and Control Foundation (ISACF)

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

Governança de TI com melhores práticas COBIT, ITIL e BSC

Governança de TI com melhores práticas COBIT, ITIL e BSC {aula #1} com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11) 9962-4260 http://rildosan.blogspot.com/

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Gerenciamento de TI. Paulo César Rodrigues

Gerenciamento de TI. Paulo César Rodrigues Gerenciamento de TI Paulo César Rodrigues *Analista de Sistemas; *Tutor do curso de graduação em Tecnologia em Sistemas de Computação (UFF/Cederj); * Professor do curso Técnico em Informática da Prefeitura

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

(C) A-C-E-F-H (D) A-G-F-H (E) A-G-I. Exercícios: Governança de TI Walter Cunha PRIMEIRA BATERIA. PMBoK COBIT

(C) A-C-E-F-H (D) A-G-F-H (E) A-G-I. Exercícios: Governança de TI Walter Cunha PRIMEIRA BATERIA. PMBoK COBIT Exercícios: Governança de TI Walter Cunha PRIMEIRA ATERIA (C) A-C-E-F-H (D) A-G-F-H (E) A-G-I PMoK 1. (FCC/ANALISTA-MPU 2007) De acordo com o corpo de conhecimento da gerência de projetos, as simulações

Leia mais

Introdução A GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO

Introdução A GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO Introdução A GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO Referências Gerenciamento Estratégico da Informação. Aumente a Competitividade e a eficiência de sua empresa utilizando a informação como ferramenta

Leia mais

Governança de TI Evolução e Conceitos de Gestão da TI. Raimir Holanda raimir@tce.ce.gov.br

Governança de TI Evolução e Conceitos de Gestão da TI. Raimir Holanda raimir@tce.ce.gov.br Governança de TI Evolução e Conceitos de Gestão da TI Raimir Holanda raimir@tce.ce.gov.br Agenda Conceitos de Governança de TI Fatores motivadores das mudanças Evolução da Gestão de TI Ciclo da Governança

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

A Governança de TI Gestão de TI através de Portfólios

A Governança de TI Gestão de TI através de Portfólios A Governança de TI Gestão de TI através de Portfólios Sandra Sergi Santos, PMP Governança de TI Vamos começar este artigo analisando Governança de TI. A Governança de TI é a área mais crítica de uma governança

Leia mais

L I U S@GAR A C R I C A. A PRO R.BR

L I U S@GAR A C R I C A. A PRO R.BR v2 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR Cobit Control Objectives for Information and related Technology ISACF Information Systems Audit and Control Foundation ISACA www.isaca.org 1 1 - versões

Leia mais

Curso Online. www.tiexames.com.br. Introdução a Governança de TI

Curso Online. www.tiexames.com.br. Introdução a Governança de TI Módulo 1 Introdução a Governança de TI Curso Online Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. www.tiexames.com.br

Leia mais

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA Como definir uma estratégia de implementação de Governança de TI Por: Flávio Martins Brígido Orientador Prof. Jorge Vieira Rio

Leia mais

Governança de TI. 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT

Governança de TI. 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT Governança de TI Governança de TI 1. Contexto da TI 2. Desafios da TI / CIOs 3. A evolução do CobiT 4. Estrutura do CobiT 5. Governança de TI utilizando o CobiT TI precisa de Governança? 3 Dia-a-dia da

Leia mais

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini Unidade V GOVERNANÇA DE TI Profa. Gislaine Stachissini Control Objectives for Information and Related Technology - Cobit O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit

Leia mais

Histórico e evolução. Governança de TI. Focos da governança de TI. Desafios. Governança de TI COBIT Módulo 1 Conceitos Básicos.

Histórico e evolução. Governança de TI. Focos da governança de TI. Desafios. Governança de TI COBIT Módulo 1 Conceitos Básicos. Histórico e evolução Governança de TI COBIT Módulo 1 Conceitos Básicos Referência: COBIT Framework Versão 4.1 Primeira versão em 1996 Compilação de referências sobre auditoria de TI Segunda versão em 1998

Leia mais

A estrutura do gerenciamento de projetos

A estrutura do gerenciamento de projetos A estrutura do gerenciamento de projetos Introdução O Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK ) é uma norma reconhecida para a profissão de gerenciamento de projetos. Um padrão é

Leia mais

Estratégias em Tecnologia da Informação. Políticas Empresariais Governança de TI Visão Geral sobre Framework CobiT

Estratégias em Tecnologia da Informação. Políticas Empresariais Governança de TI Visão Geral sobre Framework CobiT Estratégias em Tecnologia da Informação Capítulo 13 Políticas Empresariais Governança de TI Visão Geral sobre Framework CobiT Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas

Leia mais

GTI Governança de TI

GTI Governança de TI GTI Governança de TI Modelos de Melhores Práticas e o Modelo de Governança de TI Governança de TI FERNANDES & ABREU, cap. 4 1 COBIT Control Objectives for Information and Related Technology. Abrangente

Leia mais

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combining the ISO 10006 and PMBOK to ensure successful projects 1 Por Michael Stanleigh Tradução e adaptação para fins didáticos

Leia mais

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira Governança Sistemas de Informação 8º Período Prof: Mafran Oliveira 1 Definição de Governança Governança Corporativa: É a Estrutura que identifica os objetivos de uma organização e de que forma pode-se

Leia mais

Unidade I GERENCIAMENTO DE. Profa. Celia Corigliano

Unidade I GERENCIAMENTO DE. Profa. Celia Corigliano Unidade I GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Objetivo Estimular o aluno no aprofundamento do conhecimento das técnicas de gestão profissional de projetos do PMI. Desenvolver em aula

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

Governança de TI. Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? Conhecimento em Tecnologia da Informação

Governança de TI. Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Governança de TI Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? 2010 Bridge Consulting Apresentação A Governança de Tecnologia

Leia mais

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios Metodologia para Análise de Maturidade de Governança de TI Soluções em Gestão e TI que adicionam valor aos negócios Garanta a eficiência e a competitividade da sua empresa Análise de Maturidade de Governança

Leia mais

MBA Gestão da Tecnologia de Informação

MBA Gestão da Tecnologia de Informação MBA Gestão da Tecnologia de Informação Informações: Dias e horários das aulas: Segundas e Terças-feiras das 18h00 às 22h00 aulas semanais; Sábados das 08h00 às 12h00 aulas quinzenais. Carga horária: 600

Leia mais

Falta de Gestão de Risco

Falta de Gestão de Risco Falta de Gestão de Risco A TI deixou de lado o papel de dar suporte ao negócio e, principalmente na área financeira, se tornou a estratégia do próprio negócio. O nível de dependência de tecnologia para

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

3. Metodologias de Gerenciamento de Riscos

3. Metodologias de Gerenciamento de Riscos 3. Metodologias de Gerenciamento de Riscos A complexidade que caracteriza a implantação de um sistema ERP é uma das maiores preocupações das organizações que pretendem desenvolver projetos desta natureza.

Leia mais

Gestão de Pessoas CONTEÚDO PROGRAMÁTICO. 5.Mapeamento e análise de processos organizacionais. Indicadores de Desempenho.

Gestão de Pessoas CONTEÚDO PROGRAMÁTICO. 5.Mapeamento e análise de processos organizacionais. Indicadores de Desempenho. Gestão de Pessoas CONTEÚDO PROGRAMÁTICO 5.Mapeamento e análise de processos organizacionais. Indicadores de Desempenho. AULA 07 - ATPS Prof. Leonardo Ferreira 1 A Estrutura Funcional X Horizontal Visão

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

-Dominios do Exame CCSA

-Dominios do Exame CCSA -Dominios do Exame CCSA Os tópicos do exame de CCSA são divididos em seis Domínios 1 : I - Fundamentos de CSA (5-10%) II - Integração do Programa de CSA (15-25%) III - Elementos do Processo de CSA (15-25%)

Leia mais

Plano de Governança de Tecnologia de Informação

Plano de Governança de Tecnologia de Informação Plano de Governança de Tecnologia de Informação Julho/2012 Junho/2014 1 Universidade Federal Fluminense Superintendência de Tecnologia da Informação Fernando Cesar Cunha Gonçalves Superintendência de Tecnologia

Leia mais

Integrando o PSM ao COBIT

Integrando o PSM ao COBIT Integrando o PSM ao COBIT Diana Baklizky, CFPS Qualified PSM Instructor ti MÉTRICAS Ltda www.metricas.com.br 1 Agenda Objetivo Governança de TI COBIT 4.1 Como o PSM pode ajudar Caso Prático Conclusão Referências

Leia mais

GOVERNANÇA DE T.I. - CONCEITOS. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

GOVERNANÇA DE T.I. - CONCEITOS. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza GOVERNANÇA DE T.I. - CONCEITOS Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza GOVERNANÇA CORPORATIVA GOVERNANÇA CORPORATIVA Também conhecida como Governança Empresarial " os mecanismos ou

Leia mais

Indicadores para Auditoria Contínua

Indicadores para Auditoria Contínua Indicadores para Auditoria Contínua Ronaldo Fragoso Sócio. Deloitte. Agenda Objetivo da auditoria contínua Contexto e evolução da auditoria interna Tendências em auditoria contínua Implementação metodologia

Leia mais

Planejamento Estratégico de Tecnologia da Informação PETI: Uma aplicação referenciada pelo COBIT

Planejamento Estratégico de Tecnologia da Informação PETI: Uma aplicação referenciada pelo COBIT Planejamento Estratégico de Tecnologia da Informação PETI: Uma aplicação referenciada pelo COBIT Universidade Federal de Santa Catarina Sistemas de Informação André Luiz Samistraro Santin asantin@inf.ufsc.br

Leia mais

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Revista F@pciência, Apucarana-PR, ISSN 1984-2333, v.3, n. 9, p. 89 98, 2009. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Márcia Cristina

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Apresentação Apresentação Professor Alunos Representante de Sala Frequência e Avaliação Modelos das aulas

Leia mais

Governança de TI em Instituições Federais de Ensino Superior

Governança de TI em Instituições Federais de Ensino Superior Governança de TI em Instituições Federais de Ensino Superior Aluno: Mauro André Augusto Leitão Orientador: Asterio Kiyoshi Tanaka Co-Orientadora: Renata Mendes Araujo Programa de Pós-Graduação em Informática

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Utilizando o Rational Unified Process para atender a Lei Sarbanes- Oxley

Utilizando o Rational Unified Process para atender a Lei Sarbanes- Oxley Utilizando o Rational Unified Process para atender a Lei Sarbanes- Oxley Orlando Ovigli 1, Arthur Gomes 1, Patrícia Kimie 1, Márcia Ito 1,2 1 Gestão e Engenharia de Processos para desenvolvimento de Software

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Responsáveis. Conceito. COBIT Control objectives for information and related technology (Controle e governança de TI)

Responsáveis. Conceito. COBIT Control objectives for information and related technology (Controle e governança de TI) COBIT Control objectives for information and related technology (Controle e governança de TI) Responsáveis Information system audit and control association IT Governance Institute Conceito Um conjunto

Leia mais

COSO - The Committee of Sponsoring Organizations of the Treadway Commission

COSO - The Committee of Sponsoring Organizations of the Treadway Commission COSO - The Committee of Sponsoring Organizations of the Treadway Commission Eduardo Martins Pereira Fernando Bracalente Marcelo Dinofre Mario Luiz Bernardinelli mariolb@gmail.com Abstract The purpose of

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Metodologia de Auditoria com Foco em Riscos.

Metodologia de Auditoria com Foco em Riscos. Metodologia de Auditoria com Foco em Riscos. 28 de Novembro de 2003 Dados do Projeto Colaboradores: Bancos ABN Amro Real Banco Ficsa Banco Itaú Banco Nossa Caixa Bradesco Caixa Econômica Federal HSBC Febraban

Leia mais

MBA: Master in Project Management

MBA: Master in Project Management Desde 1968 MBA: Master in Project Management Projetos e Tecnologia da Informação FMU Professor: Marcos A.Cabral Projetos e Tecnologia da Informação Professor Marcos A. Cabral 2 Conceito É um conjunto de

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais