Atividade: COBIT : Entendendo seus principais fundamentos

Transcrição

1 SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DO PIAUÍ CAMPUS FLORIANO EIXO TECNOLÓGICO: INFORMAÇÃO E COMUNICAÇÃO CURSO: TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PERÍODO LETIVO: 1º SEMESTRE BLOCO: V DISCIPLINA: GERÊNCIA DE PROJETOS CARGA HORÁRIA: 75 HORAS PROFESSOR: ZILMAR Atividade: COBIT : Entendendo seus principais fundamentos Componentes: Ana Patricia de Sousa João Batista Oliveira Silva Laiton Garcia dos Santos Rubens dos Santos Lopes Floriano PI, 06 de Novembro de 2015.

2 COBIT : Entendendo seus principais fundamentos Vamos entender o que é o COBIT (Control Objectives for Information and related Technology) e como ele é aplicado nas empresas, auxiliando no desenvolvimento. As melhores práticas descritas na ITIL são tão relevantes que se tornaram um padrão de fato no mercado de TI. Seus conceitos são aplicados nos níveis operacionais e táticos e permitem que a área de TI estruture o ciclo de vida de seus serviços como um todo, de modo a alcançar excelência operacional. Já o framework (base de negócios) do COBIT é focado no nível estratégico e, por se tratar de um framework de controle, possibilita que a TI tenha seu desempenho mensurado e seus riscos devidamente apontados e tratados. Ao estudar o framework do COBIT com maior profundidade é possível identificar que ele especifica os objetivos de controle, mas não detalha como os processos podem ser definidos. O COBIT não é um padrão, não é uma norma como a ISO , ISO ou ISO 9.001, e ele também não serve como guia para maximizar os benefícios da TI. Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio. A adoção do COBIT não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando, ou gerando riscos para o negócio, de modo a priorizar o gerenciamento destes processos. O framework de controle do COBIT segue a premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. Missão: Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores. Fonte: ISACA Comparação: O framework do COBIT foi criado tendo como principais características o foco no negócio, a orientação a processos, ser baseado em controles e direcionado por métricas. Adotar COBIT ajuda uma empresa a implementar boas práticas em governança de TI, pois ele oferece um guia de melhores práticas e direcionamento. Sua estrutura classifica os processos

3 em 4 domínios, e apresenta atividades em uma estrutura gerenciável e lógica, como apresentado na figura 1. Figura 1: Estrutura gerenciável e lógica Inúmeros modelos, referências e guias de melhores práticas podem ser adotados para estabelecer um modelo de governança de TI para as organizações. Cabe aos executivos avaliar qual é o melhor modelo para atender as necessidades de negócio de suas empresas, mas é evidente que a regulamentação externa (SOX/Basiléia II) direciona fortemente a adoção do COBIT em suas práticas de governança de TI. Um fator extremamente significativo é o que o COBIT, por ser um framework de controle de alto nível, aponta o que deve ser controlado, mas não diz como fazer. Ele se encaixa perfeitamente com as melhores práticas para gestão de serviços de TI descritas na IT (Infrastructure Library (ITIL)), que tem foco mais tático e operacional em relação aos processos internos de TI. Os frameworks do COBIT e do ITIL se complementam e cobrem grande parte dos aspectos da organização da TI, de modo que quando as práticas estabelecidas em cada modelo são adotadas pelas organizações de TI, em seus processos internos, o risco operacional de TI é reduzido de maneira significativa. Tudo isso visa fazer com que a TI se torne um parceiro estratégico para que as empresas possam alcançar seus objetivos de negócio. A Tecnologia da Informação é relativamente nova se comparada a Engenharia, Arquitetura, Medicina ou Advocacia, no entanto, o conjunto de melhores práticas que será apresentado a seguir vem passando por um ciclo de melhoria contínua cujos resultados positivos vêm sendo comprovados pelo marcado há pelo menos 10 anos.

4 Como dito anteriormente, o framework de controle do COBIT parte da premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. O modelo também considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio. Além disso, o COBIT é compatível com outros padrões de mercado, pois ele se posiciona em um nível genérico, abrangendo vários processos de TI, definindo os objetivos de cada um dos processos e como devem ser controlados. O COBIT não foca em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser compatível ou complementar a outros modelos existentes. Características O framework do COBIT foi criado tendo como principais características: O foco no negócio A orientação a processos Ser baseado em controles Ser direcionado por métricas Objetivos Abaixo podemos ver o que o COBIT tem como objetivos: Ser um padrão aceito nas melhores práticas de governança de TI; Aplicar as melhores práticas a partir de uma matriz de domínios, processos e atividades estruturados de forma lógica e gerenciável; Auxiliar na associação entre: o Os riscos do negócio o As necessidades de controle o Aspectos tecnológicos Adotar o COBIT como modelo de governança, torna-se vantajoso por: Mapear os maiores padrões e frameworks de mercado, como o ITIL a ISSO e a ISSO

5 Ajudar a entender os requisitos regulatórios. Ser compatível tanto com o COSO quanto ao controle do ambiente de TI. Definir uma linguagem comum entre TI e o negócio. Ser focado nos requisitos de negócio. Ser aceito internacionalmente como framework de modelo para Governança de TI. Ser Orientado a Processos. Ser suportado por ferramentas e treinamentos. Estar em desenvolvimento contínuo. O Cubo do COBIT Como todos os componentes do COBIT estão inter-relacionados, a figura do cubo, figura 2, é utilizada para sumarizar que os recursos de TU são gerenciados pelos processos de TI para alcançar metas que correspondem aos requisitos do negocio. Este é o principio básico do framework do COBIT. Figura 2: O cubo do COBIT

6 Em relação a compatibilidade com o ITIL, o COBIT cobre a maioria dos processos ITIL, tanto na versão 2 quanto na versão 3, só que o ITIL tem os processos apresentados com maior nível de detalhe. De maneira geral, enquanto o ITIL está mais direcionado ao como, o COBIT foca no o que. Assim, pode se dizer que o COBIT é um framework de controle que estabelece o que tem que ser feito, mas não diz como deve ser feito. Os passos abaixo, figura 3, são praticamente os objetivos do Cobit. O Cobit não se preocupa em como fazer para alinhar TI com Negócio, porém o que você dever ter para atingir seu objetivo, para o passo-apasso procure algo como o ITIL V3 que casa muito bem com o Cobit. Figura 2: Premissa básica do COBIT O cobit conta com um manual que mostra toda a estrutura do framework, que pode ser baixado no site de sua mantenedora de graça, o ISACA. O framework COBIT, como falado anteriormente, é dividido em 34 processos de 4 domínios principais. Planejar e organizar: aborda táticas e estratégias, identifica a melhor forma de como a TI irá ajudar no atingimento dos objetivos organizacionais. Responde às perguntas: a TI e as estratégias da empresa estão alinhadas? A organização está usando todo o potencial de seus recursos? Todos da organização compreendem os objetivos do TI? Os riscos de TI são entendidos e gerenciados? A qualidade dos sistemas de TI é adequado para a organização?

7 Adquirir e implementar: as soluções de TI precisam ser desenvolvidas internamente ou compradas de fora, além de serem adequadamente implementadas para funcionarem em conjunto com todos os outros sistemas da organização. Entregar e dar suporte: este grupo de processos gerenciará a entrega de serviços de TI na organização, incluindo a segurança e continuidade, suporte à usuários, gerenciamento de dados e equipamentos, etc. Monitorar e Avaliar: todos os processos de TI precisam ser monitorados para conferir se estão atingindo os objetivos desejados pela organização.