COBIT Control objectives for information and related technology (Controle e governança de TI) Responsáveis Information system audit and control association IT Governance Institute Conceito Um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de TI. Voltado para redução de risco, enfoca integridade, confiabilidade e segurança. Guia abrangente para usuários, auditores, gestores e donos de processos de negócio que permite a governança de TI Um meta método (framework) para alinhar: Riscos de negócio Necessidades de controle Necessidades técnicas Visando a: Maximizar os benefícios da TI Capitalizar em oportunidades de TI Ganhar vantagem competitiva em TI 1
Conceito ferramenta de governança de TI que ajuda os gerentes de informática a entender quais controles são necessários e a medir a eficácia destes controles. uma ferramenta de auditoria para que os auditores possam auditar seguindo estes mesmos critérios Cobit framework com Objetivos de controle de Alto nível Guias gerenciais Modelos de maturidade Visão executiva Ferramentas de implementação Objetivos de controle detalhados Fatores críticos de sucesso Indicadores Chaves de metas Guias de auditoria Indicadores Chaves de desempenho Objetivos de controle de alto nível Aborda quatro domínios: planejamento e organização aquisição e implementação entrega suporte e monitoração Apresenta seis níveis de maturidade, similares aos de CMM. Effectiveness informação deve ser relevante e pertinente aos processos de negócios bem como deve ser entregue com temporalidade, corretude, consistência e usabilidade Efficency Informação deve ser provida com o uso de recursos da forma mais produtiva e econômica 2
Confidentiality Informação sensível deve ser protegida de acesso não autorizado Integrity Informação deve ser precisa e completa, bem como sua validade deve estar em concordância com o conjunto de valores e expectativas do negócio Availability Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste mode deve ser salvaguardada enquanto recurso Compliance Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais aos quais os processos de negócio estão sujeitos Reliability of informação Informação deve ser provida de forma apropriada, permitindo seu uso na operação da organização, na publicação de relatórios financeiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos Pontos fortes Permite que TI aborde riscos não endereçados explicitamente por outros modelos e que seja aprovada em auditorias. Funciona bem com outros modelos de qualidade, principalmente ITIL. 3
Limitações Diz o que fazer, mas não como fazer. Não lida diretamente com desenvolvimento de software ou serviços de TI. Não fornece um road map para aprimoramento contínuo de processos. CobiT demanda um esforço considerável para ser integrado a processos de uma empresa. As instruções em CobiT são muito genéricas. Exemplos de utilização A Lockheed Martin tem quatro unidades no Nível 5 de CMMI. A empresa também usa disciplinas Six Sigma e ISO 9000 em diversas partes de sua organização de TI, mas CobiT é o modelo de qualidade guarda-chuva, define CIO Joseph R. Cleveland, fornecendo checklists úteis em cada um de seus quatro domínios. Exemplos de utilização Um CIO, desenvolveu um trabalho de ouvidoria com as várias unidades do grupo para saber quais eram as principais queixas em relação ao departamento de TI. O resultado foi desastroso: todas as unidades reclamaram que eram surpreendidas com despesas novas de TI, não viam transparência na apresentação dos custos e nem uma sistemática de tarifação (billing). Exemplo de utilização A falta de planejamento levou o CIO à decisão de adotar o CobiT. O objetivo com a implantação da metodologia foi dar a sua equipe condições para alinhar a infra-estrutura da área aos negócios da empresa, de modo que ouvissem as necessidades dos usuários internos e informar todos os dados que eles julgarem pertinentes. Além disso, a idéia do Cobit é estabelecer parâmetros para subcontratar serviços e se estruturar para geri-los com qualidade. O Cobit é a mais ampla metodologia para se fazer a gestão de TI e a escolhi porque ela vai me ajudar a gerir a área, ordenar processos internos e obter uma série de benefícios, acredita o CIO. 4
Comparação ITIL forte em processos mas limitado em segurança e desenvolvimento de sistemas COBIT forte em controle de TI e métricas de TI, mas não diz como (fluxo de processos) e é fraco em segurança 5