COBIT, ITIL e ISO - IEC 27002 Melhores Práticas para Governança de Tecnologia Da Informação

i
Faculdade Loureno Filho

Cincia da Computao
COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para

Governana de Tecnologia da Informao
por
Alexandre Cavalcante Alencar
____________________
Orientador:
Jos Alzir Bruno Falco
Fortaleza, 2010
ii

Monografia apresentada ao curso de

Cincia da Computao da Faculdade
Loureno Filho como requisito parcial
para obteno do ttulo de Bacharel em
Cincia da Computao.
Orientador:
Jos Alzir Bruno Falco
Maro, 2010
iii

Monografia Apresentada ao curso de Bacharel em Cincias da Computao da

Faculdade Loureno Filho, como parte dos requisitos para a obteno do grau de
Bacharel em Cincias da Computao.
Composio da Banca Examinadora:
_______________________________________
Prof. MSc. Jos Alzir Bruno Falco (Orientador)
_______________________________________
Prof. Msc. Carlos Alberto Manso
_______________________________________
Prof. MSc. William de Araujo Sales
Aprovada em 04 de Maro de 2010
iv
A Ldia Cavalcante Alencar

In memoriam Antonio Alencar
Agradecimentos
A Tatiane Ramos, minha companheira durante esta longa jornada, que dedicou seu
apoio incondicional, mesmo com todos os sacrifcios que se fizeram necessrios ao
longo dos ltimos anos.
Aos amigos(as), professor(as), funcionrios(as) que fizeram parte deste captulo que
compe a histria da minha vida.
vi
A luta contra o erro tipogrfico tem algo de

homrico. Durante a reviso os erros se
escondem,
fazem-se
positivamente
invisveis. Mas assim que o livro sai,

tornam-se visibilssimos...
(Monteiro Lobato)
vii
Resumo
Hoje, os departamentos de TI das organizaes tm a necessidade de uma
abordagem de melhores prticas, que so muito parecidas e oferecem solues
semelhantes para os vrios problemas de uma organizao, mas em muitos casos, no
est claro como seguir ou aplicar cada uma delas em conjunto com outras ferramentas,
tornando a utilizao destas melhores prticas complexa.
A inteno com este trabalho fornecer uma viso geral das melhor prticas
existentes, embora reconhea que algumas das melhores prticas so adequadas para
uma organizao, ao mesmo tempo que para outras podem no ser apropriadas. Em
concluso, quanto mais conhecemos sobre as melhores prticas, ignoramos o potencial
da utilizao e aplicao destas nas organizaes em prejuzo para o negcio.
Um aspecto importante a considerar, antes de partir para a explicao das
melhores prticas, ter conhecimento sobre o funcionamento da empresa onde se
pretende utiliz-las, de forma que se possa gerar oportunidades de melhoria, resultando
em ganhos reais para o negcio.
Palavras-chave:
ITIL,
COBIT,
ISO/IEC
27001:2005,
ISO/IEC
27002:2005,
Governana, Tecnologia da Informao, Segurana da Informao, Gerenciamento de

Servios
viii
Abstract
Today, organizations IT departments have a need for a best practice approach,
which are very similar and offer similar solutions to the various problems of an
organization, but in many cases, it is unclear how to follow or apply each one with other
tools, making use of best practice complex.
The goal of this work is to provide an overview of best practices, while
recognizing that some of them are appropriate for an organization, while for others may
not be. In conclusion, more we know about best practices, more we ignore the potential
use and application of these to organizations, resulting in damage to the business.
An important aspect to consider before leaving for the explanation of best
practice, it is essential to have excellent knowledge of the business of the company
where you want to use them, so that it can generate opportunities for improvement,
resulting in real gains for the business.
Keywords: ITIL, COBIT, ISO/IEC 27001:2005, ISO/IEC 27002:2005, Governance
Information Tecnology, Information Security, Service Management
ix
Sumrio
Introduo.......................................................................................................................... 1
Captulo 1 - O Gerenciamento de Servios, a Segurana da Informao e a Governana
de TI...................................................................................................................................3
1.1. Gerenciamento de Servios de TI.......................................................................... 3
1.2. A Segurana da Informao................................................................................... 3
1.2.1. Engenharia da Segurana .............................................................................. 4
1.2.2. Proteo da privacidade................................................................................. 5
1.2.3. Tolerncia a Invases..................................................................................... 5
1.2.4. Deteco de Intruses.................................................................................... 6
1.3. A Governana de TI............................................................................................... 6
1.4. Metodologias..........................................................................................................9
Captulo 2 - A metodologia ITIL..................................................................................... 10
2.1. Estratgia de Servios.......................................................................................... 12
2.2. Desenho de Servios............................................................................................ 13
2.3. Transio de Servios.......................................................................................... 13
2.4. Operao de Servios...........................................................................................14
2.5. Melhoria Continuada de Servios........................................................................14
Captulo 3 A Metodologia ISO/IEC 27002...................................................................17
Captulo 4 A Metodologia COBIT................................................................................22
Concluso........................................................................................................................ 29
Bibliografia...................................................................................................................... 31
ANEXO I - Mapeamento de Metas de Negcios em Metas de TI..................................33
ANEXO II - Mapeamento de Metas de TI em Processos de TI......................................34
ANEXO II - Mapeamento de Metas de TI em Processos de TI......................................35
ANEXO III Descries dos Processos do COBIT 4.1.................................................36
ANEXO IV Plano de Aes para Implementao da Governana de TI.....................71
ANEXO V Relao entre processos dos frameworks COBIT e ITIL..........................73
ANEXO VI Relao entre processos dos frameworks ISO/IEC 27002 e ITIL............75
Lista de Figuras
Figura 1: O ciclo de melhoria continuada do ITIL, adaptado de OGCe, 2007, p.33......10
Figura 2: Ciclo de Vida do ITIL v3, Fonte OGCf, 2007.................................................12
Figura 3: O processo de melhoria em 7 passos, adaptado de OGCe, 2007.....................15
Figura 4: Modelo PCDA como usado em SGSI, Fonte ISO/IEC 27002.........................18
Figura 5: Os domnios do COBIT, adaptado de ITGIb, 2007, p.27................................24
Figura 6: O modelo de governana COBIT, adaptado de ITGIb, 2007, p.28..................25
Figura 7: COBIT e outros padres, do autor................................................................... 28
xi
LIsta de Tabelas
Tabela 1: reas de Foco da Governana de TI, adaptado de ITGIb, 2007, p.06...............7
Tabela 2: Processos e Funes do ITIL v3, adaptado de OGCf, 2007............................11
Tabela 3: Como a governana e os negcios dirigem a TI, adaptado de ITGIb, 2007....22
Tabela 4: Mapeamento de metas de negcios em metas de TI, adaptado de ITGIb, 2007
......................................................................................................................................... 33
Tabela 5: Mapeamento de metas de TI em processos de TI, adaptado de ITGIb, 2007. .34
Tabela 6: Relao entre processos dos frameworks COBIT e ITIL, do autor.................73
Tabela 7: Relao entre processos dos frameworks ISO/IEC 27002 e ITIL, do autor....75
Introduo
possvel afirmar que os servios prestados pela rea de TI (Tecnologia da Informao) das
organizaes cada vez mais importante para a execuo das atividades dirias de negcio,
garantindo assim maior competitividade no mercado, atravs do ganho de produtividade gerado
pelas ferramentas tecnolgicas a disposio da organizao.
Atualmente, os sistemas e os servios de TI desempenham um papel vital na coleta, anlise,
produo e distribuio da informao indispensvel execuo do negcio das organizaes.
Dessa forma, tornou-se essencial o reconhecimento de que a TI estratgica e um importante
recurso que precisa de gesto e investimentos apropriados. Esse cenrio motivou o surgimento do
conceito de Governana de TI, do termo em ingls IT Governance, atravs da qual se procura o
alinhamento da TI com os objetivos da organizao. A Governana de TI define a TI como um fator
essencial para a gesto financeira e estratgica de uma organizao e no apenas um suporte s
mesmas (BERNARDES e MOREIRA, 2007, p. 01).
Com a dependncia da rea de negcio das empresas nos servios oferecidos pela TI, de
extrema importncia que seja possvel gerenci-los de forma a permitir que as pessoas de negcio
se concentrem em suas atividades e que marcos regulatrios possam ser atendidos pela organizao.
Desta forma, as melhores prticas de gesto de servios, segurana, projetos, riscos e governana
desempenham papel fundamental no alinhamento das estratgias de negcio da organizao com o
funcionamento da TI, proporcionando assim o uso eficiente e eficaz dos recursos de TI da
organizao.
Segundo (WEILL e ROSS, 2006, p. 02), extrair maior valor da TI para a organizao no
uma questo de se trabalhar com mais afinco ou por mais tempo. Na verdade, uma questo de se
requerer um envolvimento de pessoas de diferentes reas nas decises de TI, bem como, de uma
concepo de novas maneiras de se tomar decises ou de desenvolvimento de novas tcnicas para
implementar tais decises.
A utilizao de boas prticas para Gesto de Servios e Governana de TI nas pequenas e
mdias empresas cearenses precria por falta de capacitao dos gestores e funcionrios, da
ausncia de investimentos e do desconhecimento da importncia e dos riscos inerentes a uma gesto
incorreta dos recursos de TI de uma organizao.
Com a crescente demanda por servios de TI nas reas de negcios das organizaes, se faz
necessrio uma gesto transparente e que agregue valor atravs da entrega de servios com
qualidade e garantia.
2
Segundo (Becker et al., 2007), poucas so as empresas que se adequam plenamente aos
princpios de governana de TI. Em pesquisa realizada pela Modulo Security com as empresas que
possuem aes na Bolsa de Valores de So Paulo, apenas 25% destas possuem projetos formais de
governana de TI (MODULO, 2006). Para as que buscam adequar-se, em detrimento das
resistncias internas, comuns em qualquer processo que envolve transparncia, por insegurana ou
at mesmo por completo desconhecimento do assunto, falta o entendimento dos benefcios que a
governana de TI pode prover, bem como por onde comear.
Por ser um tema recente, e com a quantidade limitada de pesquisas e publicaes
acadmicas que possam servir de referncia para administradores interessados no assunto, o
desenvolvimento deste trabalho, com uma sntese das principais referncias tcnicas e com uma
viso geral dos frameworks de governana de TI, tem o seu valor para a comunidade acadmica e
profissionais da rea.
O objetivo deste trabalho apresentar os principais frameworks para Gesto de Servios,
com o ITIL (Information Tecnology Infrastructure Library), Gesto de Segurana da Informao,
com a ISO/IEC 27002 e Governana de TI com o COBIT (Control Objectives for Information and
Related Tecnology), suas prticas e processos para a gesto, auditoria e controle do ciclo de vida dos
Servios de TI.
Este trabalho est organizado em quatro captulos. No primeiro captulo apresentada uma
introduo ao gerenciamento de servios de TI, segurana da informao e governana de TI. No
segundo, terceiro e quarto captulos so apresentados os frameworks de melhores prticas ITIL,
ISO/IEC 27002 e COBIT respectivamente, seus princpios e prticas. Encerramos com as
concluses que incluem nossas consideraes sobre a pesquisa realizada, o trabalho desenvolvido e
os futuros trabalhos a serem realizados.
Captulo 1 - O Gerenciamento de Servios, a Segurana da

Informao e a Governana de TI
1.1. Gerenciamento de Servios de TI
Para que seja possvel entender o que Gerenciamento de Servios, se faz necessrio o
entendimento do conceito de servio e como o seu gerenciamento pode auxiliar aos provedores de
servios a entregarem a proposio de valor de TI ao negcio. A gesto de servios tem origem em
negcios tradicionais como linhas areas, bancos, hotis, companhias telefnicas e energticas
(OGCf, 2007, p.5).
Segundo (OGCf, 2007, p.5) Um servio um meio de proporcionar valor aos clientes,
possibilitando-lhes alcanar resultados desejados evitando custos e riscos especficos. Como o
conceito de servio pode ser utilizado nos mais diversos contextos, assumido aqui como um meio
de entregar valor, e este conceito deve estar na essncia da definio de servios por uma
organizao.
De forma simplificada, o Gerenciamento de Servios de TI (GSTI) um grupo de processos
e funes que lubrificam as engrenagens da mquina da TI. Sem o GSTI, os projetos e sistemas de
TI podero deteriorar-se ao longo do tempo at que estes falhem.
De acordo com (OGCf, 2007, p.5), o GSTI est empenhado a entregar e suportar servios de
TI apropriados para as necessidades do negcio de uma organizao. O ITIL (OGCf, 2007, p.6)
prov um conjunto compreensivo, consistente e coerente de processos das melhores prticas para
GSTI, proporcionando ao negcio o uso eficiente e eficaz dos sistemas de informao.
1.2. A Segurana da Informao

A segurana da informao uma das pedras angulares da Sociedade da Informao.
Integridade das transaes financeiras, prestao de contas para assinaturas eletrnicas, a
confidencialidade dentro de uma empresa virtual, privacidade da informao pessoal, dependncia
em infra-estrutura crtica, tudo depende da disponibilidade de mecanismos de segurana fortes e
confiveis. Garantir a disponibilidade desses mecanismos requer a soluo de vrios problemas
substanciais de pesquisa e desenvolvimento.
4
Segundo (NIST, 2006, p. 02), a governana da segurana da informao pode ser definida
como o processo de estabelecer e manter um framework de apoio e estrutura de gesto e processos
para garantir que as estratgias de segurana da informao esto alinhados com objetivos de
negcio e de apoio, so consistentes com as leis e regulamentos aplicveis mediante a adeso s
polticas e controles internos e fornecer a atribuio de responsabilidade, tudo em um esforo de
gesto de risco.
As empresas dependem fortemente de tecnologia da informao para executar suas
operaes dirias e oferecer produtos e servios. Com uma dependncia e complexidade crescente
em TI e sua infra-estrutura, a segurana da informao tornou-se uma funo essencial por conta
das ameaas em constante mutao. Esta funo deve ser gerida e regulada para reduzir os riscos de
operaes das empresas e garantir a capacidade destas realizarem seus negcios e servir aos seus
clientes.
O objetivo da governana da segurana da informao assegurar que as empresas esto
ativamente implementando controles adequados para suportar seus negcios em uma relao custoeficcia, enquanto gerenciam a evoluo de riscos. Como tal, a governana da segurana da
informao tem seu prprio conjunto de necessidades, desafios, atividades e tipos de estruturas
possveis, alm de uma funo decisiva na identificao dos principais papis e responsabilidades,
que influencia no desenvolvimento de polticas, superviso e acompanhamento de atividades em
curso.
1.2.1. Engenharia da Segurana

A construo de sistemas seguros precisa evoluir de uma arte para uma disciplina de
Engenharia de Segurana, com mtodos bem definidos para a construo desde seus componentes
bsicos at a avaliao e validao formal da segurana. Noes de composio da segurana
precisam ser desenvolvidas, combinando tcnicas de engenharia de software, projeto de hardware
seguro, mtodos formais e criptografia. Embora a comunidade cientfica tenha feito muitos
progressos nesta
direo, mas no obstante, a Engenharia da Segurana est mais perto do
empirismo do que para a cincia: o nmero de novas vulnerabilidades ainda cresce a uma taxa
assustadora (ISO/IEC 27002, 2005, p.5).
1.2.2. Proteo da privacidade

A medida que o uso de servios eletrnicos aumenta, a tecnologia que permite s empresas
coletar, armazenar, analisar e transferir informaes sobre seus usurios evolui (FTC, 2000). Diante
disto, as questes sobre a privacidade despertam a preocupao de autoridades, empresas e usurios
que precisam garantir que regulamentaes legais sejam obedecidas e tais informaes no sofram
acesso por pessoas no autorizadas. A proteo da privacidade na sociedade da informao vai alm
de uma poltica de segurana da informao (RFC2196, 1997). preciso tambm atentar a trs
aspectos principais:
I. Ferramentas que permitam a usurios comuns, sem conhecimento tcnico,
controlarem as informaes reveladas sobre si;
II. Modelos de negcios e processos que equilibrem a informao pessoal que
consomem e o valor que geram para o cliente;
III. Ferramentas que permitam s empresas definir e fazer cumprir suas prticas de
privacidade, e para gerir a identidade e a informaes do perfil que lhe so
transmitidas de uma forma confivel e responsvel.
Para que seja possvel atender a todos os aspectos necessrios a um bom funcionamento de
polticas de privacidade, o desenvolvimento de tecnologias para a gesto da privacidade acabam se
tornando um elemento comum na construo de novos produtos e servios da empresa.
1.2.3. Tolerncia a Invases

Uma dos tpicos de pesquisa e desenvolvimento mais importantes o desenvolvimento de
sistemas de tolerncia a invases: tais sistemas funcionam de forma segura e confivel, mesmo que
alguns subsistemas sejam atacados e maliciosamente corrompidos - o que inevitavelmente, o caso
da maioria das grandes aplicaes (PARTHA et al., 2000). Estes podem at mesmo reagir a
intruses detectadas, reconfigurando-se em um estado menos corrompido. Ao longo dos ltimos
anos, muito trabalho foi feito no desenvolvimento de mecanismos de tolerncia a intruso, em
particular no contexto de comunicao em grupo e replicao de servios. Mais trabalhos sero
necessrios no que diz respeito a sistemas tolerantes a invases, principalmente em relao aos
baseados em grandes grupos dinmicos e provisrios (ad-hoc). Para novos sistemas confiveis,
meios de tolerncia a intruses, autenticao, autorizao e gesto precisam ser desenvolvidos.
1.2.4. Deteco de Intruses

Um tema muito relacionado o de deteco de intruso: Como detectar intruses, ou, mais
geralmente, situaes de alto risco? Muitos sensores foram desenvolvidos para observar estas
situaes especficas, e as ferramentas para correlacionar alarmes gerados por sensores diferentes,
de modo a obter uma melhor viso. Mas ainda os principais problemas continuam em aberto: os
sistemas de deteco de intruso geram, de longe, muitos alarmes falsos, e raramente sugerem
reaes eficazes em alarmes verdadeiros. Mais pesquisa e desenvolvimento so necessrios para
que haja uma melhora significativa na qualidade e significado dos alarmes, por exemplo,
considerando semanticamente mais camadas e aplicaes especficas (PTACEK e NEWSHAM,
1998).
1.3. A Governana de TI
As necessidades de governana de TI originaram-se das demandas de controle, transparncia
e previsibilidade das organizaes. As origens destas demandas datam do comeo dos anos 90,
quando as questes relativas qualidade ganharam uma enorme importncia no cenrio mundial. O
crescimento exuberante da economia mundial prevaleceu apesar da forte demanda por melhores
mecanismos de controle e acompanhamento de resultados, por consequncia, o processo de
maturidade da governana nas empresas acabou sendo adiado por alguns anos. (MANSUR, 2007, p.
5).
Para que se possa atingir o mnimo de Governana, cinco reas inter-relacionadas da TI
precisam de ateno, para que a organizao obtenha xito nos seus processos e otimizao nos seus
investimentos em TI: (1) os processos de TI; (2) a arquitetura de TI; (3) a infra-estrutura de TI; (4)
as necessidades de aplicaes do negcio e (5) os investimentos e a priorizao de TI. (WEILL e
ROSS, 2006, p. 27-28).
Segundo (ISACA, 2007, p.14), a governana de TI definida como uma estrutura de
relacionamentos e processos para direcionar e controlar o processo de alcanar os objetivos de
negcio, adicionando valor e balanceando riscos sobre os investimentos em TI e seus processos.
A governana de TI de responsabilidade dos executivos e conselho diretor, e consiste da
liderana, estruturas organizacionais e processos para garantir que as iniciativas de TI da
organizao sustentam e estendem as estratgias e objetivos de negcio, atravs do balanceamento
entre os objetivos de conformidade e desempenho, conduzido pelos executivos.
Segundo (ITGIb, 2007. p.06), a governana de TI tem como foco o alinhamento estratgico,
entrega de valor, gerenciamento de recursos, gerenciamento de riscos e medio do desempenho.
Buscando com isso a conexo entre os planos da TI e do negcio, suportando a proposio de valor
e o alinhamento com as estratgias do negcio e as operaes de TI. Assim, a governana de TI
garante que h objetivos acordados para a TI, gerenciamento e controle em atuao, bem como a
medio de desempenho de forma a evitar retornos inesperados. Na Tabela 1 so apresentadas as
reas de foco da Governana de TI segundo (ITGIb, 2007, p.06).
rea de Foco
Descrio
Alinhamento estratgico
Concentra-se em assegurar a articulao de negcios e planos de TI,

sobre a definio, manuteno e validao da proposta de valor de
TI, e alinhar as operaes de TI com as operaes de negcios.
Entrega de valor
Concentra-se em como executar a proposio de valor ao longo do

ciclo de entrega, garantindo que ele proporciona os benefcios
prometidos contra a estratgia;
Concentrar na otimizao de custos e proporcionando o valor
intrnseco de TI.
Gerenciamento de
recursos
Concentra-se na otimizao do investimento e a gesto adequada dos

recursos crticos de TI, tais como aplicaes, informaes, infraestrutura e pessoas. Questes fundamentais relacionadas com a
otimizao de conhecimentos e de infra-estrutura.
Gerenciamento de
risco
Requer a conscincia de risco por altos funcionrios das empresas,

uma compreenso clara do apetite da empresa para o risco, uma
compreenso dos requisitos de conformidade, transparncia sobre
riscos significativos para a empresa, e a incorporao das
responsabilidades de gesto de risco na organizao.
Medio de
desempenho
Acompanha e monitora a implementao da estratgia, a concluso

do projeto, o uso de recursos, o desempenho do processo e prestao
de servios, utilizando, por exemplo, balanced scorecards que
traduzir a estratgia em ao para objetivos mensurveis, muito alm
de resultados contbeis convencionais.
Tabela 1: reas de Foco da Governana de TI, adaptado de ITGIb, 2007, p.06

A governana de TI apresenta inmeros benefcios para as organizaes, dos quais merecem
destaque especial:
Confiana da Administrao Superior: Uma abordagem de governana de TI eficaz pode

trazer todos ao mesmo lado, fornecendo uma linguagem comum, criando mecanismos claros
para a tomada de decises, e facilitar a transparncia e a preciso das informaes de gesto.
Quando a gesto de negcio tem uma viso mais clara de como funciona a TI, sua confiana
8
nas decises de investimentos aumenta.
Capacidade de Resposta da TI para o Negcio: TI mais sensvel s necessidades do negcio.

Agilidade, flexibilidade e capacidade de resposta so atributos essenciais da funo de TI
em seu apoio evoluo das necessidades de negcios. A governana de TI eficaz garante
cadeias de comando claras, tomada de deciso eficaz e uma maior confiana na tomada de
riscos e realizao de investimentos.
Maior Retorno sobre Investimentos (ROI): Em mdia, uma alta proporo de gastos TI
perdido por meio de falhas de projeto, Infra-estrutura ineficaz e ineficiente, e processos fora
do padro e mal geridos. A governana de TI eficaz ajuda a reduzir as falhas de projeto,
otimizar a infraestrutura de TI e aumentar a eficincia dos processos de TI. O maior ROI
implica em maior valor ao negcio e melhor qualidade dos servios, permitindo alcanar os
objetivos de negcio.
Servios mais Confiveis: A governana de TI garante que os processos e servios crticos

de TI so monitorados e quaisquer incidentes ou falhas de alta prioridade so abordadas e
resolvidas. Servios que requerem altos nveis de confiabilidade so implementados com
uma infraestrutura robusta e resiliente, de forma a minimizar a probabilidade de falha ou
interrupo do servio. A governana de TI tambm garante riscos mais baixos, melhor
qualidade dos servios e maior satisfao do cliente.
Mais Transparncia: A boa governana ajuda fornecer a gerncia informaes claras,

confiveis e precisas sobre TI, tais como o status dos projetos e os custos de servios de TI.
Maior transparncia significa que os interessados iro receber informaes de uma forma
que eles compreendam e com a confiana de que a informao possa ser utilizada. A
implementao de uma estrutura eficaz de governana de TI garante que a informao certa
esteja disponvel para o nvel certo de tomadores de deciso, caso contrrio, a informao
tende a ser perdida na selva de dados.
1.4. Metodologias
Existem diversos frameworks que visam auxiliar na Gesto de Servios e Governana de TI,
dentre os quais destaco o ITIL para Gesto de Servios, COBIT para Auditoria e Controle e ISO
27002 para Gesto de Segurana da Informao.
A utilizao destes frameworks em conjunto norteiam os responsveis pelo processo de
governana na implementao das melhores prticas difundidas internacionalmente, de forma que
os objetivos organizacionais possam ser atendidos.
10
Captulo 2 - A metodologia ITIL

No captulo anterior, uma breve introduo ao Gerenciamento de Servios, Segurana da
Informao e Governana de TI foi apresentada, bem como sua importncia para as organizaes.
Neste captulo, discutiremos a metodologia ITIL, que reconhecida mundialmente como o padro
internacional de melhores prticas para GSTI (OGCf, 2007, p.1).
Segundo (OGCf, 2007, p.2), o ITIL um conjunto consistente de melhores prticas com
vasta documentao, usadas por milhares de organizaes no mundo. Consistindo de uma srie de
livros que do suporte a prestao de servios de qualidade, utilizando os recursos disponveis para
facilitar o atendimento das necessidades do negcio. O diagrama apresentado na Figura 1, uma
representao do processo de melhoria continuada do ITIL:
Figura 1: O ciclo de melhoria continuada do ITIL, adaptado de OGCe, 2007, p.33

A Figura 1 ilustra um ciclo constante de melhoria, bem como as muitas oportunidades para a
melhoria continuada de servios. O processo de melhoria pode ser resumido em seis etapas:
1. Compreender a viso atravs de objetivos de negcio de alto nvel. A viso deve
alinhar os negcios e estratgias de TI.
11
2. Avaliar a situao atual para obter uma viso exata e imparcial de onde a
organizao est agora. Esta avaliao inicial uma anlise da situao atual em
termos de negcio, organizao, pessoas, processos e tecnologia.
3. Compreender e acordar as prioridades para melhoria baseada em um profundo
desenvolvimento dos princpios definidos na viso. A viso pode estar distante, mas
esta etapa prev metas especficas e uma agenda gerencivel.
4. Detalhar o plano de melhoria continuada para conseguir maior qualidade de servios
providos atravs da implementao de processos de GSTI.
5. Verificar se as medies e mtricas esto em funcionamento para assegurar que as
metas foram alcanadas, a conformidade dos processos de cumprida, e os objetivos e
as prioridades de negcios foram atendidas pelo nvel de servio.
6. Finalmente, o processo deve assegurar que o ritmo de melhoria da qualidade
mantida, assegurando que as mudanas sejam incorporadas na organizao.
O framework ITIL v3 composto por cinco estgios, que por sua vez possuem processos
conforme ilustrado na Tabela 2. Um sumrio dos estgios apresentado no texto que se segue.
Publicaes
Estratgia de
Servio
Processos
Funes
- Gerenciamento Financeiro de TI;

- Gerenciamento do Portifolio de Servios;
- Gerenciamento da Demanda.
Desenho de Servio - Gerenciamento do Catlogo de Servios;

- Gerenciamento do Nvel de Servio;
- Gerenciamento da Capacidade;
- Gerenciamento da Disponibilidade;
- Gerenciamento da Continuidade de Servio;
- Gerenciamento de Segurana da Informao;
- Gerenciamento de Fornecedor.
Transio de
Servio
- Gerenciamento de Mudana;
- Gerenciamento da Configurao e de Ativo de Servio;
- Gerenciamento da Liberao e Implantao;
- Validao e Teste de Servio;
- Avaliao;
- Gerenciamento do Conhecimento.
Operao de
Servio
- Gerenciamento de Evento;
- Gerenciamento de Incidente;
- Cumprimento de Requisio;
- Gerenciamento de Problema;
- Gerenciamento de Acesso.
- Central de Servio;
- Gerenciamento Tcnico;
- Gerenciamento das Operaes de TI;
- Gerenciamento de Aplicativo.
Melhoria de
- Relatrio de Servio;
Servio Continuada - Medio de Servio.
Tabela 2: Processos e Funes do ITIL v3, adaptado de OGCf, 2007
12
2.1. Estratgia de Servios

O objetivo da Estratgia de Servios prover satisfao em necessidades particulares
atravs da prestao de servios, que devem ser baseada no princpio fundamental de que clientes
esperam agregar valores que permitam atingir objetivos desejados. Segundo [FERNANDES, 2008,
p.276], as seguintes questes so levantadas na estratgia de servio:
Quais servios oferecer e para quem?
Como se diferenciar dos competidores?
De que forma possvel criar o conceito de valor de servio, fazendo-o circular
efetivamente entre os grupos interessados e os clientes?
Como gerenciar os aspectos financeiros dos servios?
Como definir a qualidade do servio, e como melhor-la?
Como alocar recursos de forma eficiente atravs de um portifolio de servios, e como
resolver conflitos de demanda entre eles?
Figura 2: Ciclo de Vida do ITIL v3, Fonte OGCf, 2007
13
De acordo com a Figura 2, que apresenta o ciclo de vida do ITIL, a Estratgia de Servios
est no ncleo do ITIL, para apresentar aos provedores de servios uma compreenso do que deve
ser oferecido e para quem, como desenvolver o mercado interno e externo atravs de
competitividade e diferenciais, como os clientes iro decidir pela contratao dos servios e como
se dar a obteno e percepo de valor.
A Estratgia de Servios no pode ser criada ou existir de forma isolada da estratgia e
cultura da organizao para a qual o provedor de servios atua. O provedor pode existir em uma
organizao para prover servios para um nico ou vrios departamentos, ou pode operar provendo
servios para mltiplas organizaes externas. A estratgia adotada deve prover o valor esperado
pelos clientes, de forma a atender o propsito estratgico do provedor de servios.
2.2. Desenho de Servios

Para que servios agreguem valor real ao negcio, eles devem ser projetados com os
objetivos de negcio em mente. no desenho de servio que as estratgias de servios so
transformadas em projetos de solues tecnolgicas que devero entregar valor de acordo com os
objetivos de negcio (OGCb, 2007, p.3).
O desenho de servios emprega princpios de projetos e mtodos para converter objetivos
estratgicos em portiflio e ativos de servios. O escopo do desenho de servios no est limitado a
apenas novos servios, uma vez que compreende mudanas e melhorias necessrias para o
aprimoramento e/ou manuteno dos servios e do valor agregado ao negcio ao longo do ciclo de
vida, da continuidade, do atendimento de metas e conformidade com padres e regulamentaes
(OGCb, 2007, p.7).
Os tpicos-chave do desenho de servios incluem o catlogo de servios, disponibilidade,
capacidade, continuidade e gerenciamento de nveis de servios.
2.3. Transio de Servios

A Transio de Servios guia o provedor no desenvolvimento e melhoramento de
capacidades para a transio de servios novos ou modificados em um servio operacional (OGCc,
2007, p.6).
14
Segundo (OGCc, 2007, p.7-8), na Transio de Servios que os requisitos de negcio,
definidos na fase de Estratgia de Servios e transformados em projetos pela fase de Desenho de
Servios, so efetivamente realizados em Operaes de Servios, controlando os riscos de falhas e
interrupes.
Nesta fase, o sistema de gerenciamento de conhecimento sobre servios utilizado para a
tomada de deciso sobre a gesto de servios com base nos dados e informaes atualizadas sobre
configurao, capacidade, erros conhecidos, biblioteca de mdia definitiva e ativos.
2.4. Operao de Servios

na Operao de Servios que as prticas de gesto do dia-a-dia so aplicadas para alcanar
efetividade e eficincia na entrega e suporte a servios, de forma a garantir a entrega de valor ao
cliente e ao provedor de servios. Os objetivos estratgicos so atingidos atravs da Operao de
Servios, tornando-a uma capacidade crtica para o negcio (OGCd, 2007, p.9-10,15).
Os gerentes e operadores de servios, atravs dos processos e ferramentas podem tomar
melhores decises em reas como o gerenciamento da disponibilidade, da demanda, otimizao da
utilizao da capacidade, operacionalizao e resoluo de problemas.
2.5. Melhoria Continuada de Servios

A melhoria continuada de servios guia os provedores na criao e manuteno de valor
para os clientes atravs de melhores projetos, transies e operaes de servios atravs da
combinao de prticas e mtodos de gerenciamento e melhoria da qualidade e capacidade.
O objetivo da melhoria continuada proporcionar a organizao a realizao de melhorias
incrementais e de grande escala na qualidade do servio, na eficincia operacional e continuidade
do negcio.
No ITIL, a melhoria continuada de servios composta por trs componentes principais
(OGCe, 2007, p.54-57):
i. O Processo de Melhoria em 7 Passos, ilustrado na Figura 3;
ii. As mtricas de servios, que definem os resultados esperados dos servios de TI;
iii. Relatrios de servios, que apresentam uma viso analtica do estado de adequao as
mtricas estabelecidas para os servios de TI.
15
Figura 3: O processo de melhoria em 7 passos, adaptado de OGCe, 2007

Parece bvio como as atividades do processo de melhoria ajudam a melhoria continuada de
servios (OGCe, 2007, p.38). realmente simples identificar cada passo, mas a dificuldade reside
em entender exatamente como isso ir ocorrer. O processo de melhoria abrange no apenas a gesto
da organizao, mas todo o ciclo de vida do servio, como pode ser visto nos passos detalhados
abaixo:
1. Definir o que voc deveria medir Na concepo do servio, a Estratgia de Servio
e o Desenho de Servio deveriam identificar esta informao, desta forma, a
melhoria continuada pode recomear at atingir a situao ideal para os negcios e a
TI, respondendo a pergunta 'onde desejamos chegar?';
2.
Definir o que voc pode medir Esta atividade est relacionada com a pergunta
'onde desejamos chegar?'. Atravs da identificao dos nveis de servio desejados
pelo negcio, as capacidades de TI (identificadas pelo Desenho de Servio e
implementadas atravs da Transio de Servios) e oramentos disponveis. A
melhoria continuada realiza uma anlise de deficincias para identificar novas
oportunidades de melhoria, cujo foco responder a 'onde desejamos chegar?';
3. Coleta de dados Para responder a pergunta 'atingimos o objetivo?', os dados devem

ser obtidos (atravs da Operao de Servios) baseados nos objetivos e metas
identificados. Estes so a entrada do prximo passo;
16
4. Processamento de dados Neste passo, os dados coletados so processados em
conformidade com os fatores crticos de sucesso e indicadores principais para o
negcio. O objetivo deste passo produzir dados estruturados para anlise futura;
5. Anlise dos dados Os dados estruturados so transformados em informaes sobre
os servios. A medida que so analisados, as oportunidades de melhorias, tendncias
e impacto nos negcios so identificadas. Este passo geralmente esquecido ou
realizado de maneira inadequada com a pressa em apresentar dados a gerncia
(OGCe, 2007, p.39);
6. Apresentar e usar informao Aqui a resposta a pergunta 'ns chegamos l?'
formatada e apresentada aos interessados com uma viso exata dos resultados dos
esforos de melhoria realizados. Os resultados so apresentados ao negcio de forma
a refletir suas necessidades e auxiliar na determinao dos prximos passos;
7. Implementar aes corretivas O conhecimento obtido usado para otimizar,
melhorar e corrigir os servios. Os gerentes de servios identificam os problemas e
apresentam solues, as aes corretivas necessrias so comunicadas e explicadas a
organizao e uma nova baseline estabelecida, recomeando o ciclo.
17
Captulo 3 A Metodologia ISO/IEC 27002

No captulo anterior, foi apresentada uma uma viso geral das melhores prticas para a
gesto de servios de TI atravs do ITIL. Neste captulo, ser apresentada uma introduo s
melhores prticas para a gesto da segurana da informao atravs da ISO/IEC 27002:2005.
As organizaes e seus sistemas de informao esto sendo cada cada vez mais exigidos,
com riscos e incertezas de uma ampla variedade de fontes, incluindo o vrus de computador,
fraudes, espionagem, sabotagem, vandalismo, incndios ou inundaes (NIST, 2006, p.5). Vrus e
ataques de intruso ou negao de servios esto se tornando cada vez mais comuns, ambiciosos e
sofisticados (ISO/IEC 27002, 2005, p.1).
A segurana da informao importante, tanto no setor pblico e privado, para proteger
infra-estruturas crticas. Em ambos os setores, a segurana da informao viabilizar, por exemplo,
realizar comercio ou governo eletrnico, evitando e reduzindo os riscos relevantes. A interligao
das redes pblicas e recursos privados e o compartilhamento de informao aumentam a dificuldade
de garantir o controle de acesso (ISO/IEC 27002, 2005, p.1). A tendncia para a computao
distribuda dificulta a eficcia do controle central e especializados (BELAPURKAR et al., 2009,
p.15).
Muitos sistemas de informao no foram projetados para serem seguros. A segurana que
se pode alcanar atravs de meios tcnicos limitada, e deve ser apoiada por uma gesto clara e
procedimentos bem definidos. A identificao e aplicao de controles necessrios dependem de
planejamento cuidadoso e ateno aos detalhes. A gesto de segurana da informao exige uma
participao mnima de todos os nveis funcionais da organizao, podendo inclusive exigir a
participao de fornecedores, clientes ou acionistas. Muitas vezes, a consultoria de agentes externos
especializados tambm pode ser necessria (ISO/IEC 27002, 2005, p.15).
Com origem no Governo Britnico, a norma BS7799 a base para a norma ISO/IEC 17799
que veio a tornar-se ISO/IEC 27002. O Cdigo de Boas Prticas ISO/IEC 27002 fornece uma
estrutura para avaliar os sistemas de gesto de segurana da informao baseada em um conjunto de
diretrizes e princpios que tm sido adotadas por empresas, governos e organizaes empresariais
em todo o mundo.
A ISO/IEC 27002 utiliza fortemente o ciclo de Planejamento, Execuo, Controle e Ao
(PDCA da sigla em ingls) idealizado por Shewhart e mais tarde aplicado por Deming
(FERNANDES, 2008, p.353). O ciclo composto por um conjunto de aes em seqncia, dada
pela ordem estabelecida pelas letras que compem a sigla: P (plan: planejar), D (do: fazer,
18
executar), C (check: verificar, controlar), e finalmente o A (act: agir, atuar corretivamente). Na
Figura 4, apresentado o ciclo PDCA como proposto pela ISO/IEC 27002 para sistemas de
gerenciamento de segurana da informao.
Figura 4: Modelo PCDA como usado em SGSI, Fonte ISO/IEC 27002

A Figura 4 mostra que, a partir dos requisitos de segurana da informao e de um conjunto
de expectativas de clientes e outros interessados, estabelecido um ciclo de planejamento,
execuo, verificao e melhoria que transforma as expectativas em resultados efetivamente
implementados.
O framework de controles ISO permite aos profissionais de segurana da informao ter
uma abordagem consistente e metdica, ao avaliar os processos de segurana nas organizaes,
infraestrutura de tecnologia, ou processos.
Os benefcios da segurana da informao esto na preveno de perdas financeiras que a
empresa pode ter, no caso da ocorrncia de riscos de segurana da informao. Para que um sistema
de informao seja considerado seguro, deve atender a quatro caractersticas:
Integridade A informao s poder ser modificada por quem est autorizado e de maneira
controlada;
Confidencialidade A informao s dever estar disponvel para quem est autorizado;
Disponibilidade A informao dever estar disponvel quando for necessria;
No repdio O uso ou modificao da informao por parte de uma pessoa autorizada

deve ser irrefutvel, ou seja, a pessoa no poder negar a ao.
A norma ISO/IEC 27002 est estruturada em onze sees, cada uma destas constituda por
categorias de segurana da informao, sendo que cada categoria tem um objetivo de controle
definido, um ou mais controles que podem ser aplicados para atender ao objetivo de controle, as
19
descries dos controles, as diretrizes de implementao e informaes adicionais.
Ao todo, so 133 controles divididos em (1) poltica de segurana da informao, (2)
organizao da segurana da informao, (3) gesto de ativos, (4) segurana em recursos humanos,
(5) segurana fsica e de ambiente, (6) gerenciamento das operaes e comunicaes, (7) controle
de acesso, (8) aquisio, desenvolvimento e manuteno de sistemas de informao, (9)
gerenciamento de incidentes de segurana da informao, (10) gerenciamento da continuidade do
negcio e (11) conformidade legal. Este trabalho no tem por objetivo explicitar todos estes
controles, haja visto que a norma em si fonte principal de informao para implementao destes
controles.
O objetivo da poltica de segurana da informao fornecer orientao e apoio s aes
da gesto de segurana da informao sobre os requisitos de negcios e as leis e regulamentos
pertinentes. A gerncia deve estabelecer uma poltica clara e de acordo com os objetivos do negcio
e demonstrar seu apoio e comprometimento com a segurana da informao atravs da publicao e
manuteno de uma poltica segurana da informao para toda a organizao (ISO/IEC 27002,
2005, p.12).
A organizao da segurana da informao deve estabelecer uma estrutura de gesto a
fim de iniciar e monitorar a implementao da segurana da informao dentro da organizao. A
administrao deve adotar a poltica de segurana da informao, atribuir funes de segurana e de
coordenao, bem como fiscalizar a execuo da poltica de segurana em toda a organizao. Se
necessrio, a organizao deve estabelecer e facilitar o acesso s fontes de referncia especializadas
para garantir a atualizao dos envolvidos sobre as tendncias do setor, a evoluo das normas e
mtodos de avaliao, e fornecer as ferramentas adequadas para a manipulao de resultados
segurana. Seu objetivo deve ser a promoo de uma abordagem multi-disciplinar para a segurana
da informao, que, por exemplo, envolva a cooperao e colaborao dos gestores, usurios,
administradores, designers de aplicao, auditores e especialistas em segurana da informao, em
reas como gesto segurana e de riscos (ISO/IEC 27002, 2005, p.15).
A gesto de ativos tem por objetivo, alcanar e manter uma poltica de proteo adequada
para os ativos da organizao. Para que isso seja possvel, devem ser identificados os proprietrios
para todos os ativos e atribuir a responsabilidade pela manuteno de controles adequados. A
implementao de controles especficos pode ser delegada pelo proprietrio caso seja conveniente.
No entanto, o proprietrio continua responsvel pela proteo adequada dos ativos. O termo
priprietrio identifica um indivduo ou entidade responsvel, com a aprovao dos mecanismos
de direo, para controlar a produo, desenvolvimento, manuteno, utilizao e segurana de
ativos (ISO/IEC 27002, 2005, p.32).
20
Na segurana em recursos humanos, o objetivo garantir que os funcionrios,
fornecedores e usurios de terceiros entendam suas responsabilidades, e esteja aptos a desempenhar
suas funes, alm de reduzir o risco de roubo, fraude e mau uso de recursos. As responsabilidades
de segurana devem ser definidas antes da contratao, com a descrio adequada do trabalho e
suas condies. Todos os funcionrios, prestadores e usurios de terceiros devem ser selecionados
adequadamente, especialmente para trabalhos sensveis com acesso a informaes. Funcionrios,
fornecedores e usurios de prestadores de servios de processamento de informaes devem assinar
um acordo sobre seus papis e responsabilidades relacionadas com a segurana (ISO/IEC 27002,
2005, p.38).
Para a segurana fsica e de ambiente, o objetivo impedir o acesso fsico no autorizado,
dano ou interferncia nas instalaes e informaes da organizao. Os servios de processamento
de informaes sensveis devem ser realizados em reas seguras e protegidas, em um permetro de
segurana definido por barreiras e controles de entrada adequada. Estas reas devem ser fisicamente
protegidas contra acesso no autorizado, danos e interferncias. A proteo fornecida deve ser
proporcional aos riscos identificados. Para evitar a perda, dano, roubo ou comprometimento de
ativos e interrupo das atividades da organizao, os equipamentos devem ser protegidos contra
ameaas fsicas e ambientais. A proteo dos equipamentos necessria para reduzir o risco de
acesso no autorizado informao e proteo contra perda ou roubo. Da mesma forma, deve-se a
considerar controles especiais para proteo contra ameaas contra estruturas fsicas e a garantia de
servios como eletricidade e infra-estrutura local (ISO/IEC 27002, 2005, p.47).
Com o gerenciamento das operaes e comunicaes, o objetivo garantir a operao
correta e segura dos recursos de tratamento de informao, estabelecendo responsabilidades e
procedimentos para a gesto e operao de todos os recursos para o processamento de informaes,
incluindo o desenvolvimento de instrues e procedimentos operacionais de resposta a incidentes,
implementando a segregao de funes, conforme o caso, para reduzir o risco de uma m
utilizao do sistema deliberadamente ou por negligncia. A organizao deve ainda implementar e
manter um nvel apropriado de controle e segurana nos servios prestados por terceiros, de acordo
como estabelecido em contratos pertinentes (ISO/IEC 27002, 2005, p.59).
O controle de acesso deve gerir o acesso informao, recursos e processos de negcios
com base nas necessidades de segurana e do negcio da organizao. A regulamentao para as
polticas de controle de acesso deve considerar a distribuio das informaes e autorizaes,
devendo para isso, estabelecer procedimentos para atribuio de permisses de acesso aos sistemas
e informaes (ISO/IEC 27002, 2005, p.98).
21
A aquisio, desenvolvimento e manuteno de sistemas de informao deve garantir
que a segurana parte integral dos sistemas de informao. Os sistemas de informao incluem
sistemas operacionais, infra-estrutura, aplicaes de negcio, aplicaes de uso geral, servios e
aplicaes desenvolvidas pelos usurios. A concepo e implementao de sistemas de informao
que do apoio aos processos de negcio das empresas podem ser cruciais para a segurana. Os
requisitos de segurana devem ser identificados e acordados antes do desenvolvimento e/ou
implementao de sistemas de informao. Todos os requisitos de segurana devem ser
identificados na fase de levantamento de requisitos de um projeto e ser justificados, documentados e
aceitos como parte de todo o processo para um sistema de informao (ISO/IEC 27002, 2005,
p.127).
O gerenciamento de incidentes de segurana da informao deve garantir que os eventos
e falhas de segurana associados aos sistemas de informao sejam identificados e comunicados o
mais breve possvel, permitindo assim a elaborao de medidas corretivas oportunas. Todos os
funcionrios, fornecedores e terceiros devem estar cientes dos procedimentos de comunicao de
diferentes tipos de eventos e pontos fracos que possam ter impacto sobre a segurana dos ativos
organizacionais (ISO/IEC 27002, 2005, p.148).
O gerenciamento da continuidade do negcio, deve implementar um processo de gesto
da continuidade do negcio para reduzir a nveis aceitveis, as perturbaes causadas por
catstrofes e falhas de segurana, atravs de uma combinao de controles preventivos e de
recuperao, reagindo a interrupo das atividades de negcios. Para isto, necessrio identificar os
processos crticos de negcio, e integrar os requisitos de gesto da segurana da informao e
continuidade de negcios, com outros requisitos relacionados a aspectos tais como operaes,
fornecedores, funcionrios, materiais, transporte e instalaes (ISO/IEC 27002, 2005, p.156).
A conformidade legal tem por objetivo, evitar a violao de qualquer lei, estatuto,
regulamento ou obrigaes contratuais e de quaisquer requisitos de segurana. A concepo,
funcionamento, utilizao e gesto dos sistemas de informao podem estar sujeitos a requisitos
legais, de segurana regulamentares e contratuais. Os requisitos legais especficas devem ser
aconselhados por um advogado da organizao ou profissionais qualificados (ISO/IEC 27002,
2005, p.163).
Isto posto, a ISO/IEC 27002:2005 pode ser vista como um ponto de partida para desenvolver
uma gesto de segurana especfica em uma organizao. importante observar que nem todas as
recomendaes e controles do referido cdigo so aplicveis a todos os tipos de organizao e
havero casos onde controles adicionais possam ser necessrios, muito embora no faam parte
deste conjunto de recomendaes e controles.
22
Captulo 4 A Metodologia COBIT

Nos ltimos captulos, foram apresentadas as melhores prticas para a gesto de servios de
TI e de segurana da informao. Neste captulo, ser apresentado um framework de melhores
prticas para governana de TI.
Executivos precisam de garantias de que podem confiar em sistemas de informao e nas
informaes produzidas por esses sistemas, alm de obter um retorno positivo dos investimentos
feitos em TI. O COBIT permite aos executivos de negcios entenderem melhor como dirigir e
gerenciar o uso da TI da empresa e os princpios de boas prticas que devem esperar de
fornecedores de TI. O COBIT fornece as ferramentas para orientar e supervisionar todas as
atividades relacionadas a TI.
Na Tabela 3, so apresentadas as perspectivas e metas de negcio que dirigem as aes de TI
para atingir os objetivos de negcios e governana.
Pespectiva Financeira
Prover um bom retorno de investimento nos negcios

capacitados por TI
Gerenciar os riscos de TI relacionados aos negcios
Melhorar a governana corporativa e a transparncia
Melhorar a orientao ao cliente e servios
Oferecer produtos e servios competitivos
Metas de Negcios
Garantir a disponibilidade e a continuidade dos servios

Pespectiva do Cliente
Demonstrar agilidade quando responder a mudanas de

requisitos de negcios
Garantir a otimizao dos custos de entrega de servio
Obter informaes confiveis e teis para a tomada de deciso
Melhorar e manter as funcionalidades dos processos de negcios
Diminuir os custos de processos
Perspectiva Interna
Garantir a conformidade com leis, contratos e regras externas

Garantir a conformidade com as polticas internas
Gerenciar mudanas de negcios
Melhorar e manter a produtividade operacional e da equipe
Perspectiva
Aprendizado
Crescimento
de Demonstrar a inovao de produtos/negcios

e Obter e manter pessoal capacitado e motivado
Tabela 3: Como a governana e os negcios dirigem a TI, adaptado de ITGIb, 2007
23
O COBIT ajuda a diminuir as distncias entre os riscos do negcio, as necessidades de
controle e questes tcnicas (ITGIb, 2007, p.10). O COBIT define claramente a propriedade e
responsabilidade orientado nos processos de negcio, permitindo um mapeamento dos objetivos de
negcio, bem como o mapeamento de objetivos de TI em objetivos de processos (ITGIb, 2007,
p.10).
As metas de negcios esto relacionadas as metas de TI, que consequentemente, esto
relacionadas com os processos de TI. Desta forma, partindo de uma meta de negcio (Tabela 4 do
Anexo I), possvel definir as metas de TI e os processos relacionados (Tabela 5 do Anexo II). Uma
vez definidos os processos de TI, possvel identificar os objetivos de controle para a governana,
mtricas e orientaes para o gerenciamento.
As Tabelas 4 e 5 dos Anexos I e II respectivamente, foram construdas com base no COBIT
e podem ser utilizadas para definir quais processos devem ser implementados e/ou aprimorados
para atender as metas de negcios. Para utilizar esta ferramenta, basta definir quais so as metas de
negcios (Tabela 4 do Anexo I) e verificar quais so as metas de TI associadas. Uma vez
identificadas as metas de TI que suportam as metas de negcios, possvel identificar quais
processos de TI devem ser implementados ou melhorados (Tabela 5 do Anexo II). Os processos de
TI apresentados so os 34 processos do COBIT descritos no Anexo III.
Uma vez identificados os processos de TI que segundo o COBIT precisam ser
implementados na empresa, possvel utilizar o mapeamento para processos do ITIL ou ISO/IEC
27002 como descrito em (ITGIc, 2008) e (ITGIa, 2008), facilitando assim a execuo das atividades
tcnicas pelas equipes operacionais. Desta forma, a implementao dos trs frameworks ser
simplificada, reduzindo o tempo de planejamento e execuo das atividades inerentes.
Sumarizando, os recursos de TI so gerenciados por procesos de TI para atingir objetivos de
TI que respondem a requisitos de negcios. Este o princpio bsico do framework COBIT, como
ilustrado no Cubo do COBIT na Figura 5.
24
Figura 5: Os domnios do COBIT, adaptado de ITGIb, 2007, p.27

O cubo mostra em uma perspectiva esttica trs dimenses. A primeira apresenta os
principais requisitos de negcios, esperados por boa parte das organizaes empresariais. A
segunda, organiza os processos de TI que iro atender aos requisitos de negcios em trs nveis: o
nvel de Domnios inclui quatro grupos, (1) planejar e organizar, (2) adquirir e implementar, (3)
entregar e suportar e (4) monitorar e avaliar; Processos que incluem 34 processos nos quatro
domnios, cada um com um objetivo de controle de alto nvel; e Atividades que so as aes
necessrias para alcanar resultados mensurveis. A terceira dimenso, Recursos de TI, contempla
os recursos necessrios para viabilizar os requisitos atravs dos processos de TI.
O framework COBIT, a partir de uma perspectiva dinmica, apresenta suas atividades em
uma estrutura lgica e gerencivel. Os processos de TI so organizados em quatro domnios e 34
processos. O framework identifica sete critrios de informao efetividade, eficincia,
confidencialidade, integridade, disponibilidade, conformidade e confiabilidade relacionados com
necessidades de negcio, alm de ligaes para os processos e diretrizes de gerenciamento para os
administradores do negcio. Os recursos de TI so utilizados pelos processos de TI de forma a
suportarem os objetivos de negcio.
25
O COBIT fornece as melhores prticas e ferramentas de monitoramento e gesto das
atividades de TI. O uso de TI um investimento significativo que precisa ser gerenciado. O COBIT
ajuda os executivos a compreender e controlar os investimentos de TI em todo o seu ciclo de vida e
fornece um mtodo para avaliar se os servios de TI e novas iniciativas esto reunindo os requisitos
de negcio e so aptos a oferecer os benefcios esperados.
Uma viso grfica mais detalhada do COBIT pode ser vista na Figura 6, com o modelo de
processos do COBIT de quatro domnios e 34 processos genricos, gerenciando os recursos de TI
de forma a entregar informaes aos negcios de acordo com os requisitos de negcios e
governana.
Figura 6: O modelo de governana COBIT, adaptado de ITGIb,

2007, p.28
Uma vez que o COBIT um conjunto de ferramentas e tcnicas aceitas internacionalmente,
sua implementao sinal de uma organizao bem administrada. Ele ajuda os profissionais de TI e
os usurios da empresa a demonstrarem a sua competncia profissional para a gerncia. Como
26
acontece com muitos processos de negcios genricos, existem normas especficas no setor de TI e
de boas prticas que as empresas devem seguir na utilizao da TI. O COBIT capta essas melhores
prticas e fornece um framework para a implementao e gesto (ITGIb, 2007, p.14).
Uma vez que os princpios fundamentais do COBIT relevantes a uma empresa so
identificadas e implementados, os executivos ganham a confiana que o uso de TI pode ser gerido
de forma eficaz. Os executivos podem esperar os seguintes resultados a partir da adoo do COBIT
(ITGIb, 2007, p.10):
A equipe de TI e os executivos iro compreender melhor como o negcio e a TI
podem trabalhar juntos para entrega com sucesso de servios de TI.
O custo do ciclo de vida completo de TI tornar-se- mais transparente e previsvel.
Ir proporcionar uma melhor qualidade e mais informaes oportunas.
Ir oferecer servios de melhor qualidade e mais projetos de sucesso.
Segurana e privacidade sero mais claros e a implementao mais facilmente
controlvel.
Os riscos da TI sero geridos de forma mais eficaz.
As auditorias sero mais eficientes e bem sucedidas.
A observncia dos requisitos regulamentares ser uma prtica comum de gesto.
O framework COBIT, nas verses 4.0 e superiores, incluem as seguintes caractersticas:
Framework - Explica como o COBIT organiza a gesto de governana e objetivos
de controle e de boas prticas por domnios e processos de TI, e suas ligaes as
necessidades do negcio. O framework contm um conjunto de 34 objetivos de
controle de alto nvel, uma para cada processo de TI, agrupados em quatro domnios:
Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar, e Monitorar e
Avaliar;
Descries de processos - Includos para cada um dos 34 processos de TI,
abrangendo as reas de responsabilidade do negcios e de TI do comeo ao fim;
Objetivos de controle - Fornece objetivos genricos de melhores prticas de
gesto de processos de TI;
Diretrizes de Gesto - Oferecem ferramentas para ajudar a atribuir
responsabilidades e medir o desempenho;
27
Modelos de Maturidade - Fornece perfis de processos de TI descrevendo
possveis estados atuais e futuros.
O processo de implementao do COBIT consiste em alguns passos, que comeam com a
introduo dos objetivos de negcios na tica do framework. Uma vez que as metas so conhecidas,
possvel determinar quais processos de TI e seus respectivos controles devem ser empregados para
suportar o negcio. importante ressaltar que, antes de iniciar o processo de implementao,
essencial o pleno conhecimento das estratgias do negcio onde o planejamento estratgico, ou
mesmo o plano de negcios so as principais fontes.
Os processos de TI e seus resultados devem ser avaliados utilizando as diretrizes de
auditoria correspondentes, de forma que seja possvel garantir que os resultados obtidos esto de
acordo com o que esperado. Atravs do monitoramento constante do desempenho e com o auxlio
das diretrizes de gesto dos processos de TI, ser possvel identificar e priorizar as atividades
crticas dentro da organizao, permitindo assim alcanar as metas de negcio.
No Anexo IV apresentado um Plano de Aes genrico que pode ser aplicado nas
organizaes para guiar a implementao da Governana de TI segundo a tica do COBIT, e sua
interligao com os frameworks ITIL e ISO/IEC 27002:2005 atravs do mapeamento de processos
destes disponvel em (ITGIa, 2007).
Apesar de possuir um um nvel adequado de detalhes, o ITIL no atende a todos os aspectos
da Governana e Gesto de Servios de TI como tratado no COBIT. Os processos do domnio
Entregar e Suportar do COBIT so cobertos de forma extensiva, enquanto os processos, atividades e
responsabilidades dos domnios Planejar e Organizar, Adquirir e Implementar, Monitorar e Avaliar
no so tratados adequadamente pelo ITIL. No mesmo aspecto, a ISO/IEC 27002:2005 prov
mtricas genricas para a gesto da segurana da informao e conformidade regulamentar e de
legislao. Com foco em problemas da segurana, no atende a todo o escopo da gesto de TI.
Enquanto o COBIT e a ISO/IEC 27002 definem o que deve ser feito, o ITIL define como
deve ser feito, criando assim uma sinergia entre as melhores prticas. As Tabelas 6 e 7 dos Anexos
V e VI apresentam as relaes entre os processos do COBIT/ITIL e ISO/IEC 27002/ITIL
respectivamente, e servem como uma viso geral da interao entre os frameworks.
28
Figura 7: COBIT e outros padres, do autor

A relevncia de padres e prticas depende da organizao e suas prioridades e expectativas.
Uma organizao pode decidir por adotar todos, um ou parte de um dos padres para melhorar o
desempenho de um processo de negcios ou permitir a transformao de negcios. A Figura 7
mostra o COBIT posicionado ao centro, ajudando a integrar as prticas tcnicas e especficas de TI
com as de negcios mais amplas. Ele est alinhado com outras melhores prticas e pode ser usado
como o integrador de diferentes guias, como por exemplo a ISO/IEC 27002 e o ITIL, e por isso,
cada vez mais reconhecido internacionalmente como o framework de facto para a governana de TI
(ITGIb, 2007, p.30).
Como o COBIT est alinhado a outros padres, sendo geralmente aceito como um
framework de controle e governana de TI, garantindo a conformidade com leis e regras
relacionadas, torna a governana um processo natural para a TI e uma prtica normal de negcios.
29
Concluso
As organizaes so desafiadas a adaptarem-se a demandas dinmicas do mundo dos
negcios, enquanto reduzem riscos e complexidades relacionadas a adoo de tecnologias, usadas
para suportar o negcio a alcanar seus objetivos estratgicos.
A TI por sua vez, enfrenta desafios dentre os quais destaco: manter a TI funcionando,
agregar valor ao negcio, reduzir custos e complexidades, alinhamento com as estratgias de
negcio, atender a requisitos regulamentares e manter a segurana das operaes.
Apesar da grande quantidade de benefcios trazidos pela implantao da governaa de TI,
no se deve esperar apenas benefcios em um processo dessa natureza, afinal em certos casos,
algumas das medidas adotadas com certeza iro divergir com processos que anteriormente eram
tidos como corretos pela empresa, usurios ou mesmo pelos profissionais envolvidos com as
rotinas dirias de TI.
Dentre os problemas que certamente so enfrentados em um projeto de implementao da
governana de TI em uma organizao, pode-se destacar a (1) falta de investimentos adequados, (2)
comprometimento e entendimento, (3) cultura da empresa, (4) excesso de expectativa, (5)
problemas na gesto do projeto, e (6) Controle fraco ou incompatvel com os objetivos do processo
e do projeto.
Desta forma, fica claro que um bom planejamento e o apoio do alto escalo da empresa so
fatores crticos de sucesso para um projeto desta natureza. Existem algumas precaues que so de
vital importncia para o sucesso da implementao:
i. O projeto deve ter o apoio da alta administrao da empresa, ou seja, a idia deve ser
apresentada e vendida para a alta administrao antes de se iniciar a implantao. Toda
mudana geralmente gera resistncia e o melhor apoio contra esta resistncia a mudana
ser uma deciso superior, ou seja, ter aprovao e apoio da alta gerncia;
ii. A cultura da empresa tambm um fator que dificulta o processo de implementao. Para
diminuir este impacto, alm do apoio da alta gerncia, importante tambm que seja
realizado um trabalho de divulgao e conscientizao dos envolvidos sobre os benefcios
que sero colhidos por todos a mdio e longo prazo;
iii. importante alinhar as expectativas de todos os envolvidos no processo de implantao,
usurios, profissionais de TI, alta gerncia, etc;
30
iv. Outro ponto chave para o sucesso de uma implantao da governana de TI em uma
organizao, a definio clara do escopo e dos processos que sero implementados,
buscando alinhar ao mximo os processos de TI com os objetivos do negcio, e evitando
mudanas que prejudiquem os processos que geram maior receita para a organizao.
No h um nico framework de governana de TI que atenda a todos os requisitos de uma
organizao, assim, os trs apresentados devem ser utilizados em conjunto, de forma complementar,
haja visto que COBIT forte em controle e mtricas, a ISO/IEC 27002 em segurana da
informao, enquanto o ITIL focado em processos, especialmente aqueles relacionados com
central de servios. Os trs frameworks seguem o modelo PDCA de processos.
Resistir ao tecnicismo para no comprometer a aproximao entre TI e os negcios e tornar
verdadeiramente transparente o desempenho de tecnologia, o desafio dos gestores. Para no deixar
escapar esta oportunidade mpar de se integrar no nvel estratgico de suas organizaes atravs de
uma comunicao clara e uma gesto transparente e assim influenciar o futuro da organizao.
Para trabalhos futuros, uma oportunidade estudar o nvel de penetrao das melhores
prticas abordadas nas organizaes, as dificuldades e desafios enfrentados, bem como nvel de
conformidade destas com as leis brasileiras.
31
Bibliografia
BECKER et al., Becker, Joo Luiz, Lunardi, Guilherme Lerch, Maada, Antonio Carlos Gastaud.
Relatro Executivo: Governana de TI e o Desempenho Organizacional. Universidade Federal
do Rio Grande do Sul, 2007
BELAPURKAR et al. Distributed Systems Security: Issues, Processes and Solutions. Abhijit
Belapurkar, Anirban Chakrabarti, Harigopal Ponnapalli, Niranjan Varadarajan, Srinivas
Padmanabhuni, Srikanth Sundarrajan. Wiley, 2009
BERNARDES, Mauro Cesar e MOREIRA, Edson dos Santos. Um Modelo para Incluso da
Governana da Segurana da Informao no Escopo da Governana Organizacional. So Paulo.
Universidade de So Paulo, 2007
FERNANDES, Aguinaldo Aragon. Implantado a governana de TI: da estratgia a gesto dos
processos e servios / Agnaldo Aragon Fernandes, Vladimir Ferraz de Abreu. 2. ed. Rio de
Janeiro: Brasport, 2008
FTC, Federal Trade Commission. Privacy Online: Fair Information Practices in the Electronic
Marketplace. Federal Trade Commission, 2000
ISACA, COBIT Handbook. Information Systems Audit and Control Association, 2007
ISO/IEC 20000-1:2005. Information Tecnology Service Management Part 1: Code of pratice,
2005. International Organization for Standardisation
ISO/IEC 27001:2005: Information tecnology Security techniques Information security
management systems Requeriments, first edition, 2005. International Organization for
Standardisation
ISO/IEC 27002:2005: Information tecnology Security techniques Code of practice for
information security management, 2005. International Organization for Standardisation
ITGIa, Information Tecnology Governance Institute. Alingning COBIT 4.1, ITIL v3 and ISO/IEC
27002 for Business Benefit, Information Technology Governance Institutre, Office for
Government Commerce, 2008
ITGIb, Information Tecnology Governance Institute. COBIT 4.1. Information Tecnology
Governance Institute, 2007
ITGIc, Information Tecnology Governance Institute. COBIT mapping: mapping of ITIL with
32
COBIT 4.1. Information Technology Governance Institutre, Rolling Meadows, 2008
ITSMF, United Kingdom IT Service Management Forum http://www.itsmf.com/bestprativce/
MANSUR, Ricardo. Governana de TI: metodologia, frameworks e melhores prticas. Rio de
Janeiro: Brasport, 2007
MODULO, Modulo Security. 10 Pesquisa Nacional de Segurana da Informao. Modulo
Security, 2006
NIST, National Institute of Standards and Technology: Information Security Handbook A Guide
for Managers. National Institute of Standards and Technology, 2006
OGCa, Office for Government Commerce: ITIL - Service Strategy. The Stationary Office, 2007
OGCb, Office for Government Commerce: ITIL - Service Design. The Stationary Office, 2007
OGCc, Office for Government Commerce: ITIL - Service Transition. The Stationary Office, 2007
OGCd, Office for Government Commerce: ITIL - Service Operation. The Stationary Office, 2007
OGCe, Office for Government Commerce: ITIL - Continual Service Improvement. The Stationary
Office, 2007
OGCf, Office for Government Commerce: ITIL - The Official Introduction to the ITIL Service
Lifecycle. The Stationary Office, 2007
OGCg, Office for Government Commerce: ITIL - ITIL Official Website http://www.itil.co.uk
OGCh, Office for Government Commerce: OGC Official Website http://www.ogc.gov.uk
PARTHA et al.. Intrusion Tolerant Systems. Partha P. Pal, Franklin Webber, Richard E. Schantz and
Joseph P. Loyall. Cambridge, 2000
PTACEK, Thomas H., NEWSHAM, Timothy N. Insertion, Evasion, and Denial of Service: Eluding
Network Intrusion Detection. Secure Networks Inc, 1998
RFC2196, Internet Engineering Task Force. Site Security Handbook. Internet Engineering Task
Force, 1997
WEILL, Peter e ROSS, Jeanne W. Governana de TI, Tecnologia da Informao. Traduo de
Tereza Cristina M. B. Carvalho. So Paulo: M. Books, 2006
33
Perspectiva
do Cliente
Perspectiva
Interna
Perspectiva de
Aprendizado
e Crescimento
2. Gerenciar os riscos de TI relacionados aos negcios
14 17 18 19 20 21 22
3. Melhorar a governana corporativa e a transparncia
18
4. Melhorar a orientao ao cliente e servios
23
5. Oferecer produtos e servios competitivos
24
6. Garantir a disponibilidade de servio
10 16 22 23
7. Criar agilidade quando responder as mudanas de requisitos
25
8. Garantir a otimizao do custo da entrega de servio
10 24
9. Obter informaes confiveis e teis para a tomada de deciso
12 20 26
10. Melhorar e manter as funcionalidades dos processos de negcios
11
11. Diminuir os custos de processos
13 15 24
12. Garantir a conformidade com leis, contratos e regras externas
19 20 21 22 26 27
13. Garantir a conformidade com as polticas internas
13
14. Garantir mudanas de negcios
15. Melhorar e manter a produtividade operacional e da equipe
11 13
16. Gerenciar inovaes de produtos/negcios
25 28
17. Adquirir e manter pessoal capacitado e motivado
Confiabilidade
Conformidade
Disponibilidade
24
Integridade
1. Prover um bom retorno de investimento nos negcios capacitados por TI
Confidencialidade
Perspectiva
Financeira
Metas de TI
Eficincia
Metas de Negcios
Eficcia
ANEXO I - Mapeamento de Metas de Negcios em Metas de TI
X
X
X
X
X
X
X
X
X
11 28
Tabela 4: Mapeamento de metas de negcios em metas de TI, adaptado de ITGIb, 2007
X
X
34
ANEXO II - Mapeamento de Metas de TI em Processos de TI
Metas de TI
Processos de TI
1. Responder aos requisitos de negcios em alinhamento com a estratgia de

negcios
PO1
PO2
2. Responder aos requisitos de governana alinhado com a direo do

conselho
PO1
PO4 PO10 ME1 ME3
3. Garantir a satisfao de usurios finais com ofertas de servio e nveis de

servio
PO8
AI4
4. Otimizar o uso da informao
PO2 DS11
5. Criar agilidade de TI
PO2
6. Definir como os requisitos de negcios, funcionalidades e controles sero

traduzidos para solues automatizadas eficazes e eficientes
PO4 PO10 AI1
DS7
AI6
AI7
DS1
DS2
PO4
PO7
AI3
AI1
AI2
AI6
7. Adquirir e manter sistemas de aplicaes integrados e padronizados
PO3
AI2
AI5
8. Adquirir e manter uma infraestrutura de TI integrada e padrinizada
AI3
AI5
9. Adquirir e manter as habilidades de TI que respondem a estratgia de TI
PO7
AI5
10. Garantir a satisfao mtua de relacionamentos de terceiros
DS2
11. Integrar perfeitamente as aplicaes e solues de tecnologia para

processos de negcios
PO2
AI4
AI7
12. Garantir transparncia e entendimento do custo de TI, benefcios,

estratgia, polticas e nveis de servio
PO5
PO6
DS1
DS2
DS6 ME1 ME4
13. Garantir o uso apropriado e performance de aplicaes e solues de

tecnologia
PO6
AI4
AI7
DS7
DS8
14. Explicar e proteger todos os ativos de TI
PO9
DS5
DS9 DS12 ME2
DS1
DS8 DS10 DS13
Tabela 5: Mapeamento de metas de TI em processos de TI, adaptado de ITGIb, 2007
DS3 ME1
35
ANEXO II - Mapeamento de Metas de TI em Processos de TI

Metas de TI
Processos de TI
15. Otimizar a infraestrutura de TI, recursos e capacidades
PO3
AI3
DS3
DS7
DS9
16. Reduzir defeitos e re-trabalho de soluo e entrega de servio
PO8
AI4
AI6
AI7
DS10
17. Proteger o alcance dos objetivos de TI
PO9
DS10 ME2
18. Estabelecer transparncia do impacto de negcios de riscos para os objetivos e

recursos de TI
PO9
19. Garantir que informaes crticas e confidenciais sejam retidas daqueles que no PO6
deveriam ter acesso a isso
DS5
DS11 DS12
20. Garantir que transaes automatizadas de negcios e trocas de informaes

possam ser confiveis
PO6
AI7
DS5
21. Garantir que os servios de TI e infraestrutura possam resistir e se recuperar

apropriadamente de falhas devido a erros, ataques deliberados ou desastres
PO6
AI7
DS3
DS5
22. Garantir o mnimo impacto de negcios no evento de uma perturbao ou

mudana
PO6
AI6
DS3
DS12
23. Garantir que os servios de TI estejam disponveis conforme necessrio
DS3
DS4
DS8
DS13
24. Melhorar o custo-benefcio da TI e a sua contribuio para os lucros dos

negcios
PO5
AI5
DS6
25. Entregar projetos em tempo e dentro do oramento enquanto alcana padres de PO8
qualidade
PO10
26. Manter a integridade da informao e infraestrutura de processamento
AI6
DS5
27. Garantir a conformidade de TI com leis e regras
DS11 ME2
ME3
ME4
28. Garantir que a TI demonstre qualidade de servio, custo-benefcio, melhoria

contnua e prontido para futuras mudanas
PO5
ME1
ME3
DS6
DS12 DS13 ME2
Tabela 5: Mapeamento de metas de TI em processos de TI, adaptado de ITGIb, 2007
36
ANEXO III Descries dos Processos do COBIT 4.1

PO4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
" #

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
31

PO2
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
" #

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s

"#$
35

PO3
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
" #

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s

"#$
36

PO
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
" #

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s

"#$
43

PO5
DESCRIO DO PROCESSO
!
" #

46

PO
DESCRIO DO PROCESSO
!
" #

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s

"#$
53

PO7
DESCRIO DO PROCESSO
!
" #

57

PO8
DESCRIO DO PROCESSO
!
" #

91

PO9
DESCRIO DO PROCESSO
!
" #

95

PO47
DESCRIO DO PROCESSO
!
" #

96

AI4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
A necessidade de uma nova aplicao ou funo requer uma anlise prvia aquisio ou ao desenvolvimento para assegurar que
necessidades, considera fontes alternativas, a reviso de viabilidade econmica e tecnolgica, a execuo das anlises de risco e de

devido a premissas incorretas de viabilidade
de processos de negcios

"
#

!
"

Ap
lic
Inf a
or es
Inf ma
ra
es o
t
Pe rutu
ss ra
oa
s

!

" "

" !

$
75

AI2
DESCRIO DE PROCESSO

perceptveis de indisponibilidade
76

AI3
DESCRIO DE PROCESSO
gicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnolgico contnuo s

Adquirir e manter infraestrutura tecnolgica

de infraestrutura tecnolgica
Implementao de controles internos, medidas de segurana e de auditoria

83

AI
DESCRIO DE PROCESSO

Habilitar operao e uso

fornecer manuais de usurio, manuais operacionais e materiais de treinamento
sistema.

Comunicao e treinamento de usurios, gestores de negcio, equipes de
suporte e equipes de operao

completamente integrados aos processos de negcio
de suporte operacional e de usurio
87

AI5
DESCRIO DO PROCESSO
procedimentos de aquisio, a seleo de fornecedores, o estabelecimento de arranjos contratuais e a aquisio propriamente dita.

Adquirir recursos de TI


AI
DESCRIO DO PROCESSO
seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigao de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produo.

Gerenciar Mudanas

mudana inadequadas
5

AI7
DESCRIO DO PROCESSO
nejamento de liberao e mudanas no ambiente de produo e uma reviso ps-implementao. Isso assegura que os sistemas

sistemas novos ou alterados funcionem sem maiores problemas aps a instalao

e esto livres de erros e planejar a implementao e a migrao para produo

Avaliao e aprovao dos resultados de testes pelos responsveis pelo gerenciamento de negcio

a testes inadequados
planejados originalmente

DS4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e

!

Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s

"
#
103

DS2
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e

107

DS3
DESCRIO DE PROCESSO

111

DS
DESCRIO DE PROCESSO
(backup) (offsite)

(offsite)

115

DS5
DESCRIO DO PROCESSO


116

DS
DESCRIO DO PROCESSO

123

DS7
DESCRIO DO PROCESSO

127

DS8
DESCRIO DO PROCESSO
(service desk) e


131

DS9
DESCRIO DO PROCESSO
hardware e software

135

DS45
DESCRIO DO PROCESSO

139

DS44
DESCRIO DO PROCESSO
(backup)

Gerenciar os dados

(backup) dos dados e testes de restaurao

onsite e offsite

143

DS45
DESCRIO DO PROCESSO


147

DS45
DESCRIO DO PROCESSO
de hardwarehardware

151

ME4
DESCRIO DE PROCESSO
ME1 Monitorar e Avaliar o Desempenho de TI

de gesto

155

ME2
DESCRIO DE PROCESSO
ME2 Monitorar e Avaliar os Controles Internos

159

ME3
DESCRIO DE PROCESSO
ME3 Assegurar a Conformidade com Requisitos Externos

1
3

ME
DESCRIO DE PROCESSO
ME4 Prover Governana de TI

1 7
71
ANEXO IV Plano de Aes para Implementao da

Governana de TI
Objetivo
Obter aceitao e integrao dos conceitos do COBIT na organizao, incluindo a Auditoria,
Operaes, Tecnologia e servios terceirizados.
Objetivos especficos
1. Continuar a prestar servios essenciais de auditoria e controle, ampliando e adaptando para
garantir a cobertura dos processos do COBIT relevantes ao negcio e setor.
2. Assegurar que as necessidades de informao da empresa sero atendidas pelo departamento
de tecnologia em conformidade com os critrios de informao definidos no COBIT.
3. Assegurar que atividades de planejamento e organizao significastes identificadas no
COBIT sejam adotadas pelo departamento de tecnologia da organizao.
4. Assegurar que aquisies e implementaes significativas identificadas pelo COBIT sero
empregados nos servios prestados pelo departamento de tecnologia e incorporadas no
gerenciamento de projetos utilizado pela organizao.
5. Assegurar que atividades de entrega e suporte significativas identificadas pelo COBIT sero
providas para clientes internos pelo departamento de tecnologia e provedores de servios
terceirizados.
6. Assegurar que os processos de monitoramento significativos identificados pelo COBIT
sero empregados pelos departamentos de tecnologia e auditoria.
Abordagem
Familiarizao
Educao
Compromisso
Adaptao
Implementao
Sequncia
Departamento de Auditoria
Departamento de Tecnologia
Prestadores de servios terceirizados
Alta Gerncia
Comits de Auditoria
72
Processos
1. Distribuir cpias do Sumrio Executivo do COBIT e levantamento preliminar com os
gerentes principais, provocando anlise e reflexes sobre a situao atual da organizao.
2. Compilar os resultados da pesquisa e desenvolver uma apresentao de resultados relativos
aos conceitos do COBIT.
3. Apresentar aos gerentes das equipes de Operaes e Tecnologia.
4. Apresentar aos profissionais das equipes de Operaes e Tecnologia.
5. Apresentar aos gerentes de servios terceirizados e profissionais principais.
6. Auxiliar os principais gerentes no desenvolvimento de planos de aes para a integrao de
conceitos nos processos de negcios.
7. Apresentar conceitos do COBIT e relatrios de progresso das atividades para a gerncia
snior mantendo-os informados e obter apoio.
8. Reestruturar o inventrio de auditoria para refletir a orientao a processos do COBIT.
9. Desenvolver ou atualizar os processos de auditoria em consistncia com o guia de auditoria
do COBIT.
10. Desenvolver oportunidades de aprendizagem do COBIT de acordo com as necessidades
organizacionais.
11. Oferecer formao em COBIT quando necessrio.
12. Monitorar o progresso dos planos de aes da Tecnologia.
13. Apresentar conceitos do COBIT, progresso e resultados ao Comit de Auditoria.
Marcos
Ms 1 - completar pesquisas e planos de aes

Ms 2 - apresentar o COBIT para gerentes snior
Ms 3 - apresentar o COBIT para o comit de auditoria
73
ANEXO V Relao entre processos dos frameworks COBIT e ITIL

COBIT
Planejar &
Organizar
ITIL
1. Definir um Plano Estratgico de Tecnologia da Informao
Planejar e controlar servios de TI
2. Definir a Arquitetura da Informao
Gesto de Segurana
3. Determinar Direo Tecnolgica
Determinar Direo Tecnolgica
4. Definir a Organizao da TI e Relacionamentos
Organizao de Servios de TI
5. Gesto do Investimento em Tecnologia da Informao
Gesto Financeira
6. Comunicar Objetivos de Gesto e Direcionamentos

7. Gesto de Recursos Humanos
8. Garantir Conformidade com requisitos externos
9. Identificar Riscos
10. Gesto de Projetos
Adquirir &
Implementar
11. Gesto da Qualidade
Gesto da Qualidade para Servios de TI
1. Identificar Solues
Gesto de Nveis de Servios; Gesto de Mudanas;

Gesto da Segurana; Gesto de Release
2. Adquirir e Manter Software Aplicativo
Gesto de Mudanas; Gesto de Disponibilidade
3. Adquirir e Manter Arquitetura Tecnolgica
Gesto de Problemas; Gesto da Segurana; Gesto de

Mudanas
4. Desenvolver e Manter Procedimentos de Tecnologia da

Informao
5. Instalar e Certificar Sistemas
Gesto da Capacidade; Gesto de Mudanas; Gesto da

Segurana
Tabela 6: Relao entre processos dos frameworks COBIT e ITIL, do autor
74
ANEXO V Relao entre processos dos frameworks COBIT e ITIL

COBIT
Entregar &
Suportar
ITIL
1. Definir Nveis de Servios
Gesto de Nveis de Servios
2. Gesto de Servios Terceirizados
Gesto de Nveis de Servios
3. Gesto de Desempenho e Capacidade
Gesto da Capacidade
4. Garantir Continuidade dos Servios
Gesto da Disponibilidade; Planejamento de Contingncia
5. Garantir a Segurana de Sistemas
Gesto da Segurana
6. Identificar e Alocar Custos
Gesto Financeira
7. Educar e Treinar Usurios
Relacionamento com o Cliente
8. Assessorar e Aconselhar Clientes de Tecnologia da

Informao
Gesto de Incidentes (Service Desk)
9. Gesto da Configurao
Gesto da Configurao
10. Gesto de Problemas e Incidentes
Gesto de Problemas
11. Gesto de Dados
Gesto da Capacidade; Gesto de Release; Gesto da

Disponibilidade; Planejamento de Contingncia
12. Gesto de Instalaes

13. Gesto de Operaes
1. Monitoramento de Processos
Monitorar &
Avaliar
2. Obter Garantias Independentes

3. Prover Garantias Independente
4. Prover Auditoria Independente
Tabela 6: Relao entre processos do COBIT e ITIL, do autor
75
ANEXO VI Relao entre processos dos frameworks ISO/IEC 27002 e ITIL

ISO/IEC 27002:2005
ITIL
Controle de Acesso a Sistemas
Gesto da Segurana
Gesto de Computadores e Operaes
Gesto da Infra-estrutura de Tecnologia da Informao
Desenvolvimento e Manuteno de Sistemas Gesto de Aplicativos

Segurana Fsica e de Ambiente
Gesto da Segurana
Conformidade
Gesto da Segurana
Equipe de Segurana
Gesto da Segurana
Organizao da Segurana
Gesto da Segurana
Classificao e Controle de Ativos
Gesto da Configurao
Gesto da Continuidade de Negcios
Gesto da Continuidade de Servios de Tecnologia da Informao
Tabela 7: Relao entre processos dos frameworks ISO/IEC 27002 e ITIL, do autor

COBIT, ITIL e ISO - IEC 27002 Melhores Práticas para Governança de Tecnologia Da Informação

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

COBIT, ITIL e ISO - IEC 27002 Melhores Práticas para Governança de Tecnologia Da Informação

Uploaded by

Copyright:

Available Formats

i

Faculdade Loureno Filho

COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para

COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para

Alexandre Cavalcante Alencar

Monografia apresentada ao curso de

COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para

Alexandre Cavalcante Alencar

Monografia Apresentada ao curso de Bacharel em Cincias da Computao da

Composio da Banca Examinadora:

Aprovada em 04 de Maro de 2010

A Ldia Cavalcante Alencar

A luta contra o erro tipogrfico tem algo de

invisveis. Mas assim que o livro sai,

Governana, Tecnologia da Informao, Segurana da Informao, Gerenciamento de

Captulo 1 - O Gerenciamento de Servios, a Segurana da

1.2. A Segurana da Informao

1.2.1. Engenharia da Segurana

direo, mas no obstante, a Engenharia da Segurana est mais perto do

1.2.2. Proteo da privacidade

1.2.3. Tolerncia a Invases

1.2.4. Deteco de Intruses

Concentra-se em assegurar a articulao de negcios e planos de TI,

Concentra-se em como executar a proposio de valor ao longo do

Concentra-se na otimizao do investimento e a gesto adequada dos

Requer a conscincia de risco por altos funcionrios das empresas,

Acompanha e monitora a implementao da estratgia, a concluso

Tabela 1: reas de Foco da Governana de TI, adaptado de ITGIb, 2007, p.06

Confiana da Administrao Superior: Uma abordagem de governana de TI eficaz pode

Capacidade de Resposta da TI para o Negcio: TI mais sensvel s necessidades do negcio.

Servios mais Confiveis: A governana de TI garante que os processos e servios crticos

Mais Transparncia: A boa governana ajuda fornecer a gerncia informaes claras,

Captulo 2 - A metodologia ITIL

Figura 1: O ciclo de melhoria continuada do ITIL, adaptado de OGCe, 2007, p.33

- Gerenciamento Financeiro de TI;

Desenho de Servio - Gerenciamento do Catlogo de Servios;

Tabela 2: Processos e Funes do ITIL v3, adaptado de OGCf, 2007

2.1. Estratgia de Servios

Figura 2: Ciclo de Vida do ITIL v3, Fonte OGCf, 2007

2.2. Desenho de Servios

2.3. Transio de Servios

2.4. Operao de Servios

2.5. Melhoria Continuada de Servios

Figura 3: O processo de melhoria em 7 passos, adaptado de OGCe, 2007

3. Coleta de dados Para responder a pergunta 'atingimos o objetivo?', os dados devem

Captulo 3 A Metodologia ISO/IEC 27002

Figura 4: Modelo PCDA como usado em SGSI, Fonte ISO/IEC 27002

Confidencialidade A informao s dever estar disponvel para quem est autorizado;

Disponibilidade A informao dever estar disponvel quando for necessria;

No repdio O uso ou modificao da informao por parte de uma pessoa autorizada

Captulo 4 A Metodologia COBIT

Prover um bom retorno de investimento nos negcios

Garantir a disponibilidade e a continuidade dos servios

Demonstrar agilidade quando responder a mudanas de

Garantir a conformidade com leis, contratos e regras externas

de Demonstrar a inovao de produtos/negcios

Tabela 3: Como a governana e os negcios dirigem a TI, adaptado de ITGIb, 2007

Figura 5: Os domnios do COBIT, adaptado de ITGIb, 2007, p.27

Figura 6: O modelo de governana COBIT, adaptado de ITGIb,

Figura 7: COBIT e outros padres, do autor

2. Gerenciar os riscos de TI relacionados aos negcios

3. Melhorar a governana corporativa e a transparncia

4. Melhorar a orientao ao cliente e servios