Professional Documents
Culture Documents
____________________
Orientador:
Jos Alzir Bruno Falco
Fortaleza, 2010
ii
Orientador:
Jos Alzir Bruno Falco
Maro, 2010
iii
_______________________________________
Prof. MSc. Jos Alzir Bruno Falco (Orientador)
_______________________________________
Prof. Msc. Carlos Alberto Manso
_______________________________________
Prof. MSc. William de Araujo Sales
iv
Agradecimentos
A Tatiane Ramos, minha companheira durante esta longa jornada, que dedicou seu
apoio incondicional, mesmo com todos os sacrifcios que se fizeram necessrios ao
longo dos ltimos anos.
Aos amigos(as), professor(as), funcionrios(as) que fizeram parte deste captulo que
compe a histria da minha vida.
vi
fazem-se
positivamente
vii
Resumo
Hoje, os departamentos de TI das organizaes tm a necessidade de uma
abordagem de melhores prticas, que so muito parecidas e oferecem solues
semelhantes para os vrios problemas de uma organizao, mas em muitos casos, no
est claro como seguir ou aplicar cada uma delas em conjunto com outras ferramentas,
tornando a utilizao destas melhores prticas complexa.
A inteno com este trabalho fornecer uma viso geral das melhor prticas
existentes, embora reconhea que algumas das melhores prticas so adequadas para
uma organizao, ao mesmo tempo que para outras podem no ser apropriadas. Em
concluso, quanto mais conhecemos sobre as melhores prticas, ignoramos o potencial
da utilizao e aplicao destas nas organizaes em prejuzo para o negcio.
Um aspecto importante a considerar, antes de partir para a explicao das
melhores prticas, ter conhecimento sobre o funcionamento da empresa onde se
pretende utiliz-las, de forma que se possa gerar oportunidades de melhoria, resultando
em ganhos reais para o negcio.
Palavras-chave:
ITIL,
COBIT,
ISO/IEC
27001:2005,
ISO/IEC
27002:2005,
viii
Abstract
Today, organizations IT departments have a need for a best practice approach,
which are very similar and offer similar solutions to the various problems of an
organization, but in many cases, it is unclear how to follow or apply each one with other
tools, making use of best practice complex.
The goal of this work is to provide an overview of best practices, while
recognizing that some of them are appropriate for an organization, while for others may
not be. In conclusion, more we know about best practices, more we ignore the potential
use and application of these to organizations, resulting in damage to the business.
An important aspect to consider before leaving for the explanation of best
practice, it is essential to have excellent knowledge of the business of the company
where you want to use them, so that it can generate opportunities for improvement,
resulting in real gains for the business.
Keywords: ITIL, COBIT, ISO/IEC 27001:2005, ISO/IEC 27002:2005, Governance
Information Tecnology, Information Security, Service Management
ix
Sumrio
Introduo.......................................................................................................................... 1
Captulo 1 - O Gerenciamento de Servios, a Segurana da Informao e a Governana
de TI...................................................................................................................................3
1.1. Gerenciamento de Servios de TI.......................................................................... 3
1.2. A Segurana da Informao................................................................................... 3
1.2.1. Engenharia da Segurana .............................................................................. 4
1.2.2. Proteo da privacidade................................................................................. 5
1.2.3. Tolerncia a Invases..................................................................................... 5
1.2.4. Deteco de Intruses.................................................................................... 6
1.3. A Governana de TI............................................................................................... 6
1.4. Metodologias..........................................................................................................9
Captulo 2 - A metodologia ITIL..................................................................................... 10
2.1. Estratgia de Servios.......................................................................................... 12
2.2. Desenho de Servios............................................................................................ 13
2.3. Transio de Servios.......................................................................................... 13
2.4. Operao de Servios...........................................................................................14
2.5. Melhoria Continuada de Servios........................................................................14
Captulo 3 A Metodologia ISO/IEC 27002...................................................................17
Captulo 4 A Metodologia COBIT................................................................................22
Concluso........................................................................................................................ 29
Bibliografia...................................................................................................................... 31
ANEXO I - Mapeamento de Metas de Negcios em Metas de TI..................................33
ANEXO II - Mapeamento de Metas de TI em Processos de TI......................................34
ANEXO II - Mapeamento de Metas de TI em Processos de TI......................................35
ANEXO III Descries dos Processos do COBIT 4.1.................................................36
ANEXO IV Plano de Aes para Implementao da Governana de TI.....................71
ANEXO V Relao entre processos dos frameworks COBIT e ITIL..........................73
ANEXO VI Relao entre processos dos frameworks ISO/IEC 27002 e ITIL............75
Lista de Figuras
Figura 1: O ciclo de melhoria continuada do ITIL, adaptado de OGCe, 2007, p.33......10
Figura 2: Ciclo de Vida do ITIL v3, Fonte OGCf, 2007.................................................12
Figura 3: O processo de melhoria em 7 passos, adaptado de OGCe, 2007.....................15
Figura 4: Modelo PCDA como usado em SGSI, Fonte ISO/IEC 27002.........................18
Figura 5: Os domnios do COBIT, adaptado de ITGIb, 2007, p.27................................24
Figura 6: O modelo de governana COBIT, adaptado de ITGIb, 2007, p.28..................25
Figura 7: COBIT e outros padres, do autor................................................................... 28
xi
LIsta de Tabelas
Tabela 1: reas de Foco da Governana de TI, adaptado de ITGIb, 2007, p.06...............7
Tabela 2: Processos e Funes do ITIL v3, adaptado de OGCf, 2007............................11
Tabela 3: Como a governana e os negcios dirigem a TI, adaptado de ITGIb, 2007....22
Tabela 4: Mapeamento de metas de negcios em metas de TI, adaptado de ITGIb, 2007
......................................................................................................................................... 33
Tabela 5: Mapeamento de metas de TI em processos de TI, adaptado de ITGIb, 2007. .34
Tabela 6: Relao entre processos dos frameworks COBIT e ITIL, do autor.................73
Tabela 7: Relao entre processos dos frameworks ISO/IEC 27002 e ITIL, do autor....75
Introduo
possvel afirmar que os servios prestados pela rea de TI (Tecnologia da Informao) das
organizaes cada vez mais importante para a execuo das atividades dirias de negcio,
garantindo assim maior competitividade no mercado, atravs do ganho de produtividade gerado
pelas ferramentas tecnolgicas a disposio da organizao.
Atualmente, os sistemas e os servios de TI desempenham um papel vital na coleta, anlise,
produo e distribuio da informao indispensvel execuo do negcio das organizaes.
Dessa forma, tornou-se essencial o reconhecimento de que a TI estratgica e um importante
recurso que precisa de gesto e investimentos apropriados. Esse cenrio motivou o surgimento do
conceito de Governana de TI, do termo em ingls IT Governance, atravs da qual se procura o
alinhamento da TI com os objetivos da organizao. A Governana de TI define a TI como um fator
essencial para a gesto financeira e estratgica de uma organizao e no apenas um suporte s
mesmas (BERNARDES e MOREIRA, 2007, p. 01).
Com a dependncia da rea de negcio das empresas nos servios oferecidos pela TI, de
extrema importncia que seja possvel gerenci-los de forma a permitir que as pessoas de negcio
se concentrem em suas atividades e que marcos regulatrios possam ser atendidos pela organizao.
Desta forma, as melhores prticas de gesto de servios, segurana, projetos, riscos e governana
desempenham papel fundamental no alinhamento das estratgias de negcio da organizao com o
funcionamento da TI, proporcionando assim o uso eficiente e eficaz dos recursos de TI da
organizao.
Segundo (WEILL e ROSS, 2006, p. 02), extrair maior valor da TI para a organizao no
uma questo de se trabalhar com mais afinco ou por mais tempo. Na verdade, uma questo de se
requerer um envolvimento de pessoas de diferentes reas nas decises de TI, bem como, de uma
concepo de novas maneiras de se tomar decises ou de desenvolvimento de novas tcnicas para
implementar tais decises.
A utilizao de boas prticas para Gesto de Servios e Governana de TI nas pequenas e
mdias empresas cearenses precria por falta de capacitao dos gestores e funcionrios, da
ausncia de investimentos e do desconhecimento da importncia e dos riscos inerentes a uma gesto
incorreta dos recursos de TI de uma organizao.
Com a crescente demanda por servios de TI nas reas de negcios das organizaes, se faz
necessrio uma gesto transparente e que agregue valor atravs da entrega de servios com
qualidade e garantia.
2
Segundo (Becker et al., 2007), poucas so as empresas que se adequam plenamente aos
princpios de governana de TI. Em pesquisa realizada pela Modulo Security com as empresas que
possuem aes na Bolsa de Valores de So Paulo, apenas 25% destas possuem projetos formais de
governana de TI (MODULO, 2006). Para as que buscam adequar-se, em detrimento das
resistncias internas, comuns em qualquer processo que envolve transparncia, por insegurana ou
at mesmo por completo desconhecimento do assunto, falta o entendimento dos benefcios que a
governana de TI pode prover, bem como por onde comear.
Por ser um tema recente, e com a quantidade limitada de pesquisas e publicaes
acadmicas que possam servir de referncia para administradores interessados no assunto, o
desenvolvimento deste trabalho, com uma sntese das principais referncias tcnicas e com uma
viso geral dos frameworks de governana de TI, tem o seu valor para a comunidade acadmica e
profissionais da rea.
O objetivo deste trabalho apresentar os principais frameworks para Gesto de Servios,
com o ITIL (Information Tecnology Infrastructure Library), Gesto de Segurana da Informao,
com a ISO/IEC 27002 e Governana de TI com o COBIT (Control Objectives for Information and
Related Tecnology), suas prticas e processos para a gesto, auditoria e controle do ciclo de vida dos
Servios de TI.
Este trabalho est organizado em quatro captulos. No primeiro captulo apresentada uma
introduo ao gerenciamento de servios de TI, segurana da informao e governana de TI. No
segundo, terceiro e quarto captulos so apresentados os frameworks de melhores prticas ITIL,
ISO/IEC 27002 e COBIT respectivamente, seus princpios e prticas. Encerramos com as
concluses que incluem nossas consideraes sobre a pesquisa realizada, o trabalho desenvolvido e
os futuros trabalhos a serem realizados.
4
Segundo (NIST, 2006, p. 02), a governana da segurana da informao pode ser definida
como o processo de estabelecer e manter um framework de apoio e estrutura de gesto e processos
para garantir que as estratgias de segurana da informao esto alinhados com objetivos de
negcio e de apoio, so consistentes com as leis e regulamentos aplicveis mediante a adeso s
polticas e controles internos e fornecer a atribuio de responsabilidade, tudo em um esforo de
gesto de risco.
As empresas dependem fortemente de tecnologia da informao para executar suas
operaes dirias e oferecer produtos e servios. Com uma dependncia e complexidade crescente
em TI e sua infra-estrutura, a segurana da informao tornou-se uma funo essencial por conta
das ameaas em constante mutao. Esta funo deve ser gerida e regulada para reduzir os riscos de
operaes das empresas e garantir a capacidade destas realizarem seus negcios e servir aos seus
clientes.
O objetivo da governana da segurana da informao assegurar que as empresas esto
ativamente implementando controles adequados para suportar seus negcios em uma relao custoeficcia, enquanto gerenciam a evoluo de riscos. Como tal, a governana da segurana da
informao tem seu prprio conjunto de necessidades, desafios, atividades e tipos de estruturas
possveis, alm de uma funo decisiva na identificao dos principais papis e responsabilidades,
que influencia no desenvolvimento de polticas, superviso e acompanhamento de atividades em
curso.
empirismo do que para a cincia: o nmero de novas vulnerabilidades ainda cresce a uma taxa
assustadora (ISO/IEC 27002, 2005, p.5).
1.3. A Governana de TI
As necessidades de governana de TI originaram-se das demandas de controle, transparncia
e previsibilidade das organizaes. As origens destas demandas datam do comeo dos anos 90,
quando as questes relativas qualidade ganharam uma enorme importncia no cenrio mundial. O
crescimento exuberante da economia mundial prevaleceu apesar da forte demanda por melhores
mecanismos de controle e acompanhamento de resultados, por consequncia, o processo de
maturidade da governana nas empresas acabou sendo adiado por alguns anos. (MANSUR, 2007, p.
5).
Para que se possa atingir o mnimo de Governana, cinco reas inter-relacionadas da TI
precisam de ateno, para que a organizao obtenha xito nos seus processos e otimizao nos seus
investimentos em TI: (1) os processos de TI; (2) a arquitetura de TI; (3) a infra-estrutura de TI; (4)
as necessidades de aplicaes do negcio e (5) os investimentos e a priorizao de TI. (WEILL e
ROSS, 2006, p. 27-28).
Segundo (ISACA, 2007, p.14), a governana de TI definida como uma estrutura de
relacionamentos e processos para direcionar e controlar o processo de alcanar os objetivos de
negcio, adicionando valor e balanceando riscos sobre os investimentos em TI e seus processos.
A governana de TI de responsabilidade dos executivos e conselho diretor, e consiste da
liderana, estruturas organizacionais e processos para garantir que as iniciativas de TI da
organizao sustentam e estendem as estratgias e objetivos de negcio, atravs do balanceamento
entre os objetivos de conformidade e desempenho, conduzido pelos executivos.
Segundo (ITGIb, 2007. p.06), a governana de TI tem como foco o alinhamento estratgico,
entrega de valor, gerenciamento de recursos, gerenciamento de riscos e medio do desempenho.
Buscando com isso a conexo entre os planos da TI e do negcio, suportando a proposio de valor
e o alinhamento com as estratgias do negcio e as operaes de TI. Assim, a governana de TI
garante que h objetivos acordados para a TI, gerenciamento e controle em atuao, bem como a
medio de desempenho de forma a evitar retornos inesperados. Na Tabela 1 so apresentadas as
reas de foco da Governana de TI segundo (ITGIb, 2007, p.06).
rea de Foco
Descrio
Alinhamento estratgico
Entrega de valor
Gerenciamento de
recursos
Gerenciamento de
risco
Medio de
desempenho
8
nas decises de investimentos aumenta.
Maior Retorno sobre Investimentos (ROI): Em mdia, uma alta proporo de gastos TI
perdido por meio de falhas de projeto, Infra-estrutura ineficaz e ineficiente, e processos fora
do padro e mal geridos. A governana de TI eficaz ajuda a reduzir as falhas de projeto,
otimizar a infraestrutura de TI e aumentar a eficincia dos processos de TI. O maior ROI
implica em maior valor ao negcio e melhor qualidade dos servios, permitindo alcanar os
objetivos de negcio.
1.4. Metodologias
Existem diversos frameworks que visam auxiliar na Gesto de Servios e Governana de TI,
dentre os quais destaco o ITIL para Gesto de Servios, COBIT para Auditoria e Controle e ISO
27002 para Gesto de Segurana da Informao.
A utilizao destes frameworks em conjunto norteiam os responsveis pelo processo de
governana na implementao das melhores prticas difundidas internacionalmente, de forma que
os objetivos organizacionais possam ser atendidos.
10
11
2. Avaliar a situao atual para obter uma viso exata e imparcial de onde a
organizao est agora. Esta avaliao inicial uma anlise da situao atual em
termos de negcio, organizao, pessoas, processos e tecnologia.
3. Compreender e acordar as prioridades para melhoria baseada em um profundo
desenvolvimento dos princpios definidos na viso. A viso pode estar distante, mas
esta etapa prev metas especficas e uma agenda gerencivel.
4. Detalhar o plano de melhoria continuada para conseguir maior qualidade de servios
providos atravs da implementao de processos de GSTI.
5. Verificar se as medies e mtricas esto em funcionamento para assegurar que as
metas foram alcanadas, a conformidade dos processos de cumprida, e os objetivos e
as prioridades de negcios foram atendidas pelo nvel de servio.
6. Finalmente, o processo deve assegurar que o ritmo de melhoria da qualidade
mantida, assegurando que as mudanas sejam incorporadas na organizao.
O framework ITIL v3 composto por cinco estgios, que por sua vez possuem processos
conforme ilustrado na Tabela 2. Um sumrio dos estgios apresentado no texto que se segue.
Publicaes
Estratgia de
Servio
Processos
Funes
- Gerenciamento de Mudana;
- Gerenciamento da Configurao e de Ativo de Servio;
- Gerenciamento da Liberao e Implantao;
- Validao e Teste de Servio;
- Avaliao;
- Gerenciamento do Conhecimento.
Operao de
Servio
- Gerenciamento de Evento;
- Gerenciamento de Incidente;
- Cumprimento de Requisio;
- Gerenciamento de Problema;
- Gerenciamento de Acesso.
- Central de Servio;
- Gerenciamento Tcnico;
- Gerenciamento das Operaes de TI;
- Gerenciamento de Aplicativo.
Melhoria de
- Relatrio de Servio;
Servio Continuada - Medio de Servio.
12
13
De acordo com a Figura 2, que apresenta o ciclo de vida do ITIL, a Estratgia de Servios
est no ncleo do ITIL, para apresentar aos provedores de servios uma compreenso do que deve
ser oferecido e para quem, como desenvolver o mercado interno e externo atravs de
competitividade e diferenciais, como os clientes iro decidir pela contratao dos servios e como
se dar a obteno e percepo de valor.
A Estratgia de Servios no pode ser criada ou existir de forma isolada da estratgia e
cultura da organizao para a qual o provedor de servios atua. O provedor pode existir em uma
organizao para prover servios para um nico ou vrios departamentos, ou pode operar provendo
servios para mltiplas organizaes externas. A estratgia adotada deve prover o valor esperado
pelos clientes, de forma a atender o propsito estratgico do provedor de servios.
14
Segundo (OGCc, 2007, p.7-8), na Transio de Servios que os requisitos de negcio,
definidos na fase de Estratgia de Servios e transformados em projetos pela fase de Desenho de
Servios, so efetivamente realizados em Operaes de Servios, controlando os riscos de falhas e
interrupes.
Nesta fase, o sistema de gerenciamento de conhecimento sobre servios utilizado para a
tomada de deciso sobre a gesto de servios com base nos dados e informaes atualizadas sobre
configurao, capacidade, erros conhecidos, biblioteca de mdia definitiva e ativos.
15
Definir o que voc pode medir Esta atividade est relacionada com a pergunta
'onde desejamos chegar?'. Atravs da identificao dos nveis de servio desejados
pelo negcio, as capacidades de TI (identificadas pelo Desenho de Servio e
implementadas atravs da Transio de Servios) e oramentos disponveis. A
melhoria continuada realiza uma anlise de deficincias para identificar novas
oportunidades de melhoria, cujo foco responder a 'onde desejamos chegar?';
16
4. Processamento de dados Neste passo, os dados coletados so processados em
conformidade com os fatores crticos de sucesso e indicadores principais para o
negcio. O objetivo deste passo produzir dados estruturados para anlise futura;
5. Anlise dos dados Os dados estruturados so transformados em informaes sobre
os servios. A medida que so analisados, as oportunidades de melhorias, tendncias
e impacto nos negcios so identificadas. Este passo geralmente esquecido ou
realizado de maneira inadequada com a pressa em apresentar dados a gerncia
(OGCe, 2007, p.39);
6. Apresentar e usar informao Aqui a resposta a pergunta 'ns chegamos l?'
formatada e apresentada aos interessados com uma viso exata dos resultados dos
esforos de melhoria realizados. Os resultados so apresentados ao negcio de forma
a refletir suas necessidades e auxiliar na determinao dos prximos passos;
7. Implementar aes corretivas O conhecimento obtido usado para otimizar,
melhorar e corrigir os servios. Os gerentes de servios identificam os problemas e
apresentam solues, as aes corretivas necessrias so comunicadas e explicadas a
organizao e uma nova baseline estabelecida, recomeando o ciclo.
17
18
executar), C (check: verificar, controlar), e finalmente o A (act: agir, atuar corretivamente). Na
Figura 4, apresentado o ciclo PDCA como proposto pela ISO/IEC 27002 para sistemas de
gerenciamento de segurana da informao.
Integridade A informao s poder ser modificada por quem est autorizado e de maneira
controlada;
categorias de segurana da informao, sendo que cada categoria tem um objetivo de controle
definido, um ou mais controles que podem ser aplicados para atender ao objetivo de controle, as
19
descries dos controles, as diretrizes de implementao e informaes adicionais.
Ao todo, so 133 controles divididos em (1) poltica de segurana da informao, (2)
organizao da segurana da informao, (3) gesto de ativos, (4) segurana em recursos humanos,
(5) segurana fsica e de ambiente, (6) gerenciamento das operaes e comunicaes, (7) controle
de acesso, (8) aquisio, desenvolvimento e manuteno de sistemas de informao, (9)
gerenciamento de incidentes de segurana da informao, (10) gerenciamento da continuidade do
negcio e (11) conformidade legal. Este trabalho no tem por objetivo explicitar todos estes
controles, haja visto que a norma em si fonte principal de informao para implementao destes
controles.
O objetivo da poltica de segurana da informao fornecer orientao e apoio s aes
da gesto de segurana da informao sobre os requisitos de negcios e as leis e regulamentos
pertinentes. A gerncia deve estabelecer uma poltica clara e de acordo com os objetivos do negcio
e demonstrar seu apoio e comprometimento com a segurana da informao atravs da publicao e
manuteno de uma poltica segurana da informao para toda a organizao (ISO/IEC 27002,
2005, p.12).
A organizao da segurana da informao deve estabelecer uma estrutura de gesto a
fim de iniciar e monitorar a implementao da segurana da informao dentro da organizao. A
administrao deve adotar a poltica de segurana da informao, atribuir funes de segurana e de
coordenao, bem como fiscalizar a execuo da poltica de segurana em toda a organizao. Se
necessrio, a organizao deve estabelecer e facilitar o acesso s fontes de referncia especializadas
para garantir a atualizao dos envolvidos sobre as tendncias do setor, a evoluo das normas e
mtodos de avaliao, e fornecer as ferramentas adequadas para a manipulao de resultados
segurana. Seu objetivo deve ser a promoo de uma abordagem multi-disciplinar para a segurana
da informao, que, por exemplo, envolva a cooperao e colaborao dos gestores, usurios,
administradores, designers de aplicao, auditores e especialistas em segurana da informao, em
reas como gesto segurana e de riscos (ISO/IEC 27002, 2005, p.15).
A gesto de ativos tem por objetivo, alcanar e manter uma poltica de proteo adequada
para os ativos da organizao. Para que isso seja possvel, devem ser identificados os proprietrios
para todos os ativos e atribuir a responsabilidade pela manuteno de controles adequados. A
implementao de controles especficos pode ser delegada pelo proprietrio caso seja conveniente.
No entanto, o proprietrio continua responsvel pela proteo adequada dos ativos. O termo
priprietrio identifica um indivduo ou entidade responsvel, com a aprovao dos mecanismos
de direo, para controlar a produo, desenvolvimento, manuteno, utilizao e segurana de
ativos (ISO/IEC 27002, 2005, p.32).
20
Na segurana em recursos humanos, o objetivo garantir que os funcionrios,
fornecedores e usurios de terceiros entendam suas responsabilidades, e esteja aptos a desempenhar
suas funes, alm de reduzir o risco de roubo, fraude e mau uso de recursos. As responsabilidades
de segurana devem ser definidas antes da contratao, com a descrio adequada do trabalho e
suas condies. Todos os funcionrios, prestadores e usurios de terceiros devem ser selecionados
adequadamente, especialmente para trabalhos sensveis com acesso a informaes. Funcionrios,
fornecedores e usurios de prestadores de servios de processamento de informaes devem assinar
um acordo sobre seus papis e responsabilidades relacionadas com a segurana (ISO/IEC 27002,
2005, p.38).
Para a segurana fsica e de ambiente, o objetivo impedir o acesso fsico no autorizado,
dano ou interferncia nas instalaes e informaes da organizao. Os servios de processamento
de informaes sensveis devem ser realizados em reas seguras e protegidas, em um permetro de
segurana definido por barreiras e controles de entrada adequada. Estas reas devem ser fisicamente
protegidas contra acesso no autorizado, danos e interferncias. A proteo fornecida deve ser
proporcional aos riscos identificados. Para evitar a perda, dano, roubo ou comprometimento de
ativos e interrupo das atividades da organizao, os equipamentos devem ser protegidos contra
ameaas fsicas e ambientais. A proteo dos equipamentos necessria para reduzir o risco de
acesso no autorizado informao e proteo contra perda ou roubo. Da mesma forma, deve-se a
considerar controles especiais para proteo contra ameaas contra estruturas fsicas e a garantia de
servios como eletricidade e infra-estrutura local (ISO/IEC 27002, 2005, p.47).
Com o gerenciamento das operaes e comunicaes, o objetivo garantir a operao
correta e segura dos recursos de tratamento de informao, estabelecendo responsabilidades e
procedimentos para a gesto e operao de todos os recursos para o processamento de informaes,
incluindo o desenvolvimento de instrues e procedimentos operacionais de resposta a incidentes,
implementando a segregao de funes, conforme o caso, para reduzir o risco de uma m
utilizao do sistema deliberadamente ou por negligncia. A organizao deve ainda implementar e
manter um nvel apropriado de controle e segurana nos servios prestados por terceiros, de acordo
como estabelecido em contratos pertinentes (ISO/IEC 27002, 2005, p.59).
O controle de acesso deve gerir o acesso informao, recursos e processos de negcios
com base nas necessidades de segurana e do negcio da organizao. A regulamentao para as
polticas de controle de acesso deve considerar a distribuio das informaes e autorizaes,
devendo para isso, estabelecer procedimentos para atribuio de permisses de acesso aos sistemas
e informaes (ISO/IEC 27002, 2005, p.98).
21
A aquisio, desenvolvimento e manuteno de sistemas de informao deve garantir
que a segurana parte integral dos sistemas de informao. Os sistemas de informao incluem
sistemas operacionais, infra-estrutura, aplicaes de negcio, aplicaes de uso geral, servios e
aplicaes desenvolvidas pelos usurios. A concepo e implementao de sistemas de informao
que do apoio aos processos de negcio das empresas podem ser cruciais para a segurana. Os
requisitos de segurana devem ser identificados e acordados antes do desenvolvimento e/ou
implementao de sistemas de informao. Todos os requisitos de segurana devem ser
identificados na fase de levantamento de requisitos de um projeto e ser justificados, documentados e
aceitos como parte de todo o processo para um sistema de informao (ISO/IEC 27002, 2005,
p.127).
O gerenciamento de incidentes de segurana da informao deve garantir que os eventos
e falhas de segurana associados aos sistemas de informao sejam identificados e comunicados o
mais breve possvel, permitindo assim a elaborao de medidas corretivas oportunas. Todos os
funcionrios, fornecedores e terceiros devem estar cientes dos procedimentos de comunicao de
diferentes tipos de eventos e pontos fracos que possam ter impacto sobre a segurana dos ativos
organizacionais (ISO/IEC 27002, 2005, p.148).
O gerenciamento da continuidade do negcio, deve implementar um processo de gesto
da continuidade do negcio para reduzir a nveis aceitveis, as perturbaes causadas por
catstrofes e falhas de segurana, atravs de uma combinao de controles preventivos e de
recuperao, reagindo a interrupo das atividades de negcios. Para isto, necessrio identificar os
processos crticos de negcio, e integrar os requisitos de gesto da segurana da informao e
continuidade de negcios, com outros requisitos relacionados a aspectos tais como operaes,
fornecedores, funcionrios, materiais, transporte e instalaes (ISO/IEC 27002, 2005, p.156).
A conformidade legal tem por objetivo, evitar a violao de qualquer lei, estatuto,
regulamento ou obrigaes contratuais e de quaisquer requisitos de segurana. A concepo,
funcionamento, utilizao e gesto dos sistemas de informao podem estar sujeitos a requisitos
legais, de segurana regulamentares e contratuais. Os requisitos legais especficas devem ser
aconselhados por um advogado da organizao ou profissionais qualificados (ISO/IEC 27002,
2005, p.163).
Isto posto, a ISO/IEC 27002:2005 pode ser vista como um ponto de partida para desenvolver
uma gesto de segurana especfica em uma organizao. importante observar que nem todas as
recomendaes e controles do referido cdigo so aplicveis a todos os tipos de organizao e
havero casos onde controles adicionais possam ser necessrios, muito embora no faam parte
deste conjunto de recomendaes e controles.
22
Pespectiva Financeira
Metas de Negcios
Perspectiva Interna
Perspectiva
Aprendizado
Crescimento
23
O COBIT ajuda a diminuir as distncias entre os riscos do negcio, as necessidades de
controle e questes tcnicas (ITGIb, 2007, p.10). O COBIT define claramente a propriedade e
responsabilidade orientado nos processos de negcio, permitindo um mapeamento dos objetivos de
negcio, bem como o mapeamento de objetivos de TI em objetivos de processos (ITGIb, 2007,
p.10).
As metas de negcios esto relacionadas as metas de TI, que consequentemente, esto
relacionadas com os processos de TI. Desta forma, partindo de uma meta de negcio (Tabela 4 do
Anexo I), possvel definir as metas de TI e os processos relacionados (Tabela 5 do Anexo II). Uma
vez definidos os processos de TI, possvel identificar os objetivos de controle para a governana,
mtricas e orientaes para o gerenciamento.
As Tabelas 4 e 5 dos Anexos I e II respectivamente, foram construdas com base no COBIT
e podem ser utilizadas para definir quais processos devem ser implementados e/ou aprimorados
para atender as metas de negcios. Para utilizar esta ferramenta, basta definir quais so as metas de
negcios (Tabela 4 do Anexo I) e verificar quais so as metas de TI associadas. Uma vez
identificadas as metas de TI que suportam as metas de negcios, possvel identificar quais
processos de TI devem ser implementados ou melhorados (Tabela 5 do Anexo II). Os processos de
TI apresentados so os 34 processos do COBIT descritos no Anexo III.
Uma vez identificados os processos de TI que segundo o COBIT precisam ser
implementados na empresa, possvel utilizar o mapeamento para processos do ITIL ou ISO/IEC
27002 como descrito em (ITGIc, 2008) e (ITGIa, 2008), facilitando assim a execuo das atividades
tcnicas pelas equipes operacionais. Desta forma, a implementao dos trs frameworks ser
simplificada, reduzindo o tempo de planejamento e execuo das atividades inerentes.
Sumarizando, os recursos de TI so gerenciados por procesos de TI para atingir objetivos de
TI que respondem a requisitos de negcios. Este o princpio bsico do framework COBIT, como
ilustrado no Cubo do COBIT na Figura 5.
24
25
O COBIT fornece as melhores prticas e ferramentas de monitoramento e gesto das
atividades de TI. O uso de TI um investimento significativo que precisa ser gerenciado. O COBIT
ajuda os executivos a compreender e controlar os investimentos de TI em todo o seu ciclo de vida e
fornece um mtodo para avaliar se os servios de TI e novas iniciativas esto reunindo os requisitos
de negcio e so aptos a oferecer os benefcios esperados.
Uma viso grfica mais detalhada do COBIT pode ser vista na Figura 6, com o modelo de
processos do COBIT de quatro domnios e 34 processos genricos, gerenciando os recursos de TI
de forma a entregar informaes aos negcios de acordo com os requisitos de negcios e
governana.
26
acontece com muitos processos de negcios genricos, existem normas especficas no setor de TI e
de boas prticas que as empresas devem seguir na utilizao da TI. O COBIT capta essas melhores
prticas e fornece um framework para a implementao e gesto (ITGIb, 2007, p.14).
Uma vez que os princpios fundamentais do COBIT relevantes a uma empresa so
identificadas e implementados, os executivos ganham a confiana que o uso de TI pode ser gerido
de forma eficaz. Os executivos podem esperar os seguintes resultados a partir da adoo do COBIT
(ITGIb, 2007, p.10):
A equipe de TI e os executivos iro compreender melhor como o negcio e a TI
podem trabalhar juntos para entrega com sucesso de servios de TI.
O custo do ciclo de vida completo de TI tornar-se- mais transparente e previsvel.
Ir proporcionar uma melhor qualidade e mais informaes oportunas.
Ir oferecer servios de melhor qualidade e mais projetos de sucesso.
Segurana e privacidade sero mais claros e a implementao mais facilmente
controlvel.
Os riscos da TI sero geridos de forma mais eficaz.
As auditorias sero mais eficientes e bem sucedidas.
A observncia dos requisitos regulamentares ser uma prtica comum de gesto.
O framework COBIT, nas verses 4.0 e superiores, incluem as seguintes caractersticas:
Framework - Explica como o COBIT organiza a gesto de governana e objetivos
de controle e de boas prticas por domnios e processos de TI, e suas ligaes as
necessidades do negcio. O framework contm um conjunto de 34 objetivos de
controle de alto nvel, uma para cada processo de TI, agrupados em quatro domnios:
Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar, e Monitorar e
Avaliar;
Descries de processos - Includos para cada um dos 34 processos de TI,
abrangendo as reas de responsabilidade do negcios e de TI do comeo ao fim;
Objetivos de controle - Fornece objetivos genricos de melhores prticas de
gesto de processos de TI;
Diretrizes de Gesto - Oferecem ferramentas para ajudar a atribuir
responsabilidades e medir o desempenho;
27
Modelos de Maturidade - Fornece perfis de processos de TI descrevendo
possveis estados atuais e futuros.
O processo de implementao do COBIT consiste em alguns passos, que comeam com a
introduo dos objetivos de negcios na tica do framework. Uma vez que as metas so conhecidas,
possvel determinar quais processos de TI e seus respectivos controles devem ser empregados para
suportar o negcio. importante ressaltar que, antes de iniciar o processo de implementao,
essencial o pleno conhecimento das estratgias do negcio onde o planejamento estratgico, ou
mesmo o plano de negcios so as principais fontes.
Os processos de TI e seus resultados devem ser avaliados utilizando as diretrizes de
auditoria correspondentes, de forma que seja possvel garantir que os resultados obtidos esto de
acordo com o que esperado. Atravs do monitoramento constante do desempenho e com o auxlio
das diretrizes de gesto dos processos de TI, ser possvel identificar e priorizar as atividades
crticas dentro da organizao, permitindo assim alcanar as metas de negcio.
No Anexo IV apresentado um Plano de Aes genrico que pode ser aplicado nas
organizaes para guiar a implementao da Governana de TI segundo a tica do COBIT, e sua
interligao com os frameworks ITIL e ISO/IEC 27002:2005 atravs do mapeamento de processos
destes disponvel em (ITGIa, 2007).
Apesar de possuir um um nvel adequado de detalhes, o ITIL no atende a todos os aspectos
da Governana e Gesto de Servios de TI como tratado no COBIT. Os processos do domnio
Entregar e Suportar do COBIT so cobertos de forma extensiva, enquanto os processos, atividades e
responsabilidades dos domnios Planejar e Organizar, Adquirir e Implementar, Monitorar e Avaliar
no so tratados adequadamente pelo ITIL. No mesmo aspecto, a ISO/IEC 27002:2005 prov
mtricas genricas para a gesto da segurana da informao e conformidade regulamentar e de
legislao. Com foco em problemas da segurana, no atende a todo o escopo da gesto de TI.
Enquanto o COBIT e a ISO/IEC 27002 definem o que deve ser feito, o ITIL define como
deve ser feito, criando assim uma sinergia entre as melhores prticas. As Tabelas 6 e 7 dos Anexos
V e VI apresentam as relaes entre os processos do COBIT/ITIL e ISO/IEC 27002/ITIL
respectivamente, e servem como uma viso geral da interao entre os frameworks.
28
29
Concluso
As organizaes so desafiadas a adaptarem-se a demandas dinmicas do mundo dos
negcios, enquanto reduzem riscos e complexidades relacionadas a adoo de tecnologias, usadas
para suportar o negcio a alcanar seus objetivos estratgicos.
A TI por sua vez, enfrenta desafios dentre os quais destaco: manter a TI funcionando,
agregar valor ao negcio, reduzir custos e complexidades, alinhamento com as estratgias de
negcio, atender a requisitos regulamentares e manter a segurana das operaes.
Apesar da grande quantidade de benefcios trazidos pela implantao da governaa de TI,
no se deve esperar apenas benefcios em um processo dessa natureza, afinal em certos casos,
algumas das medidas adotadas com certeza iro divergir com processos que anteriormente eram
tidos como corretos pela empresa, usurios ou mesmo pelos profissionais envolvidos com as
rotinas dirias de TI.
Dentre os problemas que certamente so enfrentados em um projeto de implementao da
governana de TI em uma organizao, pode-se destacar a (1) falta de investimentos adequados, (2)
comprometimento e entendimento, (3) cultura da empresa, (4) excesso de expectativa, (5)
problemas na gesto do projeto, e (6) Controle fraco ou incompatvel com os objetivos do processo
e do projeto.
Desta forma, fica claro que um bom planejamento e o apoio do alto escalo da empresa so
fatores crticos de sucesso para um projeto desta natureza. Existem algumas precaues que so de
vital importncia para o sucesso da implementao:
i. O projeto deve ter o apoio da alta administrao da empresa, ou seja, a idia deve ser
apresentada e vendida para a alta administrao antes de se iniciar a implantao. Toda
mudana geralmente gera resistncia e o melhor apoio contra esta resistncia a mudana
ser uma deciso superior, ou seja, ter aprovao e apoio da alta gerncia;
ii. A cultura da empresa tambm um fator que dificulta o processo de implementao. Para
diminuir este impacto, alm do apoio da alta gerncia, importante tambm que seja
realizado um trabalho de divulgao e conscientizao dos envolvidos sobre os benefcios
que sero colhidos por todos a mdio e longo prazo;
iii. importante alinhar as expectativas de todos os envolvidos no processo de implantao,
usurios, profissionais de TI, alta gerncia, etc;
30
iv. Outro ponto chave para o sucesso de uma implantao da governana de TI em uma
organizao, a definio clara do escopo e dos processos que sero implementados,
buscando alinhar ao mximo os processos de TI com os objetivos do negcio, e evitando
mudanas que prejudiquem os processos que geram maior receita para a organizao.
No h um nico framework de governana de TI que atenda a todos os requisitos de uma
organizao, assim, os trs apresentados devem ser utilizados em conjunto, de forma complementar,
haja visto que COBIT forte em controle e mtricas, a ISO/IEC 27002 em segurana da
informao, enquanto o ITIL focado em processos, especialmente aqueles relacionados com
central de servios. Os trs frameworks seguem o modelo PDCA de processos.
Resistir ao tecnicismo para no comprometer a aproximao entre TI e os negcios e tornar
verdadeiramente transparente o desempenho de tecnologia, o desafio dos gestores. Para no deixar
escapar esta oportunidade mpar de se integrar no nvel estratgico de suas organizaes atravs de
uma comunicao clara e uma gesto transparente e assim influenciar o futuro da organizao.
Para trabalhos futuros, uma oportunidade estudar o nvel de penetrao das melhores
prticas abordadas nas organizaes, as dificuldades e desafios enfrentados, bem como nvel de
conformidade destas com as leis brasileiras.
31
Bibliografia
BECKER et al., Becker, Joo Luiz, Lunardi, Guilherme Lerch, Maada, Antonio Carlos Gastaud.
Relatro Executivo: Governana de TI e o Desempenho Organizacional. Universidade Federal
do Rio Grande do Sul, 2007
BELAPURKAR et al. Distributed Systems Security: Issues, Processes and Solutions. Abhijit
Belapurkar, Anirban Chakrabarti, Harigopal Ponnapalli, Niranjan Varadarajan, Srinivas
Padmanabhuni, Srikanth Sundarrajan. Wiley, 2009
BERNARDES, Mauro Cesar e MOREIRA, Edson dos Santos. Um Modelo para Incluso da
Governana da Segurana da Informao no Escopo da Governana Organizacional. So Paulo.
Universidade de So Paulo, 2007
FERNANDES, Aguinaldo Aragon. Implantado a governana de TI: da estratgia a gesto dos
processos e servios / Agnaldo Aragon Fernandes, Vladimir Ferraz de Abreu. 2. ed. Rio de
Janeiro: Brasport, 2008
FTC, Federal Trade Commission. Privacy Online: Fair Information Practices in the Electronic
Marketplace. Federal Trade Commission, 2000
ISACA, COBIT Handbook. Information Systems Audit and Control Association, 2007
ISO/IEC 20000-1:2005. Information Tecnology Service Management Part 1: Code of pratice,
2005. International Organization for Standardisation
ISO/IEC 27001:2005: Information tecnology Security techniques Information security
management systems Requeriments, first edition, 2005. International Organization for
Standardisation
ISO/IEC 27002:2005: Information tecnology Security techniques Code of practice for
information security management, 2005. International Organization for Standardisation
ITGIa, Information Tecnology Governance Institute. Alingning COBIT 4.1, ITIL v3 and ISO/IEC
27002 for Business Benefit, Information Technology Governance Institutre, Office for
Government Commerce, 2008
ITGIb, Information Tecnology Governance Institute. COBIT 4.1. Information Tecnology
Governance Institute, 2007
ITGIc, Information Tecnology Governance Institute. COBIT mapping: mapping of ITIL with
32
COBIT 4.1. Information Technology Governance Institutre, Rolling Meadows, 2008
ITSMF, United Kingdom IT Service Management Forum http://www.itsmf.com/bestprativce/
MANSUR, Ricardo. Governana de TI: metodologia, frameworks e melhores prticas. Rio de
Janeiro: Brasport, 2007
MODULO, Modulo Security. 10 Pesquisa Nacional de Segurana da Informao. Modulo
Security, 2006
NIST, National Institute of Standards and Technology: Information Security Handbook A Guide
for Managers. National Institute of Standards and Technology, 2006
OGCa, Office for Government Commerce: ITIL - Service Strategy. The Stationary Office, 2007
OGCb, Office for Government Commerce: ITIL - Service Design. The Stationary Office, 2007
OGCc, Office for Government Commerce: ITIL - Service Transition. The Stationary Office, 2007
OGCd, Office for Government Commerce: ITIL - Service Operation. The Stationary Office, 2007
OGCe, Office for Government Commerce: ITIL - Continual Service Improvement. The Stationary
Office, 2007
OGCf, Office for Government Commerce: ITIL - The Official Introduction to the ITIL Service
Lifecycle. The Stationary Office, 2007
OGCg, Office for Government Commerce: ITIL - ITIL Official Website http://www.itil.co.uk
OGCh, Office for Government Commerce: OGC Official Website http://www.ogc.gov.uk
PARTHA et al.. Intrusion Tolerant Systems. Partha P. Pal, Franklin Webber, Richard E. Schantz and
Joseph P. Loyall. Cambridge, 2000
PTACEK, Thomas H., NEWSHAM, Timothy N. Insertion, Evasion, and Denial of Service: Eluding
Network Intrusion Detection. Secure Networks Inc, 1998
RFC2196, Internet Engineering Task Force. Site Security Handbook. Internet Engineering Task
Force, 1997
WEILL, Peter e ROSS, Jeanne W. Governana de TI, Tecnologia da Informao. Traduo de
Tereza Cristina M. B. Carvalho. So Paulo: M. Books, 2006
33
Perspectiva
do Cliente
Perspectiva
Interna
Perspectiva de
Aprendizado
e Crescimento
14 17 18 19 20 21 22
18
23
24
10 16 22 23
25
10 24
12 20 26
11
13 15 24
19 20 21 22 26 27
13
11 13
25 28
Confiabilidade
Conformidade
Disponibilidade
24
Integridade
Confidencialidade
Perspectiva
Financeira
Metas de TI
Eficincia
Metas de Negcios
Eficcia
X
X
X
X
X
X
X
X
X
11 28
X
X
34
ANEXO II - Mapeamento de Metas de TI em Processos de TI
Metas de TI
Processos de TI
PO1
PO2
PO1
PO8
AI4
PO2 DS11
5. Criar agilidade de TI
PO2
DS7
AI6
AI7
DS1
DS2
PO4
PO7
AI3
AI1
AI2
AI6
PO3
AI2
AI5
AI3
AI5
PO7
AI5
DS2
PO2
AI4
AI7
PO5
PO6
DS1
DS2
PO6
AI4
AI7
DS7
DS8
PO9
DS5
DS1
DS3 ME1
35
Processos de TI
PO3
AI3
DS3
DS7
DS9
PO8
AI4
AI6
AI7
DS10
PO9
DS10 ME2
PO9
19. Garantir que informaes crticas e confidenciais sejam retidas daqueles que no PO6
deveriam ter acesso a isso
DS5
DS11 DS12
PO6
AI7
DS5
PO6
AI7
DS3
DS5
PO6
AI6
DS3
DS12
DS3
DS4
DS8
DS13
PO5
AI5
DS6
25. Entregar projetos em tempo e dentro do oramento enquanto alcana padres de PO8
qualidade
PO10
AI6
DS5
DS11 ME2
ME3
ME4
PO5
ME1
ME3
DS6
36
PO4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
"
#
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
31
PO2
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
"
#
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
35
PO3
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
"
#
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
36
PO
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
"
#
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
43
PO5
DESCRIO DO PROCESSO
!
"
#
46
PO
DESCRIO DO PROCESSO
!
"
#
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"#$
53
PO7
DESCRIO DO PROCESSO
!
"
#
57
PO8
DESCRIO DO PROCESSO
!
"
#
91
PO9
DESCRIO DO PROCESSO
!
"
#
95
PO47
DESCRIO DO PROCESSO
!
"
#
96
AI4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
A necessidade de uma nova aplicao ou funo requer uma anlise prvia aquisio ou ao desenvolvimento para assegurar que
necessidades, considera fontes alternativas, a reviso de viabilidade econmica e tecnolgica, a execuo das anlises de risco e de
de processos de negcios
"
#
!
"
Ap
lic
Inf a
or es
Inf ma
ra
es o
t
Pe rutu
ss ra
oa
s
!
" "
" !
$
75
AI2
DESCRIO DE PROCESSO
perceptveis de indisponibilidade
76
AI3
DESCRIO DE PROCESSO
gicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnolgico contnuo s
Adquirir e manter infraestrutura tecnolgica
de infraestrutura tecnolgica
83
AI
DESCRIO DE PROCESSO
Habilitar operao e uso
sistema.
Comunicao e treinamento de usurios, gestores de negcio, equipes de
suporte e equipes de operao
87
AI5
DESCRIO DO PROCESSO
procedimentos de aquisio, a seleo de fornecedores, o estabelecimento de arranjos contratuais e a aquisio propriamente dita.
Adquirir recursos de TI
AI
DESCRIO DO PROCESSO
seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigao de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produo.
Gerenciar Mudanas
mudana inadequadas
5
AI7
DESCRIO DO PROCESSO
nejamento de liberao e mudanas no ambiente de produo e uma reviso ps-implementao. Isso assegura que os sistemas
Avaliao e aprovao dos resultados de testes pelos responsveis pelo gerenciamento de negcio
a testes inadequados
planejados originalmente
DS4
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
!
Ap
lic
Inf a
o e
Inf rma s
ra
es o
t
Pe rutu
ss ra
oa
s
"
#
103
DS2
DESCRIO DE PROCESSO
Ef
ic
E c
Co fici ia
nf n
ide cia
n
Int cia
l
e
g
Di ri idad
sp da e
on de
Co ib
nf ilid
Co orm ade
nf ida
iab de
ilid
ad
e
107
DS3
DESCRIO DE PROCESSO
111
DS
DESCRIO DE PROCESSO
(backup) (offsite)
(offsite)
115
DS5
DESCRIO DO PROCESSO
116
DS
DESCRIO DO PROCESSO
123
DS7
DESCRIO DO PROCESSO
127
DS8
DESCRIO DO PROCESSO
(service desk) e
131
DS9
DESCRIO DO PROCESSO
hardware e software
135
DS45
DESCRIO DO PROCESSO
139
DS44
DESCRIO DO PROCESSO
(backup)
Gerenciar os dados
143
DS45
DESCRIO DO PROCESSO
147
DS45
DESCRIO DO PROCESSO
de hardwarehardware
151
ME4
DESCRIO DE PROCESSO
ME1 Monitorar e Avaliar o Desempenho de TI
de gesto
155
ME2
DESCRIO DE PROCESSO
ME2 Monitorar e Avaliar os Controles Internos
159
ME3
DESCRIO DE PROCESSO
ME3 Assegurar a Conformidade com Requisitos Externos
1
3
ME
DESCRIO DE PROCESSO
ME4 Prover Governana de TI
1 7
71
Objetivos especficos
1. Continuar a prestar servios essenciais de auditoria e controle, ampliando e adaptando para
garantir a cobertura dos processos do COBIT relevantes ao negcio e setor.
2. Assegurar que as necessidades de informao da empresa sero atendidas pelo departamento
de tecnologia em conformidade com os critrios de informao definidos no COBIT.
3. Assegurar que atividades de planejamento e organizao significastes identificadas no
COBIT sejam adotadas pelo departamento de tecnologia da organizao.
4. Assegurar que aquisies e implementaes significativas identificadas pelo COBIT sero
empregados nos servios prestados pelo departamento de tecnologia e incorporadas no
gerenciamento de projetos utilizado pela organizao.
5. Assegurar que atividades de entrega e suporte significativas identificadas pelo COBIT sero
providas para clientes internos pelo departamento de tecnologia e provedores de servios
terceirizados.
6. Assegurar que os processos de monitoramento significativos identificados pelo COBIT
sero empregados pelos departamentos de tecnologia e auditoria.
Abordagem
Familiarizao
Educao
Compromisso
Adaptao
Implementao
Sequncia
Departamento de Auditoria
Departamento de Tecnologia
Prestadores de servios terceirizados
Alta Gerncia
Comits de Auditoria
72
Processos
1. Distribuir cpias do Sumrio Executivo do COBIT e levantamento preliminar com os
gerentes principais, provocando anlise e reflexes sobre a situao atual da organizao.
2. Compilar os resultados da pesquisa e desenvolver uma apresentao de resultados relativos
aos conceitos do COBIT.
3. Apresentar aos gerentes das equipes de Operaes e Tecnologia.
4. Apresentar aos profissionais das equipes de Operaes e Tecnologia.
5. Apresentar aos gerentes de servios terceirizados e profissionais principais.
6. Auxiliar os principais gerentes no desenvolvimento de planos de aes para a integrao de
conceitos nos processos de negcios.
7. Apresentar conceitos do COBIT e relatrios de progresso das atividades para a gerncia
snior mantendo-os informados e obter apoio.
8. Reestruturar o inventrio de auditoria para refletir a orientao a processos do COBIT.
9. Desenvolver ou atualizar os processos de auditoria em consistncia com o guia de auditoria
do COBIT.
10. Desenvolver oportunidades de aprendizagem do COBIT de acordo com as necessidades
organizacionais.
11. Oferecer formao em COBIT quando necessrio.
12. Monitorar o progresso dos planos de aes da Tecnologia.
13. Apresentar conceitos do COBIT, progresso e resultados ao Comit de Auditoria.
Marcos
73
Planejar &
Organizar
ITIL
Gesto de Segurana
Organizao de Servios de TI
Gesto Financeira
Adquirir &
Implementar
1. Identificar Solues
74
Entregar &
Suportar
ITIL
Gesto da Capacidade
Gesto da Segurana
Gesto Financeira
9. Gesto da Configurao
Gesto da Configurao
Gesto de Problemas
75
ITIL
Gesto da Segurana
Gesto da Segurana
Conformidade
Gesto da Segurana
Equipe de Segurana
Gesto da Segurana
Organizao da Segurana
Gesto da Segurana
Gesto da Configurao
Tabela 7: Relao entre processos dos frameworks ISO/IEC 27002 e ITIL, do autor