FAFIMAN
GOVERNANÇA DE TI
Rodney Januário Carneiro
Mestre em Gerenciamento para Sistema de
Informação
www.fafiman.br/rodney
15/03/2010
1.
CONCEITO GOVERNANÇA
CORPORATIVA
2.
CONCEITOS GOVERNANÇA TI
3.
NÍVEIS DE MATURIDADE DE TI
4.
PLANEJAMENTO ESTRATÉGICO
5.
COBIT
6.
GESTÃO DE PESSOAS
7.
GESTÃO DE RISCOS
8.
EXERCÍCIOS
1
Governança Corporativa - Origem
Governança
= Governo
= Sistema de Administração
O termo governança corporativa foi criado no
início da década de 1990 nos países
desenvolvidos, mais especificamente nos
Estados Unidos e na
Grã-Bretanha,
para definir as regras que regem o
relacionamento dentro de uma companhia dos
interesses de acionistas controladores,
acionistas minoritários e administradores.
Princípios da Governança Corporativa
– A implementação destas características assegura que a
corrupção seja minimizada e as necessidades e visões das
minorias sejam levadas em conta.
1. Participação
2. Estado de direito
3. Transparência
4. Responsabilidade
5. Orientação por consenso
6. Igualdade e inclusividade
7. Efetividade e eficiência
8. Prestação de conta (accountability)
2
Governança Corporativa - Conceito
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e
monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de
governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu
acesso ao capital e contribuir para a sua perenidade.
Exigências
LEIS
REGULAMENTOS
NORMAS
CONTROLE
Governança
Corporativa
Transparência
“Você pagaria a mais pelas ações de quem
adota práticas de governança ?
- 76% disseram que sim e destas a maioria
afirmou que pagaria 24% a mais pelas
ações.”
Fonte: McKinsey com empresas da América Latina
Equidade
Prestacao Contas
Compliance
Etica
Transparência = Credibilidade
Resultado das “boas práticas” Governança
Corporativa
– Facilidades para
vender títulos da
empresa;
– Diminuir custos para
captação de recursos;
– Valorização de seus
produtos, e;
– Conseqüentemente,
aumento do valor da
empresa no
mercado...
3
Governança de TI
Qual é o seu significado?
Qual é a sua importância?
Modelo Governança Corporativa e Governança TI
4
Governança de TI
MERCADO
ADMINISTRAÇÃO DA EMPRESA
FORNECEDORES
CLIENTES
ADMINISTRAÇÃO
DE TI
SISTEMAS
E
APLICAÇÕES
SEGURANÇA
AUDITORIAS
INDEPENDENTES
INFRAESTRUTURA
E
PRODUÇÃO
GARANTIA DE
QUALIDADE
AUDITORIA DE SISTEMAS
COMPLIANCE
ÓRGÃOS
REGULADORES
A TI pode ser mais eficiente?
• Que tal enxergar a área de tecnologia como
uma fábrica?
• Essa é a nova onda em gestão de TI e
parece que veio para ficar, já que promete
diminuir a complexidade do ambiente,
eliminar atividades redundantes e gerar
aumento de produtividade.
• Preparado?
5
O Papel do CIO está mudando
CIO devem ser responsáveis por:
Estando sempre Atentos a:
•
•
•
•
•
•
•
Definir os níveis apropriados de gastos
em TI
Priorizar decisões de investimentos de
TI em conjunto com as unidades e
áreas de negócio
Auxiliar na integração de unidade e/ou
áreas de negócios
Auxiliar na integração do negócio com
consumidores e fornecedores
Gerenciar a complexidade das
informaçoes e da arquitetura tecnológia.
Demonstrar competitividade de mercado
em termos de qualidade e custo
•
•
•
•
Liderar em situações onde TI pode
influenciar o desempenho do negócio
Responder rapidamente a dinâmica do
ambiente de negócios
Proteger as informações e a
continuidade do negócio
Desenvolver continuamente as
competências e as habilidades dos
recursos humanos
Garantir o cumprimento das
regulamentações externas
Quanto mais central a área de TI se torna para a estratégia da
empresa, é mais crítico que esta faça parte da estratégia do negócio
Como a TI pode adicionar valor à organização?
As respostas mais corretas
• Obter valor da TI requer inovações em práticas de
negócio
• O impacto econômico da TI resulta de inovações
incrementais, ao invés de iniciativas “big-bang”
• O impacto estratégico de investimentos em TI
resulta dos efeitos cumulativos de iniciativas
sustentadas de inovar práticas de negócio no curto
prazo
John Seely Brown (Xerox) e John Hagel III
6
O que é Governança de TI?
“Modelo que define direitos e responsabilidades pelas
decisões que encorajam comportamentos desejáveis no
uso de TI”
(Weill e Ross, 2004)
“Processo pelo qual decisões são tomadas sobre os
investimentos em TI, o que envolve: como as decisões
são tomadas, quem toma as decisões, quem é
responsabilizado e como os resultados são medidos e
monitorados”
(Forrester Research, 2005)
O que é Governança de TI?
“Capacidade organizacional exercida pela alta direção,
gerência de negócios e gerência de TI para controlar a
formulação e implementação da estratégia de TI e, com
isso, assegurar o alinhamento entre negócios e TI”
(Van Grembergen, 2004)
“Responsabilidade da alta direção, consiste
em liderança, estruturas organizacionais e processos
que garantem que a TI corporativa sustenta e entende
as estratégias e objetivos da organização”
(IT Governance Institute, 2003)
7
O que é Governança de TI?
Conceito : A Governança de TI é uma estrutura de
relacionamentos e processos para dirigir e controlar a
TI a fim de alcançar as metas da instituição mantendo
o equilíbrio dos riscos associados.
É de responsabilidade da direção. Permite à
instituição satisfazer os requisitos de qualidade,
confiança e segurança de suas informações e ativos
relacionados.
Permite à gestão corporativa otimizar o uso dos
recursos, incluindo-se nestes dados, sistemas de
aplicação, tecnologias, instalações e pessoal.
Governança de TI - vantagens
Alinha a estratégia de TI com as do negócio
Mais capacidade e agilidade para novos modelos de
negócios ou ajustes nos modelos atuais
Explicita a relação entre aumento nos custos de TI e
aumento no valor da informação
Mantém os riscos do negócio sob controle
Explicita a importância da TI na continuidade dos
negócios
Mede e melhora continuamente a performance de TI
8
Objetivos da Governança de TI
•
•
•
•
•
•
•
•
•
•
1. Facilitar as tomadas de decisões de TI
2. Simplificar as operações e/ou serviços de TI
3. Melhorar o nível de qualidade dos serviços de TI
4. Estabelecer e manter relacionamento com clientes e
fornecedores
5. Maximizar uso de recursos
6. Otimizar custos
7. Gestão de riscos (Identificar, analisar e mitigar)
8. Estabelecer e manter a conformidade com as leis e
regulamentos
9. Promover a integração entre o Negócio e a TI
10. Gerar valor para empresa
Gerenciando TI
Expectativas
• Aproveitar e Explorar TI para gerar
valor de negócio
• Rápido desenvolvimento com
qualidade e segurança apropriados
• Assegurar que os investimentos de
TI tenham um retorno quantitativo
• TI faça mais com Menos
• Sair da eficiência e ganhos de
produtividade para agregar valor e
eficácia ao negócio
Realidade
• Perdas de negócio, danos na
reputação ou enfraquecimento da
posição competitiva
• A tecnologia não apóia o negócio
• Prazos que não são cumpridos
• Custos mais elevados que o
esperado e qualidade e eficiência
mais baixo que o previsto
• A eficácia das empresas e dos
processos essenciais são
diretamente impatados pela
qualidade do que é fornecido por TI
• A falha das iniciativas de TI
pretendia trazer inovações para a
empresa atingir suas promessas
Qual Ferramenta Utilizar?
9
Passos para Governança de TI
•
•
•
•
•
Estabelecer Valor Agregado ao Cliente
– Qual o serviço/produto fornecido ?
Definir os Processos do Produto / Serviço
– Quais os parâmetros operacionais do Cliente ?
Alavancagem operacional através de TI
– Quais as soluções tecnológicas necessárias ?
– Como implementar essas soluções ?
Controle da Operação
– Quais os indicadores de performance ?
– Quais os limites operacionais aceitáveis em função do Produto/ Serviço ?
Gerenciamento da Operação
– Os indicadores estão adequados ?
– Podemos melhorar a performance do produto/serviço ?
– (Maior Valor ao Cliente ?)
Facil de falar. Mas como Fazer?
Características da Melhor Estratégia de TI
01
Estratégia alinhada com “O Restante do
Negócio”
Aborda clara e sucintamente as principais necessidades do negócio
(unidades de negócio/divisões e empresa), aspiraçoes do negócio, e
está ciente do “papel da TI” e possibilidades desta área
02
Abordagem das “4 Questões Chaves”
Aborda as questões chave da Estratégia do negócio, informação e
tecnologia, gestão de TI, maximizando o retorno de ativos da área através
da gestão de risco
03
Fisicamente Responsável
Aborda diretamente os custos de TI associados com o valor para a unidade
de negócio, empresa e acionistas
04
Equilíbrio Financeiro
Define, alinha e balanceia os gastos da área (ativos e investimentos) com a
necessidades do negócio visando o crescimento e aprimoramento da
produtividade.
05
Foco no Negócio e Geração de Valor
Decisões de investimentos e gestão de decisões são baseadas em um
objetivo comum de construir valor da empresa e compartilhar definições de
mensuradores de performance financeira e operacional
06
Aborda o “Como”? (.. Não apenas o “O que” e
o “Porque”
Para atingir os objetivos, uma estratégia de TI efetiva produz um “roadmap”
de como chegar lá, mobiliza pessoas e considera riscos e barreiras.
07
Governança e Estrutura Organizacional Efetiva
Aborda a questão da participação ativa de toda a organização nas
principais decisões de TI e uma clara definição dos papéis e
responsabilidades da partes interessadas.
08
Monitoramento dos Resulltados (ou Falta
deles)
Define a performance desejada e (qualquer) as mudanças requerida para
mensura-la a fim de testar o valor das iniciativas propostas, comunicar
expectativas e avaliar o progresso.
09
“Utilizável”, nao apenas “Útil”
Os principais elementos da estratégia efetiva de TI são elaborados com
enfoque para aplicação e a melhor forma de avaliação não é aquela feita
pontualmente mas sim ao longo do tempo.
10
Resumo da Governança de TI
•
Objetivos
–
–
–
•
Meta
–
•
Compreender as questões e a importância estratégica de TI
Garantir que a empresa possa sustentar a sua operação
Assegurar que ela possa implementar as estratégias requeridas para ampliar as suas atividades
para o futuro
Garantir que as expectativas para TI sejam atingidas e os riscosde TI sejam atenuados
Aspéctos Chaves
–
–
–
–
–
–
–
–
–
Objetivos Gerais das entidades estão definidos
Suporte e liderança do board da empresa
‘Buy-in’dos stakeholders sobre a necessidade de um processo de gestão
Utilização de uma abordagem de gestão de projeto
Pesquisar e definir as métricas e objetivos adequados
A maneira como o desempenho será monitorado
Atuar através de ‘projetos-pilotos’
Visão de onde está e aonde deseja-se chegar
Utilização de ferramentas de gestão complementares
Nível de Maturidade
11
Situação Atual da TI
Pressão por resultados e melhoria nas relações de custo.
Grande disponibilidade de recursos tecnológicos e metodologias
Versus limitações de recursos humanos capacitados e recursos
limitados.
Ambientes grandes, heterogêneos e complexos.
Aumento do volume de serviços prestados via Internet e adoção
de SLA.
Informação como ativo precioso e que precisa de proteção.
Tendência de crescimento da demanda Versus redução do tempo
de implantação.
Aumento considerável da dependência da Tecnologia da
Informação e comunicação. Esta dependência leva a necessidades
crescentes por serviços de TI confiáveis, consistentes e de
qualidade;
MODELOS DE MATURIDADE
Objetivos centrais dos modelos de maturidade
1. Aumentar a produtividade e qualidade, ou seja, a obtenção de
resultados.
2. Diversos estudos, ao avaliar a profusão de metodologias e
abordagens, concluíram que o problema fundamental é a
inabilidade para gerenciar processos de TI.
maturidade
surgiram
para
apontar
os
Os modelos de
caminhos
do
gerenciamento de TI.
3. São construídos sob os conceitos de processos de negócio.
12
NÍVEIS DE MATURIDADE
Características das Organizações Imaturas
Os processos geralmente são improvisados por pessoas experientes.
Se os processos gerenciais foram especificados, não são seguidos com
rigor ou não são obrigatórios.
Postura de reação. Os gerentes normalmente estão focados na solução
de problemas imediatos (ação mais conhecida como “apagar incêndios”).
Os cronogramas e os orçamentos são rotineiramente estourados porque
não são baseados em estimativas realistas.
Quando prazos que não podem ser ultrapassados são impostos, as
funcionalidades e a qualidade do produto são freqüentemente
comprometidas para que o cronograma seja cumprido.
Altos níveis de re-trabalho, o que implica aumento de custos e enormes
desgastes.
A área de TIC é vista pelos membros da organização como “um fim em si
mesma”.
13
Características das Organizações Imaturas
Não existem bases objetivas para a avaliação da qualidade do
produto e nem para a resolução de problemas associados a ele ou
ao processo utilizado. É difícil antever a qualidade dos produtos ou
serviços.
As atividades que objetivam aumentar a qualidade, tais como
revisões e testes, são freqüentemente reduzidas ou eliminadas em
função dos atrasos ocorridos no andamento do projeto.
Traços de animosidade latente. Conflitos entre as áreas usuárias e
TI.
É difícil antever o término dos projetos.
Ausência de planejamento ou planejamento superficial.
Características de Organizações Amadurecidas
Habilidade para gerenciar facilmente identificada.
envolvem toda a organização são definidos e seguidos.
Processos
que
Os processos de gestão são cuidadosamente comunicados à equipe já
existente e aos novos funcionários.
As atividades são realizadas de acordo com o planejamento.
A forma de “fazer as coisas” é natural – sem complicações.
As evoluções na “forma de fazer as coisas” são documentadas e
comunicadas. Implementações de melhoria são feitas levando em
consideração a análise de custo-benefício.
As regras e os limites de responsabilidades são claras para todos.
Os gerentes monitoram a qualidade dos produtos e serviços e a satisfação
do cliente (interno ou externo).
Os cronogramas e os orçamentos são baseados em estimativas realistas
e nas experiências acumuladas. Filosofia do desvio mínimo.
Existe infra-estrutura de suporte.
14
E Como Evoluir?
• Elaboração Planejamento Estratégico de
Sistemas atrelado ao Planejamento da
Organização
• Definição da Política de Informática
• Definição de Painel de Controle dos Serviços de
Informatica
• Gerenciamento do Ativo de Informática
• Gerenciamento dos Softwares Instalados
• Gerenciamento dos Serviços
• Criação de Indicadores de Monitoramento de
Desempenho
Indicadores
•
•
•
•
•
•
•
•
Capacidade Produtiva
Real x Padrão
Produtividade
Interferências
Retrabalho
Compromisso
Prazo de FeedBack
Prazo de Reposição de Equipamentos de
Informatica
15
Mas porquê planejar?
Perda de controle pelos governos
Crescente fragilidade
dos mercados
Ser humano desafiando
de maneira insólita a
natureza
Formação dos blocos
comerciais e guerras
comerciais declaradas
Crescente
interdependência
global
Rápido avanço
tecnológico
Ascensão e queda
da nova economia
Novas determinantes de valor
e menor importância dos
processos de medida
tradicionais
Rápido declínio nos custos da
tecnologia
Melhoria Contínua em TI
Para onde
queremos ir?
Visão e Objetivos
Onde estamos
Avaliações
Como chegamos
lá?
Desenho de TI
Como saberemos
se chegamos?
Métricas
ITIL
ISO17799
CobiT
Alinhamento
Compliance CobiT
Segurança ISO17799
Benchmark de custos
Pesquisas de satisfação
ITIL
ISO17799
CobiT
CobiT Management
Guidelines
16
Planejamento Estratégico
Estratégia
Terminologia oriunda da área MILITAR;
Em grego antigo, significa A ARTE DO GENERAL ou aquilo que
deve ser feito para vencer a batalha;
Generais tem a missão de comandar exércitos, isto é, de vencer os
desafios utilizando de forma apropriada os recursos disponíveis,
conquistando territórios para suas guardiões.
TERMO
Significado
STRATÓS
Exército Acampado
STRATÉIA
Campanha Militar
STRATEGÉO
Liderar como um General
STRATEGÓS
Comandante de Exército
STRATEGÍA
Qualidade e Habilidades de um General
17
Definição de Planejamento Estratégico (PE)
Metodologia adotada de forma a se estabelecer plano de ações
permitindo que estratégias (caminhos ou projetos) possam
ser estabelecidas e acompanhadas
afim de serem atingidos
determinados objetivos.
Onde
Queremos
Chegar?
(Objetivos)
Caminhos
(Estratégias)
Onde estamos?
Modelo Estratégico
Ambiente
Empresarial
Recursos
Empresariais
Estratégicos
Estratégia
Corporativa
Expansão
Controle e
Reavaliação
Objetivos
Estratégicos
Valores e
preferências
dos
Decisores
Expectativas
Sociais e
Comunitárias
DIVERSIFICAÇÃO
Controle e
Reavaliação
18
Definição de Planejamento Estratégico (PE)
A aplicação de um Planejamento Estratégico em
uma organização consiste na utilização de um
conjunto de conceitos e técnicas que permitem
caracterizar seus fundamentos (negócio, missão,
visão e princípios), na avaliação de cenários
(internos e externos à organização), no
levantamento dos fatores críticos de sucesso, no
traçado de objetivos e metas de tal forma a ser
estabelecido um plano estratégico de ação
(projetos), permitido a empresa atingir resultados
esperados.
Estrutura do Ciclo de Planejamento Estratégico
e a Formulação da Estratégia Competitiva
3a. Análise do Ambiente Interno:
Pontos Fortes e Pontos Fracos
1. Definição de Negócio
2. Declaração de Visão, Missão e Valores
3b. Análise do Ambiente Externo:
Ameaças e Oportunidades
3. Análise Ambiental e Elaboração de Cenários
4. Formulação de Objetivos e Metas
5. Definição das Estratégias Empresariais
Formulação da Estratégia Competitiva
6. Implantação: Planos de Ação, Projetos e Feedback (BSC)
19
Fases de um Planejamento Estrategico
Definição do Negócio, da Visão, da Missão, dos Princípios; 1. Entendimento da
Entendimento das habilidades pessoais necessárias.
Filosofia da Empresa
2. Análise e Síntese
das Ações Estratégicas
Implantação dos Planos de Ação e
Projetos; Geração das diretrizes para o
processo orçamentário e controle das
atividades da empresa; Implantação do
Balanced Scorecard.
Estabelecimento dos Cenários, Análise do
Ambiente Interno, Análise do Ambiente
Externo; Formulação de Objetivos e da
Estratégia Competitiva; Planos de Ação.
3. Ação e Controle
Fundamentos do Planejamento Estratégico
Negócio
Missão
Visão
Princípios
FCS’s
20
Definição de Negócio
O Negócio de uma organização define as linhas de
atuação, o mercado e o tipo de produto / serviço
que será desenvolvido, disponibilizado ou
comercializado.
O negócio da organização é definido a fim de
caracterizar o quê a empresa se propõe a fazer,
ramo de atividades e o foco de público a ser
atendido.
O negócio sempre deve levar em conta, benefícios
oferecidos.
Definição de Negócio – Questões Importantes
• Identificação do Negócio Atual
–
–
–
–
Quem é mesmo o seu cliente?
Quais são os benefícios procurados pelo cliente?
Qual é a tecnologia que nós iremos utilizar?
Quem são e quem serão nossos concorrentes?
• Adequação do negócio ao século XXI
– Evite a miopia!!!
– Pergunte e ouça ao cliente!!!
– Use o “farol alto”, abra o foco da lente, divulgue
para todos!!!
21
Qual é o Negócio?
Visão Míope -----------------------> Chocolate
Visão Estratégica --------------> Presentes
• Conseqüências práticas:
•
•
•
•
•
Preço
Embalagem
Localização
Atendimento
Horário de Funcionamento
• SUCESSO !
Kopenhagen 1928
Exemplos de Definições de Negócios
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Nike
Mont Blanc
Fedex
BMW
Harley-Davidson
C&A
Fuji
Amil
Revista Exame
Marcopolo
GM
Honda
Revlon
Avon
Ferrovias Americanas
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Atitude
Prazer de Escrever
Paz de Espírito
Prazer de Dirigir
Estilo de Vida
Moda
Imagens e Informação
Saúde
Idéias
Soluções e Serviços Para Transporte Coletivo
Pessoas em movimento
Transporte
Beleza e Esperança
Beleza
Transporte
22
Definição de Missão
A Missão da empresa define o propósito,
a razão de sua existência e como deve
ser seu posicionamento perante o
negócio definido.
É aplicada para caracterizar quem é a
empresa e para que serve (finalidade).
Deve ser escrita no tempo “Presente”
Definição de Missão – Questões Importantes
• Fazer o que ?
(Qual é o nosso negócio ?)
• Para quem ?
(Quem é o nosso cliente ?)
• Onde ?
(Base, prioridade, estratégia de lugar de negócio)
• Como ?
(Desafio, diferencial da Instituição)
• Com que finalidade ?
(Complemento Social)
• Características de uma boa declaração de Missão:
Menciona o produto ou serviço, menciona os principais mercados ou clientes,
lista as principais atividades desempenhadas e os fatores que diferenciam a
organização de seus concorrentes
23
Exemplos de Missão
3M
• Resolver problemas insolvíveis de maneira inovadora
Hewlett-Packard
• Realizar contribuições tecnológicas para o avanço e o bem-estar da humanidade
Nike
• Experimentar a emoção da competição, vencendo e esmagando os competidores
Sony
• Experimentar a diversão da inovação e aplicar a tecnologia para o benefício e
prazer das pessoas
Disney
• Fazer as pessoas felizes
Missão Petrobrás
Atuar de forma rentável nas atividades da
industria de óleo, gás e energia, tanto no
mercado nacional como internacional,
fornecendo produtos e serviços de qualidade,
protegendo o meio-ambiente, atendendo aos
interesses dos acionistas e contribuindo
decisivamente para o desenvolvimento do
pais.
24
Definição de Visão
A Visão da empresa / entidade define o
destino da mesma, um norte, um rumo a
ser seguido.
A visão é aplicada para caracterizar onde
a empresa / entidade quer chegar.
É escrita no tempo “Futuro”
Definição de Visão
Características de uma Visão de futuro bem construída:
Focada no futuro
Motivadora e inspiradora
Fácil de comunicar
Alcançável
Positiva e otimista
Detalhada
Compartilhada e apoiada
25
Dicas para definir a Visão
•
Ideologia Central: Valores básicos e finalidade básica, junto
com a Missão (razão da existência), complementados por...
•
Objetivos audaciosos, com horizonte de 10 a 30 anos, com
cerca de 50% a 70% de chances de serem alcançados...
•
Tem que ir além de uma definição de objetivos... Tem que
pensar no futuro...
•
Tempere com muito sonho...
•
As empresas realmente grandes compreendem a diferença
entre o que nunca deve ser mudado e o que deve estar aberto
a mudanças.
NASA: Visão 2020
“Estaremos de volta à Lua antes de 2020, mantendo
nossos astronautas por mais de uma semana no
espaço.”
Michael Griffin., CEO
A nova nave, que poderá voar para missões limitadas à
órbita terrestre a partir de 2014, substituirá o ônibus
espacial, que será tirado de serviço em 2010.
26
Visão Petrobrás 2010
Ser reconhecida pela forte presença
internacional e liderança na América
Latina, com liberdade de atuação de uma
corporação internacional, com foco na
rentabilidade e responsabilidade
social.
COBIT
Control Objectives for Information and related Technology
27
Cobit – Control Objectives for Information and related Technology
•
Cobit é um framework que tem um conjunto de componentes que representam
as melhores práticas para Governança de TI, Controle, Auditoria de TI e
Complice com regulamentação (SOX)
Principais caracteristicas do Cobit:
• Orientado a Negócio
• Orientado a Processos
• Baseado em Controles
• Dirigido pelas Mensuraçoes
Governança
Gestão
Controle
Auditoria
Cobit 1
1996
Cobit 2 Cobit 3 Cobit 4
1998
2000
2004
Modelo de Governança de TI
Modelo de Governança de TI
Garantia da ligação entre o negócio e planos
de TI, manutenção e validação da proposição
de valor da TI, alinhada com as operações da
empresa
Alinhamento Estratégico
Execução da Proposição de valor através do
tempo, assegurando que TI entregue os
benefícios de acordo com estratégia,
concentrando-se em otimizar custos e em
Comprovar valor intrínsico de TI
Entrega de Valor
Medição de Desempenho
Gerenciamento de Risco
Acompanhamento e
monitoramento da
implantação da estratégia, do
andamento dos projetos, da
utilização de recursos, do
desempenho dos processos,
da entrega dos serviços,
utilizando medições e
indicadores de desempenho
Conhecimento dos riscos,
entendimento claro dos
requisitos de compliance e das
tendências da empresa para os
riscos, transparência acerca
dos riscos significantes para a
empresa e incorporação de
responsabilidade para o
gerenciamento dos riscos
Gerenciamento de Recursos
Otimização do investimentos e da gestão adequada de recursos (aplicações,
pessoas, informações e infra-estrutura), essenciais para prover os subsídios
de que a empresa necessita para cumprir os seus objetivos
28
Cobit – Control Objectives for Information and related Technology
• Orientado a Negócio
– Orientação a negócio é o tema principal do
COBIT.
– Ele não se destina apenas a ser empregado
por prestadores de serviços de TI, usuários e
auditores, mas também é mais importante,
para fornecer orientação global para a gestão
de negócios
Cobit – Control Objectives for Information and related Technology
• Orientado a Processos
– Cobit define as atividades de TI em um modelo de
processos dividido em 4 domínios (Planejamento e
Organização, Aquisição, Entrega e Suporte e
Monitoramento e Avaliação)
– O mapa de dominios de TI da responsabilidade das
áreas de: Planejar, construir, executar e controlar
– O COBIT fornece um modelo de referência e uma
linguagem comum para TI e Negócio
29
Componentes do CobiT
Objetivos de Negócios
Governança de TI
Informação
4 Dominios
Monitoramento
e Avaliação
7 Critérios da
Informação
Eficiência
Eficácia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Planejamento
e Organização
Recursos de TI
Aplicações
Informação
Infra-Estrutura
Pessoas
Entrega e
Suporte
Aquisição e
Implementação
Cobit – Control Objectives for Information and related Technology
•
Baseado em Controles
– O COBIT define 34 objetivos de controle, um para cada
processo
–
–
Os mapas de gestão (ações) para aumentar o valor ou mitigar os riscos;
Definição de políticas, procedimentos, práticas e estruturas organizacionais
Cabe a gestão fazer as escolhas em relação a quais
objetivos de controle são significantes:
•
•
•
•
Selecionar os controles aplicáveis
Decidir sobre aqueles que serão implementados
Definir como serão implementados
Aceitar o risco da ausência de controle (quando não se deseja implementar
um controle, após a identifica de um evento de risco)
Age
•
•
Comparação
Controle da
Informação
–
Processos e Necessidades de Controle
• O controle é definido como as políticas,
procedimentos, práticas e estruturas organizaionais
destinados a fornecer uma garantia razoavel de que os
objetivos do negócio serão alcançados e eventos
indesejaveis serão evitados ou detectados e corrigidos
Os objetivos de controle fornecem um conjunto completo de
alto nível de requisitos para serem considerados pela
gestão para o controle efetivo da TI de cada processo. São
eles:
Padrão
Processo
Exemplo de Controle (uma Analogia)
Quanto a temperatura de um ambiente
(PADRÃO) para o sistema de
aquecimento (PROCESSO) está definido,
o sistema irá constantemente verificar
(COMPARAÇÃO) da temperatura
ambiente (CONTROLE INFORMAÇÕES)
e sinalizará (AGIR), para o sistema de
aquecimento fornecer mais ou menos
calor.
30
Cobit – Control Objectives for Information and related Technology
Governança de TI
Implantação PME
Metologia de
Implantação
Produtos
Cobit
Controle
Cobit tem suporte a Governança de TI e fornece um Framework
que garante:
• Alinhamento de TI com Negocio
• Maximização dos benefícios de TI
• Uso adequado dos recursos de TI
• Gestão de Risco (TI)
Cobit Quick Start
Implementation Guideline
Cobit fornece um framework de controle que contribui para:
• Oferencendo um link entre o negócio e TI
• Organizando as atividades em Processos
• Identificando os Recursos de TI
• Definindo o Gerenciamento dos Objetivos de Controle
Complice SOX
IT Control Objectives for SOX
Fornece um guia de como garantir a conformidade
(Compliance) para área de TI baseado nos Objetivos de Controle
Auditoria de TI
IT Assurance Guide
Fornece uma abordagem de auditoria e um guia que dá suporte
a auditoria dos processos Cobit
Comparações e
Atualizações
Cobit On-line (Benchmarketing)
Objetivos do Cobit
Ser um padrão geralmente aceito e de aplicação das melhores práticas de
governança de TI
Aplicar as melhores práticas a partir de uma matriz de domínios,
processos e atividades estruturados de forma lógica e gerenciável
Auxiliar na associação entre os riscos do negócio, as necessidades de
controle e os aspectos tecnológicos.
31
Público-alvo do COBIT
Administradores de TI: para os auxiliar na ponderação entre riscos e
investimentos em controles e na gestão de um ambiente imprevisível como o de
TI
Administradores de Segurança: para os auxiliar na certificação da segurança
e dos controles dos serviços de TI fornecidos internamente ou por terceiros
Auditores de Sistemas: para os auxiliar com subsídios às suas opiniões e/ou
no aconselhamento aos administradores sobre os controles internos na área
de TI
COBIT e os Órgãos Reguladores
Tribunais de Contas
Agências Reguladoras
Banco Central do Brasil
CVM - Comissão de Valores Mobiliários
Auditorias Independentes
Outras Instituições: Conselhos, Associações, Institutos
32
Componentes do COBIT
COBIT
ESTRUTURA
DO COBIT
DIRETRIZES
GERENCIAIS
MODELOS
DE
MATURIDADE
FATORES
CRÍTICOS DE
SUCESSO
OBJETIVOS
DE CONTROLE
DETALHADOS
INDICADORES
CHAVES DE
METAS
DIRETRIZES
DE AUDITORIA
INDICADORES
CHAVES DE
DESEMPENHO
Histórico do COBIT
COBIT 3rd Edition (2000): ITGI - IT Governance Institute
COBIT 2nd Edition (1998): ISACF - Information Systems Audit and Control
Foundation
COBIT 1st Edition (1996): ISACF
“Control Objectives”, editado pela EDP Auditors Foundation (em 1986/87 a
E.D.P.A.A. – São Paulo Chapter, atual ABAS, traduziu, publicou e distribuiu
os Objetivos de Controle aos seus associados)
33
Estrutura do COBIT
OBJETIVOS
DE CONTROLE
DETALHADOS
RECURSOS
DE T I
OBJETIVOS
DE NEGÓCIO
INFORMAÇÃO
REQUISITOS
DE NEGÓCIO
DIRETRIZES
DE AUDITORIA
PROCESSOS
DE T I
34 OBJETIVOS
DE CONTROLE
DE ALTO NÍVEL
DOMÍNIOS DE
GOVERNANÇA
DIRETRIZES
GERENCIAIS
Estrutura do COBIT
RECURSOS
DE T I
PESSOAL
SISTEMAS
DADOS
TECNOLOGIA
INSTALAÇÕES
REQUISITOS
DE NEGÓCIO
PROCESSOS
DE T I
34 OBJETIVOS
DE CONTROLE
DE ALTO NÍVEL
DOMÍNIOS DE
GOVERNANÇA
34
Recursos de TI
PESSOAL: Inclui perfil funcional da equipe, formação e capacitação
profissional, quadro de pessoal interno e externo, cargos, atribuições
e responsabilidades
SISTEMAS: São entendidos como conjuntos de processos manuais
e/ou informatizados
DADOS: São objetos de dados, incluindo imagens, sons etc.,
armazenados na forma de arquivos ou bancos de dados
TECNOLOGIA: Inclui todos os recursos de hardware e software do
ambiente tecnológico
INSTALAÇÕES: Inclui todas as instalações para acolher e suportar
os recursos tecnológicos, o pessoal e os sistemas de informação
Estrutura do COBIT
RECURSOS
DE T I
REQUISITOS
DE NEGÓCIO
PROCESSOS
DE T I
QUALIDADE
CONFIANÇA
34 OBJETIVOS
DE CONTROLE
DE ALTO NÍVEL
DOMÍNIOS DE
GOVERNANÇA
SEGURANÇA
35
Requisitos de Negócio
QUALIDADE: os requisitos de negócio no tocante a qualidade são
medidos por 7 critérios da informação, que podem ser subdivididos em
4 de confiança e 3 de segurança
CONFIANÇA: os requisitos de negócio no tocante a confiança são
medidos pelos critérios:
. Eficácia, Eficiência, Confiabilidade e Conformidade
SEGURANÇA: os requisitos de negócio no tocante a segurança são
medidos pelos critérios:
. Confidencialidade, Integridade e Disponibilidade
Critérios da Informação: Confiança
EFICÁCIA: Trata da informação que está sendo relevante e pertinente
ao processo do negócio, bem como que esteja sendo entregue de um
modo oportuno, correto, consistente e útil
EFICIÊNCIA: Diz respeito à provisão da informação através do uso
ótimo (mais produtivo e econômico) dos recursos. Custo
CONFIABILIDADE: Relaciona-se à provisão de informação apropriada
para a gerência operar a entidade e para a gerência exercer suas
responsabilidades de relatar aspectos de conformidade e financeiros
CONFORMIDADE: Trata do cumprimento das leis, dos regulamentos e
arranjos contratuais aos quais o processo de negócio está sujeito, i.e.,
critérios de negócio impostos externamente
36
Critérios da Informação: Segurança
CONFIDENCIALIDADE: Diz respeito à proteção da informação sigilosa
contra a revelação não autorizada
INTEGRIDADE: Relaciona-se à exatidão e à inteireza da informação
bem como à sua validez de acordo com os valores e expectativas do
negócio
DISPONIBILIDADE: Relaciona-se à informação que está sendo
disponibilizada quando requerida pelo processo de negócio agora e no
futuro. Também diz respeito à salvaguarda dos recursos necessários e
às capacidades associadas. Entrega
Estrutura do COBIT
RECURSOS
DE T I
PLANEJAMENTO
& ORGANIZAÇÃO
REQUISITOS
DE NEGÓCIO
AQUISIÇÃO &
IMPLEMENTAÇÃO
PRODUÇÃO
& SUPORTE
PROCESSOS
DE T I
34 OBJETIVOS
DE CONTROLE
DE ALTO NÍVEL
DOMÍNIOS DE
GOVERNANÇA
MONITORAÇÃO
& CONTROLE
37
Domínios do COBIT
PLANEJAMENTO & ORGANIZAÇÃO: Esse domínio cobre estratégia
e tática e diz respeito à identificação da maneira que a TI pode melhor
contribuir para o atendimento dos objetivos do negócio. Além do mais, a
realização da visão estratégica precisa ser planejada, comunicada e
gerenciada para diferentes perspectivas. Finalmente, uma organização
apropriada bem como uma infraestrutura tecnológica devem ser
estabelecidas
AQUISIÇÃO & IMPLEMENTAÇÃO: Para concretizar a estratégia de
TI, soluções de TI precisam ser identificadas, desenvolvidas ou
adquiridas, bem como implementadas e integradas no processo do
negócio. Adicionalmente, mudanças e manutenções nos sistemas
existentes estão cobertas por este domínio para assegurar que o ciclo;
o de vida continue para esses sistemas
Domínios do COBIT
PRODUÇÃO & SUPORTE: Esse domínio se preocupa com as
entregas reais dos serviços requeridos que abrangem as operações
tradicionais sobre aspectos de segurança e continuidade até
treinamento. A fim de entregar serviços, os processos necessários de
suporte devem ser estabelecidos. Esse domínio inclui o processamento
real de dados pelos sistemas aplicativos, freqüentemente classificados
como controles de aplicações
MONITORAÇÃO & CONTROLE: Todos os processos de TI precisam
ser regularmente avaliados ao longo do tempo com relação a sua
qualidade e conformidade com os requisitos de controle. Esse domínio
desse modo endereça o processo de controle dos “descuidos da
organização” por parte da gerência e garantia independente dada por
auditorias internas externas ou obtida de fontes alternativas
38
Estrutura do COBIT
PLANEJAMENTO
& ORGANIZAÇÃO
PRODUÇÃO
& SUPORTE
RECURSOS
DE T I
11 Processos de T I
• Definir PETI
• Gerenciar RH
• Gerenciar Projetos
...
13 Processos de T I
• Ger. Operações
• Gerenciar Dados
• Ger. Configuração
...
REQUISITOS
DE NEGÓCIO
AQUISIÇÃO &
IMPLEMENTAÇÃO
6 Processos de T I
• Adquirir Software
• Manter Infra TI
• Homologar Sist.
...
MONITORAÇÃO
& CONTROLE
4 Processos de T I
• Monitorar Proces.
• Avaliar Controles
• Prover Auditorias
...
PROCESSOS
DE T I
34 OBJETIVOS DE
CONTROLE DE
ALTO NÍVEL
DOMÍNIOS DE
GOVERNANÇA
Processos de TI
M1
M2
M3
M4
monitorar os processos
avaliar a adequação do controle interno
obter certificação independente
providenciar auditoria independente
PLANEJAMENTO E
ORGANIZAÇÃO
MONITORAÇÃO
DS1 definir níveis de serviços
DS2 gerenciar serviços de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos serviços
DS5 garantir segurança dos sistemas
DS6 identificar e alocar custos
DS7 educar e treinar usuários
DS8 auxiliar e aconselhar usuários de TI
DS9 gerenciar a configuração
DS10 gerenciar problemas e incidentes
DS11 gerenciar dados
DS12 gerenciar instalações
DS13 gerenciar a operação
PO1 definir um plano estratégico de TI
PO2 definir a arquitetura de informação
PO3 determinar a direção tecnológica
PO4 definir a organização e relacionamentos da TI
PO5 gerenciar o investimento em TI
PO6 comunicar metas e diretivas gerenciais
PO7 gerenciar recursos humanos
PO8 garantir cumprimento de exigências externas
PO9 avaliar riscos
PO10 gerenciar projetos
PO11 gerenciar qualidade
AQUISIÇÃO E
IMPLEMENTAÇÃO
PRODUÇÃO E
SUPORTE
AI1
AI2
AI3
AI4
AI5
AI6
identificar soluções
adquirir e manter software aplicativo
adquirir e manter arquitetura tecnológica
desenvolver e manter procedimentos de TI
instalar e certificar sistemas
gerenciar mudanças
39
Manuais do COBIT
Executive
Summary
COBIT
Detailed
Control
Objectives
Framework
ESTRUTURA
DO COBIT
Audit
Guidelines
Management
Guidelines
DIRETRIZES
GERENCIAIS
MODELOS
DE
MATURIDADE
FATORES
CRÍTICOS DE
SUCESSO
OBJETIVOS
DE CONTROLE
DETALHADOS
INDICADORES
CHAVES DE
METAS
DIRETRIZES
DE AUDITORIA
INDICADORES
CHAVES DE
DESEMPENHO
40
Guia de Gerenciamento
•
Fornece um link entre controle de TI e a Governança de TI. Eles são
orientados a ação. Ele fornece guia de gerenciamento especifico e
direcionado para as informações corporativas e processos relacionados
sob controle, monitorando as metas da empresa e melhorando a
performance dos processos de TI
Estas guias ajuda a responder as questões títicas de Gestão, tais como:
O custo do controle de TI é justificado pelo benefício?
Quais são as metas e as métricas?
Quem é responsável pela prestação de Contras?
Quais são os riscos de não alcançar nossos Objetivos?
Como nós medimos e comparamos a maturidade da organização?
Qual é a estratégia da Organização para a melhoria Contínua?
O modelo de maturidade do COBIT é uma forma de medir a
capacidade dos processos e saber quão eles estão desenvolvidos
LEGENDA
0-INEXISTENTE – Gerenciamento
de processos não são aplicados
1 – INICIAL – Processos são
Informais e desorganizados
2 – REPETITIVO – Os processos
são intuitivo e seguem um padrão
3 – DEFINIDO – Os processos são
formais, documentados e
comunicados e aplicados
4 – GERENCIADO – Os processos
monitorados e medidos
5 – OTIMIZADO – Melhores
Práticas são seguidas e os
processos são automatizados. É
aplicado o ciclo de melhoria
continua.
41
Gestão de Pessoas
Gestão de Pessoas - Introdução
• Diferentes Gerações convivem hoje em
torno do mundo da TI corporativa
Tradicionalistas
Geração X
Baby Boomers
Geração Y
42
Gestão de Pessoas - Introdução
•
Tradicionalistas
– Nascidos antes de 1945
• Donos/Acionistas/Conselhos/Diretor
• Na grande maioria apresentam grande dificuldade em lidar com a
TI e compreender a sua aplicação
•
Baby Boomers
– Nascidos antes de 1946 a 1964
• Direção e gerências em direção a saída
• Boa parte apresenta dificuldade emlidar com a TI e Compreender a
sua aplicação
• Normalmente optam por investimentos palpáveis em ativos,
relegando a TI a um segundo plano
• Mais afetados pela TI nos seus processos de trabalho, acabam
concedendo recursos
• Boa parte dos gestores de TI também são Baby Boomers
Gestão de Pessoas - Introdução
•
Geração X
– Nascidos antes de 1965 a 1979
• Filhos dos tradicionalistas e dos Baby Boomers
• Gerências e direção na porta de entrada
• TI é um opcional, não vem de fabrica
• TI é uma ferramenta obrigatoria no dia-a-dia
• Significativa parcela dos gestores de TI já são da geração X
•
Geração y
– Nascidos antes após 1980
• A turma da baías
• Netos dos Tradicionalistas e Filhos dos Baby Boomers
• A geração dos jovens do milênio do milenio / Geração do “por que?”
• TI já vem da fábrica
• Estão permantentemente plugados
• Não vivem sem TI
43
Gestão de Pessoas – Como lidar com as Questões?
• Como atender às expectativas de reconhecimento?
• Como garantir alta performance e manter a equipe
motivada?
• Como reter talentos num mercado demandante por
capacitação?
• Como manter a equipe atualizada em novas
tecnologias com pouco orçamento?
• Como garantir um bom atendimento aos usuários
quando não são bem reconhecidos pelos mesmos?
Gestão de Pessoas – Não há um resposta Comum!!!
• Precisa-se considerar que cada organização tem
uma cultura própria;
• Cada indivíduo reage de forma diferente ao outro;
• Importante manter um bom ambiente de trabalho,
pelo menos na TI
• Transparência pode ajudar
44
Gestão de Pessoas – Liderança
Gerenciando equipes de alta performance
O Comportamento da Liderança é responsável por até 30% da diferença em
desempenho da equipe
70% de todas as iniciativas de mudanças mal sucedidas ocorrem devido a
assuntos relacionados a gestão de pessoas
Empresas com Lideres verdadeiramente capacitados obtem ganhos superiores
em 20%
Por causa do “Meu Chefe” é a principal razão de um profissional deixar a
emprsa em 30% dos casos
Gestão de Pessoas – Liderança
Gerenciando equipes de alta performance
“OS GRANDES LÍDERES NOS MOBILIZAM, INFLAMAM NOSSA PAIXÃO E
INSPIRAM O MELHOR DE NOS”
Daniel Goleman
45
Gestão de Pessoas - Cuidados
O “Jogo” corporativo – Correntes e fluxos de decisão.
Motivação e treinamento
performance e resultados.
Avaliação
negociados.
do
desempenho
(alguns)
face
resultam
aos
em
objetivos
Feedback constante com foco no desenvolvimento.
É necessário “desafiar” a equipe – Apostar na
superação !
Recomendações
Definitivamente, a responsabilidade final recai sobre o LIDER. Estar
no comando significa exatamente isso: as pessoas não devem
responsabilizar seus subordinados ou tentar colocar a culpa em outras
pessoas.
Aceite o fato de que todos cometem erros. Não crie uma cultura de
culpa – em vez de punir as pessoas, tente aprender com os erros,
tirando deles o que há de positivo.
Não seja herói. Avaliar até onde vale a pena ir !! Lembre-se: a vida
continua !
Acostume-se à idéia: Gestor de TI – alvo ambulante !
Tomada de decisões – Incertezas e cobranças
46
Gestão de Riscos
Gestão de Risco
Entendendo Conceitualmente RISCO
Alguma coisa ruim pode Acontecer – (o risco da perda)
Talvez Alguma coisa ruim pode acontecer – (o risco de volatidade)
Alguma coisa boa pode não Acontecer – (o risco da oportunidade)
47
Gestão de Risco
Definição de Risco
“Qualquer evento que possa impactar a
capacidade de companhia de atingir
seus objetivos de Negócio”
Gestão de Risco
Entendendo Conceitualmente RISCO
Estratégico
Aquisições, mergers, mudanças de governo,
inovaçoes, novos meios
Financeiro
Tesouraria, contabilidade, sistemas, fraudes
Comercial
Fornecedores, Clientes, governo, terceiros,
competidores..
Operacional
Fatores Humanos, segurança, saúde,
competências..
Técnico
Falhas técnicas, infra-estrutura, perigos naturais
(natureza)
48
Gestão de Risco
Entendendo Conceitualmente RISCO
Valores
Indicadores Chave
Cadeia de Valor
Direcionadores de Valor
Key Performance Indicators (KPI)
RISCOS
Gestão de Pessoas – Gestão de Risco
Entendendo o Tratamento de Risco
POR QUÊ?
• Controles tradicionais são eliminados devido a mudanças organizacionais
• Novas tecnologias introduzem novos riscos
• A complexidade dos processos e negócios tem aumentado
• Fraudes são um problema para as Organizaçoes
• Erros e irregularidades (em nível estratégico, tático e operacional) produzem impactos
relevantes às organizações
O processo de gestão de risco requer das organizações e dos executivos
direcionamento correto, metodologia, conhecimento e experiência
49
Gestão de Pessoas – Gestão de Risco
O que as melhores empresas estão fazendo?
Busca contínua no atendimento ao grau de satisfação dos clientes
Estabelecendo parcerias com clientes e fornecedores
Adotando equipes de trabalho multifuncionais
Utilizando avaliações de performance e recompensas na busca de excelência
Enfatizando a implantação de pacotes de Gestão Integrada (Ex. SAP,
Peoplesoft)
Gestão de Pessoas – Gestão de Risco
Entendendo o Tratamento de Risco
Confidencialidade
Proteger o acesso das informações dos sistemas a pessoas não
autorizadas
Integridade
Proteger a informação de modificações não autorizadas, não previstas e
não intencional, garantindo consistência dos dados, recuperação completa
e pontual
Disponibilidade
Garantir que a informação e os serviços vitais de informática estarão
disponíveis quando requerido
50
Gestão de Pessoas – Gestão de Risco
Entendendo o Tratamento de Risco
RISCO
=
Vulnerabilidades
X
Ameaça
X
Valor do Ativo
X
Probabilidade de
impacto
“Potencial de uma dada ameaça explorar vulnerabilidades de
um ativo ou grupo de ativos causando perdas e danos a
estes ativos”
Gestão de Pessoas – Gestão de Risco
Entendendo o Tratamento de Risco
O que acontece por ai..
Compartilhamento de contas de usuários
Frágil composição e divulgação de senhas de acesso
Circulação de terceiros
Utilização inadequada da Internet e e-mail
“Viva-voz”
Impressoras, fax e copiadoras
Papéis, flipcharts e quadros-brancos em salas de reunião
Mesa de trabalho
Computadores / Aplicações deixadas abertas
Divulgação da informação de forma indevida, em público ou ambiente
inadequado
Descarte inadequado de documentos e recursos
51
Gestão de Risco
Entendendo o Tratamento de Risco
O que acontece por ai..
Maiores ofensores:
47% empregados
24% Hackers
18% competidores
11% terceiros / Prestadores de serviços
28% dos ataques internos são por meio de advinhação de senha
Principais ameaças: virus, senhas e acessos não autorizados
Impactos maiores nas estruturas de rede (41%) e de serviços de e-mail
(39%)
Sistema de Gestão de
Segurança da Informação
(SGSI)
52
Importância do Tema Segurança
Segurança em Tecnologia da Informação não é apenas um serviço ou
uma política, é um recurso imperativo e indispensável, que deve ser
imposto, bem projetado e acompanhar educação de todo o corpo de
profissionais que faz uso da TI.
Valor da segurança dos dados e da informação que circula na
companhia é impossível ser determinado; pode inclusive representar
valor superior as operações da própria organização, dependendo de
como são usadas.
Segurança é portanto, a proteção de informações, sistemas, recursos
e serviços contra desastres, erros e manipulação não autorizada, de
forma a reduzir a probabilidade e o impacto
Objetivos da Segurança
Integridade dos dados: evitar que dados sejam apagados, ou
alterados sem a permissão do gestor da informação.
Confidencialidade ou privacidade: proteger as informações contra
acesso de qualquer pessoa não autorizada pelo gestor da
informação.
Legalidade: Estado legal da informação, em conformidade com os
preceitos da legislação em vigor.
Disponibilidade: garantir o provimento do serviço de informática,
sob demanda, sempre que necessário aos usuários autorizados.
Consistência: certificar-se de que o sistema atua de acordo com a
expectativa dos usuários.
Isolamento ou uso legítimo: controlar o acesso ao sistema.
Garantir que somente usuários autorizados possuam acesso ao
sistema.
53
Objetivos da Segurança
Auditoria: proteger os sistemas contra erros e
atos cometidos por usuários autorizados. Para
identificar autores e ações, são utilizadas
trilhas de auditorias e logs, que registram o
que foi executado no sistema, por quem e
quando.
Confiabilidade: garantir que, mesmo em
condições adversas, o sistema atuará
conforme esperado.
O que é a ISO?
ISO é o nome usual com o qual é conhecida a International
Organization for Standardization (Organização Internacional de
Padronização).
É uma entidade fundada em 1947, sediada na Suiça. Congrega
organismos de normalização nacionais, cuja principal atividade é
a de elaborar padrões para especificações e métodos de trabalho
nas mais diversas áreas da sociedade, exceto no setor eletroeletrônico onde a responsabilidade fica a cargo da International
Electrotechical Comission (IEC).
O Brasil é representado na ISO através da ABNT - Associação
Brasileira de Normas Técnicas.
54
ISO 27001
ISO 27001: referência da implantação de Processos de Gestão de
Segurança da Informação, publicada em Outubro de 2005.
Esta norma veio tornar padrão internacional o que havia sido
desenvolvido e publicado pela entidade normativa inglesa BSI (British
Standard Institution), com o designação de BS7799-2.
A norma ISO/IEC 27001 (Information Technology - Information Security
Management Systems - Requirements) trata da implantação de um
Processos de Gestão de Segurança da Informação (ISMS - Information
Security Management Systems). Esta norma em conjunto com a ISO/IEC
17799 (Código de Boas Práticas da Gestão de Segurança da
Informação) são as principais referências, atualmente, para a quem
procura tratar a questão da segurança da informação de maneira
eficiente e com eficácia.
PROCESSO DE ABORDAGEM
55
MAPA MENTAL
PLAN
Definir Escopo e Limites do SGSI
Definir a Política Geral de Segurança da Informação
Definir a metodologia para a avaliação e tratamento de
riscos
Identificar e classificar os riscos
Identificar e classificar as alternativas para tratamento
dos riscos
Selecionar objetivos de controle e controles específicos a
implementar
Identificar riscos residuais não cobertos
Preparar uma Declaração de Aplicabilidade (DDA) Sumário
Obter autorização para implantar o SGSI
Formular um plano de ação
56
DO
Implantar o plano de tratamento de riscos
Implantar os controles definidos
Implantar os programas de treinamento e conscientização
dos usuários
Gerenciar o SGSI
CHECK
Monitar controles existentes
Realizar revisões periódicas (Auditoria Interna)
Analisar efetividade dos controles existentes
Verificar novos riscos e nível dos riscos residuais
57
ACT
Implementar melhorias necessárias
Comunicar ações
Garantir que as mudanças atingiram resultado esperado
5W2H
• O método é a descrição detalhada de uma estratégia para
atendimento da meta. Um bom Plano de Ação deve conter os
chamados 5W2H:
•
•
•
•
•
•
•
WHAT (o que fazer);
WHO (quem deve fazer);
WHEN (quando fazer);
WHERE (onde fazer);
WHY (porque fazer);
HOW (como fazer);
HOW MUCH (quanto investir).
58
Seções da ISO/IEC 27001
1) Política de Segurança da Informação
•
Objetivo: Prover uma orientação e apoio para a segurança da informação de acordo com
os requisitos do negócio e com as leis e regulamentações relevantes.
•
Controles:
– 1.1) Política de segurança da informação;
1.1.1) Documentação da política de segurança da informação;
1.1.2) Revisão e Análise crítica da política de segurança da informação.
Seções da ISO/IEC 27001
•
2) Organização da Segurança da Informação
•
Objetivo: Gerenciar a segurança da informação dentro da organização, e com entidades
externas a ela.
•
•
Controles:
2.1) Infra-estrutura da segurança da informação;
•
2.1.1) Comprometimento da direção com a segurança da informação;
•
2.1.2) Coordenação da segurança da informação;
•
2.1.3) Atribuição de responsabilidades para a segurança da informação.
•
2.1.4) Processo de autorização para os recursos de processamento da
informação;
•
2.1.5) Acordos de confidencialidade;
•
2.1.6) Contato com autoridades;
•
2.1.7) Contato com grupos especiais;
•
2.1.8) Análise crítica independente de segurança da informação;
2.2) Entidades externas;
•
2.2.1) Identificação dos riscos relacionados com entidades externas;
•
2.2.2) Identificando a segurança da informação, quando tratando com clientes;
•
2.2.3) Identificando segurança da informação nos acordos com terceiros;
•
59
Seções da ISO/IEC 27001
•
3) Gestão de Ativos
•
Objetivo: Alcançar e manter a proteção adequada dos ativos da organização, bem como o
nível de acesso às informações.
•
Controles:
– 3.1) Responsabilidade pelos ativos;
•
3.1.1) Inventário dos ativos;
•
3.1.2) Proprietário dos ativos;
•
3.1.3) Uso aceitável dos ativos;
– 3.2) Classificação da informação;
•
3.2.1) Recomendações para classificação;
•
3.2.2) Rótulos e tratamento da informação.
Seções da ISO/IEC 27001
•
4) Segurança em Recursos Humanos
•
Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas
responsabilidades e estejam de acordo com os seus papéis, bem como estejam treinados
para suportar a política de segurança no curso de seu trabalho normal. Reduzir o risco de
roubo, fraude ou mau uso de recursos.
•
•
•
•
•
Controles:
4.1) Antes da Contratação;
•
4.1.1) Papéis e responsabilidades;
•
4.1.2) Seleção;
•
4.1.3) Termos e condições de contratação;
4.2) Durante a contratação;
•
4.2.1) Responsabilidades dos gestores;
•
4.2.2) Conscientização, educação e treinamento em segurança da informação;
•
4.2.3) Processo disciplinar;
4.3) Encerramento ou mudança da contratação;
•
4.3.1) Encerramento de atividades;
•
4.3.2) Devolução de ativos;
•
4.3.3) Retirada de direitos de acesso;
60
Seções da ISO/IEC 27001
•
5) Segurança Física e do Ambiente
•
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências nas instalações,
informações e atividades da organização.
•
•
Controles:
5.1) Áreas seguras
•
5.1.1) Perímetro de segurança;
•
5.1.2) Controles de entrada física;
•
5.1.3) Segurança em escritórios, salas e instalações;
•
5.1.4) Proteção contra ameaças externas e do meio ambiente;
•
5.1.5) Trabalhando em áreas seguras;
•
5.1.6) Acesso do público, áreas de entrega e de carregamento;
5.2) Segurança de equipamentos;
•
5.2.1) Localização e proteção do equipamento;
•
5.2.2) Utilidades de suporte;
•
5.2.3) Segurança do cabeamento;
•
5.2.4) Manutenção dos equipamentos;
•
5.2.5) Segurança de equipamentos fora das dependências da organização;
•
5.2.6) Reutilização e alienação segura de equipamentos;
•
5.2.7) Remoção de propriedade;
•
Seções da ISO/IEC 27001
•
6) Gestão das Operações e Comunicações
•
Objetivo: Garantir a operação segura e correta dos recursos de processamento da
informação. Implementar e manter o nível apropriado de segurança da informação e
entrega de serviços conforme acordos com fornecedores e terceiros. Minimizar o risco de
falhas nos sistemas. Proteger a integridade dos softwares e das informações, bem como
garantir a disponibilidade dos mesmos. Manter seguras as trocas de informações e
softwares dentro da organização e com entidades externas.
•
•
Controles:
6.1) Procedimentos e responsabilidades operacionais;
•
6.1.1) Documentação dos procedimentos de operação;
•
6.1.2) Gestão de mudanças;
•
6.1.3) Segregação de funções;
•
6.1.4) Separação dos recursos de desenvolvimento, teste e de produção;
6.2) Gerenciamento de serviços terceirizados;
•
6.2.1) Entrega de serviços;
•
6.2.2) Monitoramento e análise crítica de serviços terceirizados;
•
6.2.3) Gerenciamento de mudanças para serviços terceirizados;
6.3) Planejamento e aceitação dos sistemas;
•
6.3.1) Gestão de capacidade;
•
6.3.2) Aceitação de sistemas;
•
•
61
Seções da ISO/IEC 27001
•
•
•
•
•
•
•
•
6.4) Proteção contra códigos maliciosos e códigos móveis;
•
6.4.1) Controles contra códigos maliciosos;
•
6.4.2) Controles sobre códigos móveis;
6.5) Cópias de segurança;
6.5.1) Cópias de segurança da informação;
6.6) Gerenciamento da segurança em redes;
6.6.1) Controles de redes;
6.6.2) Segurança dos serviços de redes;
6.7) Manuseio de mídias;
•
6.7.1) Gerenciamento de mídias removíveis;
•
6.7.2) Descarte de mídias;
•
6.7.3) Procedimentos para tratamento de informação;
•
6.7.4) Segurança da documentação dos sistemas;
6.8) Troca de informações;
•
6.8.1) Políticas e procedimentos para a troca de informações;
•
6.8.2) Acordos para a troca de informações;
•
6.8.3) Mídias em trânsito;
•
6.8.4) Mensagens eletrônicas;
•
6.8.5) Sistemas de informação do negócio;
Seções da ISO/IEC 27001
•
•
6.9) Serviços de comércio eletrônico;
•
6.9.1) Comércio eletrônico;
•
6.9.2) Transações on-line;
•
6.9.3) Informações publicamente disponíveis;
6.10) Monitoramento;
•
6.10.1) Registros de auditoria;
•
6.10.2) Monitoramento do uso de sistema;
•
6.10.3) Proteção das informações dos registros (log);
•
6.10.4) Registros (log) de administrador e operador;
•
6.10.5) Registros (log) de falhas;
•
6.10.6) Sincronização dos relógios;
62
Seções da ISO/IEC 27001
•
7) Controle de Acesso
•
Objetivo: Controlar o acesso à informação. Garantir o acesso a usuários autorizados e
prevenir acessos não autorizados a serviços de rede, sistemas operacionais, computação
móvel ou recursos de trabalho remoto.
•
•
Controles:
7.1) Requisitos de negócio para controle de acesso;
•
7.1.1) Política de controle de acesso;
7.2) Gerenciamento de acesso do usuário;
•
7.2.1) Registro de acesso do usuário;
•
7.2.2) Gerenciamento de privilégios;
•
7.2.3) Gerenciamento de senha do usuário;
•
7.2.4) Revisão e análise crítica dos direitos de acesso do usuário;
7.3) Responsabilidade dos usuários;
•
7.3.1) Uso de senhas;
•
7.3.2) Equipamento de usuário sem monitoração;
•
7.3.3) Política de mesa e tela limpa;
•
•
Seções da ISO/IEC 27001
•
•
•
•
7.4) Controle de acesso à rede;
•
7.4.1) Política de uso dos serviços de rede;
•
7.4.2) Autenticação para conexão externa do usuário;
•
7.4.3) Identificação de equipamento em redes;
•
7.4.4) Proteção e configuração de portas de diagnóstico remotas;
•
7.4.5) Segregação de redes;
•
7.4.6) Controle de conexão de rede;
•
7.4.7) Controle de roteamento de redes;
7.5) Controle de acesso ao sistema operacional;
•
7.5.1) Procedimentos seguros de entrada no sistema;
•
7.5.2) Identificação e autenticação de usuário;
•
7.5.3) Sistema de gerenciamento de senha;
•
7.5.4) Uso de utilitários de sistema;
•
7.5.5) Desconexão de terminal por inatividade;
•
7.5.6) Limitação de horário de conexão;
7.6) Controle de acesso à aplicação e à informação;
•
7.6.1) Restrição de acesso à informação;
•
7.6.2) Isolamento de sistemas sensíveis;
7.7) Computação móvel e trabalho remoto;
•
7.7.1) Computação e comunicação móvel;
•
7.7.2) Trabalho remoto.
63
Seções da ISO/IEC 27001
•
8) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
•
Objetivo: Garantir que segurança é parte integrante dos sistemas de informação. Prevenir
erros, perdas, modificações não-autorizadas ou mal uso das informações das aplicações.
Proteger a confidencialidade, autenticidade e integridade das informações por meios
criptográficos. Reduzir os riscos de exploração de vulnerabilidades técnicas.
•
•
Controles:
8.1) Requisitos de segurança de sistemas de informação;
•
8.1.1) Análise e especificação dos requisitos de segurança;
8.2) Processamento correto nas aplicações;
•
8.2.1) Validação dos dados de entrada;
•
8.2.2) Controle do processamento interno;
•
8.2.3) Integridade de mensagens;
•
8.2.4) Validação de dados de saída;
8.3) Controles criptográficos;
•
8.3.1) Política para o uso de controles criptográficos;
•
8.3.2) Gerenciamento das chaves;
8.4) Segurança dos arquivos do sistema;
•
8.4.1) Controle de software operacional;
•
8.4.2) Proteção dos dados para teste de sistema;
•
8.4.3) Controle de acesso ao código-fonte de programa;
•
•
•
Seções da ISO/IEC 27001
•
•
8.5) Segurança em processos de desenvolvimento e de suporte;
•
8.5.1) Procedimentos parar controle de mudanças;
•
8.5.2) Análise crítica técnica das aplicações após mudanças n sistema
operacional;
•
8.5.3) Restrições sobre mudanças em pacotes de software;
•
8.5.4) Vazamento de informações;
•
8.5.5) Desenvolvimento terceirizado de software;
8.6) Gestão de vulnerabilidades técnicas;
•
8.6.1) Controle de vulnerabilidades técnicas;
64
Seções da ISO/IEC 27001
•
9) Gestão de Incidentes e Segurança da Informação
•
Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados
com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva
em tempo hábil. Garantir uma gestão da segurança consistente e eficiente.
•
•
Controles:
9.1) Notificação de fragilidades e eventos de segurança da informação;
•
9.1.1) Notificação de eventos de segurança da informação;
•
9.1.2) Notificando fragilidades de segurança da informação;
9.2) Gestão de incidentes de segurança da informação e melhorias;
•
9.2.1) Responsabilidades e procedimentos;
•
9.2.2) Aprendendo com os incidentes de segurança da informação;
•
9.2.3) Coleta de evidências.
•
Seções da ISO/IEC 27001
•
10) Gestão da Continuidade do Negócio
•
Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em
tempo hábil, se for o caso.
•
•
Controles:
10.1) Aspectos da gestão da continuidade do negócio, relativos à segurança da
informação;
•
10.1.1) Incluindo segurança da informação no processo de gestão da
continuidade de negócio;
•
10.1.2) Continuidade de negócios e análise/ avaliação de riscos;
•
10.1.3) Desenvolvimento e implantação de planos de continuidade relativos à
segurança da informação;
•
10.1.4) Estrutura do plano de continuidade do negócio;
•
10.1.5) Testes, manutenção e reavaliação dos planos de continuidade do
negócio.
65
Seções da ISO/IEC 27001
•
11) Conformidade
•
Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou
obrigações contratuais e de quaisquer requisitos de segurança da informação. Garantir
conformidade dos sistemas com os padrões e políticas da organização. Maximizar a
eficácia e minimizar a interferência das auditorias.
•
•
Controles:
11.1) Conformidade com requisitos legais;
•
11.1.1) Identificação da legislação vigente;
•
11.1.2) Direitos de propriedade intelectual;
•
11.1.3) Proteção de registros organizacionais;
•
11.1.4) Proteção de dados e privacidade de informações pessoais;
•
11.1.5) Prevenção de mau uso de recursos de processamento da informação;
•
11.1.6) Regulamentação de controles de criptografia;
11.2) Conformidade com normas e políticas de segurança da informação e conformidade
técnica;
•
11.2.1) Conformidade com as políticas e normas de segurança da informação;
•
11.2.2) Verificação da conformidade técnica;
11.3) Considerações quanto à auditoria de sistemas de informação;
•
11.3.1) Controles de auditoria de sistemas de informação;
•
11.3.2) Proteção de ferramentas de auditoria de sistemas de informação;
•
•
FAFIMAN
GOVERNANÇA DE TI
Rodney Januário Carneiro
Mestre em Gerenciamento para Sistema de
Informação
www.fafiman.br/rodney
15/03/2010
66