aula 04 - capitulo 05 - cosi - aula 03.pdf
TRANSCRIPT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
1/85
INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAES
COBIT 4.1
Estrutura do COBIT eObjectivos de Controle
Docente: Camilo Amarcy
Email:[email protected]
Cell:+258823032445
BBM:2095A1FA
mailto:[email protected]:[email protected] -
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
2/85
Camilo Amarcy
Temas do Captulo
Estrutura do contedo do COBIT;
Reviso de conceitos relacionados a
processos;
Por que os processos precisam de
controles;
O que so objectivos de controle; Estrutura de navegao do COBIT;
Interpretao do PO10 GerenciarProjectos;
Viso geral dos 34 processos de TI;
Estudo de caso;
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
3/85
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
4/85
Camilo Amarcy
Estrutura do Contedo do COBIT
Contedo do COBIT
O contedo principal do COBIT distribudo da seguinte forma:
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
5/85
Camilo Amarcy
Estrutura do Contedo do COBIT
Negcio vs. Objectivos Controles de TI
Objectivos de controle de TI: so um cojunto de requisitos de alto nvel aserem considerados pela gesto para o efectivo controle de cada processo deTI.
Os objectivos de controle de TI ajudam a aumentar o valor ou reduzir o risco.
Cada processode TI precisa sercontrolado paraque possa atingir
seus objectivos,de alguma formacontribuindopara a realizaoda estratgia donegcio.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
6/85
Camilo Amarcy
Estrutura do Contedo do COBIT
Reviso de Processo
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
7/85Camilo Amarcy
Estrutura do Contedo do COBIT
Componentes de um Processo
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
8/85Camilo Amarcy
Estrutura do Contedo do COBIT
Os processos precisam de controle
Para conseguir uma governana efectiva, necessrio a implantao doscontroles pelos gerentes de operaes dentro de uma estrutura de controledefinida para todos os processos de TI.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
9/85Camilo Amarcy
Estrutura do Contedo do COBIT
Processos e Controles
4 Domnios;
34 Processos de TI;
Requisitos de ControleGenrico;
6 Controles paracada processo;
Objectivo de Controles
3 a 15 - Por
processo de TI;
Prticas de Controle
3 a 10 - Por objectivode controle
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
10/85Camilo Amarcy
Estrutura do Contedo do COBIT
Requisitos de Controle Genrico
Cada processo de COBIT tem 6 requisitos de controle genrico que so comunspara todos os processos. Eles devem ser considerados em conjunto com osobjectivos de controle do processo para que se possa ter uma viso completados requisitos de controle.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
11/85Camilo Amarcy
Estrutura do Contedo do COBIT
Estrutura de Navegao do Framework
A representao abaixo mostra os vnculos entre os critrios de informao,processos e recursos.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
12/85Camilo Amarcy
Estrutura do Contedo do COBIT
Medidas de Controle
As medidas de controle paracada processo de TI nosatisfazem todos os requisitosde negcio no mesmo grau. Aestrutura do COBIT define 3
graus de controle.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
13/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10 Gerenciar Projectos Descriodo Processo Parte 1
Serve para criar uma estrutura de programa egerenciamento de projectos para ogerenciamento de todos os projectos de TIestabelecidos.
A estutura garante priorizao correcta ecoordenao de todos os projectos.
Esta estrutura inclui:
Plano mestre, alocao de recursos;definio de entregveis; aprovao pelos
usurios; abordagem por fases paraentrega; qualidade, plano de testes;reviso ps-implementao e testes apsa instalao para assegurar ogerenciamento de riscos e a entrega devalor para o negcio.
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
14/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10 Gerenciar Projectos Descrio do Processo Parte 2
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
15/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10 Gerenciar Projectos Parte 3
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
16/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.1 Gerenciar Projectos Estrutura de Gesto de Programas
Manter o programa de projectos(relacionados ao portflio de programas de
investimentos em TI) identificando,definindo, avaliando, priorizando,
selecionando, iniciando, gerenciando econtrolando projectos.
Assegurando que os projectossustentem os objectivos dos programas.
Coordenar as actividades einterdependncias de mltiplosprojectos, gerenciar a contribuio detodos os projectos de um programa paraos resultados esperados e resolverrequisitos e conflitos de recursos.
d C d d CO T
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
17/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.2 Gerenciar Projectos Estrutura de Gesto de
Projectos
Estabelecer e manter umaestrutura de gesto deprojectos que defina o escopo
e a abrangncia dos projectosgerenciados, bem como osmtodos a serem adoptados eaplicados a cada projectoiniciado.
A estrutura e as metodologiasde suporte devem serintegradas aos processos degerenciamento de programas.
E d C d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
18/85Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.3 Gerenciar Projectos Abordagem de Gerenciamento de
Projectos
Estabelecer uma abordagem de gesto deprojectos adequada ao tamanho, complexidade eaos requisitos regulatrios de cada projecto.
A estrutura de governana de projecto deve incluiros papis, as responsabilidades e oacompanhamento dos resultados do patrocinadordo programa, patrocinador do projecto, comitdirector, coordenador e gerente do projecto e osmecanismos pelos quais eles podem cumprir com
essas responsabilidades (como relatrios e revises deestgios de projecto);
Assegurar que todos os projectos de TI tenhampatrocinadores com autoridade suficiente paraserem proprietrios entro do programa estratgico
geral.
E d C d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
19/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.4 Gerenciar Projectos Comprometimento das PartesInteressadas
Obter comprometimento e participao das partes interessadas afectadas nadefinio e na execuo do projecto dentro do contexto do programa deinvestimento geral de TI.
E d C d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
20/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.5 Gerenciar Projectos Declarao de Escopo do
Projecto
Definir e documentar a naturezae o escopo do projecto, visandoconfirmar e desenvolver um
entendimento comum do escopodo projecto com as partesinteressadas quanto aorelacionamento com outrosprojectos de um programa deinvestimento em TI;
A definia deve ser formalmenteaprovada pelo patrocinador doprograma e pelo patrocinador doprojecto antes do seu incio.
E d C d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
21/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.6 Gerenciar Projectos Fase deIncio do Projecto
Assegurar que a fase de incio do projectoseja formalmente aprovada e comunicada atodas partes interessadas. A aprovao dafase de incio deve ser baseada nas decises
da governana do programa; A aprovao das fases subsequentes deve ser
baseada na reviso e na aceitao dosresultados entregues da fase anterior e naaprovao de um estudo de caso actualizado
na prxima reviso geral do programa;
No caso de uma sobreposio de fases, deveser estabelecido um ponto de aprovaopelos patrocinadores do programa e doprojecto para autorizar a continuidade.
E t t d C t d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
22/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.7 Gerenciar Projectos PlanoIntegrado do Projecto
Estabelecer um plano integrado de projectoformalizado e aprovado (que abranjarecursos de negcio e de sistemas deinformao) para orientar a execuo e ocontrole em todas as etapas do projecto.
As actividades interdependcias demltiplos projectos dentro de um programadevem ser entendidas e documentadas;
O plano de projecto deve passar pormanuteno durante todas as etapas do
projecto;
O plano de projecto e as alteraes feitasnele devem ser aprovadas de acordo com aestrutura de governana do programa e do
projecto.
E t t d C t d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
23/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.8 Gerenciar Projectos Recursos do Projecto
Definir responsabilidades,relacionamentos, autoridades ecritrios de desempenho para osmembros da equipe de projecto e
especidicar a base de aquisio eatribuio de funcionrios e/ouprestadores de serviocompetentes para o projecto;
A contratao de produtos e
servios necessrios para cadaprojecto deve ser planeada egerenciada para atingir osobjectivos do projecto utilizadnoas prticas de contratao da
organizao.
E tr t r d C nt d d COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
24/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.9 Gerenciar Projectos Gesto de Risco do Projecto
Eliminar ou minimizar riscosespecficos associados a cadaprojecto atravs de um processosistemtico de planeamento ,
identificao, anlise, resposta,monitoramentoe controle dereas ou eventos com potencialpara causar mudanasindesejadas;
Os riscos identificados peloprocesso de gesto de projecto eos resultados esperados doprojecto devem serestabelecidos e centralmente
registados
Estrutura do Contedo do COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
25/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.10 Gerenciar Projectos Plano de Qualidade do
Projecto
Preparar um plano de gestode qualidade que descreva osistema de qualidade do
projecto e como serimplementado.
O plano deve ser formalmenterevisado e aceito por todas aspartes envolvidas e ento
incorporado ao planointegrado de projecto.
Estrutura do Contedo do COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
26/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.11 Gerenciar ProjectosControle de Mudanas do
Projecto
Estabelecer um sistema decontrole de mudanas paracada projecto, de forma que
todas as mudanas feitas noescopo original do projecto(como custo, cronograma, escopo e
qualidade) sejam devidamenterevisadas, aprovadas eincorporadas ao plano deprojecto integrado emalinhamento com a estruturade governana de programa eprojecto.
Estrutura do Contedo do COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
27/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.12 Gerenciar Projectos Planeamento de Mtodos de
Validao do Projecto
Identificar as actividadesnecessrias para suportar avalidao de novos sistemas (ou
suas modificaes) durante oplaneamento do projecto einclu-las no plano integrado doprojecto;
As tarefas devem assegurar que
os controles internos e aspectosde segurana atendam aosrequisitos definidos.
Estrutura do Contedo do COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
28/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.13 Gerenciar Projectos Medio de Desempenho,
Monitoramento e Reporte doProjecto
Avaliar o desempenho do projecto emcomparao com critrios-chave (comoescopo, cronograma, qualidade, custo e risco);
Identificar qualquer desvio do plano;
Avaliar o impacto dos desvios sobre oprojecto e o programa;
Reportar os resultados s principais partes
interessadas;
Recomendar, implementar e monitorar acescorrectivas quando necessrio, emalinhamento com a estrutura de governana eprograma.
Estrutura do Contedo do COBIT
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
29/85
Camilo Amarcy
Estrutura do Contedo do COBIT
PO10.14 Gerenciar Projectos Concluso do Projecto
Exigir que, ao final de cadaprojecto, as partes interessadasapurem se o projecto gerou osresultado e benefcios planeados;
Identificar e comunicar quaisqueractividades de destaquenecessrias para obter osresultados esperados do projectoe os benefcios do programa;
Identificar e documentar as liesaprendidas para us-las emprojectos e programas futuros.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
30/85
Camilo Amarcy
(PO) Planear e Organizar
(PO) Planear e Organizar
PO-1 : Definir um plano estratgico deTIPO-2 : Definir a arquitectura deinformaoPO-3 : Determinar o direcionamentotecnolgico
PO-4 : Definir processos de Ti, aorganizao e relacionamentosPO-5 : Gerenciar o investimento emTIPO-6 : Comunicar metas e directivas
gerenciaisPO-7 : Gerenciar os recursos humanosPO-8 : Gerenciar a qualidadePO-9 :Avaliar e gerenciar riscos de TIPO-10 : Gerenciar projectos
Importante: Aparece no Exame
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
31/85
Camilo Amarcy
(PO) Planear e Organizar
PO1 Definir um PlanoEstratgico de TI
O planeamento estratgico necessrio para gerenciar edirecionar todos os recursos daTI de acordo com asestratgias e prioridades do
negcio;
O departamento de TI e osstakeholders do negcio soresponsveis por assegurar que
um valor optimizado sejarealizado atravs dosportflios de projectos eservios.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
32/85
Camilo Amarcy
(PO) Planear e Organizar
PO2 Definir a Arquitectura deInformao
A funo dos sistemas de informao devecriar e actualizar regularmente um modelo deinformao de negcio e definir os sistemasapropriados para optimizar o uso dainformao;
Isso inclui o desenvolvimento de umdicionrio corporativo de dados com asregras de sintaxe da organizao, esquema declassificao de dados e nveis de segurana;
Este processo melhora a qualidade dedecises feitas pelas gerncias e assegura queinforma confiveis e seguras so providas, eisso habilita a racionalizao de recursos desistemas de informao para atenderapropriadamente s estratgias de negcio.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
33/85
Camilo Amarcy
(PO) Planear e Organizar
PO3 Determinar aDireco Tecnolgica
A funo dos servios deinformao devedeterminar a direcotecnolgica para suportar onegcio;
Isso requer a criao de umplano de infraestruturatecnolgica e de um comitde arquitectura que fixa egerencia expectativas claras
e realistas sobre o que atecnologia pode oferecerem termos de produtos,servios e mecanismos deentrega;
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
34/85
Camilo Amarcy
(PO) Planear e Organizar
PO4 Definir Processos de TI, aOrganizao e os Relacionamentos de
TI Uma organizao de TI precisa ser definida
considerando os requisitos para pessoas,habilidades, funes, responsabilidades,autoridade, papis e superviso;
Esta organizao deve estar embutida dentrode um framework de processos de TI queassegure transparncia e controle e quetambm envolva os executivos snior egerentes de negcio;
Um comit estratgico deve assegurar umaviso geral da TI e um ou mais comits dedireco, nos quais os participantes donegcio e da TI devem determinar apriorizao dos recursos da TI em linha com
as necessidades do negcio.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
35/85
Camilo Amarcy
(PO) Planear e Organizar
PO5 Gerenciar oInvestimento de TI
Estabelecer e manterum framework paragerenciar programasque habiliteminvestimentos em TI e
que abrangem custos,benefcios,priorizao nosoramentos, e umprocesso formal de
oramentos e degerenciamento emrelao a estes.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
36/85
Camilo Amarcy
(PO) Planear e Organizar
PO6 Comunicar Metas eDirectivas Gerenciais
A gesto deve desenvolverum framework de controleempresarial de TI e definir ecomunicar polticas;
Um programa contnuo decomunicao deve serimplementado para articulara misso, objectivos deservio, polticas e
procedimentos aprovados esuportados pelaadministrao;
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
37/85
Camilo Amarcy
(PO) Planear e Organizar
PO7 Gerenciar RecursosHumanos de TI
Adquire, mantm e motiva umaforma de trabalho competente paracriar e entregar servios de TI para onegcio;
Isso atingido seguindo prticasdefinidas e acordadas que suportamrecrutamento, treinamento, avaliaode desempenho, promoo edemisso.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
38/85
Camilo Amarcy
( ) e e g
PO8Gerenciar Qualidade
Um sistema de gerenciamento de
qualidade deve ser desenvolvido emantido, e deve incluir um processode desenvolvimento e aquisiocomprovado e padronizado;
Isso habilitado atravs deplaneamento, implementao emanuteno do sistema dequalidade que prov requisitosclaros de qualidade, procedimento e
polticas;
Requisitos de qualidade devem serdeterminados e comunicados, comindicadores quantificveis eatingveis.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
39/85
Camilo Amarcy
( ) g
PO9 Avaliar e Gerenciar Riscos deTI
Criar e manter framework degerenciamento de riscos;
O framework documenta um nvel derisco de TI comum e acordado,
estratgias de mitigao e acordos sobreriscos residuais;
Qualquer impacto potencial sobre asmetas da organizao causado por
eventos no planeados, deve seridentificado, levantado e avaliado;
Estratgias de mitigao de riscos devemser adotadas para minimizar riscosresiduais a um nvel aceitvel.
(PO) Planear e Organizar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
40/85
Camilo Amarcy
( ) g
PO10 Gerenciar Projecto
Estabelecer um framework de gerenciamento de programas e projectos para
gerenciar todos os projectos
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
41/85
Camilo Amarcy
( ) q p
(AI) Adquirir e Implementar
AI-1 : Identificar as solues
automatizadas
AI-2 :Adquirir e manter softwareaplicativo
AI-3 :Adquirir e manter infraestruturade tecnologia
AI-4 : Permitir operao e uso
AI-5 :Adquirir recursos de TI
AI-6 : Gerenciar mudanas
AI-7 : Instalar e validade solues emudanas
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
42/85
Camilo Amarcy
( ) q p
AI1 Identificar as SoluesAutomatizadas
A necessidade para novas aplicaesou funes requer uma anlise antesda aquisio ou criao paraassegurar que os requisitos donegcio so satisfeitos numa
abordagem efectiva e eficiente;
Este processo cobre a definio dasnecessidades considerando fontesalternativas, reviso da viabilidade
tecnolgica e econmica, execuode anlise de risco, anlise decusto/benefcio e concluso de umadeciso final de fazer oucomprar.
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
43/85
Camilo Amarcy
( ) q p
AI2 Adquirir e ManterSoftware Aplicativo
Aplicaes devem estardisponveis de acordo com osrequisitos do negcio;
Este processo envolve
desenho de aplicaes,incluso apropriada decontroles de aplicao e derequisitos de segurana, almdo desenvolvimento e da
configurao conforme ospadres.
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
44/85
Camilo Amarcy
( ) q p
AI3Adquirir e Manter Infraestrutura de Tecnologia
Organizaes devem ter um processo para a aquisio, implementao e
actualizao da infraestrutura tecnolgica;
Isso requer uma abordagem planeada para a aquisio, manuteno eproteo da infraestrutura alinhada com as estratgias tecnolgicas acordadase com a proviso de ambientes de desenvolvimento e teste;
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
45/85
Camilo Amarcy
( ) q p
AI4Permitir Operao e Uso
Conhecer sobre novos sistemas necessita ser disponibilizado;
Ter processo requer a produo de documentao e manuais para usurio deTI, alm de treinamento que assegure o uso e a operao apropriados deaplicaes e infraestrutura;
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
46/85
Camilo Amarcy
( ) q p
AI5 Adquirir Recursos deTI
Recursos de TI, inclusivepessoas, hardware, software eservios, necessitam serobtidos;
Isso requer definio e sanode procedimentos de aquisio,seleco de fornecedores,realizao de arranjoscontratuaius e a aquisio em si;
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
47/85
Camilo Amarcy
( ) q p
AI6Gerenciar Mudanas
Todas as mudanas (inclusive mudanas emergenciais e correces)
relacionadas infraestrutura e aplicaes dentro de um ambiente deproduo precisam ser gerenciadas formalmente de maneira controlada.
(AI) Adquirir e Implementar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
48/85
Camilo Amarcy
q p
AI7 Instalar e ValidarSolues e Mudanas
Novos sistemas precisam estaroperacionais uma vez que odesenvolvimento estejacompleto;
Isso requer testes apropriadosem um ambiente dedicado comdados de teste relevantes,definio da introduo einstrues de migrao,
planeamento de liberaes erevises ps-implementao.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
49/85
Camilo Amarcy
DSEntregar e Suportar
DS-1 : Definir e gerenciar nveis de
serviosDS-2 : Gerenciar servios de terceirosDS-3 : Gerenciar o desempenho ecapacidadeDS-4 : Garantir a continuidade dos
serviosDS-5 : Garantir a segurana dos sistemasDS-6 : Identificar e alocar custosDS-7 : Educar e treinar usuriosDS-8 : Gerenciar central de servios eincidentesDS-9 : Gerenciar a configuraoDS-10 : Gerenciar os problemasDS-11 : Gerenciar os dadosDS-12 : Gerenciar o ambiente fsicoDS-13 : Gerenciar as operaes
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
50/85
Camilo Amarcy
DS1Definir e Gerenciar Nveis de Servio
Comunicao efectiva entre a gerncia de TI e os clientes do negcio em
relao aos servios requeridos, habilitadas atravs de documenta e deacordos de nveis de servio de TI.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
51/85
Camilo Amarcy
DS2 Gerenciar Servios de Terceiros
A necessidade de assegurar que servios providos por terceiros atendem aos
requisitos do negcio requer um processo efectivo de gerenciamento deterceiros.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
52/85
Camilo Amarcy
DS3 Gerenciar o Desempenho e Capacidade
A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI
requer um processo para rever periodicamente o desempenho e a capacidadeactual dos recursos de TI;
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
53/85
Camilo Amarcy
DS4 Garantir a Continuidade dos Servios
A necessidade de prover servios contnuos de TI requer desenvolvimento,
manuteno e testes de planos de continuidade da TI, armazenamentoexterno de backup e treinamento peridico para o plano de continuidade.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
54/85
Camilo Amarcy
DS5 Garantir Segurana dosSistemas
A necessidade de manter a integridade dainformao e proteger os activos da TIrequer um processo de gerenciamento desegurana;
Este processo inclui estabelecer e manterpapis e responsabilidades, polticas,padres e procedimentos de segurana deTI;
Gerenciamento da segurana tambminclui realizar monitoramento desegurana e testes peridicos, e aimplementao de aces correctivas paraidentificar fraquezas ou incidentes desegurana.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
55/85
Camilo Amarcy
DS6 Identificar e AlocarCustos
A necessidade para um justo eimparcial sistema de alocaode custos para o negcio requera medio exacta de custos daTI e acordos com usurios de
negcio.
Este processo inclui criao eoperao de um sistema decaptura, alocao e reporte dos
custos de TI para os usuriosde servios.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
56/85
Camilo Amarcy
DS7 Educar e Treinar Usurios
Educao efectiva de todos os usurios de sistemas de TI requer a
identificao das necessidades de treinamento de cada grupo de usurios.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
57/85
Camilo Amarcy
DS8 Gerenciar Centralde Servios e Incidentes
Respostas efectivas e emtempo para as perguntas eproblemas dos usurios deTI requerem uma centralde servio bem desenhada
e implementada, assimcomo um processo degerenciamento deincidentes que incluia aimplementao da funo
da central de servios comregistro, escalao,tendncias, anlise decausas-raiz e resoluo deincidentes.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
58/85
Camilo Amarcy
DS9 Gerenciar a Configurao
Assegurar a integridade da configurao de hardware e software requer
estabelecer e manter um preciso e completo repositrio da configurao.
Este processo inclui colecta inicial de informaes da configurao,estabelecimento de referncias, verifico e auditoria de informao daconfigurao e actualizao de repositrio da configurao quando
necessrio.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
59/85
Camilo Amarcy
DS10 Gerenciar osProblemas
Um gerenciamentoefectivos de problemasrequer a identificao eclassificao de problemas,anlise de causas-raiz e
resoluo de problemas;
O processo degerenciamento deproblemas tambm inclui
identificao derecomendaes paramelhorar a manuteno deregistos de problemas erevisar o status de acescorrectivas.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
60/85
Camilo Amarcy
DS11 Gerenciar osDados
O gerenciamento efectivode dados requer aidentificao de requisitospara dados;
Este processo incluiestabelecer procedimentosefectivos para gerenciarbiblioteca de mdias,backups e recuperao e
disponibilizao de mdiasapropriadas.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
61/85
Camilo Amarcy
DS12 Gerenciar os AmbientesFsicos
A proteco para pessoal eequipamentos de computaorequer instalaes bem desenhadase gerenciadas;
Este processo inclui definir osrequisitos para um lugar fsico,seleco de instalaes apropriadase desenho efectivo dos processopara monitorar elementosambientais e gerenciar o acessofsico.
(DS) Entregar e Suportar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
62/85
Camilo Amarcy
DS13 Gerenciar asOperaes
O processamento completo eexacto de dados requer ogerenciamento doprocessamento de dados e amanuteno de hardware;
Este processo inclui a definiode polticas e procedimentosoperacioinais para umgerenciamento efectivo daprogramao do processamento,proteco de output sensitivo,monitoramento da infraestruturae manuteno preventiva dehardware.
(ME) Monitorar e Avaliar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
63/85
Camilo Amarcy
MEMonitorar e Avaliar
ME-1: Monitorar e avaliar o desempenho
de TI;ME-2 : Monitorar e avaliar os controlesinternos;ME-3 :Assegurar a conformidaderegulatria;
ME-4 : Fornecer Governana de TI
(ME) Monitorar e Avaliar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
64/85
Camilo Amarcy
ME1 Monitorar e Avaliar oDesempenho de TI
Assegura que a gesto estabelea umframework geral de monitoramento euma abordagem que defina escopo,metodologia e processo a seremseguidos;
O monitoramento da TI contribui paraos resultados do gerenciamento deportflio empresarial e para os processode programas gerenciais processos queso especficos para entregarcompetncias e servios de TI;
O framework deve estar integrado comoum sistema de gerenciamento dedesempenho da companhia.
(ME) Monitorar e Avaliar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
65/85
Camilo Amarcy
ME2Monitorar e Avaliar os Controles Internos
Estabelecer um programa de controle interno efectivo para a TI requer um processode monitoramento bem definido;
Este processo inclui monitoramento e reporte de excees de controle, resultados daauto-avaliao e reviso de fornecedores (terceiros);
Um benefcio principal do controle interno de monitoramento fornecer seguranarelacionada eficincia e eficcia operacionais e conformidade com leis eregulamentos.
(ME) Monitorar e Avaliar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
66/85
Camilo Amarcy
ME3 Assegurar ConformidadeRegulatria
Uma vigilncia regulatria eficienterequer o estabelecimento de um processode reviso independente para garantir aconformidade com leis e regulamentos;
Este processo inclui definir auditorindependente, tica profissional, padres,planeamento, desempenho de trabalhode auditoria e reporte doacompanhamento das actividades deauditoria;
O propsico deste processo forneceruma garantia positiva relacionada conformidade da TI com leis eregulamentos.
(ME) Monitorar e Avaliar
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
67/85
Camilo Amarcy
ME4Fornecer Governana de TI
Estabelecer um framework efectivo de governana, incluindo definies de
estruturas organizacionais, processos, liderana, papis e responsabilidades,para assegurar que os investimentos em TI e as entregas estejam alinahdoscom as estratgias e objectivos empresariais.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
68/85
Camilo Amarcy
Estudo de Caso
O presidente da cooperativa de crdito COPERTI contratou voc como
consultor para orient-los. A rea de TI est passando por alguns problemase precisa de uma opinio sobre como resolv-los.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
69/85
Camilo Amarcy
Informaes Necessrias - 1
A Cooperativa de Crdito tem 20 anos de existncia, 4.500 scios e oferece
quase todos os servios que um banco normal oferece: conta corrente,cobrana, carto de crdito, aplicaes e funanciamentos;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
70/85
Camilo Amarcy
Informaes Necessrias - 2
A rea de Ti tem 25 funcionrios,
com vrioas sistemas legados e vriasbases de dados em diferentesplataformas.
Quase todos os sistemas forma
desenvolvidos internamente.
A equipe de TI bem experiente, econta com analistas, programadores ,especialistas em rede e segurana;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
71/85
Camilo Amarcy
Informaes Necessrias - 3
Actualmente o maior problema o home-banking que foi desenvolvido em
parceria com a TIWAY. O portal do home-banking j est disponvel aosassociados e alguns servios j esto sendo oferecidos, como consulta aoextrato bancrio e consulta a conta de investimentos. Entretanto, os serviosde TED, DOC e pagamento de contas no esto disponveis. O projecto foidividido em vrias etapas, sendo que a etapa de entrega dos mdulos de
TED e DOC e de pagamento de contas est atrasasdo em 5 meses.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
72/85
Camilo Amarcy
Informaes Necessrias - 4
Como se no bastasse o atraso no projecto, os clientes das contas bancrias
fizeram vrias reclamaes central de servios. Eles informaram que svezes o sistema muito lento, e tambm que no conseguem acess-lo emdeterminadas horas do dia. H tambm casos em que o extrato bancrioapresenta informaes desactializadas. Para tentar resolver os problemas, aTIWAY tem disponibilizado vrias actualizaes no portal, muitas delas em
carcter de urgncia.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
73/85
Camilo Amarcy
Informaes Necessrias - 5
O comit de gesto da cooperativa est preocupado com todos os
problemas, e muitos scios j expuseram estar descontentes com o portal.Alm disto, eles temem pela segurana de suas contas.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
74/85
Camilo Amarcy
Informaes Necessrias - 6
Recentemente o presidente da cooperativa , o gerente
de TI e o gerente de suporte fizeram uma reuniocom a TIWAY para tentar alinhar as expectativas esaber quando os problemas pendentes seroresolvidos. Alm disto, espera-se ter uma respostasobre quando os mdulos TED e DOC estariamdisponveis. Na reunio, o gerente de suporte exps
alguns problemas no relacionamento com a TIWAY: Muitos incidentes no esto sendo atendidos
em tempo hbil, leva-se muito tempo paraobter resposta;
A equipe de atendentes no conseguedominar a situao porque noi recebeunenhuma documentao ou trinamento deuso do sistema da TIWAY;
Muitos problemas tm aparecido logo depoisdas actualizaes, que ocorrem quase todosos dias.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
75/85
Camilo Amarcy
Verso da TIWAY
Na reunio a TIWAY exps o seu lado da
histria, colocando as seguintes questes: Actualmente a TIWAY no consegue
focar no desenvolvimento dos mdulosque ainda faltam, pois aparecem muitoserros no sistema e toda a equipe estalocada na correco de bugs;
Muitos problemas esto relacionados infraestrutura da TI da cooperativa. Osservidores disponibilizados no estosuportando a carga de trabalho e istoest causando lentido e erros nosprocessos das transaes;
Alm disto, a TIWAY no consegueobter as especificaes da equipa deanalistas da COOPERTI para darcontinuidade aos mdulos que estofalando no portal.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
76/85
Camilo Amarcy
Exerccio 1
Agora que voc sabe resumidamente dos problemas que esto acontecendo
na COOPERTI, identifique at 7 processos do COBIT que poderiam terevitado os problemas que voc identificou no estudo de caso. Justifique asescolhas dos processos.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
77/85
Camilo Amarcy
RespostaParte 1
Os principais processos que poderiam ser
melhorados no primeiro momento so:
PO10 Gerenciar Projectos: Osproblemas aqui vo desde oescopo mal definido a a entrega
do produto do projecto;
DS2 Gerenciar Servios deTerceiros: Melhoraria a gesto defornecedores, estabelecendo e
monitorando os SLAsestabelecidos com osfornecedores;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
78/85
Camilo Amarcy
RespostaParte 2
AI4 Permitir Operao e uso e DS7
Treinar Usurio: O pessoal do service-deskno recebeu documentao do sistema paraatender aos incidentes e tambm no foramtreinados adequadamente para prestar suporte aonovo sistema;
DS3
Gerenciar Desempenho eCapacidade: A capacidade no foidimensionada correctamente para o novo sistema;
AI6 Gerenciar Mudanas e AI-7
Instalar Mudanas: No tem um padro degerenciamento de mudanas e as novas liberaesno esto sendo homologadas e testadas antes deir para o ambiente de produo, por isto estacontecento tantos incidentes.
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
79/85
Camilo Amarcy
Resoluo 3380 do BACEN
Por ser uma instituio financeira, a
COOPERTI deve atender resoluo 3380 do BACEN, sobre aimplementao de uma estrutura degerenciamento de riscooperacional.
Veja em seguida o artigo referentes exigncias que a cooperativadeve cumprir.
http://gestao.files.wordpress.com/2009/05/resolucao_3380.pdf
Estudo de Caso - COOPERTI
http://gestao.files.wordpress.com/2009/05/resolucao_3380.pdfhttp://gestao.files.wordpress.com/2009/05/resolucao_3380.pdf -
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
80/85
Camilo Amarcy
Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte 1
I Identificao, avaliao,monitoramento, controle e mitigao dorisco operacional;
II Documentao e armazenamentode informaes referentes s perdasassociadas ao risco operacional;
III Elaborao, com periodicidade
mnima anual, de relatrios quepermitam a identificao e correcotempestiva das deficincias de controle ede gerenciamento do risco operacional;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
81/85
Camilo Amarcy
Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte
2
IV Realizao, com periodicidademnima anual, de testes de avaliaodos sistemas de controle de riscos
operacionais implementados;
V Elaborao e disseminao dapoltica de gerenciamento de riscooperacional ao pessoal da instituio,
em seus diversos nveis, estabelecendopapis e responsabilidades bem comoas dos prestadores de serviosterceirizados;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
82/85
Camilo Amarcy
Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte 3
VI Existncia de plano de contingnciacontendo as estratgias a serem adoptadaspara assegurar condies de continuidadedas actividades e para limitar graves
perdas decorrentes de risco operacional;
VII Implementao, manuteno edivulgao de processo estruturado decomunicao e informao;
Estudo de Caso - COOPERTI
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
83/85
Camilo Amarcy
Exerccio 2
Identifique os principais processos de TI deveriam ser implantados para que a
rea de TI da COOPERTI atenda aos seguintes requisitos da resoluo 3380 doBACEN:
Implantar uma gesto de riscos, identificando, avaliando , monitorando emitigando os riscos de TI que afectariam a cooperativa;
Identificar e gerenciar os riscos relacionados aos fornecedores de serviosque afectariam a cooperativa;
Desenvolver um plano de continuidade que apie a continuidade dacooperativa.
Estudo de Caso - COOPERTI
R l
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
84/85
Camilo Amarcy
Resoluo
Este regulamento refere-se a efectiva
implantao da estrutura de gerenciamentode risco operacional;
Para atender a este rgulamento, os processosDS4 Continuidade de Servios de TI eDS5 Segurana da Informao, sograndes alvos para os Objectivos deControle esperados pelo BACEN.
Alem destes dois processos poderia seradoptado outros processos de suporte, como
o PO4 Definir os processos e TI,Organizao e Relacionamentos, o processoPO9 Gerenciar e Avaliar os riscos TI e oprocesso ME3 Assegurar a Conformidadecom Regulamentos Externos.
Estamos a ver: COBIT 4.1
-
7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf
85/85
http://pt wikipedia org/wiki/CobiT
COBIT 4.1
Control Objectivesfor Information andrelated Technology
http://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiT