UNIVERSIDADE VEIGA DE ALMEIDA

BACHARELADO EM SISTEMAS DE INFORMAO

TRABALHO DE AUDITORIA DE SISTEMAS

Swellen Polide Dezerbelles

Trabalho apresentado Prof.: Ms. Myrna Amorim como meio de avaliao parcial da disciplina auditoria e segurana de sistemas.

Cabo Frio, Dezembro de 2009.

SUMRIO

1 INTRODUO..........................................................................................................4 2 SAS 70: A DECLARAO DE AUDITORIA PADRO ...................................6 3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA DA TI ...................................8 3.1 ITIL V3......................................................................................................................9 3.2 CICLO DE VIDA DO SERVIO (SERVICE LIFECYCLE)..........................................................10 3.3 GOVERNANA.............................................................................................................11 3.1.1 Camada Ttica............................................................................................12 3.1.1.1 Gerncia de Nvel de Servio...............................................................12 3.1.1.2 Gerncia de capacidade.........................................................................13 3.1.1.3 Gerncia de Continuidades....................................................................13 3.1.1.4 Gerncia de Disponibilidade.................................................................14 3.1.2 Camada Operacional...................................................................................14 3.1.1.5 Central de Servios................................................................................14 3.1.1.6 Gerncia de Incidentes..........................................................................15 3.1.1.7 Gerncia de Problemas..........................................................................15 3.1.1.8 Gerncia de Configurao.....................................................................16 3.1.1.9 Gerncia de Mudanas..........................................................................16 3.1.1.10 Gerncia de Liberaes.......................................................................16 3.4 MODELO DE MATURIDADE............................................................................................17 3.5 BENEFCIOS DO ITIL...................................................................................................18 3.6 DESVANTAGENS DO ITIL.............................................................................................19 2

4 COBIT: OBJETIVOS DE CONTROLE PARA TI ...........................................20 4.1 OS MODELOS DE PROCESSOS DE TI .............................................................................21 4.1.1.1 Planejar e organizar...............................................................................22 4.1.1.2 Adquirir e Implementar ......................................................................22 4.1.1.3 Entregar e Dar Suporte .........................................................................23 4.1.1.4 Monitorar e Avaliar ...........................................................................24 4.2 MODELO DE MATURIDADE DE TI....................................................................................26 4.3 BENEFCIOS DO COBIT.................................................................................................28 4.4 DESVANTAGENS DO COBIT...........................................................................................29 5 CONCLUSO..........................................................................................................30 REFERNCIAS BIBLIOGRFICAS......................................................................31

1 INTRODUO

Atualmente, com o avano constante da tecnologia impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e fornecer informaes gerenciais aos executivos para tomadas de decises. Sendo assim, torna-se cada vez mais necessrio administrar toda esta tecnologia, a fim de garantir que o uso da mesma contribua para o comprimento dos objetivos da empresa. Mas como fazer isso? A administrao da TI, incluindo profissionais especializados requer altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios que essa implantao poder fornecer. No entanto, a ausncia deste investimento pode ser o fator chave para o fracasso de um empreendimento em um mercado que esta a cada vez mais competitivo. Com base nisso, e para melhorar todo o processo de anlise de riscos e tomada de deciso necessrio gerenciar e controlar as iniciativas de TI, garantindo assim o retorno de investimentos e melhorias nos processos empresariais. Esse novo conceito de gerncia conhecido por: governana de TI. Alm do termo governana de TI encontramos outros muito famosos, como ITIL, CobiT, Sarbanes-Oxley1 (SOX ou Sarbox), Balanced Scorecard2 (BSC), CMMI3, PMI4. Cada uma dessas siglas ou termos se refere a uma parte especfica da governana. Neste trabalho, veremos as principais caractersticas de dois desses termos: ITIL e CobiT.

1 2

Lei estadunidense que visa garantir a criao de mecanismos de auditoria e segurana confiveis nas empresas . Metodologia usada na gesto de negcios, do servio e infra-estrutura. 3 Modelo de referncia que contm prticas maturidade de uma organizao. 4 Voltado ao gerenciamento de projetos.

Um outro tema a ser debatido neste trabalho, ser o SAS 70. Embora os termos aqui debatidos no estejam diretamente relacionados, se utilizados em conjunto, tornam-se verdadeiros aliados na hora de alcanar os objetivos da empresa.

SAS 70: A DECLARAO DE AUDITORIA PADRO

O SAS 70 (Statement on Auditing Standards n. 70) um relatrio formal sobre o desenho, implementao e efetividade operacional dos controles de uma organizao de servios (prestadora de servios). Se uma empresa fornece servios a uma outra e se esse determinado servio afeta de alguma forma as finanas desta empresa-cliente, esta poder solicitar um relatrio sobre os controles internos da empresa prestadora de servio, para que este possa ser utilizado por sua administrao ou seus auditores quando desejado. basicamente um documento que visa averiguar a existncia dos controles da empresa (prestadora de servio) bem como a eficincia e eficcia do trabalho prestado. Entendido isso, cabe perguntar, a quem so endereados os servios SAS 70? Geralmente empresas que prestam servios de processamento de dados, folha de pagamento, contabilidade e outros processos especficos de negcio. Atualmente, segundo Vitor Albanese5, qualquer organizao terceirizada que fornece servios para uma outra empresa est sendo solicitada a fornecer relatrios SAS 70. E este documento tem se tornado um pr-requisito para contratar um prestador de servios. As principais informaes para um auditor desenvolver um relatrio SAS 70 so obtidas por meio de discusses com a administrao, supervisores e staff, e por meio da inspeo de documentao relevante, como fluxogramas de sistemas, narrativas processuais, dirios operacionais, e outros meios. Toda a informao que recolhida compilada em dois tipos de relatrios. Estes relatrios so chamados de: tipo I e tipo II. O relatrio de tipo inclui informaes referentes aos controles e procedimentos utilizados para a realizao do servio contratado e tambm a avaliao das polticas da
5

Diretor administrativo de servios de administrao e operaes da Eisner.

empresa H partes neste relatrio que so opcionais, como por exemplo, os testes que so executados pelo revisor de contas. J o relatrio de tipo II, bastante similar ao do tipo I. A principal diferena que neste, obrigatoriamente deve-se realizar testes sobre os controles colocados em operao, esses testes verificaro a eficincia operacional da empresa, ou seja, analisaro se os controles testados estavam operando com a eficincia necessria para constatar que os objetivos de controle esperados foram atingidos durante o perodo de testes. Segundo Vitor Albanese, muitas empresas-clientes esto solicitando de seus prestadores de servios o relatrio de tipo II, pois este exigido pelo governo com base no desenvolvimento e implementao da Lei Sarbanes-Oxley.

Benefcios
Para a empresa prestadora de servio, os benefcios vo alm da necessidade dos clientes. Com o SAS 70 a empresa obtm ganho por realizar um monitoramento contnuo de seus prprios processos e cria um ambiente de negcios transparente que por sua vez favorece a realizao de novos negcios. J para a empresa-cliente o maior ganho est relacionado qualidade do servio contratado e a segurana de sua prpria empresa.

ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA DA TI

Desenvolvido no final dos anos 80 pela CCTA (Central Computer and Telecommunications Agency) e atualmente sob custdia da OGC6 (Office for Government Commerce) da Inglaterra. O ITIL, foi criado a fim de garantir que as organizaes do setor pblico ingls tivessem o mximo de eficincia com o menor custo possvel e que a soluo para essa demanda fosse totalmente independente de possveis provedores, descrevendo detalhadamente diversas atividades importantes para a TI, como tarefas, procedimentos e responsabilidades. Segundo a Pink Elephant7, a filosofia ITIL adota uma estratgia orientada a processos que considera o gerenciamento de servios em TI constitudo de processos relacionados e altamente integrados. Um de seus propsitos sintonizar a gesto da tecnologia com as necessidades dos negcios, focando a qualidade dos servios prestados. Para atingir os objetivos do gerenciamento de servios em TI, os processos devem utilizar o trip: pessoas, processos e produtos, de forma eficaz, eficiente e econmica. O ITIL define o que deve ser feito, ficando a cargo das organizaes a definio de como ser feito. Sendo assim, o principal objetivo do ITIL o de fornecer um modelo para o gerenciamento dos servios de TI, promovendo o alinhamento estratgico entre as reas de negcio e as reas de TI da organizao, criando formas de comunicao e entendimento entre ambas.

Organizao do governo do Reino Unido responsvel por tarefas que aumentam a eficincia e efetividade de processos de negcio do governo. 7 Empresa de capital privado com o objetivo de aprimorar a qualidade dos servios de TI atravs da utilizao de um conjunto de melhores prticas, incluindo o ITIL.

Atualmente existem trs organizaes principais que regulam as prticas do ITIL: OGC - Os direitos autorais do ITIL so de propriedade do governo britnico, visto que o mesmo foi criado pela CCTA, este passou a fazer parte da OGC em 1 de abril de 2001. ITSMF - O ITSMF (Information Technology Service Management Forum) um grupo internacional de usurios independentes reconhecido mundialmente, que promove a troca de conhecimentos relacionados a TI. Esse grupo ministra palestras, seminrios e tambm publicam boletins informativos e operam um website para divulgao de informaes. EXIN e ISEB - A fundao holandesa EXIN (Exameninstituut voor Informatica) e o conselho de exame de sistemas de informao (ISEB - Information Systems Examination Board) britnico, desenvolveram um sistema de certificao para o gerenciamento de servios em TI. Promovem certificaes em trs nveis: Diploma de fundamentos, de profissionais e de mestre (para gerentes).

3.1 ITIL v3
De meados da dcada de 80 at o final da dcada de 90, o ITIL seguiu sua verso original com 40 livros. A verso 2.0, e mais conhecida, possui 10 livros. Em 2006 foi ento projetada a verso 3.0, reunindo o que havia de melhor nas verses anteriores, agregando os domnios em 5 livros: Estratgia de Servios (Service Strategy): esse livro aborda principalmente as estratgias, polticas e restries sobre os servios. Inclui tambm temas como reao de estratgias, implementao, redes de valor, portflio de servios, gerenciamento, gesto financeira, anlise de mercado e ROI. Design de Servios (Service Design): a abordagem nesse livro engloba polticas, planejamento e implementao. baseado nos cinco aspectos principais de design de 9

servios: disponibilidade, capacidade, continuidade, gerenciamento de nvel de servios e outsourcing. Tambm esto presentes informaes sobre gerenciamento de fornecedores e de segurana da informao. Transio de Servios (Service Transition): Apresenta um novo conceito sobre o sistema de gerenciamento do conhecimento dos servios. Tambm inclui abordagem sobre mudanas, riscos e garantia de qualidade. Os processos endereados so planejamento e suporte, gerenciamento de mudanas, gerenciamento de ativos e configuraes, entre outros. Operaes de Servios (Service Operations): operaes cotidianas de suporte so o conceito principal desse livro. Monitoramento de problema e balanceamento entre disponibilidade de servio e custo, so considerados. Existe foco principal em gerenciamento de service desk e requisies de servios, separadamente de gerenciamento de incidentes e de problemas, que tambm tm espao. Melhorias Contnuas de Servios (Continual Service Improvement): a nfase deste livro est nas aes planejar, fazer, checar e agir, de forma a identificar e atuar em melhorias contnuas dos processos detalhados nos quatro livros anteriores. Melhorias nesses aspectos tambm levam a servios aprimorados aos clientes e usurios. At a verso 2.0 o ITIL focava o alinhamento entre TI e negcios. Na verso 3.0 o foco a integrao entre eles. Para obter essa integrao, passou a ser utilizado nesta verso o conceito de um ciclo de vida do servio (Service LifeCycle), que trata do servio desde a identificao da sua necessidade at sua implementao. Na verso 3.0, a tendncia que a TI passe a ser vista como tecnologia de negcios ao invs de tecnologia da informao. Desse modo, dever adicionar valor ao negcio ao invs de apenas suport-los.

3.2 Ciclo de vida do servio (Service LifeCycle)

10

Os principais passos previstos no Service Lifecycle so:

Identificao do servio Desenvolvimento do servio Posicionamento do servio Consumo do servio Gerenciamento do servio Cada um desses passos envolve papis e responsabilidades diferentes, sendo assim so

necessrios profissionais que sejam aptos a realizar a tarefa de cada rea em especfico. Sendo estes, profissionais de soluo, infra-estrutura, desenvolvedores de servios, arquitetos de enterprise, responsveis pelo negcio, entre outros. Cada um dos passos do ciclo de vida de um servio, pode se sobrepor em momentos de desenvolvimento, testes, homologao e uso em produo. Cada empresa pode aplicar regras diferentes para o controle desses passos. Para gerenciar o ciclo de vida de um servio pode ser necessrio e cmodo utilizar uma ferramenta de governana, como o Oracle Enterprise Repository (OER), que auxilia a empresa em todo esse processo.

3.3 Governana
O ITIL possui sua governana baseada em duas camadas que compe a estrutura de suas gerncias: Uma ttica e a outra operacional. A figura a seguir ilustra como se relacionam essas estruturas de gerncia e controle mostrando, inclusive, o papel do GRC (gerncia de relacionamento com o cliente).

11

Fig 1: As gerncias do ITIL e seus relacionamentos. Adaptado por Matheus Canto de: http://governadeti.blogspot.com.

3.1.1
3.1.1.1

Camada Ttica Gerncia de Nvel de Servio

O planejamento, a coordenao, a elaborao, a monitorao e o feedback dos ANS (acordos de nvel de servio), somados as possveis revises dos ANS, formam a gerncia de nvel de servio (GNS), que tambm pode ser entendida como sendo a garantia da qualidade e dos custos firmados num ANS no qual estariam baseadas as relaes entre servios e clientes. preciso considerar os seguintes fatores quando se define os nveis de servio: Custos Continuidade Disponibilidade Desempenho 12

Flexibilidade Estabilidade

O Gerenciamento de nvel de servio inclui elaborar e manter acordos de nvel de servio, acordos de nvel operacional, contratos de apoio e planos de qualidade de servio.

3.1.1.2

Gerncia de capacidade

Engloba a monitorao, anlise e planejamento do uso dos recursos da TI, a gerncia da capacidade identifica quais so os servios requeridos e como dar suporte a eles. Sem um processo bem definido e implementado da gerncia de nvel de servio, a gerncia de capacidade tambm no trar os benefcios esperados para a empresa. A gerncia de nvel de servio deve contribuir fornecendo para a capacidade, o correto entendimento dos objetivos de negcio. Com essa viso, a gerncia de capacidade ser muito mais eficiente e eficaz para prover demanda atual e futura dos negcios.

3.1.1.3

Gerncia de Continuidades

O processo de Gerenciamento de Continuidade de Servios de TI pesquisa, desenvolve e implanta as opes de recuperao quando a interrupo de um servio atinge um ponto crtico j definido anteriormente. Com isso, possvel afirmar que O objetivo do Gerenciamento de Continuidade de Servios de TI planejar, cobrir e recuperar-se de uma crise de TI que necessite que o trabalho seja movido a um sistema alternativo de forma transparente. A gerncia de continuidade de servios de TI pode beneficiar a empresa da seguinte forma: Melhor gerenciamento de riscos Credibilidade organizacional Vantagem competitiva Recuperao dos sistemas de TI de uma forma controlada Interrupo mnima do negcio 13

3.1.1.4

Gerncia de Disponibilidade

O gerenciamento de disponibilidade responsvel por garantir que os servios estejam disponveis. Estabelece nveis para que os objetivos de otimizao possam ser atendidos atravs do levantamento de requisitos de disponibilidade e da anlise da capacidade da infraestrutura da TI, onde, possveis lacunas seriam preenchidas por alternativas consideradas viveis dentro do planejamento, envolvendo os conceitos de disponibilidade, confiabilidade e sustentabilidade. O gerenciamento de disponibilidade apresenta uma estreita relao com o gerenciamento de capacidade para atingir o seu objetivo. Esta relao no pode garantir a disponibilidade de um servio quando a capacidade insuficiente. O Gerenciamento de Disponibilidade pode beneficiar a empresa da seguinte forma: Os servios de TI so administrados para atingir objetivos especficos de disponibilidade Melhoria da qualidade do servio, pois est mais controlado Menor necessidade de suporte reativo a problemas Menor custo de manuteno e tempo de queda Os recursos de TI so utilizados com maior eficincia

3.1.2
3.1.1.5

Camada Operacional Central de Servios

A central de servios ou service desk, atua como uma linha de frente para os outros departamentos de TI e capaz de lidar com inmeras dvidas dos clientes sem precisar contatar pessoas especializadas. Para os usurios, pode ser considerada como um ponto nico de contato com a empresa de TI, direcionando o usurio para rea correta. Alm disso, pode ser atribudo central de servios a funo de acompanhamento a chamadas originadas dentro da prpria organizao de TI. A central de servios lida com atividades relacionadas a diversos processos bsicos do ITIL como o gerenciamento de incidentes, o gerenciamento de liberaes e o gerenciamento de mudanas. 14

3.1.1.6

Gerncia de Incidentes

A central de servios responsvel pelo monitoramento da soluo de todos os incidentes registrados - como resultado, esta passa a ser a proprietria de todos os incidentes. A gerncia de incidentes tem como foco principal restabeler o servio o mais rpido possvel minimizando o impacto negativo no negcio, uma soluo de contorno ou reparo rpido fazendo com que o cliente volte a trabalhar de modo alternativo. Incidentes que no podem ser resolvidos imediatamente pelo service desk podem ser designados a grupos de especialistas. A gerncia de incidentes inclui as seguintes atividades: Registro de alerta de incidentes Suporte e classificao de incidentes Investigao e diagnstico Resoluo e recuperao Acompanhamento de incidente e comunicao ao cliente/usurio Propriedade do incidente, monitoramento e fechamento

3.1.1.7

Gerncia de Problemas

O objetivo da gerncia de problemas minimizar o impacto de incidentes e problemas no negcio causados por erros na infra-estrutura e evitar a ocorrncia de incidentes, problemas e erros. Para isso deve resolver a causa dos erros e encontrar solues permanentes para estas. As causas das falhas so identificadas e so recomendadas alteraes nos itens de configurao (CIs) para o gerenciamento de mudanas. O gerenciamento de problemas difere do gerenciamento de incidentes no sentido de que seu objetivo principal a deteco da origem do incidente e sua subseqente resoluo e preveno, sendo esse um processo a nvel de empresa. Este objetivo pode estar em conflito direto com o gerenciamento do incidente cujo objetivo principal restabelecer, na medida do possvel, o servio ao nvel estabelecido no ANS, sendo esse um processo a nvel de usurio. 15

3.1.1.8

Gerncia de Configurao

A gerncia de configuraes fornece controle direto sobre os ativos de TI e melhora a habilidade do fornecedor de servios para entregar servios de TI com qualidade de uma maneira econmica e efetiva. A gerncia de configuraes deve trabalhar prximo do gerenciamento de mudanas. Todos os componentes da infra-estrutura de TI devem ser registrados no banco de dados do gerenciamento de configuraes (CMDB). As responsabilidades da gerncia de configuraes relacionadas ao CMDB so: o planejamento, a identificao, o controle, a contagem de status e a verificao e exames. Essa gerncia ainda acrescenta alguns benefcios como: o fornecimento de informaes precisas dos CIs e suas documentaes, o controle dos CIs, a facilitao da aderncia a obrigaes legais, ajuda com o planejamento financeiro e despesas, a visibilidade das mudanas do software, contribuies com o plano de contingncia, suporte e melhoramento do gerenciamento de releases, a permisso para que a organizao execute anlises de impacto e mudanas programadas de modo seguro e eficiente e o fornecimento de dados e tendncias para a gerncia de problemas.

3.1.1.9

Gerncia de Mudanas

O objetivo da gerncia de mudanas gerenciar todas as mudanas que possam vir a interferir a entrega do servio. As principais atribuies ou responsabilidades dessa gerncia so caracterizadas como sendo o recebimento e registro de requisies de mudanas, a avaliao das implicaes, o custo/benefcio e riscos das mudanas propostas, o planejamento das mudanas, a coordenao e o controle da implementao, a monitorao e os relatrios, as revises psimplementao, a instaurao do conselho controlador de mudanas e um comit de emergncias.

3.1.1.10

Gerncia de Liberaes 16

A gerncia de liberaes ou verses (ou releases), responsvel pelo controle de licenas referentes a recursos de software e hardware pertencentes a TI, procura assegurar que somente verses autorizadas estejam disponveis para utilizao. Tambm responsvel pelo planejamento, desenho, construo, configurao, preparao e programao da liberao e testes de hardware e software, assegurando desta forma, componentes necessrios para que os incidentes e instalaes possam ser tratados rapidamente.

3.4 Modelo de Maturidade

O ITIL pode ser independente quanto ao modelo de maturidade a ser utilizado. Para cada uma das gerncias, existe uma classificao dentro dos nveis de maturidade, com isso, os nveis de maturidade apontam direes para a evoluo de servios, tarefas, processos e/ou procedimentos. Na adoo do ITIL, pode-se escolher como modelo de maturidade o PMF - Process Maturity Framework (Modelo de Maturidade de Processos), que possui 5 nveis e parte integrante do prprio ITIL, ou pode-se utilizar tambm um dos modelos disponibilizados, como o CMM, CobiT e ISO 15504. Neste trabalho ser abordada a maturidade segundo a viso do PMF. Segundo Matheus Canto, o PMF pressupe que est sendo utilizado in loco um sistema de gesto de qualidade (QMS - Quality Management System), e que o objetivo melhorar um ou mais aspectos de eficincia, eficcia, economia ou a equidade dos processos. O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros, enquanto o PMF do ITIL define vrias dimenses que compreendem cada nvel. O PMF avalia a maturidade das gerncias, de acordo com os seguintes fatores: Viso e estratgia Direcionamento (Steering) Processos Pessoas processos; Tecnologia Cultura

17

A Figura 2 detalha os cinco nveis bsicos de maturidade abordados pelo PMF, incluindo seus enfoques para uma melhor gesto.

Fig 2: Detalhamento dos nveis de maturidade. Adaptado por Matheus Canto de: http://www.isdbrasil.com.br./

3.5 Benefcios do ITIL

O ITIL baseado na necessidade de fornecer os servios com alta qualidade, s vantagens dessa prtica so enormes. Entre elas, as principais so: Alinhamento dos servios de TI com as necessidades do negcio Melhoria da qualidade dos servios de TI Reduo de custos Processos cada vez mais eficientes e eficazes Gerenciamento da empresa de maneira global 18

Reduo no nmero de incidentes Reduo da dependncia sobre as pessoas chaves Riscos na infra-estrutura e dependncias so facilmente identificveis

3.6 Desvantagens do ITIL

Segundo Carla Farinha, a maior desvantagem do ITIL est na burocracia de seus processos, ela ainda afirma que o conjunto de melhores prticas no passa de uma lista de itens que a organizao deve seguir. As prticas do ITIL no so implementadas e sim usadas para criar a mudana organizacional, ou seja, ITIL no orienta como aplicar efetivamente essas tcnicas, cada organizao deve desenhar as suas baseando-se nas necessidades e objetivos. Uma outra desvantagem do ITIL que, enquanto alguns tpicos so cobertos extensivamente e definidos como de alto valor, outros tpicos podem no receber suficiente ateno quando se trata da qualidade, o que leva desigualdade entre os processos.

19

COBIT: OBJETIVOS DE CONTROLE PARA TI

O CobiT pode ser definido como um guia para a implementao de controles e mtricas para o gerenciamento da rea de tecnologia da informao (TI) como um todo. Embora tenha sido desenvolvido e recomendado pelo ISACF (http://ww.isaca.org) atualmente passou a ser mantido pelo ITGI - IT Governance Institute. Segundo Luciana Costa, um modelo utilizado internacionalmente como um instrumento (de fomento) da Governana de TI, contendo prticas, tcnicas de controle e gerenciamento, a fim de: auxiliar na preparao para auditorias, acompanhamento, monitoramento, avaliao dos processos de TI e finalmente, auxiliar no alcance de metas na organizao. Para isso, no determina como os processos devem ser estruturados, e sim, como utiliz-los da melhor forma a fim de gerar as informaes que a empresa realmente necessita para que suas metas sejam cumpridas.

Especialistas em gesto e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento ROI percebido, fornecendo mtricas para avaliao de performance (KPI) , de resultados (KGI) e nvel do maturidade (modelo de maturidade). (Renato Sona Gonalves8, http://governadeti.blogspot.com/2008/03/cobitaguarde.html)

Criado para apoiar os profissionais no controle e gerenciamento dos processos de TI de forma lgica e estruturada, procura ocupar o espao entre a gesto de riscos voltada para o
8

Analista de Sistemas, com especializao em Gesto de Projetos, pela Unicamp. Gerente de Sistemas do Grupo Julio Simes.

20

negcio (atendida pela metodologia COSO), a gesto de servios em TI (ITIL) e a gesto da segurana da informao (tratada pela BS7799 ou ISO/IEC 17799 - verso internacional). Buscando fornecer informaes detalhadas para gerenciar os processos de negcios de uma empresa, auxilia os seguintes profissionais de TI: Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao. Usurios que precisam ter garantias de que os servios de TI do qual dependem os seus produtos esto sendo bem gerenciados. Auditores que podem se apoiar nas recomendaes do COBIT para avaliar o nvel da gesto de TI e aconselhar o controle interno de uma organizao.

4.1

Os Modelos de Processos de TI

O CobiT consiste de trs modelos: modelo de processos de TI (framework), modelo para governana de TI e o modelo de maturidade de TI. 4.1.1 Modelo de processos de TI (Framework) Este modelo consiste em um conjunto de 318 Controles, distribudos em 34 processos que so agrupados em 4 domnios que integram um ciclo de vida que pode ser repetido no sistema de gesto de TI. Onde cada um desses domnios visa um objetivo de controle em especfico. Esses objetivos de controle, se atingidos, garantem o alinhamento da TI aos objetivos do negcio. A responsabilidade pelo sucesso dos sistemas de controles , portanto, da alta direo, a qual deve torn-los efetivos. Os quatro domnios do CobiT: Planejar e Organizar Adquirir e Implementar Entregar e Dar Suporte Monitorar e Avaliar

21

4.1.1.1

Planejar e organizar

Esse domnio cobre o uso da informao e da tecnologia disponvel na empresa e como estas podem ser utilizadas para que a empresa atinja seus objetivos e metas. Para isso, considera tambm a forma organizacional e a infra-estrutura de TI desta determinada organizao. Atravs da anlise, planejamento e organizao de cada uma dessas reas possvel obter inmeros benefcios e atingir as metas estabelecidas. A tabela seguinte lista os objetivos de controle de alto nvel para o domnio do Planejamento e Organizao:

OBJETIVOS DE CONTROLE DE ALTO NVEL Planejar e Organizar

PO1 Definir um Plano Estratgico de TI e Orientaes PO2 Definir a Arquitetura de Informao PO3 Determinar o Gerenciamento Tecnolgico PO4 Definir os Processos de TI, Organizao e Relacionamentos PO5 Gerenciar o Investimento em TI PO6 Comunicar os Objetivos de Gerenciamento e Orientar PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Estimar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.2

Adquirir e Implementar

As solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim como devem ser implantadas e integradas dentro de um processo de negcios. Segundo Paulo Csar Rodrigues9, esse domnio tambm foca o desenvolvimento do plano de manuteno que a companhia adota para prolongar a vida do sistema de TI e seus componentes. Qualquer mudana na manuteno garantida por este domnio, aps mudana, o domnio passa a assegurar que a soluo continue a atender os objetivos de negcio. Os objetivos de alto nvel do domnio de aquisio e implementao seriam:
9

Dono e profissional atuante da Confidentia IT Solutions - Governana, Riscos, Conformidade .

22

OBJETIVOS DE CONTROLE DE ALTO NVEL Adquirir e Implementar

AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software de Aplicao AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Obter Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Credenciar Solues e Mudanas
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.3 Foca

Entregar e Dar Suporte aspectos de entrega de TI, se preocupa com a entrega real dos servios

solicitados, o que inclui o service delivery, o gerenciamento da segurana, o servio de suporte aos usurios, entre outros. Desta forma, cobre a execuo de aplicaes dentro do sistema e seus resultados, assim como o suporte dos processos que habilitam a execuo de forma eficiente e efetiva. A seguir a tabela com os objetivos de controle de alto nvel desse domnio.
OBJETIVOS DE CONTROLE DE ALTO NVEL Entregar e Dar Suporte

DS1 Definir e Gerenciar Nveis de Servio DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Performace e Capacidade DS4 Assegurar Servio Contnuo DS5 Assegurar Segurana de Sistema DS6 Identificar e Alocar Recursos DS7 Treinar Usurios DS8 Gerenciar Servios de Escritrio e Incidentes DS9 Gerenciar a Configurao 23

DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar Operaes
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.4

Monitorar e Avaliar

Monitora o sistema implantado e avalia se o atual sistema de TI atinge os objetivos desejados. Todos os processos de TI necessitam ser auditados/avaliados regularmente em sua qualidade e adequao com requerimentos de controle. Este domnio enderea o gerenciamento de performance, monitoramento de controle internos, cobre as questes de estimativa independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negcio, controlando os processos internos da companhia atravs de auditores internos e externos.

OBJETIVOS DE CONTROLE DE ALTO NVEL Monitorar e Avaliar

M1 Monitorar os processos M2 Assegurar avaliao dos controles internos M3 Obter avaliao independente M4 Prover auditoria independente
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.2 O Modelo de Governana de TI Esse modelo constitudo pela unio de 3 componentes em especfico: Fatores Crticos de Sucesso FCS (CSFs - Critical Success Factors) - So os pontos chave que definem o sucesso ou o fracasso de um objetivo definido. Define o que h

24

de mais importante a ser feito para permitir que uma tarefa ou processo sejam concludos. Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - Permitem medir em que grau os novos processos implementados responderam aos requisitos de negcio. Utilizados para reconhecer se as metas definidas foram alcanadas. Indicadores de Desempenho - IdD (KPIs - Key Performance Indicators) - medem o nvel de desempenho do processo, focando no como e indicando como os processos de TI permitem que o objetivo seja alcanado. Um Processo deve alcanar os objetivos de negcio definidos nos indicadores de metas (IdM). Um habilitador, resultante da combinao dos recursos de TI necessrios e dos fatores crticos de sucesso (FCS) fornece a informao segundo os critrios necessrios e monitorado por indicadores de desempenho (IdD). Esses critrios podem ser: eficcia, eficincia, confidencialidade, integridade, disponibilidade e confiabilidade. A combinao desses elementos depende da natureza do processo de TI.

25

Fig 3: Os componentes de um processo de TI. Adaptado por Matheus Canto de: http://www.vhmartins.com/cobit2.htm

4.2 Modelo de maturidade de TI

O modelo de maturidade fornecido, como uma ferramenta distinta para cada um dos 34 processos do COBIT. A partir dos nveis de maturidade descritos para cada um desses processos, possvel identificar: processos; Um mtodo para auto-avaliao. Situa a organizao quanto a seus

Um mtodo para utilizar os resultados da auto-avaliao. Pode ser

usado para estabelecer metas para desenvolvimentos futuros, baseando-se principalmente na posio em que a empresa deseja alcanar na escala, no necessariamente no nvel 5;

Um mtodo para planejar projetos que atinjam as metas estabelecidas

previamente. Esse planejamento teria como base a diferena entre as metas e a situao atual da empresa.

Um mtodo para priorizar projetos baseado na sua classificao e na

anlise dos benefcios versus os custos.

Segundo o ITGI10, os nveis de maturidade dos processos de TI descrevem perfis de processos que possam ser reconhecidos pelas organizaes. Esses nveis no estabelecem patamares evolutivos, onde no se pode alcanar um nvel superior sem antes passar pelos inferiores. O CobiT utiliza uma escala de seis nveis, conforme o modelo de Maturidade abaixo:
10

Instituto de Governana de TI.

26

I nexistente 0

I nicial 1

Repetitivo 2

Definido 3

Administrado 4

Otimizado 5

Situao atual da organizao Padro de mercado

Melhores prticas Estratgia da organizao

Fonte: COBIT Management Guidelines July 2000

0 Inexistente - A organizao no reconhece a existncia de um processo a ser gerenciado. 1 Inicial - Os processos so eventuais (ad hoc) e no organizados.No h

processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas em bases isoladas ou caso a caso. 2 Repetitivo - Os processos so estruturados e procedimentos similares so seguidos por diferentes indivduos para a mesma tarefa. No h treinamento ou divulgao formais de procedimentos padronizados e as responsabilidades so deixadas a cargo das pessoas. H forte dependncia do conhecimento individual. Existe alguma documentao. 3 Definido deteco de desvios. 4 Gerenciado - Existe a possibilidade de monitorar o cumprimento dos - Os processos so padronizados, documentados e comunicados.

Entretanto deixa a cargo dos indivduos seguirem ou no os processos, isso dificulta a

procedimentos e adotar medidas quando os processos aparentarem no funcionar efetivamente. Os processos esto sob constante melhoria e propiciam boas prticas. Automao e ferramentas so utilizadas de forma limitada ou fragmentada. 5 Otimizado - Os processos foram refinados at alcanar as melhores prticas, com base no resultado de melhoria contnua e comparaes com outras organizaes. A TI 27

utilizada como uma forma integrada para automatizar os fluxos dos procedimentos (workflow), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a empresa gil para adaptaes.

4.3 Benefcios do CobiT

Com a evoluo da tecnologia, as empresas ficaram dependentes de todos os tipos de artifcios para driblar o acesso de terceiros aos seus dados privados, ou seja, atualmente necessrio que as empresas utilizem de toda a tecnologia necessria para implementar controles de segurana eficazes. Segundo Mayer Fagundes11, as recomendaes de gerenciamento do CobiT com orientao no modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Os guia de gerenciamento do CobiT foca na gerncia por desempenho usando os princpios do BSC (Balanced Scorecard). Que por sua vez, possuem mtodos que incluem: definio da estratgia empresarial, gerncia do negcio, gerncia de servios e gesto da qualidade. Identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da empresa. Se implementado da maneira correta, os benefcios do CobiT podem ser inmeros, entre eles: Diminuio no volume de relatrios para a tomada de deciso Aumento no foco das aes gerenciais Melhoria na comunicao de tarefas e metas Facilidade no entendimento dos dados e informaes Reduo na quantidade de trabalho Ganho na produtividade gerencial

11

Diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos mercados de gerao e distribuio de energia e na rea de telecomunicaes.

28

4.4 Desvantagens do CobiT

Apesar do CobiT ser aplicvel a todos os setores da empresa, apresenta falhas quando passamos a observar alm dos processos. Analisando de uma maneira geral, possvel afirmar que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente), pois seu foco est ligado s reas de nvel estratgico e ttico da mesma.

29

5 CONCLUSO
Levando todos os aspectos aqui levantados quanto a governana de TI, mais especificamente sobre o ITIL e CobiT, possvel notar que estas metodologias inovaram a rea de TI, contribuindo desta forma, no somente com as empresas, mas tambm com os profissionais desta rea. Por um lado, a governana promove um novo foco das atividades do setor para que este se alinhe estrategicamente com os objetivos da empresa, promovendo melhor desempenho, reduo de custos e melhoria dos servios. Por outro lado, melhora a vida do profissional de TI, j que este passa de uma vida de estresse e tenso, para um ambiente de trabalho controlado e estabilizado. O ITIL est consolidado na TI no que se refere a servios e suporte, e o CobiT, consolidado no que se refere a processos, onde o foco ser sempre o aspecto gerencial e operacional. Esses modelos so complementares, possuem pontos distintos que completam um ao outro. O uso adequado destas metodologias em conjunto, favorece a administrao da empresa a ponto de diminuir o volume de relatrios, aumentar o foco das decises gerenciais, reduzir custos e trabalho, melhorar a comunicao, entre outros.
So complementares, principalmente por causa dos seus objetivos e foco, uma vez que o ITIL, pelo que foi apresentado, seria o "como fazer" enquanto o CobiT seria o "o que fazer" para a TI no que se refere a servios e processos. (MatheusCanto, CobiT x ITIL: um estudo comparativo)

Alm de ter abordado duas das principais metodologias da governana de TI, este trabalho tambm deu uma breve descrio do relatrio formal de auditoria para empresas prestadoras de servio, o SAS 70.

30

REFERNCIAS BIBLIOGRFICAS

ANDRADE,

Vera.

Descomplicando

ITIL.

Disponvel

em:

http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdf. Acesso realizado em: 23/11/09

CANTO,

Matheus.

CobiT

ITIL:

estudo

comparativo.

Disponvel

em:

http://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdf. Acesso realizado em: 03/11/09

CAVALCANTE. Gerenciamento da Continuidade de Servios de TI. Disponvel em: http://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2continuidade.pdf. Acesso realizado em: 16/11/09

COBIT 16/11/09

Management

Guidelines

July

2000.

Disponvel realizado

em: em:

http://www.madah.com.br/Cobit_Modelo_Maturidade.doc.

Acesso

ELEPHANT, em: 16/11/09

Pink.

QUE

ITIL?.

Disponvel

em:

http://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp. Acesso realizado

31

FARINHA, Carla. Adoo de ITIL em grandes empresas. Disponvel em: http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdf. Acesso realizado em:16/11/09

FERRO, Francisco. A Gesto dos Nveis de Servio (SLM). Disponvel em: http://www.sqs.pt/ARTIGO-3-ITIL.pdf. Acesso realizado em: 03/11/09

HILZENDEGER, Julio. Governana de TI O Modelo COBIT. Disponvel em: http://www.baguete.com.br/colunasDetalhes.php?id=3211 em 16/11/09

SILVA, Marcelo. Entendendo o conceito do Valor de TI. Disponvel em: http://marceloegito.wordpress.com/. Acesso realizado em: 11/11/09

VERNAY,

Diogo.

Gerenciamento

de

Incidentes

ITIL.

Disponvel

em:

http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html. Acesso realizado em: 25/11/09

32