COBIT.

Control Objetctive for Information and Related Technology.

Tem por misso explcita pesquisar, desenvolver, publicar e promover um conjunto atualizado de
padres internacionais de boas prticas referentes ao uso corporativo de TI para gerentes e auditores de
tecnologia.

COBIT 1.0 - 1996;

COBIT 2.0 - 1998;
COBIT 3.0 - 2000;
COBIT 4.0 - 2005;
COBIT 4.1 - 2007;
COBIT 4.1br - 2010;
COBIT 5.0 - 2012.

Foco do modelo.

1. Alinhamento estratgico.
2. Agregao de valor.
3. Gerenciamento de recursos.
4. Gerenciamento de riscos.
5. Medio de desempenho.

1. Alinhamento estratgico.
Garante a ligao entre o plano de negcio e plano de TI;
Garante a manuteno e a validao da proposio de valor da TI;
Garante o alinhamento das operaes da empresa com as da TI.

2. Agregao de valor.

Execuo da proposio de valor atravs do tempo;

Assegurar que a TI entregue os benefcios prometidos;
Otimizar os custos;
Comprovar o valor da TI.

3. Gerenciamento de recursos.
Otimizao;
Aplicaes;
Informaes;
Infra-estrutura;
Pessoa.
Fornecer subsdios para a empresa cumprir seus objetivos.

4. Gerenciamento de riscos.
Conhecimento dos riscos pela alta direo;
Entendimento claro dos requisitos de compliance;
Transparncia acerca dos riscos signicativos;
Responsabilidade sob os riscos.
5. Medio do desempenho.
Acompanhar e monitorar.
Implantao da estratgia;
Andamento dos projetos;
Utilizao dos recursos;
Desempenho dos processos;
Entrega dos servios.

Princpios Bsicos do COBIT.

Requisitos de negcio direcionam investimentos em recursos de TI, usados por processos de TI, para
entregar informaes organizacional, os quais repondem a requisitos de negcio.

Como COBIT atende a necessidade?

Estrutura.

Foco nos negcios;

Orientado a processos;
Baseado em controle;
Orientado por medies.

Estrutura de modelo.
Foco no negcio.
Alinhar as metas de TI com as metas do negcio;
Estabelecer os requisitos para a operao dos processos;
Requisitos de negcio comeam a ser denidos pelos critrios da informtica.
Critrios da informao.

Requerimento de qualidade.
1. Ecincia - Prover informao pela melhor utilizao dos recursos;
2. Efetividade - Relevncia da informao para o processo de negcio, disponibilidade no prazo
apropriado, de forma correta, no formado adequado etc.
Requerimento de Segurana.
1. Conabilidade - Proteo de informao contra divulgao no autorirzada;
2. Integridade - Preciso de informao; validade de acordo com os padres;
3. Disponibilidade - Prover a informao no momento certo; inclui tambm processos de
salvaguarda;
Requerimento de adequao.
1. Conformidade - Cumprimento de leis e regulamentao;
2. Conabilidade - Fornecer informaes apropriadas aos gerentes para a tomada de decises:
entregar dados aos regulamentadores;
Recursos de TI.
1.
2.
3.
4.

Aplicativos - software para processar informaes;

Informaes - Dados em todas as suas formas (Entradas, processamentos, sadas);
Infra-estrutura - Recursos tecnolgicos para que os aplicativos funcionem;
Pessoas - Funcionrios requeridos para planejar, organizar, adquirir, implementar, entregar,
suportar, monitorar e avaliar, os sistemas de informaes e servios.

Orientado a processos.
1. Organizao das atividades de TI em um modelo de processos aplicveis de forma geral;
2. Identicao de responsabilidade;
3. Processos implementam requisitos.
COBIT 4.1 possui 34 processos divididos em 4 domnios.
Domnios:
1. Plan and Organise (PO) planejar e organizar;
Trata aspectos estratgicos e tticos da organizao e como a TI pode contribuir.
2. Acquire and Implement (AI) Adquirir e implementar;
Estratgias de desenvolvimento e aquisio de solues.

3. Deliver and Suport (DS) Entregar e suportar.

4. Monitor and Evalvate (ME) Monitorar e avaliar.
Processos.
Processos encadeamento de funes que necessita de uma entrada para gerar uma sada.
Processos depende de duas coisas: critrios de informao e recursos de TI.
Planejar, fazer, checar e agir.
Baseado em controles.
Controles so polticas, prticas e estruturas organizacionais para garantir que:
Os objetivos do negcio sero alcanados.
Os eventos indesejveis sero prevenidos, se possvel ou ento detectados e corrigidos.

Controles podem ser gerais, para processos e para aplicaes;

Os controles so instrumentos usados pela gerncia para governar o funcionamento do modelo;
Declarar o resultado esperado para um processo, podendo ser um elemento de controle;
Controles gerais dos processos PCX;
Pc1. Process Ower - Cada processo;
Pc2. Repeatabily - Os processos devem ser executados de forma consistente;
Pc3. Goals and Objetives - Devem ter objetivos e metas claras;
Pc4. Roles and Responsabilities - Devem ter regras e papeis denidos;
Pc5. Process Performance - Devem ter desempenho medido;
Pc6. Policy, Plans and Procesures - Politicas, planos e procedimentos devem ser
documentados, mantidos e comunicados.

Dirigindo por mtricas.

Uso de indicadores e modelos de maturidade;
Nvel 0 - Inexistente - Ausncia processos de identicveis;
Nvel 1 - Inicial...
Nvel 2 - Repetvel, mas imaturo...
Nvel 3 - Processo denindo...
Nvel 4 - Gerenciamento e mensurvel.
Nvel 5 - Otimizado.
Itens dos processos COBIT.
1. Nome do processo;
2. Descrio de informao;
2.1. Critrios de informao;
2.2. Critrios genrica de aes;
2.2.1. Indicadores de performance;
2.3. Recursos de TI envolvidos;
2.4. Objetivos de controle detalhados;
2.5 Diretrizes de gerenciamento;
2.5.1. Entradas;
2.5.2. Sadas;
2.5.3. Matrizes de responsabilidade;
2.5.4. Objetivos e mtricas;
2.6. Modelos de maturidade.

1. (PO) Planejar e organizar.

Objetivo:

Formular as estratgias e a ttica;

Identicar como a TI pode contribuir para alcanar os objetivos do negcio;
Planejar, comunicar e gerenciar a realizao da viso estratgica;
Implementar infra-estrutura organizacional e tecnologia.
Escopo:

A TI e o negcio esto alinhados?

O uso dos recursos da organizao est otimizado?
A organizao entende os objetivos da TI?
Os ricos de TI so conhecidos e gerenciados?
Os sistemas de TI apropriados para entender o negcio?
Processos:
PO1. Denir o plano estratgico de TI;
PO2. Denir a arquitetura da informao;
PO3. Denir as diretrizes de tecnologia;
PO4. Denir os processos, a organizao e os relacionamentos de TI;
PO5. Gerenciar o investimento de TI;
PO6. Comunicar metas e diretrizes gerenciais;
PO7. Gerenciar recursos humanos de TI;
PO8. Gerenciar a qualidade;
PO9. Avaliar e gerenciar os riscos de TI;
PO10. Gerenciar projetos.
2. (AI) Adquiri e implementar.
Objetivos:

Identicar, desenvolver / adquirir, implementar e integrar solues de TI;

Mudanas e manuteno nos sistemas existentes.

Escopo:
Os novos projetos entregam solues que atendem as necessidades do veculo?
Os sistemas sero adequados quando implementados?
As mudanas vo afetar a situao atual?

Processos:
AI1. Identicar solues automatizadas;
AI2. Adquirir e manter software aplicativos;
AI3. Adquirir e manter infra-estrutura de tecnologia;
AI4. Habilitar operao e uso;
AI5. Adquirir recursos de TI;
AI6. Gerenciar mudanas;
AI7. Instalar e a homologar solues e mudanas.
3. (DS) Entregar e suportar.
Objetivos:
Entregar os servios solicitados;
Gerenciamento da segurana. Continuidade, dado e recursos operacionais;

 Suporte aos usurios.

Escopo:

Os servios esto sendo entregues de acordo com as prioridades do negcio?

Os custos esto otimizados?
A equipe de trabalho esta apta a utilizar os sistemas de TI de maneira produtiva e segura?
A disponibilidade, conabilidade e integridade esto sendo contemplados para garantir a segurana da
informao?
Processos:

DS1. Denir e gerenciar nveis de servios;

DS2. Gerenciar servios de terceirizados;
DS3. Assegurar a continuidade dos servios;
DS4. Assegurar a continuidade dos servios;
DS5. Garantir a segurana dos sistemas;
DS6. Identicar e alocar custos;
DS7. Educar e treinar os usurios;
DS8. Gerenciar a central de servios e os incidentes;
DS9. Gerenciar a congurao;
DS10. Gerenciar problemas;
DS11. Gerenciar dados;
DS12. Gerenciar o ambiente fsico;
DS13. Gerenciar as operaes.
4. (ME) Monitorar e avaliar
Objetivos:

Gerenciamento da performance;
Monitoramento dos controles internos;
Aderncia regulatria;
Governana de TI;
Escopo:

O desenvolvimento de TI medido para antecipar problemas?

O gerenciamento assegura que os controles internos sejam objetivos e ecientes?
O desempenho da TI pode ser associado aos objetivos do negcio?
Os controles garantem disponibilidade, condencialidade e integridade das informaes?

Processos:

ME1. Monitorar e avaliar o desempenho de TI;

ME2. Monitorar e avaliar os controles internos;
ME3. Assegurar a conformidade com requisitos externos;
ME4. Prover a governana de TI.

Pblico Alvo.
Gesto executiva.

Orientaes sobre o retorno dos investimentos em TI;

Dados para controle e gesto de riscos.
Gesto de negcios.

Garantias sobre a gesto de TI;

Dados dos servios de TI de negcios.
Gesto de TI.

Auxilia a prover recursos e servios de qualidade;

Controle e gerenciamento.
Controles.

Base de comparao;
Controles internos.
Aplicabilidade do modelo.

1. Avaliao dos processos;

2. Auditoria de riscos operacionais;
3. Implementao modular da governana de TI;
4. Realizao de benchmarking;
5. Qualicao de fornecedores.
Benefcios do modelo.

1. Responsabilidades e protocolos de comunicao claros;

2. Viso clara dos processos de TI e dos seus pontos de vulnerabilidade;
3. Diminuio da exposio de riscos;
4. Assertividade no planejamento entendimento das dependncias dos processos;
5. Visibilidade da TI;
6. Reduo dos custos operacionais;
7. Melhor imagem perante os clientes.
Certicaes

Para pessoas que trabalham usando o modelo.

COBIT Foundation e Xam.
Para auditores.
Cisa - Auditor de Sistemas.
CISM - Gerente de Segurana.