Escolar Documentos
Profissional Documentos
Cultura Documentos
COBIT FUNDAMENTOS
APRESENTAÇÃO
Objetivo do Treinamento
Estrutura do Treinamento
Agenda
APRESENTAÇÃO
Apresentação do Aluno
Nome
Empresa / Papel atual na Empresa
Breve histórico profissional
Experiência com COBIT e Governança de TI
Expectativas para o treinamento
Apresentação do Instrutor
Nome
Papel
Breve histórico profissional
Certificações
APRESENTAÇÃO
Objetivos do Treinamento
O COBIT 5 “Framework de negócio para a Governança e Gestão de TI empresarial” apresenta ao aluno
os cinco princípios básicos do COBIT 5, que são cobertos em detalhe, e inclui ampla orientação sobre
habilitadores de Governança e Gestão de TI Empresarial. Inclui também, um guia complementar que
define os conceitos fundamentais de um Modelo de Avaliação de Processo (PAM – Processs Assessment
Model) com base na ISO 15504, abordagem que substitui o anterior CMM (Capability Maturity Model).
Unidade 2
PR - Princípios do COBIT 5
Unidade 1 – Overview
“Visão Geral”
Resultados de Aprendizagem
A história do COBIT.
Os direcionadores (drivers) para o desenvolvimento de um
Framework.
Os benefícios de usar o COBIT 5.
Evolução do COBIT
Governança de TI Empresarial
Governança de TI
BMIS
Evolução
(2010)
Gerenciamento
Val IT 2.0
(2008)
Controle
Auditoria Risk IT
(2009)
Como esses benefícios podem ser realizados para criar valor para
as partes interessadas (stakeholders) da empresa?
Valor para o Stakeholder
Simplificado
COBIT 5 é diretamente endereçado as necessidades do
“espectador” a partir de perspectivas diferentes.
Desenvolvimento contínuo com guia de prática específico.
COSO
COBIT
ISO 27002
ISO 9000
SCOPE OF COVERAGE
(Escopo de Cobertura)
Onde o COBIT se encaixa?
CONFORMANCE
Drivers PERFORMANCE: Basel II, Sarbanes-
Business Goals Oxley Act, etc.
Balanced
Enterprise Governance COSO
Scorecard
IT Governance
COBIT
Negociação.
Decidir entre diferentes interesses de valor dos stakeholders.
Considerar todas as partes interessadas (stakeholders) na tomada de
decisões de avaliação de recursos, benefícios e riscos.
Necessidades do
Stakeholder devem ser
transformadas em uma
estratégia legítima da Desdobramento
empresa. de metas do
COBIT 5
Stakeholders necessitam
de metas específicas,
práticas e customizadas.
Princípio 1 (cont. ...):
Atender as necessidade do Stakeholder
Como posso melhor explorar novas tecnologias para novas oportunidades estratégicas?
O COBIT 5:
Integra a Governança de TI empresarial a Governança empresarial ou
corporativa.
Abrange todas as funções e processos dentro da empresa.
Não se concentra apenas na "função de TI “
Princípio 2:
Cobrindo a Empresa Fim-a-Fim
Habilitadores de Governança:
Os recursos organizacionais para a governança.
Recursos da empresa.
A ausência de recursos ou habilitadores pode afetar a
capacidade da empresa de criar valor.
Escopo da Governança:
Toda a Empresa.
Uma entidade, um ativo tangível ou intangível, etc.
Princípio 2 (cont. ...):
Cobrindo a Empresa Fim-a-Fim
Habilitadores
Fornece uma maneira comum, simples e estruturada para lidar com habilitadores.
Permite uma entidade para gerir suas interações complexas
Facilita resultados de sucesso dos habilitadores
Princípio 5 (cont. …):
Definição de Gestão e Governança
Governança e Gestão
Abrangem diferentes tipos de atividades.
Exigem diferentes estruturas organizacionais.
Servem a propósitos diferentes.
Habilitadores:
Fornece uma maneira comum, simples e estruturada para lidar com habilitadores.
Permite uma entidade para gerir suas interações complexas
Facilita resultados de sucesso dos habilitadores
Habilitador 1:
Princípios, Políticas e Frameworks
Integridade
Requisitos de Negócios
2. Eficiência (Efficiency) Confiabilidade
3. Confidencialidade (Confidentiality)
Recursos de TI
4. Integridade (Integrity)
Processos de TI
5. Disponibilidade (Availability)
6. Conformidade (Compliance)
7. Confiabilidade (Reliability)
Habilitador 5: Informação
Requisitos de Negócio do COBIT 4.1
Lida com informações relevantes e pertinentes aos processos de negócios
Eficácia como também ser entregue em tempo, correta, consistente e usual.
Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo de
Conformidade
negócios esta sujeito.
Confidencialidade A confidencialidade corresponde a seguinte meta de qualidade da informação: acesso restrito à informação.
Conformidade é coberta por quaisquer metas de qualidade da informação, considerando que a informação
necessita estar de acordo com as especificações e requisitos. Conformidade com os regulamentos é mais
Conformidade
frequentemente um meta ou exigência do uso da informação, não tanto uma qualidade inerente da
informação.
Habilitador 5: Informação
Meta Dado – Ciclo da Informação
Processos de TI
Dado Valor
Informação Conhecimento
Transformar Transformar Criar
Habilitador 5: Informação
Ao desenvolver um novo aplicativo, o Modelo de Informação - MI pode ser usado para ajudar com as
especificações da aplicação e as informações associadas ou modelos de dados. Os atributos de
informação do MI podem ser usados para definir as especificações para a aplicação e os processos de
negócio que irão utilizar a informação.
Olhando para a dimensão das partes interessadas combinada com a informação de ciclo de vida,
pode-se definir quem terá o tipo de acesso aos dados durante que fase do ciclo de vida da
informação. Quando o aplicativo é testado, os testadores podem olhar para os critérios de qualidade
da informação para desenvolver um conjunto de casos de teste.
Habilitador 5: Informação
Exemplo 2
EXEMPLO 2: MI - MODELO DE INFORMAÇÃO UTILIZADO PARA DETERMINAR A
PROTEÇÃO REQUERIDA
Usar esses atributos permitirá que o usuário determine o nível de proteção e os mecanismos de
proteção necessários. Olhando para uma outra dimensão do MI, os profissionais de segurança podem
também considerar as fases do ciclo de vida da informação, porque a informação precisa ser
protegida durante todas as fases do ciclo de vida. Na verdade, a segurança começa na fase de
planejamento da informação e implica em mecanismos de proteção diferentes para armazenar,
compartilhar e disponibilizar esta informação. O MI garante que a informação é protegida durante o
seu ciclo de vida.
Habilitador 5: Informação
Exemplo 3
Ao realizar uma revisão de um processo de negócio (ou um aplicativo), o MI pode ser usado para
ajudar com uma revisão geral da informação processada entregue pelo processo, e dos sistemas de
informação de base.
Os critérios de qualidade podem ser utilizados para avaliar a medida em que a informação está
disponível, se a informação está completa, disponível em tempo hábil, factualmente correta,
relevante, disponível na quantidade adequada. Pode-se também considerar os critérios de acesso, se a
informação é acessível quando necessário e devidamente protegida.
Revisão pode ser ainda estendida para incluir critérios de representação, por exemplo, a facilidade
com que a informação pode ser entendida, interpretada, usada e manipulada.
Revisão que usa os critérios de qualidade da informação do MI, fornece a empresa uma visão
abrangente e completa sobre qualidade das informações atuais dentro de um processo de negócio.
Habilitador 5: Informação
O uso de fontes externas de boas práticas, existentes em frameworks como ITIL; que
contém orientações detalhadas sobre como projetar e operar serviços.
Exemplo a seguir
Passo 1: Comece com as Categorias do BSC
Financial
Customer
Internal
Learning
Customer
6. Customer-oriented service culture
7. Business service continuity and availability
ITRG 07 Delivery of IT services in line with business requirements
ITRG 08 Adequate use of applications, information and technology solutions
ITRG 01 Alignment of IT and business strategy
ITRG 04 Managed IT-related business risk
ITRG 10 Security of information, processing infrastructure and applications
ITRG 14 Availability of reliable and useful information for decision making
Process ID APO09
Process Align IT-enabled services and service levels with enterprise needs and expectations, including identification, specification, design, publishing, agreement, and monitoring of
Description IT services, service levels and performance indicators.
Unidade 4 - Módulo IM
Introduction to COBIT5 Implementation
Process Purpose Ensure that IT services and service levels meet current and future enterprise needs.
“Introdução a implementação do
COBIT5”
Outcomes (OS)
RELATED METRICS
The number of business processes with unidentified service
Number Description agreements
% of live IT services covered by service Agreements
% of Customers satisfied that service delivery meets agreed-on
APO09-O1 IT services are identified, defined and catalogued according to enterprise needs.
levels
Number & severity of service breaches
APO09-O2 Service agreements reflect enterprise needs and the capabilities of IT. % of services being monitored to service levels
% of service targets being met
Ética e cultura
Leis, regulamentos e políticas
Missão, visão e valores
Políticas e práticas de governança
Planos de negócios e intenções estratégicas
Modelo operacional
Estilo de gestão
Apetite pelo risco
Capacidades e Disponibilidade de recursos
Práticas da indústria
Fatores chave de sucesso
Iniciar o programa
Executar o plano
Executar projetos de acordo com um plano do programa integrado.
Fornecer relatórios regulares de atualização para os interessados.
Documentar e monitorar a contribuição dos projetos enquanto gestão dos riscos
identificados.
Implementar melhorias
Adotar e adaptar as melhores práticas para atender a abordagem da empresa
para políticas e mudanças de processo.
Implementação do COBIT 5 – Fase 6
Fase 6 – Será que chegamos lá?
Realizar benefícios
Monitorar o desempenho global do programa em relação aos objetivos do caso
de negócio.
Monitorar e medir o desempenho do investimento.
Operar e medir
Estabelecer metas para cada métrica.
Métricas de medida contra alvos.
Comunicar os resultados e ajustar as metas, se necessário.
Implementação do COBIT 5 – Fase 7
Fase 7 – Como mantemos impulso?
Melhoria Contínua
Manter o impulso é crítico para sustentação do Ciclo de Vida.
Sustentar
Reforço consciente (realizadores de recompensa).
Campanha de comunicação em curso (feedback sobre o desempenho).
Compromisso permanente da alta direção (apoio do topo).
Monitorar e Avaliar
Identificar novos objetivos de governança com base na experiência do programa.
Comunicar as lições aprendidas e mais os requisitos de melhorias para a próxima
iteração do ciclo.
Relacionamento na habilitação da mudança
para os passos da gestão do programa
Já definimos as sete fases e mostramos que as etapas da gestão de
programa se relacionam. Esta seção descreve os sete Habilitadores (o anel
interno ou círculo vermelho) e sua relação com as sete etapas do
programa de gestão (o anel externo ou anel azul escuro).
Agora vamos olhar para o núcleo ou anel central (azul claro). Estas são as
tarefas associadas a cada habilitador da mudança.
Inicialmente, este pode ser um caso de negócios de alto nível, ou seja, lidar
com os benefícios estratégicos e custos e, em seguida, avançar para um caso de
negócio mais detalhado. É uma ferramenta valiosa disponível para gestão na
orientação da criação de valor para o negócio.
Elaborando um Caso de Negócio
“Business Case”
Os investimentos necessários.
vs
Mensagem de Transição do COBIT
4.1, COBIT 4.1 para o COBIT 5
Usuários COBIT 4.1, Val IT e Risk IT que já estão envolvidos nas atividades de
implementação de Governança de TI Empresarial (GEIT – Governance of
Enterprise IT) pode realizar a transição para COBIT 5 e obter benefícios a
partir da orientação mais recente e melhor que ele proporciona durante as
próximas iterações do ciclo de vida de melhoria da empresa.
COBIT 5 baseia-se em versões anteriores do COBIT (COBIT 4.1, Val IT e Risk IT)
e assim as empresas podem também consolidar o que têm desenvolvido
utilizando versões anteriores
Áreas que sofreram Alterações
O domínio de Governança
Contém cinco processos de governança
dentro de cada processo, as práticas de
Avaliar, Direcionar e Monitorar
estão definidas (EDM).
Princípios do COBIT
Novos Princípios de Governança TI
Empresarial
O COBIT 5:
Introduz cinco novos processos que alavancam e melhoram as
abordagens de Governança do COBIT 4.1, Val IT e Risk IT.
Este Guia:
Ajuda as empresas a aperfeiçoar e fortalecer as práticas de
Governança de TI Empresarial em nível Gestão executiva.
Suporta integração de Governança de TI empresarial com práticas de
governança existentes na empresa e está alinhado com a ISO/ IEC
38500.
Processos novos e modificados
Principais diferenças:
Assessment Process
As principais definições da ISO 15504
APO13-BP02 APO13.02 Define and manage an information security risk Outcome APO13.O2
treatment plan.
Maintain an information security plan that describes how information
security risk is to be managed and aligned with the enterprise strategy and
enterprise architecture. Ensure that recommendations for implementing
security improvements are based on approved business cases and
implemented as an integral part of services and solutions development,
then operated as an integral part of business operation
APO13-BP03 APO13.03 Monitor and review the ISMS. Outcome
Maintain and regularly communicate the need for, and benefits of, APO13.O1/O3
continuous information security improvement. Collect and analyse data
about the ISMS, and improve the effectiveness of the ISMS. Correct non-
conformities to prevent recurrence. Promote a culture of security and
continual improvement.
COBIT 5 -Modelo de Referência de Processo
Work Products (WPs)
Inputs
DSS02-WP5 Classified and prioritised incidents and service requests Base practice APO13.BP03 and outcomes APO13.O1/O3
Outside COBIT Enterprise security approach Base practice APO13.BP01 and outcome APO13.O1
APO02-WP8 Gaps and changes required to realise target capability Base practice APO13.BP02 and outcome APO13.O2
APO03-WP4 APO03.02 - Baseline domain descriptions and architecture definition Base practice APO13.BP02 and outcome APO13.O2
APO12-WP13 APO12.05 - Project proposals for reducing risk Base practice APO13.BP02 and outcome APO13.O2
Outputs
APO13-WP1 ISMS policy Internal from base practice APO13.BPO1 and outcome APO13.O1
APO13-WP2 ISMS scope statement APO01.02; DSS06.03 from base practice APO13.BPO1 and outcome APO13.O1
APO13-WP3 Information security risk treatment plan All EDM; All APO; All BAI; All DSS; All MEA from base practice APO13.BPO2 and outcome APO13.O2
APO13-WP4 Information security business cases APO02.05 from base practice APO13.BPO2 and outcome APO13.O2
APO13-WP5 ISMS audit reports MEA02.01 from base practice APO13.BPO3 and outcome
APO13.O1/O3
APO13-WP6 Recommendations for improving the ISMS Internal from base practice APO13.BPO3 and outcome
APO13.O1/O3
COBIT 4.1 - Modelo de Referência de Processo
BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES
C O B I T
ME1 Monitor and evaluate IT FRAMEWORK
PO1 Define a strategic IT plan.
performance. INFORMATION
PO2 Define the information
ME2 Monitor and evaluate internal
architecture.
control.
Efficiency Integrity PO3 Determine technological
ME3 Ensure compliance with
Effectiveness Availability direction.
external requirements.
Compliance PO4 Define the IT processes,
ME4 Provide IT governance. Confidentiality
organisation and relationships.
Reliability PO5 Manage the IT investment.
MONITOR PLAN PO6 Communicate management
AND AND aims and direction.
EVALUATE ORGANISE PO7 Manage IT human resources.
IT PO8 Manage quality.
DS1 Define and manage service RESOURCES PO9 Assess and manage IT risks.
levels.
PO10 Manage projects.
DS2 Manage third-party services.
DS3 Manage performance and
capacity.
DS4 Ensure continuous service. Applications
Information
DS5 Ensure systems security. AI1 Identify automated solutions.
Infrastructure
DS6 Identify and allocate costs. People AI2 Acquire and maintain
DS7 Educate and train users. application software.
DELIVER ACQUIRE
DS8 Manage service desk and AND AI3 Acquire and maintain
AND
incidents. SUPPORT IMPLEMENT technology infrastructure.
DS9 Manage the configuration. AI4 Enable operation and use.
DS10 Manage problems. AI5 Procure IT resources.
DS11 Manage data. AI6 Manage changes.
DS12 Manage the physical AI7 Install and accredit solutions
environment. and changes.
DS13 Manage operations.
Modelo de Referência de Processo
Escopo
Indicadores
Mapeamento
Escopo do Modelo de Avaliação de Processos
NOTA: Seria admissível para um modelo, por exemplo, endereçar apenas o nível 1, ou
endereçar os níveis de 1, 2 e 3, mas não seria admissível endereçar os níveis 2 e 3, sem o
nível 1.
Indicadores
Indicadores com modelo de referencia
de processo COBIT 5
Avaliaçao da Capacidade de Processos
PA 2.1 Performance Management
Result of Full
Achievement of the Generic Practices (GPs) Generic Work Products (GWPs)
Attribute
a. Objectives for the GP 2.1.1 Identify the objectives for the GWP 1.0 Process documentation should
performance of the performance of the process. The performance outline the process scope.
process are identified. objectives, scoped together with assumptions GWP 2.0 Process plan should provide details of
and constraints, are defined and the process performance objectives.
communicated.
b. Performance of the GP 2.1.2 Plan and monitor the performance of GWP 2.0 Process plan should provide details of
process is planned and the process to fulfil the identified objectives. the process performance objectives.
monitored. Basic measures of process performance linked GWP 9.0 Process performance records should
to business objectives are established and provide details of the outcomes.
monitored. They include key milestones, Note: At this level, the record of process
required activities, estimates and schedules. performance may be in the form of reports,
issues registers and informal records.
c. Performance of the GP 2.1.3 Adjust the performance of the GWP 4.0 Quality record should provide details
process is adjusted to process. Action is taken when planned of action taken when performance is not
meet plans. performance is not achieved. Actions include achieved.
identification of process performance issues
and adjustment of plans and schedules as
appropriate.
Mapeamento do Modelo de Referência de Processo
Uma medida da extensão em que os produtos de trabalho produzidos pelo processo são
apropriadamente administrados. Como resultado da plena realização deste atributo:
1 2 3 4 5
PA5.2 L
Level 5 - Optimizing /
Optimization
PA5.1 Innovation F
PA4.2 Control L F
Level 4 - Predictable /
PA4.1 Measurement F
PA3.2 Deployment L F F
Level 3 - Established /
PA3.1 Definition F
PA2.2 Work Product Management L F F F
Level 2 - Managed /
PA2.1 Performance Management F
L F F F F
Level 1 - Performed PA1.1 Process Performance /
F
Level 0 - Incomplete L/F = Largely or Fully F= Fully
Alvo de Capacidade de Processo
Target Capability L
Process A
Assessed
Target Capability F L L
Process B
Assessed
Target Capability F F F L L
Process C
Assessed
Consequências dos Gaps de Capacidade
Riscos e Gaps de Capacidade
Resumo dos Passos da Avaliação do Avaliador
1 – Initiation
3 – Briefing
4 – Data Collection
5 – Data Validation
Entrada
Processo
Saída
Os dados necessários para a avaliação dos processos dentro do escopo é recolhida de forma
sistemática.
A estratégia e as técnicas para a seleção, coleta, análise dos dados e justificativa das
classificações são explicitamente identificáveis e demonstráveis.
A evidência objetiva reunida para cada atributo de cada processo avaliado deve ser suficiente
para atender o propóstito da avaliação e o escopo.
Competências do Assessor:
Conhecimento, habilidade e experiência: