Universidade Federal de Santa Catarina Disciplina: Projetos 1 Acadmicos: Andr Luiz Samistraro Santin Ari Schveitzer Junior Resumo

do Artigo: A CobiT Primer Autor:Philip L. Campbell Data do Artigo: Junho de 2005 Disponvel em: http:://www.osti.gov/bridge A CobiT Primer (Resumo) Abstract Artigo se prope a descrever uma breve introduo sobre o Cobit. Respondendo as seguintes perguntas. 1 Qual a importncia do Cobit e o seu valor? 2- O que o Cobit e quais documentos esto relacionados com o Cobit, esta ltima a parte principal do artigo. Encontramos nesse artigo at mesmo a correta pronuncia das siglas na lngua inglesa, Cobit [Coh-bit], ISACA [yee-sock-ah] e ITGI [eye-tee-gee-yey]. O artigo prove informaes principalmente sobre trs documentos: Cobit Security Baseline; Cobit Quickstart. Lista de Siglas e smbolos COBIT Control Objectives for Information and related Technology (Control Obectivespara informaao e tecnologia correspondente). ISACA Information Systems Audit and Control Association. (Associao de Auditoria e Controle de Sistemas de Informao) ISAFC Information Systems Audit and Control Foundation. (Fundao de Auditoria e Controle de Sistemas de Informao ) IT Information Technology. (TI - Tecnologia da Informao ) ITGI Information Technology Governance Institute (Instituto de Governana de Tecnologia de Informao). Lista de Definies Controle Polticas, procedimentos adotados e a estrutura organizacional da empresa para garantir uma razovel garantia de que os objetivos sero alcanados. Corrigindo possveis erros de planejamento e/ou execuo de processos organizacionais. Control Obectives Instruo para que os resultados esperados e planejados sejam alcanados atravs do controle de processos, em especial processos relacionados com a Tecnologia da Informao. Governana de TI A estrutura e processos de relacionamentos organizacionais para direcionar e controlar a empresa de uma forma que garante que os objetivos sejam alcanados acrescentando valor agregado a empresa e controlando os investimentos em TI para que estes tragam realmente o retorno esperado. Por que o Cobit importante?

Cobit caminho para implementao de governana de TI. O autor faz aqui uma comparao com as atuais mudanas nas regras na distribuio de informao dentro das organizaes e tambm nos modelos utilizados na segurana computacional. Faz uma comparao do modelo de segurana BLP, baseado em duas regras bsicas: no write down e no read upou seja voc nunca deveria ter acesso a informao passada por algum hierarquicamente superior na organizao e tambm nunca deveria passar informao para algum inferior na hierarquia organizacional. Ou seja neste modelo o trafego de informao sempre da base para o topo da pirmide. Posteriormente tivemos o aparecimento do Orange Book que classifica os documentos em classes hierrquicas. Classe D que significava sem regras de segurana, podia ser lida por qualquer colaborador.E no topo da hierarquia existia o documento classe A1. Segundo o autor, ultimamente as organizaes esto relutando em aceitar o a noo segurana adequada e futuramente a governana de TI poder auxiliar as organizaes a gerenciar as informaes focalizando no objetivo da empresa como um todo. Fazendo com que a TI auxilia a organizao atingir este(s) objetivo(s) organizando racionalmente os investimentos e recursos de TI. O Cobit um caminho a ser seguido pelas empresas para implementao da governana de TI. Cobit abrangente e completo. Cobit foi desenvolvido pela ITGI , instituto que tem muito know-how na rea e desenvolveu anteriormente e continua desenvolvendo uma srie de outros documentos que ajudam na compreenso e utilizao do Cobit. Cobit foi produzido por um grande numero de pessoas. Nos documentos do Cobit geralmente se consegue informaes sobre o grupo de desenvolvimento, quem estava no comit de controle e reviso da documentao, assim como o nome de colaboradores individuais. Cobit mantido e atualizado regularmente. ITGI vem lanando constantemente novas verses atualizadas do Cobit, 1996 a primeira verso, 1998 a segunda, 2000 a terceira e em dezembro de 2005 a terceira* Foi desenvolvido pela respeitvel entidade ITGI, com mais de 35 anos de existncia. O que da credibilidade e confiabilidade ao Cobit. O Cobit ousado e fortalece a mudana de atitude organizacional. Ele habilita a organizao a desenvolver polticas claras e boas praticas de TI. Cobit um caminho fcil para as empresas aplicarem ferramentas da governana de TI que ira ajudar a entender e controlar os riscos e benefcios dos investimentos em TI. ITGI e ISACA so institutos profissionais sem fins lucrativos. Portanto no existe motivos comerciais no seu desenvolvimento e pode-se encontrar

praticamente todos os documentos disponveis na WEB sem custo algum e atualizados. O que o COBIT? Cobit um caminho para a governana de TI, um framework que deve ser adaptado a real situao da organizao onde ser implantado. Estruturalmente o Cobit consiste em determinar Control Obectivesde TI. Os Control Obectivesso guias que determinam o que deve ser executado e supervisionado. A dificuldade na utilizao do Cobit no esta no controle individual dos objetivos, mas sim na determinao de quais objetivos deve-se desprender maior esforo e quais devem ser ignorados. Para facilitar o entendimento e a utilizao do framework o Cobit divide o controle dos objetivos em trinta e quatro processos, que so agrupados em quatro diferentes domnios. Recentemente a ITGI publicou o documento que chamou de Praticas de Controle, ampliando o Obejctive Control. Quais documentos esto associados ao COBIT? Na figura abaixo, retirada do documento CobiT QuickStart, est demonstrado a estrutura de documentos que o ITGI publicou associados ao Cobit.

O autor organiza os documentos do Cobit da seguinte forma: 1. Documentos Iniciais: CobiT Security Baseline; CobiT QuickStart; 2. Componentes do Cobit: Executive Summary; Framework; Control Objectives; Control Practices; Implementation Tool Set; Management Guidelines; Audit Guidelines; 3. Organizao (Mapeamento) do Cobit: Information Security Harmonization: Classification of Global Guidance;

COBIT Mapping: Overview of International IT Guidance; COBIT Mapping: Mapping of ISO/IEC 17799:2000 with COBIT. 4. Documentos de Governana: IT Governance Executive Summary; Board Briefing on IT Governance, 2nd Edition; IT Governance Implementation Guide: How do I use COBIT to implement IT Governance? Information Security Governance: Guidance for Boards of Directors and Executive Management. 5. Documentos produzidos por outros: IT Governance Global Status Report; IT GovernanceA Pocket Guide Based on COBIT. Posteriormente o artigo faz uma breve descrio de cada um dos documentos relacionados ao Cobit, descritos na forma da tabela abaixo: Os documentos do Cobit so: Documento N de Descrio Paginas CobiT Security 40 Este documento descreve o Baseline que se deve e o no deve ser feito para os seguintes grupos de profissionais em relao a segurana: Usurios domsticos; Usurios profissionais; Gerentes; Executivos; Executivos Seniores; Diretores CobiT QuickStart 48 Este documento apresenta 20% dos subsistemas do framework Cobit. Comentrios Este documento similar , mas um pouco mais genrico se comparado ao CobiT Quick-start. O CobiT Secutiry Baseline mostra a diferena existente entre o Cobit e o ITIL. Este documento foi desenvolvido especialmente para aqueles que acreditam que a implementao do Cobit muito complexa e avassaladora. So oferecidos dois testes para identificar qual deve ser o ponto de partida para implementao do CobiT na

Executive Summary

16

Este material descreve sucintamente o CobiT. O contedo deste documento repetido no inicio do Framework Document.

Framework

68

Este material descreve os quatro domnios e os 34 processos do CobiT. Este documento descreve os 4 domnios, os 34 processos e os 318 Control Objectives.

Control Objectives

148

Control Praticies

228

Este documento estende os 318 Control Obectivescom 1549 praticas de controle. Este documento descreve como iniciar a implementao do CobiT na empresa. Ele inclui os documentos: Management Awareness Diagnostics e IT Control Diagnostics Este documento tambm inclui casos de uso e FAQ`s.

Implementatio n Tool Set

86

organizao. So descritos 62 das 318 Control Objectivedo CobiT. Este documento deve ser o primeiro a ser lido para iniciarse o entendimento do Cobit. Por isso as informaes contidas nele so repetidas no inicio de vrios documentos. Neste documento temos uma descrio completa dos domnios e processos. Um Control Objective uma instruo para se atingir o resultado desejado. Este documento tenta demonstrar que no se deve tentar controlar mais de um processo ao mesmo tempo, pois existe um grande risco de se perder o foco do trabalho. As praticas de controle descreve o que deve ser feito para satisfazer os Control Objectives. Se voc j esta certo que ira implementar o CobiT na organizao, este o documento que ajudar a gerenciar a implementao.

Management Guidelines

122

Audit Guidelines

226

Information Security Harmonisation: Classification of Global Guidance (2005)

150

Este documento descreve apenas os quatro processos abaixo: Maturity Model; Critical Success Factors; Key Goal Indicators; Key Performance Indicators. Este documento um guia de auditoria e descreve os seguintes processos: Obtaining and Understanding Evaluating the controls Assessing compliance Substantiating the risk of the control objectives not being met. Este documento faz uma reviso dos mais comuns e adotados documentos e normas existentes: BS 7799; CobiT; SSE-CMM; GAISP Version 3.0; ISFs Standard for Good Pratices for Infomation Security; ISO / IEC 13335; ISO / TR 13569:1997; ISO / TR 15408:1999; ISO / TR 17799:2000; ITILs Security Manager; NIST 800-12; NIST 800-14; NIST 800-18; NIST 800-53; OCTAVE Criteria Version 2.0; OECDs Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan

Este documento foi escrito e direcionado para gerentes.

Este documento um guia completo com a intenao de forncer suporte suficiente para auditores.

Open Groups Managers Guide Information Security;

CobiT Mapping: Overview of International IT Guidance (2004)

56

Este documeto compara o CobiT com os seguintes documentos: ITIL; ISO / IEC 17799; ISO / IEC 13335; ISO / IEC 15408; TickIT; NIST; COSO Este documento compara CobiT com ISO/IEC 17799:2000, repondendo as seguintes perguntas: Pode-se usar o Cobit ao invs do ISO/IEC 17799:2000: Porque devemos seguir os documentos com padres? Quais as diferenas entre este dois padres? Pode-se usar estes dois padres juntos? Este documento descreve o porque onde e como a governana de TI deve ser aplicada e encoraja as empresas a utilizar o IT Strategy Commitee e Risk Management e IT Balanced Scorecard Este documento mostra a importncia da governana de TI como implementer e como medir os resultados. Governana de TI baseado em 5 aspectos: Estratgia de implementao; Avaliaao e controle da entrega; Este documento mostra que os documentos CobiT e ISO/iec 17799:2000. na verdade se completam e podem ser usuados ao mesmo tempo, pois o CobiT bastante amplo enaquanto o ISO/IEC 17799 se refere mais a questes de segurana. Este ducumento bastabte simples e facil de utilizar, muito bom para iniciantes em governana de TI. Este documento explica de forma conceitual como as comisses de governana de TI podem ser implementadas.

CobiT Mapping: Mapping of ISO/IEC 17799:2000 with CobiT (2004)

146

IT Governance Executive Summary

Board Brief on IT Governance 2nd Edition (2003)

64

IT Governance Implementatio n Guide: How to implement IT Governance? (2003) Information Security Governance for Boards of Directors and Executive Management (2001)

58

Controle de Risco; Controle de Recursos; Controle de Performance; Esta includo no documento ferramenta para Check Lists, modelos e informaes sobre padres de governana como COSO, Cadbury, Turnbull, OECD, Guidelines, BIS e CobiT A maior parte deste documento descreve um plano de ao para implementao. Antecede a discuso sobre a natureza e importancia sobre governana de TI.

Este documento descreve como implementar governana de TI de forma cronlogica

28

Este documento responde perguntas como : O que segurana de informao; Por que Segurana de Informaao importante? O que os administradores e comisses devem fazer sobre isto? Parte das respostas esto nas questes abaixo. Adotar melhores prticas; Considerar fatores criticos para o sucesso; Introduao sobre avaliao dos resultados; Este documento descreve a situaao e resultados dados pela Governana de TI no mundo no ano de 2003. Este estudo foi patrocinado pelo ITGTI. O ITGTI queria saber atraves deste estudo o atual estado da governana de TI atravs do mundo. Foram feitas 25 perguntas 335 pessoas. O ITGTI tinha a inteno de saber o grau de

IT Governance Global Status Report (2004)

72

IT Governance A Pocket Guide Based on CobiT (2004) ITSM Pocket Library published by VA Haren Publishing

151

Koen Brand e Harry Boonen escreveram este documento, independentemente do ITGTI com mais de 70 pessoas participando do grupo internacional de reviso. Este documento difere do CobiT em muitas coisas. Este documento descreve as publicaes e documentos segundrias do CobiT.

conhecimento sobre a importncia da governana de TI, aproximadamente 18% dos entrevistados conheciam o CobiT. Eles consideravam que o CobiT a melhor maneira para implementar a Governana de TI. Este documento de grande importancia e utilidade. Como de um tamanho pequeno pode ser utilizado como documento de bolso.

Reviso do Documento: CobiT Security Baseline Este documento dividido nas seguintes partes: Introduo; Definio de Segurana da Informao; 39 passos para segurana; Esta seo descreve 39 passos para segurana. Por exemplo o primeiro passo : Identifique as informaes crticas para empresa e determine a regras de segurana. Sobrevivncia da Segurana da Informao; Este documento descreve informaes bsicas para segurana de informaes para todos os tipos de usurio desde os mais experientes a iniciantes. Reviso do Cobit Quickstart Este documento implementa o mtodo top-down para implementao da Governana de TI. Seguindo os seguintes passos: Comear pelos objetivos do negcio; Fazer anlise de riscos; Identificar os objetivos da TI e a importncia dos processos de TI; Identificar as principais Control Pratices para implementar ou continuar a aprimorando;

Quickstart contem duas partes o framework e baseline. O framework descreve o que o Quickstart, por que preciso, como determinar a agregacao de valor da governana de TI para empresa. O documento contem 62 Control Objectives onde muitos, mas no todos, derivem dos originais 318 Control Objectives originais do CobiT. Para cada um dos Control Objectives do Quickstart so listados Fatores Crticos para o sucesso mtricas para o desempenho. Segundo o autor este documento adequado para organizaes que iro implementar apenas alguns sistemas do Cobit ou acham que o CobiT muito complexo para ser implementado todo de uma vez e iro implementar gradualmente. Concluso Este artigo realmente muito valioso, pois nos mostra claramente a grande abrangncia do framework Cobit. No artigo conseguimos informaes desde o significado e a importncia das organizaes que participaram do desenvolvimento do framework at a lista completa dos documentos que o compem, as principais informaes contidas em cada um destes documentos e tambm onde e quando devem ser utilizados.