Introdução ao COBIT e COBIT Gap Analysis Outubro 2006

1. Introdução ao COBITe COBIT Gap AnalysisOutubro 2006 Mair Affonso Rangel Calvo Sócio/Diretor

2. Apresentação Histórico O COBIT Hoje Conceitos e Estruturação do COBIT COBIT Gap Analysis (Metodologia MADAH) Sumário

3. Apresentação • É cada vez mais importante, para o sucesso e sobrevivência de uma organização na nossa sociedade global de informação, o gerenciamento efetivo da informação e da respectiva tecnologia de informação (TI), considerando:

4. Apresentação (cont.) • a crescente dependência da informação e dos sistemas que a fornecem; • as crescentes vulnerabilidades e um amplo espectro de ameaças como “cyber-ameaças” e guerra de informações;

5. Apresentação (cont.) • o montante e o custo de investimentos atuais e futuros em informações e sistemas de informação; e • o potencial de tecnologias em mudar dramaticamente as organizações e práticas comerciais, criando novas oportunidades e reduzindo custos.

6. Histórico (um pouco de Arqueologia... :)

7. “DNA” doCOBIT(+ de 40fontes...)

8. O COBIT hoje:Relatório de Status GlobaldaGovernança de TI2004

9. Relatório de Status Global da Governança de TI • Fonte: IT Governance Global Status Report - Excerpt • Pequisa publicada em 2004, efetuada em 2003 pela PwC sob orientação do ITGI / ISACA • 335 entrevistados (níveis CEO e CIO) • 276 escolhidos aleatoriamente • 56 dentre os que adquiriram o COBIT

10. Principais Resultados • Mais de 93% reconhecem que a TI é importante para a estratégia da organização • As organizações padecem de problemas operacionais de TI • Os CIOs reconhecem a necessidade de melhorar a governança de TI

11. Principais Resultados • Mais de 93% reconhecem que a TI é importante para a estratégia da organização • As organizações padecem de problemas operacionais de TI • Os CIOs reconhecem a necessidade de melhorar a governança de TI

12. Principais Resultados • Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI • Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI

13. Principais Resultados • Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI • Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI

14. Principais Resultados • Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos

15. Principais Resultados • Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos

16. Mais de 93% reconhecem que a TI é importante para a estratégia da organização • Há consenso mundial sobre a importância da TI na consecução da estratégia global das organizações, o que se observa na maioria dos segmentos • Paradoxalmente, a administração geral percebe a importância de TI um pouco mais do que a própria administração de TI

17. Mais de 93% reconhecem que a TI é importante para a estratégia da organização • Há consenso mundial sobre a importância da TI na consecução da estratégia global das organizações, o que se observa na maioria dos segmentos • Paradoxalmente, a administração geral percebe a importância de TI um pouco mais do que a própria administração de TI

18. As organizações padecem de problemas operacionais de TI • Apenas 7% dos entrevistados não tiveram problemas com TI no ano passado • Falhas e incidentes operacionais e visão inadequada da performance de TI são frequentes, e mencionadas por cerca de 40% dos entrevistados

19. As organizações padecem de problemas operacionais de TI • Apenas 7% dos entrevistados não tiveram problemas com TI no ano passado • Falhas e incidentes operacionais e visão inadequada da performance de TI são frequentes, e mencionadas por cerca de 40% dos entrevistados

20. Os CIOs reconhecem a necessidade de melhorar a governança de TI • 75% da comunidade de TI está ciente de que a TI tem problemas a serem sanados • Mais de 80% reconhece que é necessária governança de TI para saná-los • Apenas 40% responderam que pretendem adotar ou planejar medidas de governança de TI

21. Os CIOs reconhecem a necessidade de melhorar a governança de TI • 75% da comunidade de TI está ciente de que a TI tem problemas a serem sanados • Mais de 80% reconhece que é necessária governança de TI para saná-los • Apenas 40% responderam que pretendem adotar ou planejar medidas de governança de TI

22. Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI • 57% utilizam padrões (“frameworks”) para alinhar as estratégias de TI e da organização • 53% os utilizam para gerenciar os riscos operacionais de TI • Padrões conhecidos ou usados: • Soluções internas ou de provedores • ISO 9000 • COBIT

23. Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI • 57% utilizam padrões (“frameworks”) para alinhar as estratégias de TI e da organização • 53% os utilizam para gerenciar os riscos operacionais de TI • Padrões conhecidos ou usados: • Soluções internas ou de provedores • ISO 9000 • COBIT

24. Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI • O COBIT é percebido como um importante padrão para a governança de TI por aqueles que estão familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)

25. Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI • O COBIT é percebido como um importante padrão para a governança de TIpor aqueles que estão familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)

26. Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos • 18% dos entrevistados conhecem o COBIT • 30% das organizações que o conhecem efetivamente o utilizam • 5% das organizações entrevistadas usam o COBIT • 43% dos usuários entendem como de fácil implementação • 25% entendem como algo difícil

27. Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos • 18% dos entrevistados conhecem o COBIT • 30% das organizações que o conhecem efetivamente o utilizam • 5% das organizações entrevistadas usam o COBIT • 43% dos usuários entendem como de fácil implementação • 25% entendem como algo difícil

28. O COBIT hoje:Pesquisa de Mercado IPMMarço / 2005

29. Realizada em 100 dentre as 2000 maiores empresas do Brasil

31. 1,05 %

33. Conceitos e EstruturaçãodoCOBIT

34. Benefícios da TI X Riscos • Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar. • Entretanto, somente as organizações de sucesso • compreendem e gerenciam os riscos associados com a implementação de novas tecnologias.

35. Qual o papel do COBIT ? • Auxiliar a associação entre os riscos do negócio, as necessidades de controle e os aspectos tecnológicos. • Propiciar boas práticas através de uma matriz de domínios e processos estruturados de forma lógica e gerenciável.

36. Boas práticas • Consenso de especialistas, tendo sido pesquisadas e consolidadas pela ISACF – Information Systems Audit and Control Foundation • Fonte educacional para profissionais de controle

37. Boas práticas (cont.) • Padrão geralmente aceito e aplicável para boas práticas de controle e segurança de Tecnologia de Informação • Objetiva ser equivalente aos Princípios Contábeis Geralmente Aceitos

38. Missão do COBIT • Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informação, para uso cotidiano por administradores e auditores

39. Público alvo • Administradores: para os auxiliar na ponderação entre risco e investimentos em controles de TI; • Usuários: para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros; e

40. Público alvo (cont.) • Auditores de Sistemas: para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre controles internos

41. Definições • Controle : políticas, procedimentos, práticas e estruturas organizacionais projetados para prover razoável segurança de que os objetivos do negócio serão atingidos e de que eventos indesejados serão prevenidos ou detectados e corrigidos.

42. Definições (cont.) • Objetivo de Controle de TI: uma declaração do resultado desejado, ou propósito a ser atingido, pela implementação de procedimentos de controle numa atividade de Tecnologia de Informação em particular.

43. Documentos do COBIT Padrão aberto Exclusivo para Associados

44. Estrutura do COBIT • 4 Domínios • 34 Macro-Objetivos ou Processos • 318 Objetivos Detalhados

45. COBIT OBJETIVOS DO NEGÓCIO PO1 definir um plano estratégico de TI PO2 definir a arquitetura de informação PO3 determinar a direção tecnológica PO4 definir a organização e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigências externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade M1 monitorar os processos M2 avaliar a adequação do controle interno M3 obter certificação independente M4 providenciar auditoria independente INFORMAÇÕES • eficácia • eficiência • confidencialidade • integridade • disponibilidade • compliance • confiabilidade MONITORAÇÃO PLANEJAMENTO E ORGANIZAÇÃO RECURSOS DE TI • pessoas • sistemas aplicativos • tecnologia • instalações • dados DS1 definir níveis de serviços DS2 gerenciar serviços de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos serviços DS5 garantir segurança dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usuários DS8 auxiliar e aconselhar usuários de TI DS9 gerenciar a configuração DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalações DS13 gerenciar a operação AQUISIÇÃO E IMPLEMENTAÇÃO PRODUÇÃO E SUPORTE AI1 identificar soluções AI2 adquirir e manter software aplicativo AI3 adquirir e manter arquitetura tecnológica AI4 desenvolver e manter procedimentos de TI AI5 instalar e certificar sistemas AI6 gerenciar mudanças COBIT - PROCESSOSDE TI DEFINIDOSNOS QUATRO DOMÍNIOS

46. Escala do Modelo de Maturidade (EMM) Inexistente Inicial Repetitivo Definido Administrado Otimizado 0 1 2 3 4 5 Situação atual da organização Melhores práticas Padrão de mercado Estratégia da organização

47. COBIT Gap Analysis(Metodologia MADAH)

48. Gap Analysis • Objetiva auxiliar os responsáveis pela TI a identificar, de forma abrangente, rápida e econômica, como os macro controles de TI da Instituição estão posicionados em relação aos padrões esperados do mercado e/ou da própria Instituição • Metodologia baseada no COBIT Framework 3rd Edition, 2000 e no COBIT Management Guidelines, 2000

49. Etapas do Gap Analysis • Workshop com os gestores de TI para levantamento da situação atual dos controles • Entrevistas individuais com os gestores de TI para detalhamento da situação atual dos controles • Tabulação e Análise dos Aspectos Considerados • Opcional: Validação dos Resultados • Elaboração do Relatório • Workshop para Análise dos Resultados

50. 1 Base: Conceituação dos 34 Macro Objetivos ou Processos + 6 Descrições Genéricas da EMM ü Self Assesment Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descrições Genéricas da EMM) 2 ü Base: Control Objectives e/ou Management Guidelines (318 Objetivos Detalhados e/ou 204 Descrições Específicas da EMM + coleta de evidências) 3 ? Validação ü Etapas obrigatórias ? Etapa opcional Etapas do Cobit Gap Analysis(Metodologia MADAH) SE Optou = Sim Delta = | Resultado1 (-) Resultado2 | SE Delta =< 20 % Situação Atual = MAIOR (Resultado1, Resultado2) Situação Atual = MENOR (Resultado1, Resultado2) SENÃO Executar Validação ( Resultado3 ) Situação Atual = Resultado3