COBIT 4.1 para Concursos - Introdução - Parte 1

Esse é mais um dos meus resumos para concurso que faço durante os meus estudos. Quem vem ao blog já conhece o esquema. Se algo estiver errado, não me culpem, mas podem aproveitar o quanto quiserem. O COBIT nasceu como um modelo para auditoria de TI. Os auditores iam na empresa realizar a auditoria e verificavam se as empresas tinham objetivos de controles implementados. Era uma compilação de itens a serem verificados em uma auditoria de TI. Só as versões criadas a partir de 2005 (4.0 em diante) é que vieram focadas na governança de TI.

O COBIT - Control Objectives for Information and Related Technology é uma estrutura de controles com as seguintes características: é uma estrutura focada no negócio, orientada a processos (34), baseada em objetivos de controle e que utiliza métricas e medições baseadas em modelos de maturidade. Não é uma metodologia (assim como ITIL e CMMI também não são), mas como já foi dito, é uma estrutura de controle. Metodologia é uma receita de bolo, é um passo a passo, diz você como fazer. O COBIT é muito resumido para isso. O CMMI e o ITIL até sugerem como fazer algumas coisas, mas o COBIT, nem isso. Desafios da TI segundo o COBIT

Alinhar a TI ao Negócio (todos os modelos dizem isso) O que a TI entrega não costuma ser o que a organização espera, então a TI deve trabalhar em conjunto com o negócio e não em paralelo. O problema é que nem sempre a empresa sabe quais são as suas prioridades e muitas vezes levantam suas necessidade de forma superficial. As prioridades devem ser bem estabelecidas e seguidas. As decisões tomadas pela TI não podem ser independentes, é preciso que elas sejam tomadas em conjunto com o resto da organização e de acordo com a finalidade da instituição. Para isso, é preciso uma boa comunicação e uma definição clara das prioridades. No geral, os problemas são causados pela falta de comuniação.

Manter a TI Funcionando As empresas dependem fortemente da TI e a interrupção de um serviço de TI pode causar impactos muito significativos para o negócio. Por isso, os serviços precisam estar sempre disponíveis. Serviços indisponíveis significam perda de oportunidades, redução de lucros e isso impacta na reputação da organização. É fundamental garantir a continuidade de serviços críticos de TI Entregar Valor aos Clientes Como a TI é muito importante nas empresas atualmente, é necessário garantir que TODAS as ações da TI forneçam algum tipo de valor à organização. Os projetos devem ser entregues dentro de prazo e no custo acordado.

A TI precisa justificar o retorno sobre investimento. O cliente precisa perceber que o dinheiro gasto está sendo traduzido em alguma coisa. Gerenciar os Custos da TI Os gastos da TI costumam estar fora de controle. As empresas possuem conhecimento dos custos e do retorno do investimento em outros setores, mas não conseguem apurar essa informações com relação à TI. Elas sabem quanto gastam com advogados, logística, contabilidade e outras coisas, mas não com a Informática e isto é igualmente importante. Os custos envolvidos com os ativos de TI não são bem compreendidos Gerenciar a Complexidade A quantidade de sistemas e tecnologias é muito grande e nem sempre as arquiteturas são compatíveis, não existe interoperabilidade entre os diversos sistemas. Isso gera muitas dificuldades e aumenta a a complexidade para manutenção do ambiente. As inovações tecnológicas são muito rápidas e é necessário atualizar a equipe. Além disso é preciso gerenciar fornecedores, que é um tarefa crítica. Onde está escrito fornecedores, está incluído também os terceirizados e qualquer agente que forneça algo para a organização. Cumprir Leis e Regulamento Explicitar esta característica é uma peculiaridade do COBIT. A área de atuação da empresa possui diversos regulamentos governamentais que impactam nos sistemas de TI da organização. A TI precisa estar ciente disso e implantar os sistemas em conformidade com as leis. O mercado exige responsabilidade social e legal. Manter a Segurança da Informacão Com o avanço da tecnologia, o risco de vazamento de informação é muito maior do que era. As instituições e pessoas estão cada vez mais integradas e com acesso a Internet. A informação precisa estar sempre disponível e os usuários não se preocupam com a segurança da informação. É importante garantir que a informação chegue somente a quem deve recebê-la. Solução do COBIT para os Desafios É preciso ligar os desafios de TI a uma estrutura de controle para alcançar a Governança de TI. Governança pode ser resumida em uma palavra: controle. São 210 objetivos de controle. Este Controle / Governança de TI visa permitir que a TI se alinhe com os objetivos da empresa para que a instituição obtenha vantagem competitiva. Tratando os riscos significativos é possível explorar melhor os benefícios da TI e garantir o alinhamento com o negócio e o cumprimento das leis e regulamentos.

Governança de TI é responsabilidade da ALTA GERÊNCIA. Quem define as estratégias e objetivos não é a TI, mas a liderança da organização.

Governança de TI Segundo COBIT: Conjunto de estruturas e processos para garantir que a TI suporte e maximize os objetivos e estratégias de negócio da organização, adicionando valores aos serviços entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI. A TI não existe por razão própria, mas para suportar e maximizar os objetivos e estratégias do negócio. O COBIT é um modelo integrador com estrutura de controle, focado no negócio para tudo o que diz respeito a TI e serviços relacionados. Dentro do COBIT existem processos de gerenciamento de serviços de TI (ITIL), processos de melhores práticas para desenvolvimento de software (CMMI), normas de segurança (27001), processos de gerenciamento de projeto (PMBOK) e etc. É um modelo de alto nível, trata desses assuntos, mas não se aprofunda. Características do COBIT Focado no Negócio: todos os objetivos da TI são derivados sempre depois das metas do negócio. As decisões vem sempre de cima para baixo. Orientado a Processos: as atividades são organizadas em 34 processos divididos em 4 domínios. Baseado em Controles: cada processo possui seus próprios objetivos de controle, totalizando 210. Esses objetivos são resultados que se deseja obter. Dirigido por Métricas: possui indicadores de performance e medições de resultados. Além disso possui um modelo de maturidade próprio.

COBIT 4.1 para Concursos - Parte 2 - Estrutura

As 5 áreas de Foco da Governança de TI segundo COBIT Os 5 pilares da Governança de TI

São os 5 tópicos que direcionam a área de TI: Alinhamento Estratégico: garantir que o planejamento da TI esteja diretamente alinhado ao planejamento do negócio. Liga as operações da TI aos planos do negócio. Entrega ou Agregação de Valor: entregar serviços que vão agregar algo de fato às empresas. São benefícios que vão ajudar o funcionamento da empresa e com custos otimizados. Gestão de Risco: transparência com relação aos riscos e incorporação da gestão de riscos aos processos da organização. Gestão de Recursos: Melhor utilização possível dos investimentos e recursos de TI. É preciso justificar os investimentos em aplicativos, informação, infraestrutura e pessoas e gerenciá-los de forma adequada. Mensuração de Desempenho: acompanha e monitora o desempenho da TI através de BSC (Balanced Scorecard). Estrutura do COBIT Tudo o que acontece na organização é em função da necessidade de negócio. Para atender esses requisitos e prover as informações necessárias à gerência são criados os processos de TI com os objetivos da própria TI, que são derivados dos objetivos de negócio. Com base nesses processos, existem 3 linhas de atuação: A primeira linha divide os processos de TI em atividades chave. Essas atividades possuem tabelas de responsabilidades (RACI) relacionadas a cada atividade. Na segunda linha de atuação é preciso medir a performance e os resultados para garantir a maturidade da organização.

Na terceira linha de atuação os 210 objetivos de controle garantem que os objetivos da TI e do negócio estão sendo e serão alcançados. Define-se que resultados são esperados para cada processo. Cada objetivo de controle é implementado por práticas não obrigatórias de controle. Abaixo a figura que mostra os componentes da estrutura do COBIT

Princípios Básicos do COBIT Tudo nasce com os requisitos e objetivos do Negócio. Esse Negócio precisa de informações, que devem atender aos 7 critérios da informação, e essas informações são produzidas por recursos de TI (4 tipos de recursos de TI). O Negócio define o quanto vai ser investido nos recursos de TI. Esses recursos são utilizados e gerenciados pelos 34 Processos de TI do COBIT, que definem o que deve ser feito, as responsabilidades e as metas que devem ser alcançadas. Os 210 processos possuem indicadores de desempenho e resultado, além de um modelo de maturidade. Por fim, estes Processos de TI entregam a informação para a organização e o ciclo recomeça. Para prover a informação que a organização precisa para atingir seus objetivos de negócios, a organização precisa investir em recursos de TI e gerenciá-los usando um conjunto de processos para entregar os serviços necessários.

Os Objetivos da TI são derivados a partir da estratégia da empresa. A decisão é de cima para baixo. Primeiro define-se a estratégia organizacional. Depois da estratégia definida, são definidos os objetivos do negócios. Para a TI, só então os objetivos da TI são definidos. Para alcançar estes objetivos, a TI depende de uma arquitetura cooperativa de TI, que são os recursos necessários para as coisas funcionarem. Com essa infraestrutura funcionando, os processos vão gerar as informações que serão processadas em aplicativos e que precisam de pessoas para gerenciá-los.

COBIT 4.1 para Concursos - Parte 3 - Componentes do COBIT - Informações, Recursos de TI e Tebela RACI

Essa é a segunda parte do meu resumo de COBIT para concursos públicos. Só lembrando que esses são meus resumos de estudo. Utilize as informações por sua conta e risco.

Os 7 Critérios da Informação Para atender aos objetivos de negócio da organização, a informação precisa seguir determinados critérios de controle, que são denominados como os critérios da informação. São divididos em 3 categorias: Qualidade, Segurança e Guarda (Fiduciary). Efetividade ou Eficácia (Qualidade): A informação entregue precisa ser relevante e pertinente, entregue em tempo, de maneira correta, para a pessoa correta, de forma consistente e utilizável.

Eficiência (Qualidade): A informação entregue deve fazer o melhor uso possível dos recursos da organização. Deve-se buscar a máxima produtividade com o menor custo. Confidencialidade (Segurança): A informação deve ser protegida para evitar divulgação indevida e ser conhecida apenas pelas pessoas que possuem permissão para isso. Integridade (Segurança): A informação precisa ser correta, completa e consistente. Disponibilidade (Segurança): A informação deve estar disponível sempre que for necessária para o negócio. Conformidade (Guarda ou Fiduciary): A informação deve estar de acordo com as leis, regulamentos e contratos que afetem o negócio de alguma forma. As regras internas da empresa também são consideradas. Confiabilidade (Guarda ou Fiduciary): A informação entregue para a gerência deve ser confiável para a tomada de decisão negocial.

Resumindo, as informações precisam ter qualidade, ser seguras, atender às leis e percisam ser confiáveis. Os 4 Recursos de TI Uma organização deve considerar 4 tipos de recursos de TI para adiquirir e estes recursos serão gerenciados pelos 34 processos descritos no COBIT. Aplicativos ou Aplicações: sistemas automatizados ou procedimentos manuais que processem informação. Atenção: procedimentos manuais também estão incluídos. Informações ou Dados: são dados em todas as suas formas, que servem de entrada ou saída para os sistemas de informação da organização. Infraestrutura: toda tecnologia que possibilita o processamento dos aplicativos. Isso inclui hardware, sistemas operacionais, bancos de dados, redes e ambientes de suporte. Tudo aquilo que dá suporte a operação dos sistemas. Pessoas: Equipe necessária para planejar, adiquirir, entregar, suportar e monitorar os serviços. Inclui as equipes internas e externas (terceirizadas). Matrizes de Responsabilidade ou Tabelas RACI É uma matriz que fornece a compreensão dos papéis e responsabilidades de cada processo. Diz quem faz o que dentro de um processo. Cada um dos 34 processos possui a sua matriz. As Quatro Categorias de Responsabilidades dos Pepéis: Reponsável (Responsible) - pessoa responsável pela execução da atividade. É quem coloca a mão na massa Responsabilizado (Accountable) - não é a pessoa que executa atividade. É a pessoa que presta contas pelo resultado da atividade. É quem aceita e/ou aprova. Consultado (Consulted) - opina sobre determinada atividade. O responsável pela atividade pode consultar o a pessoa que tiver essa atribuída desta responsabilidade, essa poessoa pode opinar na atividade. É uma comunicação bidirecional. Informado (Informed) - pessoa mantida informada sobre o andamento de uma atividade. Normalmente um gerente da empresa ou coisa semelhante.

A tabela mostra uma lista de atividades para um determinado processo (linhas). Em cinza, no alto e na diagonal, são mostrados os papéis. Olhando-se linha e coluna, estão marcadas as categorias dos papéis com as letras RACI. Assim você sabe qual responsabilidade está associado a qual papel e a qual atividade. Por exemplo: O CIO (chefe da TI) é o responsabilizado (Accountable) por desenvolver a estratégia para operacionalizar a solução. É ele quem aprova ou não aprova esta estratégia e é ele que irá responder pelo sucesso ou falha dessa atividade. Essas atividades descrevem O QUE deve ser feito e NÃO COMO deve ser feito.

COBIT 4.1 para Concursos - Parte 4 - Modelo de Maturidade, Objetivos e Indicadores

Modelo de Maturidade do COBIT O Modelo de maturidade mede o desempenho ou maturidade de CADA PROCESSO DE TI. Para avaliar o desempenho ou nível de determinado processo é preciso ter um modelo de medição. O modelo de maturidade permite identificar o estágio atual da empresa com relação ao que o modelo propõe. Permite identificar o estágio atual médio do mercado e assim comparar com a organização. Dessa forma é possível criar uma meta de aprimoramento da empresa para determinar até onde a instituição quer chegar. No CMMI, a maturidade é da empresa e não do processo. Aqui no COBIT, a maturidade é medida para cada processo. A principal utilidade de um modelo de maturidade é realizar comparações O Modelo de Maturidade Genérico do COBIT vai dar as diretrizes para os modelos de maturidade de cada um dos 34 processos.

Os níveis são parecidos com o CMMI, mas existem diferenças. Um processo está nos seguintes níveis quando: Nível 0 - Inexistente - quando o processo nem é reconhecido, a empresa não reconhece a necessidade de tratar a questão. Nível 1 - Inicial - quando o processo é reconhecido e as soluções são aplicadas caso a caso de maneira Ad hoc. É executado de forma desorganizada. Nível 2 - Repetível (porém Intuitivo) - Quando tem uma gestão básica e segue um caminho padrão, um conjunto de regras básicas. Procedimentos similares são seguidos por pessoas que executam a mesma tarefa. Não existe formalização na empresa. A coisa é intuitiva e depende do conhecimento dos indivíduos. (Semelhante ao nível 2 do CMMI) Nível 3 - Definido - quando possui documentação e o conhecimento sobre o processo é compartilhado por toda a empresa. Passa a existir padronização dos processos. Possíveis desvios são difíceis de detectar por que não existe medição. (Semelhante ao nível 3 do CMMI) Nível 4 - Gerenciado e Mensurável - quando possui monitoramento e medição do processo. Assim passa a existir correção quando necessário. Existe automação e utilização de ferramentas de forma fragmentada. Nível 5 - Otimizado - quando são alcançadas as melhores práticas de acordo com os resultados mensuráveis daquele processo. As ferramentas automatizadas são utilizadas de maneira mais efetiva e completa para aprimorar a qualidade e efetividade do processo. O modelo de maturidade do COBIT admite níveis quebrados. O enfoque desses modelo não é medir os níveis de forma precisa ou certificar que a empresa alcançou determinado nível, não é isso. A intenção é traçar um perfil da empresa para que se

possa melhorar seus processos. Não existe certificação COBIT para nível de maturidade. Um processo pode estar em vários níveis de maturidade ao mesmo tempo. Cada questão do processo estará em um nível de maturidade diferente.

Objetivos e Indicadores Eles ajudam a medir o desempenho dos seus processos. Assim é possível realizar comparações com outras empresas, com as melhores práticas do mercado e com o objetivos da sua instituição. Assim é possível identificar falhas e desvios. Só é possível controlar os processos com uma medição clara e objetiva. A medição ajuda a responder as seguintes questões: estamos atingindo nossas metas? Estamos seguindo no caminho certo? Como medimos os resultados? Como controlamos os processos? Como determinamos se estamos fazendo as coisas certas? Existem 4 níveis de objetivos para os 34 processos do COBIT. Cada processo mapea os objetivos que devem ser alcançados e estes são divididos em 4 níveis. A definição dos objetivos acontece de cima para baixo, do negócio para a atividade. O negócio representa o nível de objetivo mais alto e as atividades representam o nível mais baixo. Objetivos de Negócio: definem os objetivos da organização, é a parte estratégica. Objetivos de TI: são derivados dos objetivos do negócio e definem o que o negócio espera da TI. Objetivos de Processo: definem o que os processos de TI precisam fazer e entregar para atender os objetivos de TI Objetivos das Atividades: Definem o que precisa ser feito dentro de cada processo. Além de definir os objetivos, que são os resultados esperados, é preciso verificar se os resultados foram ou serão alcançados. O COBIT possui 2 tipos de indicadores estratégicos. Medidas de Resultado - Indica se um processo alcançou seu resultado esperado, que são os objetivos. Esse indicador responde se os objetivos FORAM atingidos. São indicadores históricos. Conhecidos como lag indicators (indicadores históricos). Indicadores de Performance - Indicado para medir o progresso em relação ao objetivo que se quer alcançar. Indica se os objetivos SERÃO atingidos no futuro. Conhecidos como lead indicators (indicadores futuros) Como ligar os objetivos ao indicadores? Para cada objetivo identificado é preciso estabelecer uma Medida de Resultado para determinar se o objetivo foi alcançado. Com medidas tiradas em momentos diferentes, é possível avaliar ser o processo melhorou ou não em relação aos momentos anteriores. Para as Medidas de Resultado, utiliza-se as medidas do próprio nível do objetivo para saber se o objetivo foi alcançado. As Medidas de Resultado de um objetivo do nível imediatamente mais baixo servem

como Indicadores de Performance para objetivos de nível imediatamente mais alto. Exemplo: As medidas tiradas no nível Objetivos de TI, para apuração dos Indicadores de Performance, são consideradas no nível imediatamente mais alto, que é Objetivos de Negócio. Se essas medidas estão melhorando com o tempo, significa que, provavelmente, os objetivos do negócio serão alcançados. Se essa medida piora com o passar do tempo, é provável que os objetivos não sejam alcançados no futuro. Medidas de Resultado: Olham o passado com medições após os resultados (lag indicators) Foco financeiro e nos clientes Ajudam a responder se os objetivos FORAM atingidos. Medidas de Resultado de nível mais baixo se tornam indicadores de performance de nível mais alto. Indicadores de Performance Olham para o futuro. As medições são feitas antes dos resultados. (lead indicators) Foco nos processos e aprendizado Indicam se os objetivos definidos SERÃO atingidos.

COBIT 4.1 para Concursos - Parte 5 - Domínios e Processos

Os 4 Domínios do COBIT Planejar e Organizar (PO - 10 processos) - é o Domínio de mais alto nível e relacionado com planejamento e estratégia da empresa. É ele quem dá o rumo da organização. Provê a direção para a entrega de soluções e serviços. Não existe mão na massa, somente planejamento do rumo da organização. Adquirir e Implementar (AI - 7 processos) - Domínio onde se coloca a mão na massa. As soluções são implementadas e ficam prontas para rodar. Fornece as soluções e as transfere para se tornarem serviços No COBIT, o gerenciamento de mudanças aparece em Adquirir e Implementar e o gerenciamento de configuração aparece separado, em Entrega e Suporte. Entrega e Suporte (DS - 13 processos) - Recebe as soluções e as torna passíveis de uso para os usuários finais. Garante a operação de todo o ambiente necessário para utilização dos sistemas. Monitorar e Avaliar (ME - 4 processos) - Monitorar e avaliar os processos para garantir que o planejamento inicial do PO não esteja sofrendo desvios ou que estes desvios estejam sendo corrigidos. Implementa a melhoria contínua e exerce a Governança de TI. Os Requisitos de Controle Genéricos do COBIT Além dos 210 objetivos de controle que são distribuídos pelos 34 processos, existem 6 requisitos de controle genéricos que se aplicam a todos os processos. São identificados como PC (Process Control) PC1 - Metas e Objetivos do Processo

Cada processo deve ter metas e objetivos claros e mensuráveis. Você deve ser capaz de medir o desempenho do processo e esses objetivos precisam estar relacionados com os objetivos de negócio da organização PC2 - Propreidade dos Processos Cada processo deve ter um proprietário, uma pessoa que responde pelo processo. PC3 - Repetibilidade dos Processos O processo precisa ser capaz de repetir os resultados de forma consistente. PC4 - Papéis e Responsabilidades Cada processo deve ter suas atividades-chave atribuídas para papéis e responsabilidades. É o que a Tabela RACI faz. PC5 - Políticas, Planos e Procedimentos Os processos devem possuir políticas, planos e procedimentos associados documentados formalmente, revisados, mantidos atualizados e os envolvidos devem ser comunicados sobre qualquer mudança. PC6 - Melhoria do Desempenho do Processo Cada processo deve ter métricas identificadas para medir o seu desempenho. Planejar e Organizar (PO) Domínio tático e estratégico. Não trata questões operacionais e de baixo nível. É o domínio de alto nível, que cuida de questões de longo prazo, estratégicas e fundamentais para a sobrevivência da empresa. Diz como a TI pode contribuir para o atendimento dos objetos de negócio e envolve planejamento, comunicação e gerenciamento em diversas perspectivas. Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: A estratégia do negócio e a TI estão alinhadas? A empresa está otimizando a utilização de recursos? Todos na organização compreendem as metas de TI? Os riscos relacionados à TI estão compreendidos e gerenciados? A qualidade dos sistemas de TI está adequada às necessidades do negócio? PO1 - Definir um plano estratégico Tudo começa neste processo. A empresa precisa saber como vai se posicionar no mercado e daí criar um plano estratégico de TI. Integrar e alinhar a gestão de TI ao negócio. Traduz os objetivos de negócio em objetivos e serviços de TI. Diz quais projetos e serviços serão escolhidos e disponibilizados. PO2 - Definir a arquitetura de informação Definir o modelo coorporativo de dados. É importante ter uma arquitetura global de dados para a organização. Sempre que um novo projeto começa pode já utilizar este modelo coorporativo. Criar também uma classificação das informações na sua organização. PO3 - Determinar as diretrizes de tecnologia Define o padrão tecnológico da empresa. Aplicativos, plataformas e etc. Isso é

estratégico, já que ambientes muito heterógenos ou com pouca portabilidade podem prejudicar a estratégia da empresa. Algumas empresas utilizam toda a plataforma de um mesmo fornecedor. Exemplo: plataforma da Oracle ou Microsoft. PO4 - Definir os processos, organização e relacionamentos de TI Definir como a área de TI vai funcionar. Escolher quais processos do COBIT você vai usar. Definir os comitês. Escolher quais coisas do modelo do COBIT se aplicam a realidade da sua empresa. PO5 - Gerenciar o investimento em TI Definir os critérios para o investimento em TI. Decidir como e onde investir. Quais projetos são prioritários e o quanto será alocado em cada um deles. É extremamente estratégico pois pode levar a empresa a falência. A gerência pode considerar o retorno de investimento ou outros fatores financeiros para tomar tal decisão. PO6 - Comunicar metas e diretrizes gerenciais É preciso comunicar as metas, políticas, procedimentos, guias e diretrizes às pessoas para que tudo o que foi definido seja seguido. É preciso disseminar o conhecimento. PO7 - Gerenciar os recursos humanos de TI Gerenciar as pessoas. Contratar, definir competências, responsabilidades e cargos. Definir quantas pessoas de cada perfil. Quantos programadores? Quantos analista? Gerentes? Projetistas? PO8 - Gerenciar qualidade É importante definir os critérios de qualidade e uma forma de controlar a qualidade nos processos de TI. Determinar o que vai ser feito na TI para manter a qualidade. PO9 - Avaliar e gerenciar os riscos de TI Definir uma forma para avaliar, mitigar e tratar os riscos. Mapear todos os riscos importantes que podem afetar a organização, classificá-los e definir estratégias para tratá-los. PO10 - Gerenciar Projetos Gerenciar os projetos com a integração de todos os outros gerenciamentos. Integra todos os planos de gerenciamento de projetos. Adquirir e Implementar (AI) Pega as diretrizes vindas dos processos de PO, que identifica o que deve ser implementado, e executa os processos de implementação. Cobre a identificação, desenvolvimento e aquisição de soluções de TI. Neste domínio você decide se desenvolve a solução desde o início ou se adquire a solução pronta. Mudanças e manutenções em sistemas já existentes também estão incluídas neste domínio. Então este domínio deve ser considerado sempre que houver uma necessidade de desenvolvimento ou manutenção. Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: As soluções dos novos projetos conseguem atender as necessidades do negócio? Os projetos conseguem ser entregues

dentro do prazo e orçamento planejados? Os novos sistemas funcionam adequadamente depois de implementados? As mudanças são conduzidas com baixo impacto nas operações que estão em execução no negócio? Adquirir e Implementar faz 3 coisas basicamente: identifica as soluções que serão providas e depois desenvolve do zero ou as adquire prontas do mercado. AI1 - Identificar soluções automatizadas Identifica as soluções automatizadas que vão atender as necessidades do negócio. Essas soluções devem ser tecnicamente adequadas e economicamente viáveis. É preciso estudar a viabilidade das soluções AI2 - Adquirir e manter software aplicativo Garantir que a empresa tenha um processo de desenvolvimento de software. O COBIT não diz qual processo você deve ter, mas que é preciso ter um para adquirir, manter ou desenvolver software. AI3 - Adquirir e manter infraestrutura de tecnologia Baseado nas diretrizes do PO3 - Determinar as Diretrizes de Tecnologia, que definiu as plataformas tecnológicas da empresa, é preciso aplicar as diretrizes para desenvolver a infraestrutura tecnológica para as aplicações de forma controlada e sistemática. AI4 - Habilitar operação e uso Se preocupa com a transferência de conhecimento. Elaboração de manuais, procedimentos, guia de usuários, treinamentos e etc. Tudo o que é necessário para de fato fazer as pessoas operarem e utilizarem os sistemas e serviços. AI5 - Adquirir recursos de TI São 4 recursos de TI no COBIT. Aplicativos, informação, infraestrutura e pessoas. O processo cuida de como contratar os recursos necessários para a implantação. Contratação de pessoas, acordos com fornecedores e etc. AI6 - Gerenciar mudanças Criar um método para gerências as mudanças. É preciso receber as solicitações de mudanças, verificar o impacto delas, priorizar, autorizar e revisar todas as mudanças que podem atrapalhar a operação dos serviços de TI. AI7 - Instalar e homologar soluções e mudanças É preciso instalar e homologar as soluções e mudanças. Aqui você testa as soluções implantadas para conseguir deixá-las disponíveis para uso no ambiente desejado.

Entregar e Suportar (DS) Cobre a entrega propriamente dita dos serviços. É na execução destes processos que colocam os serviços para funcionar. É onde o valor é agregado de fato. Gerencia a segurança e a continuidade dos serviços. Dá suporte aos usuários. Aqui estão os processos operacionais, como gestão dos dados e da infraestrutura. Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: Os serviços de TI estão sendo

entregues de acordo com as necessidades do negócio? Os custos de TI estão otimizados? Os usuários conseguem utilizar os sistemas com segurança e produtividade? Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada? DS1 - Definir e gerenciar níveis de serviço É como a gerência de nível de serviço do ITIL. Estabelece acordos com os clientes da organização. Diz as características de disponibilidade dos sistemas. Traça planos de contingência. Define-se a capacidade dos sistemas e outras coisas do tipo. Tudo isso é definido em um SLA, que é um contrato de nível de serviço entre a TI e os clientes. DS2 - Gerenciar serviços de terceiros Os contratos com terceirizados são firmados no domínio de Aquisição e Implementação no AI5 - Adquirir recursos de TI. Aqui acontece a gerencia dos contratos. Estabelece-se as responsabilidades das partes e garante-se que os fonecedores estão entregando o que é esperado de acordo com o SLA definido para o contrato no DS1 - Definir e gerenciar níveis de serviço. DS3 - Gerenciar capacidade e desempenho Garantir que existe desempenho suficiente, hoje e no futuro, para atender as necessidade da organização e para sustentar o acordo de nível de serviço. Aqui também é tratado o gerenciamento da disponibilidade dos sistemas. DS4 - Garantir continuidade dos serviços Assegurar que existe um plano de contingência e um plano de continuidade para recuperar os serviços caso um problema desastroso aconteça. O plano de contingência prevê um nível mínimo de operação para os serviços, mesmo que sejam procedimentos manuais. O plano de continuidade prevê a recuperação quando o desastre acontece. Diz como voltar a operar. DS5 - Garantir a segurança dos sistemas Garantir a confidencialidade, integridade e disponibilidade dos serviços. Definir os procedimentos de segurança para detectar e tratar incidentes de segurança da informação. DS6 - Identificar e alocar custos O PO5 - Gerenciar Investimentos de TI possui um foco a longo prazo e estratégico. Aqui a ideia é contabilizar quanto os serviços estão realmente custando e cobrar os clientes pelo uso do serviço. O foco é operacional e não decidir onde investir o dinheiro. DS7 - Educar e treinar os usuários O AI 4 - Habilitar Operação e Uso é ligado ao treinamento dos usuários. O DS7 precisa garantir a continuidade do conhecimento que foi passado no treinamento que aconteceu no AI4. (depois estudar melhor esse) DS8 - Gerenciar a central de serviços e os incidentes É preciso ter um ponto único de contato para ser disponibilizado aos usuários para que se comuniquem com a organização para reportar problemas, obter orientações e acesso aos serviços. Incidentes são os relatos dos usuários sobre acontecimentos "ruins", desvios negativos que acontecem nos serviços.

DS9 - Gerenciar a configuração Para dar suporte à gerência de incidentes é preciso existir a gerência de configuração, que trata da integridade dos ativos de processo, de tudo aquilo que mantém os serviços rodando. É o controle das versões. Com isso é possível comparar e verificar se as versões que estão rodando correspondem ao que deveria estar rodando. DS10 - Gerenciar os problemas Os problemas são as causas dos incidentes. Vários incidentes relatados pelos usuários ao service desk podem ser causados pelo mesmo problema. Os problemas podem ser resolvidos de forma reativa ou proativa. Gerenciar problemas é tratar a causa raíz dos incidentes. DS11 - Gerenciar os dados Basicamente se resume a fazer o bakcup dos dados e ter procedimentos para restauração quando for necessário. DS12 - Gerenciar o ambiente físico Gerenciar as instalações físicas onde os equipamentos são hospedados. DS13 - Gerenciar as operações Executar as operações de dia a dia da TI, o que for necessário para manter a produção. Agendar e executar os jobs que rodam em horários específicos e coisas do tipo. (estudar melhor esse). Monitorar e Avaliar (ME) Visa assegurar a qualidade dos processos de TI e manter a conformidade com os objetivos de controle. É um domínio voltado para melhoria continua da qualidade dos processo. Garante que os resultados prometidos e esperados estão sendo alcançados. Utiliza mecanismos de acompanhamento e monitoramento dos controles internos com avaliações ou auditorias internas e externas. Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: As medições encontram problemas antes que seja muito tarde? Existem garantias de que os controles internos são eficientes e eficazes? É possível associar o desempenho da TI às metas do negócio que foram estabelecidadas? A Governança de TI está sendo alcançada? ME1 - Monitorar e avaliar o desempenho Foco nas metas e indicadores. Verifica se os processos estão atingindo os resultados esperados através das Medidas de Resultado e dos Indicadores de Performance. Se os resultados não estiverem de acordo, verifica o que pode ser modificado para que o desempenho melhore. ME2 - Monitorar e avaliar os controles internos Checar se a organização está usando normas adequadas para gerenciar os processos que foram escolhidos pela organização. São 210 objetivos de controle no COBIT e é preciso um processo que verifique se os controles escolhidos são os mais adequados para o gerenciamento dos processos.

ME3 - Assegurar conformidade com requisitos externos Peculiaridade do COBIT. Verificar se as leis, regulamentos e normas externas ou internas estão sendo seguidos. ME4 - Prover a governança de TI É preciso prover relatórios informativos para a gerência da empresa exercer a Governança de TI.

Trienando Redação - O que é o COBIT?

O COBIT - Control Objectives For Information and Related Technologies - é um modelo criado inicialmente para auditoria na área da tecnologia da informação, mas hoje é focado no negócio da instituição e seu intuito é prover a governança de TI. Ele não se apresenta como uma metodologia, mas como um conjunto de estruturas de controle com as seguintes características: é orientado a processos, baseado em objetivos de controle, utiliza métricas e medições baseadas em um modelo de maturidade para avaliar as saídas de seus 34 processos. A Governança de TI traz com ela uma série de desafios elencados pelo COBIT como sendo de fundamental importância para o sucesso da empresa. Dentre eles, são citados o alinhamento do setor de informática em relação ao negócio, a comprovação do retorno de investimento feito em máquinas, sistemas, o controle dos gastos que envolvem a TI, a gestão dos riscos envolvidos, a adequação a leis e regulamentos, a dificuldade em manter um parque tecnológico heterogêneo e outros desafios. Para solucionar esses desafios, a proposta é a utilização dos 210 objetivos de controle distribuído por seus processos e que pertencem a quatro domínios diferentes: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte e Monitoramento e Avaliação. Seus domínios possuem processos que tratam de questões relacionadas ao gerenciamento de projetos, área do PMBOK, garantia de qualidade e continuidade de serviços, assunto tratado pela ITIL, processo de desenvolvimento de sistemas, matéria do CMMI-DEV e até mesmo questões de segurança da informação que são pertinentes a norma ISO 27001. Ao contrário dos outros modelos citados, o COBIT é menos específico e mais integrador. É um modelo mais resumido e de mais alto nível, voltado ao controle e a oferta de informação à gerência da empresa. Portanto, podemos resumir o COBIT como um modelo integrador e de alto nível que possui o intuito de prover governança de TI através de uma palavra: controle.