CURSO DE BACHAREL EM CIÊNCIAS CONTÁBEIS
SISTEMAS DE INFORMAÇÃO APLICADOS À AUTOMAÇÃO
DE ESCRITÓRIO
FABRAI – FACULDADE BRASILEIRA DE CIÊNCIAS EXATAS, HUMANAS E SOCIAIS.
William Araújo do [email protected]
Professor
• Conceitos e Definições
• Abrangência
• Metodologias
• Normas e Certificação
• Auto-avaliação
• Referências e links
GOVERNANÇA DE TI
É uma estrutura de relacionamentos e processos para dirigir e controlar a organização no atendimento aos objetivos desta organização, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos
GOVERNANÇA DE TI – DEFINIÇÃO
• Estruturas e processos visando a garantir que a TI suporte e maximizeTI suporte e maximize os objetivos e estratégias da organização
• Permite controlar – medir, auditar – a execução controlar – medir, auditar – a execução e a qualidade dos serviçose a qualidade dos serviços
• Viabiliza o acompanhamento de contratosacompanhamento de contratos internos e externos
• Define condições para o exercício eficaz da exercício eficaz da gestãogestão com base em conceitos consolidados de qualidade
GOVERNANÇA DE TI – CONCEITOS
• Alinha a estratégia de TIAlinha a estratégia de TI com as do negócio• Mais capacidade e agilidade para novos modelos
de negócios ou ajustes nos modelos atuais• Explicita a relação entre aumento nos custos de entre aumento nos custos de
TI e aumento no valor da informaçãoTI e aumento no valor da informação• Mantém os riscos do negócio sob controle• Explicita a importância da TI na continuidade dos TI na continuidade dos
negóciosnegócios• Mede e melhora continuamente a performance de performance de
TITI
GOVERNANÇA DE TI – VANTAGENS
• ControlesConjunto de políticas, procedimentos, práticaspolíticas, procedimentos, práticas, e estruturas organizacionais desenhadas para prover garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos.
• Objetivos de Controle de TIDefinição de determinados objetivos ou resultadosobjetivos ou resultados a serem obtidos ao implementar procedimentos de controle em uma determinada atividade de TI
CONTROLES E DEFINIÇÕES
• ITIL
• CobiT
MODELOS / FRAMEWORKS DE GOVERNANÇA
• Procter&Gamble– Adotou ITILITIL em 1997– Economizou US$ 500 milhões em 4 anos:
• 6 a 8% em corte de custos operacionais• 15 a 20% em redução de staff de tecnologia
• Governo de Ontario, Canadá– Adotou ITILITIL para melhorar o serviço de 25.000
usuários em 1.000 locais– Criou um service desk que melhorou a resposta e
reduziu os custos com chamados em 40%
METODOLOGIAS - CASES
• Estado de Kansas, USA– Usa os padrões do CobiT na sua estratégia de
governo virtual para reduzir custos e manter o nível de serviço consistente
• Dell Computer– Usa o CobiT como parte da sua politica
corporativa Control Self-Assesment (CSA), um conjunto de controles e verificações que ajudam a companhia a manter sua alta qualidade
METODOLOGIAS - CASES
• IT Infrastructure Library• Criado em 1980 pelo CCTA e transferido ao
OGC (Office of Government Commerce) do governo britânico
• Revisado e reorganizado em 2002• Estrutura de padrões e melhores práticas para
gerenciar os serviços e infra-estrutura de TI • Altamente integrado à norma BS15000 (British
Standards Institution’s Standard for IT Service Management)
METODOLOGIAS - ITIL
COMPONENTES DO ITIL
• Focado em governança, controle e auditoria de tecnologia da informação
• Criado e mantido pelo ISACA – Information Systems Audit and Control Association
• O ISACA mantém o K-NET, um repositório de conhecimento para os associados e o IT Governance Institute para difusão dos conceitos
• Está na 3ª edição
COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
CobiT
• Publicações (impressas ou online)– Executive Summary *– Framework *– Control Objectives *– Audit Guidelines– Implementation Tool Set *– Management Guidelines
• Certificação– CISA – Certified Informations Systems Auditor– CISM – Certified Information Security Manager
COMPONENTES DO COBIT
Informação
Recursos de TI
Planejamento e
Organização
Aquisição e Implementaç
ão
Entrega e Suporte
Monitoração
Governança de TI
Objetivos de Negócios
COMPONENTES DO COBIT
• 4 domínios– Planejamento e Organização– Aquisição e Implementação– Entrega e Suporte– Monitoramento
• 34 objetivos de controle de alto nível
• 318 objetivos de controle detalhados
COMPONENTES DE DOMÍNIO DO COBIT
MODELO COBIT
Acordos de nível de serviço Componentes
• Partes envolvidas• Definições de terminologia• Duração• Objetos/metas• Limitações• Níveis de serviço alvo• Indicadores de nível de serviço• Impacto de falhas• Preços• Faturamento e pagamento
• Procedimentos de segurança• Auditoria• Papéis e responsabilidades• Serviços opcionais• Relatórios• Administração• Revisões/atualizações• Propriedade• Aspectos legais• Aprovação
IMPORTANTE!!
Gestão de níveis de serviço
• 0 – não-existente– Não há reconhecimento da sua necessidade
• 1- Inicial– Gestão informal de níveis de serviço
• 2- Repetível e intuitivo– Existem, mas não informais; não são revisados.
Relatórios incompletos• 3- Processos definidos
– Há processos de gestão, com pontos de controle para reavaliação de níveis de serviço e satisfação de usuários
IMPORTANTE!!
Gestão de níveis de serviço - II
• 4 – Gerenciado e mensurável– Medidas de desempenho refletem cada vez
mais as necessidades de usuários, ao invés de apenas alvos da TI
• 5 – Otimizado– Níveis de serviço são continuamente
reavaliados para assegurar alinhamento da TI com os objetivos do negócio
IMPORTANTE!!
RISK Who Does It?Importance = How important for the organisation on a scale from 1 (not at all) to 5 (very)Performance = How well is it done from 1 (don’t know or badly) to 5 (very well)Audited = Yes, No or ?Formality = Is there a contract, SLA, or a clearly documented Procedure? (Yes, No or ?)Accountable = Name or “don’t know”
Impo
rtan
ce
Perf
orm
ance
COBIT’s Domains and Processes
IT
Oth
er
Out
side
Don
’t K
now
Aud
ited
Form
ality
Who is Accountable?
Planning & OrganisationPO1 Define a Strategic IT PlanPO2 Define the Information ArchitecturePO3 Determine the Technological DirectionPO4 Define the IT Organisation and RelationshipsPO5 Manage the IT InvestmentPO6 Communicate Management Aims and DirectionPO7 Manage Human ResourcesPO8 Ensure Compliance with External RequirementsPO9 Assess RisksPO10 Manage ProjectsPO11 Manage Quality
Acquisition & ImplementationAI1 Identify SolutionsAI2 Acquire and Maintain Application SoftwareAI3 Acquire and Maintain Technology Architecture
Develop and Maintain IT ProceduresAI4 Develop and Maintain IT ProceduresAI5 Install and Accredit SystemsAI6 Manage Changes
Delivery & SupportDS1 Define Service LevelsDS2 Manage Third-Party ServicesDS3 Manage Performance and CapacityDS4 Ensure Continuous ServiceDS5 Ensure System SecurityDS6 Identify and Attribute CostsDS7 Educate and Train UsersDS8 Assist and Advise IT CustomersDS9 Manage the ConfigurationDS10 Manage Problems and IncidentsDS11 Manage DataDS12 Manage FacilitiesDS13 Manage Operations
MonitoringM1 Monitor the ProcessesM2 Assess Internal Control AdequacyM3 Obtain Independent AssuranceM4 Provide for Independent Audit
COBIT PARA O EXECUTIVO - ACOMPANHAMENTO
Technology Concerns to Management (Gartner Group) Management Internet / IntranetEnterprise Packaged
SolutionsClient/Server Architecture
Workgroups andGroupWare
Network Management
RISK FACTORS
IT in
itiat
ives
in li
new
ith b
usin
ess
stra
tegy
IT p
olic
ies
and
corp
orat
ego
vern
ance
Util
isin
g IT
for
com
petit
ive
adva
ntag
e
Con
solid
atin
g th
e IT
infr
astr
uctu
re
Red
ucin
g co
st o
fIT
ow
ners
hip
Acq
uirin
g an
d de
velo
ping
skill
s
Una
utho
rised
acc
ess
to c
orpo
rate
net
wor
k
Una
utho
rised
acc
ess
toco
nfid
entia
l mes
sage
s
Loss
of i
nteg
rity
–co
rpor
ate
tran
sact
ions
Leak
age
ofco
nfid
entia
l dat
a
Inte
rrup
tion
to s
ervi
ceav
aila
bilit
y
Viru
s In
fect
ion
Fai
lure
to m
eet u
ser
requ
irem
ents
Fai
lure
to in
tegr
ate
Not
com
patib
le w
ithte
chni
cal i
nfra
stru
ctur
e
Ven
dor
supp
ort
prob
lem
s
Exp
ensi
ve/c
ompl
exim
plem
enta
tion
Fai
lure
to c
oord
inat
ere
quire
men
ts
Acc
ess
cont
rol p
robl
ems
Not
com
patib
le w
ithte
chni
cal i
nfra
stru
ctur
e
End
use
r m
anag
emen
tpr
oble
ms
Con
trol
of s
oftw
are
vers
ions
Hig
h co
sts
of o
wne
rshi
p
Qua
lity
cont
rol
Acc
ess
cont
rol
Info
rmal
pro
cedu
res
Dat
a in
tegr
ity
Con
figur
atio
n co
ntro
l
Ava
ilabi
lity
Sec
urity
Con
figur
atio
n co
ntro
l
Inci
dent
man
agem
ent
Cos
ts
Sup
port
and
mai
nten
ance
PLANNING & ORGANISATIONPO1 Define a Strategic IT Plan
PO2 Define the Information Architecture
PO3 Determine the Technological Direction
PO4 Define the IT Oranisation and Relationships
PO5 Manage the Investment in IT
PO6 Communicate Management Aims and Direction
PO7 Manage Human Resources
PO8 Ensure Compliance with External Requirements
PO9 Assess Risks
PO10 Manage Projects
PO11 Manage Quality
ACQUISITION & IMPLEMENTATIONAI1 Identify Solutions
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology Architecture
AI4 Develop and Maintain IT Procedures
AI5 Install and Accredit Systems
AI6 Manage Changes
DELIVERY & SUPPORTDS1 Define Service Levels
DS2 Manage Third-Party Services
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS5 Ensure Systems Security
DS6 Identify and Attribute Costs
DS7 Educate and Train Users
DS8 Assist and Advise IT Customers
DS9 Manage the Configuration
DS10 Manage Problems and Incidents
DS11 Manage Data
DS12 Manage Facilities
DS13 Manage Operations
MONITORINGM1 Monitor the Processes
M2 Assess Internal Control Adequacy
M3 Obtain Independent Assurance
M4 Provide for Independent Audit
DIAGNÓSTICO DE TI COM O COBIT
Medidas para gestão de níveis de serviço – Fatores críticos de sucesso
• Quando possível, expressar níveis de serviçoníveis de serviço em termos do negócio dos usuários
• Analisar causas básicascausas básicas quando ocorrer quebra dos quebra dos níveis de serviçoníveis de serviço
• Há competências e recursos para prover informação útilrecursos para prover informação útil e tempestiva sobre níveis de serviço
• ANS refletem a dependência de operações críticas do negócio da TI
• Responsabilidades dos gestores estão ligadas aos níveis de serviço
• Gestores de TI tem condições de identificar e explicar variações de custos e desempenho
• Há meios para rastrear e acompanhar mudanças individualizadas
IMPORTANTE!!
• BS 7799:2002 - Reino Unido
• NBR ISO/IEC 17799:2000 - Brasil/Internacional
• Definem um conjunto de boas práticas de gestão da segurança
• Servem de base às políticas de segurança
• Seus controles permitem a auditoria de segurança de informações
IMPORTANTE - NORMAS DE SEGURANÇA
• http://www.isaca.org – ISACA e CobiT• http://www.pmi.org – Project Management
Institute• http://www.pmirs.org – Project Management
Institute, capítulo RS• http://www.modulo.com.br – site da Módulo, com
artigos sobre gestão da segurança
LINKS