segunda-feira, 26 de maio de 2014
terça-feira, 22 de outubro de 2013
ePolicy Orchestrator 5.0 - Upgrade Compatibility
A McAfee disponibilizou a nova versão da sua console de gerenciamento de produtos para Endpoint(ePO). A console possui uma interface nova, nova organização do MENU e novas funcionalidades.
Entre as principais novidades esta uma ferramenta de auxílio na migração do ePO4.6 ou epo4.5, instalado em um sistema operacional 32x, para o ePO5.0 instalado em um sistema operacional 64x.
Esta ferramenta é o "Upgrade Compatibility" que encontra-se no pacote de instalação do ePO5.0.
Esta ferramenta faz um check de todos os produtos instalados no ePO4.x e verifica a compatibilidade com o ePO5.0, caso haja alguma incompatibilidade o software solicitará a desinstalação de tal software antes de continuar com a migração.
Pré-requisitos:
1- Parar todos os serviços do ePO4.x.
2- Desativar antivírus.
3- Realizar backup das chaves de comunicação do ePO4.x
4- Realizar Backup do Banco de Dados do ePO4.x (KB66616)
5- Migrar o banco do ePO4.x para a nova máquina onde será instalado o ePO5.0, com SQL2008
6- Guardar a senha do user SA do banco de dados
Procedimento de utilização:
1- Executar o "Upgrade compatibility" na máquina onde esta instalado o ePO4.x como "Source"
2- Transferir o arquivo "Migrate.zip", que foi gerado pelo "Upgrade Compatibility", para o Servidor onde será instalado o ePO5.0
3- Executar o "Upgrade Compatibility" no servidor destino, onde será instalado o ePO5.0, com a opção de "Destination" selecionada e mapear o arquivo "Migrate.zip"
4- Executar o "Setup" de instalação do ePO5.0 e mapear o banco de dados que já foi migrado
Links importantes:
1- ePO5.0 Product Documentation
http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24349/en_US/epo_5_0_installation_guide_en-us.pdf?searchid=1382469717546
2- (KB66616) ePO server backup and disaster recovery procedure
http://kc.mcafee.com/corporate/index?page=content&id=KB66616&actp=search&viewlocale=en_US&searchid=1382469717546
Entre as principais novidades esta uma ferramenta de auxílio na migração do ePO4.6 ou epo4.5, instalado em um sistema operacional 32x, para o ePO5.0 instalado em um sistema operacional 64x.
Esta ferramenta é o "Upgrade Compatibility" que encontra-se no pacote de instalação do ePO5.0.
Esta ferramenta faz um check de todos os produtos instalados no ePO4.x e verifica a compatibilidade com o ePO5.0, caso haja alguma incompatibilidade o software solicitará a desinstalação de tal software antes de continuar com a migração.
Pré-requisitos:
1- Parar todos os serviços do ePO4.x.
2- Desativar antivírus.
3- Realizar backup das chaves de comunicação do ePO4.x
4- Realizar Backup do Banco de Dados do ePO4.x (KB66616)
5- Migrar o banco do ePO4.x para a nova máquina onde será instalado o ePO5.0, com SQL2008
6- Guardar a senha do user SA do banco de dados
Procedimento de utilização:
1- Executar o "Upgrade compatibility" na máquina onde esta instalado o ePO4.x como "Source"
2- Transferir o arquivo "Migrate.zip", que foi gerado pelo "Upgrade Compatibility", para o Servidor onde será instalado o ePO5.0
3- Executar o "Upgrade Compatibility" no servidor destino, onde será instalado o ePO5.0, com a opção de "Destination" selecionada e mapear o arquivo "Migrate.zip"
4- Executar o "Setup" de instalação do ePO5.0 e mapear o banco de dados que já foi migrado
Links importantes:
1- ePO5.0 Product Documentation
http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24349/en_US/epo_5_0_installation_guide_en-us.pdf?searchid=1382469717546
2- (KB66616) ePO server backup and disaster recovery procedure
http://kc.mcafee.com/corporate/index?page=content&id=KB66616&actp=search&viewlocale=en_US&searchid=1382469717546
sexta-feira, 24 de agosto de 2012
McAfee ePolicy Orchestrator (ePO)
What is McAfee ePolicy Orchestrator (ePO)?
McAfee ePolicy Orchestrator (ePO) is an asset management console on your network.
With ePO do you have control of all systems and McAfee products of their environment.
ePO can manage up to 45000 systems from a single console.(McAfee Best Pratices)
The main product managed by ePO is VirusScan Enterprise among others.
McAfee ePolicy Orchestrator uses an Agent that is installed on each systems to communicate with ePO Server. McAfee Agent provides secure communication between products and ePO Server, gathers events from the managed systems and communicates them to the ePO Database, install point products and upgrades, enforces policies and schedules tasks and updates security content(Dats).
With the McAfee technologies your company is protected in real time.
Database options for ePO 4.6 are SQL2005 Express Edition (SP3 or higher), Microsoft SQL Server 2008 Express (SP1, SP2 or R2), Microsoft SQL Server 2005 Standart or Enterprise with SP3 or higher, Microsoft SQL Server 2008 Standart or Enterprise (SP1, SP2 or R2).
Operating Systems options for ePO 4.6 are Windows Server 2003 SP2+ 32 or 64 bit, Windows 2008 Server SP2+ 32or 64 bit.
Browser options are IE 7.0 or greater and Firefox 3.5 or greater.
Install ePO 4.6:
For more information: kc.mcafee.com or leave your question.
Tks...
By Renato Santos!
segunda-feira, 13 de agosto de 2012
McAfee Policy Auditor
What is Policy Auditor?
McAfee ® Policy Auditor version 6.0 automates the process required for system compliance audits. It ameasures compliance by comparing the actual configuration of a system to the desired state of a system.
To understand what the software does and how to use it, you must be familiar with these basics:
- What an audit is, when you should use it, and why you should use it.
- The supported deployment solutions based on the type(s) of systems you want to audit.
- The system classifications that determine which functional components can be used.
- The functional components you can use to audit systems. This includes leveraging the software with McAfee Policy Auditor and other McAfee and third-party software.
- The functional components you can use to audit systems. This includes leveraging the software with McAfee ® Vulnerability Manager and other McAfee and third-party software.
This document introduces these concepts, successively builds your understanding, and provides details about the use of each functional component. In addition, it helps you understand how the software fits into the framework provided by McAfe ePolicy Orchestrator.
For more information please visit the product link at the bottom of the page.
Fonte: https://mysupport.mcafee.com/eservice/productdocuments.aspx?strPage=2
quarta-feira, 16 de maio de 2012
Treinamento ePO and VSE8.8 Banco Paraná
Treinamento Banco Paraná 23/04 a 27/04.
ePO and VSE8.8
Dúvida: Bloqueio de portas USB e configuraçao de politicas Off-line para acesso a rede podem ser configuradas via HIP`s.
Mais informaçoes em: https://mysupport.mcafee.com/eservice/productdocuments.aspx?strPage=2
sexta-feira, 20 de janeiro de 2012
Belezas de Santiago - Chile
Santiago (lit. "São Tiago", em português) é a capital e a maior cidade do Chile. Está localizada na Região Metropolitana de Santiago, no vale central chileno, ao lado da Cordilheira dos Andes. É o maior e mais importante centro urbano, financeiro, cultural e administrativo do país.
Santiago foi fundada pelo conquistador espanhol Pedro de Valdivia, no dia 12 de fevereiro de 1541, com o nome de "Santiago de Nueva Extremadura" (em honra ao Apóstolo Santiago, santo patrono da Espanha). A cerimônia de fundação ocorreu no "Cerro Huelén" (renomeado por Valdívia como Cerro Santa Lúcia). Assim, Pedro de Valdivia iniciou a conquista do Chile. Foi escolhida essa região por seu clima moderado e por estar ao lado do rio Mapocho. Por conselho do cacique picunche Millacura, a cidade foi fundada entre os dois braços desse rio.
A cidade foi destruída no dia 11 de setembro de 1541 pelas forças dos nativos da região, chefiados por Michimalonco, que promoveu a Guerra do Arauco.
Os primeiros edifícios da cidade foram construídos com o apoio dos nativos picunches. Um pequeno riacho-afluente sul do rio Mapocho foi drenado e transposto, convertendo-se em uma passagem pública, conhecida como Alameda (hoje, a Avenida Libertador Bernardo O'Higgins).
O clima de Santiago corresponde ao clima temperado, com chuvas no inverno e estação seca prolongada, mais conhecido como clima mediterrânico continentalizado.
A principal característica climática de Santiago é a concentração de cerca de 80% das precipitações durante os meses principalmente de inverno (maio a setembro), variando entre 50 e 80 mm. por mês. Essa quantidade contrasta os índices dos meses correspondentes à estação seca, produzida por um domínio anticiclônico (que é interrompido por cerca de sete ou oito meses) principalmente durante os meses de verão, entre dezembro e março. No verão, a precipitação não supera os 4 mm. Essas precipitações são compostas geralmente por chuva, mesmo que ainda ocorra neve e queda de granizo principalmente nos setores da pré-cordilheira, que estão a aproximadamente 1500 metros de altitude.
Em alguns casos, a neve afeta a cidade, mas apenas a zona leste (setores orientais), sendo muito rara a ocorrência de neve nas outras partes da conurbação. Como Santiago está localizada em uma área semi-árida, há pouca precipitação na região: com a entrada de maior quantidade de massas de ar polares, o maior índice pluviométrico é registrado no inverno. O clima é mais seco no verão, com poucas chuvas registradas, devido à dificuldade de entrada de umidade na área graças ao relevo ao redor da cidade.
Em relação às temperaturas, variam ao longo do ano, passando de uma média de 20 °C durante o mês de janeiro, até uma média de 8 °C nos meses de junho e julho. No verão, Santiago apresenta grandes variações de temperatura, atingindo com facilidade 30 °C ou mais à tarde, e chegando a 12 °C na madrugada. As noites são agradáveis. A maior temperatura já registrada na cidade foi de 37 °C. Já nos meses de outono e inverno, a temperatura cai radicalmente, situando-se entre os 9 °C de dia e baixando para 0 °C ou menos à noite, especialmente na madrugada. A menor temperatura já registrada na cidade foi de -6,8 °C, em 1976. A temperatura média anual da cidade é de 13,7 °C, sendo a quarta capital mais fria da América do Sul.
- Em Junho de 2011 na cidade na companhia de minha mãe e podemos visitar alguns pontos turísticos da cidade e o melhor de tudo, pude conhecer a neve!
Chegamos na cidade no final da noite e pegamos um táxi no aeroporto (Aeroporto Internacional Comodoro Arturo Merino Benítez), lá pagamos 30 dólares pelo táxi para ir para qualquer lugar da cidade.
Ficamos no Albergue Andes Hostel em um quarto privado que custou 60 reais a diária.
Em Santiago podemos conhecer todo o centro (Plaza de Armas, Parque Santa Lucía, Lojas, Restaurantes, Zoo Lógico, Patio Belas Artes, Mercado Municipal, etc).
O Albergue é muito bem localizado, na rua Monjitas 506, na frente do metrô Belas Artes e próximo de tudo praticamente.
A cidade de Santiago te dá uma sensação de segurança inacreditável para quem mora em São Paulo ou qualquer outro local do Brasil.
Também podemos conhecer a estação de esqui El Colorado onde tivemos o primeiro contato com a neve, e claro, eu demonstrei minhas inúmeras habilidades com o snowboard como pode ser visto aqui Renato en El Colorado.
Voamos de Pluna, o avião parece mais um ônibus com asas mas pelo preço vale a pena rs.
Segue algumas fotos:
Santiago foi fundada pelo conquistador espanhol Pedro de Valdivia, no dia 12 de fevereiro de 1541, com o nome de "Santiago de Nueva Extremadura" (em honra ao Apóstolo Santiago, santo patrono da Espanha). A cerimônia de fundação ocorreu no "Cerro Huelén" (renomeado por Valdívia como Cerro Santa Lúcia). Assim, Pedro de Valdivia iniciou a conquista do Chile. Foi escolhida essa região por seu clima moderado e por estar ao lado do rio Mapocho. Por conselho do cacique picunche Millacura, a cidade foi fundada entre os dois braços desse rio.
A cidade foi destruída no dia 11 de setembro de 1541 pelas forças dos nativos da região, chefiados por Michimalonco, que promoveu a Guerra do Arauco.
Os primeiros edifícios da cidade foram construídos com o apoio dos nativos picunches. Um pequeno riacho-afluente sul do rio Mapocho foi drenado e transposto, convertendo-se em uma passagem pública, conhecida como Alameda (hoje, a Avenida Libertador Bernardo O'Higgins).
O clima de Santiago corresponde ao clima temperado, com chuvas no inverno e estação seca prolongada, mais conhecido como clima mediterrânico continentalizado.
A principal característica climática de Santiago é a concentração de cerca de 80% das precipitações durante os meses principalmente de inverno (maio a setembro), variando entre 50 e 80 mm. por mês. Essa quantidade contrasta os índices dos meses correspondentes à estação seca, produzida por um domínio anticiclônico (que é interrompido por cerca de sete ou oito meses) principalmente durante os meses de verão, entre dezembro e março. No verão, a precipitação não supera os 4 mm. Essas precipitações são compostas geralmente por chuva, mesmo que ainda ocorra neve e queda de granizo principalmente nos setores da pré-cordilheira, que estão a aproximadamente 1500 metros de altitude.
Em alguns casos, a neve afeta a cidade, mas apenas a zona leste (setores orientais), sendo muito rara a ocorrência de neve nas outras partes da conurbação. Como Santiago está localizada em uma área semi-árida, há pouca precipitação na região: com a entrada de maior quantidade de massas de ar polares, o maior índice pluviométrico é registrado no inverno. O clima é mais seco no verão, com poucas chuvas registradas, devido à dificuldade de entrada de umidade na área graças ao relevo ao redor da cidade.
Em relação às temperaturas, variam ao longo do ano, passando de uma média de 20 °C durante o mês de janeiro, até uma média de 8 °C nos meses de junho e julho. No verão, Santiago apresenta grandes variações de temperatura, atingindo com facilidade 30 °C ou mais à tarde, e chegando a 12 °C na madrugada. As noites são agradáveis. A maior temperatura já registrada na cidade foi de 37 °C. Já nos meses de outono e inverno, a temperatura cai radicalmente, situando-se entre os 9 °C de dia e baixando para 0 °C ou menos à noite, especialmente na madrugada. A menor temperatura já registrada na cidade foi de -6,8 °C, em 1976. A temperatura média anual da cidade é de 13,7 °C, sendo a quarta capital mais fria da América do Sul.
- Em Junho de 2011 na cidade na companhia de minha mãe e podemos visitar alguns pontos turísticos da cidade e o melhor de tudo, pude conhecer a neve!
Chegamos na cidade no final da noite e pegamos um táxi no aeroporto (Aeroporto Internacional Comodoro Arturo Merino Benítez), lá pagamos 30 dólares pelo táxi para ir para qualquer lugar da cidade.
Ficamos no Albergue Andes Hostel em um quarto privado que custou 60 reais a diária.
Em Santiago podemos conhecer todo o centro (Plaza de Armas, Parque Santa Lucía, Lojas, Restaurantes, Zoo Lógico, Patio Belas Artes, Mercado Municipal, etc).
O Albergue é muito bem localizado, na rua Monjitas 506, na frente do metrô Belas Artes e próximo de tudo praticamente.
A cidade de Santiago te dá uma sensação de segurança inacreditável para quem mora em São Paulo ou qualquer outro local do Brasil.
Também podemos conhecer a estação de esqui El Colorado onde tivemos o primeiro contato com a neve, e claro, eu demonstrei minhas inúmeras habilidades com o snowboard como pode ser visto aqui Renato en El Colorado.
Voamos de Pluna, o avião parece mais um ônibus com asas mas pelo preço vale a pena rs.
Segue algumas fotos:
sexta-feira, 13 de janeiro de 2012
Cobit 4.1
O Cobit é uma metodologia mantida pela ISACA e esta na sua versão 4.1.
Para muitas organizações a informação e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes é o menos compreendido. Organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação e a utiliza para direcionar os valores das partes interessadas no negócio. Essas organizações também entendem e gerenciam os riscos associados, tais como as crescentes demandas regulatórias e a dependência crítica de muitos processos de negócios da TI.
A necessidade da avaliação do valor de TI, o gerenciamento dos riscos relacionados à TI e as crescentes necessidades de controle sobre as informações são agora entendidos como elementos-chave da governança corporativa. Valor, risco e controle constituem a essência da governança de TI.
A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.
Além disso, a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. A governança de TI habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo. Esses resultados requerem um modelo para controle de TI que se adeque e dê suporte ao COSO (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework”), um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais, e outros modelos similares.
As organizações devem satisfazer os requisitos de qualidade, guarda e segurança de suas informações, bem como de todos seus bens. Os executivos devem também otimizar o uso dos recursos de TI disponíveis, incluindo os aplicativos, informações, infra-estrutura e pessoas. Para cumprir essas responsabilidades bem como atingir seus objetivos, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover.
O Control Objectives for Information and related Technology (CobiT®) fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas.
Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os executivos devem implementar um sistema interno de controles ou uma metodologia. O modelo de controle do CobiT contribui para essas necessidades ao:
· Fazer uma ligação com os requisitos de negócios.
· Organizar as atividades de TI em um modelo de processos geralmente aceito.
· Identificar os mais importantes recursos de TI a serem utilizados.
· Definir os objetivos de controle gerenciais a serem considerados.
A orientação aos negócios do CobiT consiste em objetivos de negócios ligados a objetivos de TI, provendo métricas e modelos de maturidade para medir a sua eficácia e identificando as responsabilidades relacionadas dos donos dos processos de negócios e de TI.
O foco em processos do CobiT é ilustrado por um modelo de processos de TI subdivididos em quatro domínios e 34 processos em linha com as áreas responsáveis por planejar, construir, executar e monitorar, provendo assim uma visão total da área de TI.
Conceitos de arquitetura corporativa ajudam a identificar os recursos essenciais para o sucesso dos processos, ou seja, aplicativos, informações, infraestrutura e pessoas.
Em resumo, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos de TI precisam ser gerenciados por uma série de processos naturalmente agrupados.
O CobiT é focado no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em elevado nível. O CobiT foi alinhado e harmonizado com outros padrões e boas práticas de TI mais detalhados. O CobiT atua como um integrador desses diferentes materiais de orientação, resumindo
os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios.
O COSO (e outras metodologias similares) é geralmente aceito como uma metodologia de controle interno para corporações. O CobiT é um modelo de controles internos geralmente aceitos para a área de TI.
Os produtos do CobiT foram organizados em 3 níveis criados para dar suporte a:
· Executivos e Alta Direção
· Gerentes de TI e de negócios
· Profissionais de avaliação (assurance), controles e segurança
De forma resumida, os produtos CobiT incluem:
· Board Briefing on IT Governance, 2nd Edition – Publicação que auxilia os executivos a entender por que a governança de TI é importante, quais são suas principais questões e o papel deles em gerenciá-la.
· Diretrizes de gerenciamento / modelos de maturidade – auxiliam na designação de responsabilidades, avaliação de desempenho e benchmark, e trata da solução de deficiências de capacidade.
· Métodos: organiza os objetivos da governança de TI por domínios e processos de TI e os relaciona com os requisitos de negócios.
· Objetivos de controle – proporcionam um completo conjunto de requisitos de alto nível a serem considerados pelos executivos para o controle efetivo de cada processo de TI
· IT Governance Implementation Guide: Using CobiT® and Val IT TM, 2nd Edition – provê um mapa geral para implementar a governança de TI usando os recursos do CobiT e o Val IT
· CobiT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition – explica porque os controles merecem ser implementados e como implementá-los
· IT Assurance Guide: Using CobiT® – traz orientações sobre como o CobiT pode ser usado para suportar as variadas atividades de avaliação junto com sugestões de passos de testes para todos os processos e objetivos de controle de TI.
construção, processamento e monitoramento. No modelo CobiT esses domínios são denominados:
· Planejar e Organizar (PO) - Provê direção para entrega de soluções (AI) e entrega de serviços (DS)
· Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços
· Entregar e Suportar (DS) - Recebe as soluções e as torna passíveis de uso pelos usuários finais
· Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida.
PLANEJAR E ORGANIZAR (PO)
Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.
Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento.
Este domínio tipicamente ajuda a responder as seguintes questões gerenciais:
· As estratégias de TI e de negócios estão alinhadas?
· A empresa está obtendo um ótimo uso dos seus recursos?
· Todos na organização entendem os objetivos de TI?
· Os riscos de TI são entendidos e estão sendo gerenciados?
· A qualidade dos sistemas de TI é adequada às necessidades de negócios?
ADQUIRIR E IMPLEMENTAR (AI)
Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento:
· Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
· Os novos projetos serão entregues no tempo e orçamento previstos?
· Os novos sistemas ocorreram apropriadamente quando implementado?
· As alterações ocorrerão sem afetar as operações de negócios atuais?
ENTREGAR E SUPORTAR (DS)
Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. Trata geralmente das seguintes questões de gerenciamento:
· Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
· Os custos de TI estão otimizados?
· A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?
· Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação?
MONITORAR E AVALIAR (ME)
Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança. Trata geralmente das seguintes questões de gerenciamento:
· A performance de TI é mensurada para detectar problemas antes que seja muito tarde?
· O gerenciamento assegura que os controles internos sejam efetivos e eficientes?
· O desempenho da TI pode ser associado aos objetivos de negócio?
· Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações?
Dentro desses quatro domínios o CobiT identificou 34 processos de TI geralmente utilizados. Embora a maioria das organizações tenha definido as responsabilidades de TI de planejar, construir, processar e monitorar, e muitas delas tenham os mesmos processos-chave, poucas terão a mesma estrutura de processos ou aplicarão todos os 34 processos do CobiT. O CobiT fornece uma completa lista de processos que podem ser utilizados para verificar a totalidade das atividade e responsabilidades. No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa.
Para cada um desses 34 processos, uma ligação foi feita com os objetivos de negócios e de TI suportados. Também são fornecidas informações sobre como os objetivos podem ser medidos, quais são as atividades-chave, as principais entregas e quem é responsável por elas.
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT) para a efetiva execução de cada processo de TI. Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas.
PC2 Propriedade dos Processos
Designa um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário de processo.
Inclui por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelos resultados finais, medidas da performance do processo e a identificação de oportunidades de melhorias.
PC3 Repetibilidade dos Processos
Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados. Fornece uma sequência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências. Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
PC4 Papéis e Responsabilidades
Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.
PC5 Políticas Planos e Procedimentos
Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente. Assegura que as políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance
Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos.
Definem como os dados são obtidos. Compara as medições reais com as metas e toma medidas quanto aos desvios quando necessário.
Alinha métricas, metas e métodos com o enfoque de monitoramento de performance geral de TI.
Controles efetivos reduzem riscos, aumentam a probabilidade da entrega de valor e aprimoram a eficiência, pois existirão poucos erros e o enfoque de gerenciamento será mais consistente.
Além disso, o CobiT traz exemplos de cada processo que são ilustrativos, mas não definidores ou completos, de:
Entradas e saídas em geral
· Atividades e orientações sobre papéis e responsabilidades em uma tabela que indica quem é responsável, responsabilizado, consultado e informado (RACI).
· Principais objetivos da atividade (o que de mais importante deve ser feito).
· Métricas
Além de avaliar quais controles são necessários, os proprietários dos processos devem entender quais entradas eles precisam receber de outros e o que os outros precisam de seu processo. O CobiT fornece exemplos de entradas e saídas básicos que servem para qualquer processo, incluindo requisitos externos de TI. Existem alguns tipos de saída que servem de entrada para todos os outros processos, os quais são marcados como “ALL” nas tabelas de saídas e, portanto, não são mencionados como entradas para todos os processos. Geralmente incluem os padrões de qualidade e requisitos de métricas, a estrutura do processo
de TI, os papéis e responsabilidades documentados, a estrutura de controle de TI da organização, as políticas de TI e as funções e responsabilidades dos funcionários.
O entendimento dos papéis e responsabilidades de cada processo é essencial para uma efetiva governança. O CobiT provê a tabela RACI para cada processo. O termo Responsabilizado significa que “a responsabilidade é deste indivíduo” – esta é a pessoa que dá orientações e autoriza uma atividade. A responsabilidade é atribuída à pessoa que faz com que a tarefa seja executada.
Os outros dois papéis (consultado e informado) asseguram que todos que precisam serão envolvidos e suportam o processo.
CONTROLES GERAIS DE TI E CONTROLES DE APLICATIVOS
Os controles gerais são controles inseridos nos processos de TI e serviços. Como exemplo citamos:
· Desenvolvimento de sistemas
· Gerenciamento de mudanças
· Segurança
· Operação de computadores
Os controles inseridos nos aplicativos de processos de negócios são comumente chamados de controles de aplicativos. Exemplos:
· Totalidade
· Veracidade
· Validade
· Autorização
· Segregação de funções
O CobiT assume que o projeto e a implementação dos controles automatizados em aplicativos é de responsabilidade da área de TI, cobertos no domínio Aquisição e Implementação, com base nos requisitos de negócios definidos a partir dos critérios de informação do CobiT, como demonstrado na Figura 10. A responsabilidade pelo controle e o gerenciamento operacional dos controles de aplicativos não é da área de TI, mas do proprietário do processo de negócio.
Assim, a responsabilidade pelos controles de aplicativos é compartilhada entre as áreas de negócios e de TI, mas a natureza das responsabilidades muda, como segue:
· A área de negócios é responsável por:
· Definir os requisitos funcionais e de controles
· Utilizar os serviços automatizados
· A área de TI é responsável por:
· Automatizar e implementar os requisitos funcionais e de controles
· Estabelecer controles para manter a integridade dos controles de aplicativos
Portanto os processos de TI do CobiT cobrem os controles gerais de TI, mas somente os aspectos do desenvolvimento dos controles de aplicativos; a responsabilidade pela definição e o uso operacional é da área de negócio.
AC1 Preparação e Autorização de Dados Originais
Assegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os procedimentos estabelecidos, levando em consideração uma adequada segregação de funções relacionadas com a criação e aprovação desses documentos.
Erros e omissões podem ser minimizados através de bom desenho de formulário para entrada da informação, permitindo que erros e irregularidades detectados sejam reportados e corrigidos.
AC2 Entrada e Coleta de Dados Fontes
Estabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A correção e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nível de autorização da transação original.
Quando apropriado para a reconstrução, os documentos originais devem ser guardados por um período adequado.
AC3 Testes de Veracidade, Totalidade e Autenticidade
Assegura que as transações sejam exatas, completas e válidas. Valida os dados que foram inseridos e editados ou enviados de volta para correção o mais próximo possível do ponto onde foram originados.
AC4 Processamento Íntegro e Válido
Mantém a integridade e validade dos dados no ciclo de processamento. A detecção de transações errôneas não interrompe o processamento de transações válidas.
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as saídas sejam manuseadas de uma forma autorizada, entregues para os destinatários corretos e protegidas durante a transmissão. Garante que ocorre a verificação, detecção e correção da exatidão das saídas e que a informação provida pela saída é usada.
AC6 Autenticação e Integridade das Transações
Antes de transportar os dados das transações entre os aplicativos e as funções de negócios/operacionais (internas ou externas à organização), verifica endereçamento adequado, autenticidade da origem e integridade do conteúdo. Mantém a autenticidade e integridade durante a transmissão ou transporte.
Aceitabilidade Geral do CobiT
O CobiT é baseado na análise e na harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios de governança geralmente aceitos. Ele está posicionado em alto nível, direcionado por requisitos de negócios, abrange todas as atividades de TI e concentra-se no que deveria ser obtido e não em como atingir uma efetiva governança, gerenciamento e controle.
Sendo assim, ele age como um integrador das práticas de governança de TI e influencia a Alta Direção, gerências de negócios e de TI, profissionais de governança, avaliação e segurança, profissionais de auditoria de TI e de controles. Ele é desenhado para ser complementar e utilizado com outros padrões e boas práticas.
A implementação de boas práticas deve ser consistente com a governança e o ambiente de controle da organização, apropriado para a organização e integrada a outros métodos e práticas utilizadas. Padrões e boas práticas não são uma panacéia. Sua efetividade depende d como foram implementados e mantidos atualizados. Eles são mais úteis quando aplicados como um conjunto de princípios e um ponto de partida para produzir procedimentos específicos. Para evitar que as práticas fiquem só no papel, a gerência e os funcionários devem entender o que fazer, como fazer e porque isso é importante.
Para atingir o alinhamento das boas práticas com os requisitos de negócios é recomendável que o CobiT seja utilizado num alto nível, provendo uma metodologia de controle geral com base em um modelo de processos de TI que deve servir genericamente para toda empresa. Práticas específicas e padrões cobrindo áreas específicas podem ser mapeados com a metodologia CobiT, provendo assim um material de orientação.
O CobiT influencia diferentes usuários:
· Alta Direção: Para obter valor dos investimentos de TI, balancear os riscos e controlar o investimento em um ambiente de TI às vezes imprevisível
· Executivos de negócios: Para assegurar que o gerenciamento e o controle dos serviços de TI oferecidos internamente e por terceiros estejam funcionando de modo adequado
· Executivos de TI: Para prover os serviços de TI de que o negócio precisa para suportar a estratégia de negócios de maneira controlada e gerenciada
· Auditores: Para substanciar suas opiniões e/ou prover recomendações sobre controles internos para os executivos
O CobiT foi desenvolvido e é mantido por um instituto de pesquisa independente e sem fins lucrativos, contando com a experiência de seus membros associados, especialistas e profissionais de controle e segurança. O seu conteúdo baseia-se em uma contínua pesquisa das boas práticas de TI e é atualizado continuamente, provendo um recurso objetivo e prático para todos os tipos de usuários.
O CobiT é orientado para os objetivos e escopo da governança de TI, assegurando que a metodologia de controle seja compreensiva, alinhada com os princípios de governança de organizações e, portanto, aceitável para Alta Direção, executivos, auditores e reguladores. Um mapa demonstrando como os objetivos de controles do CobiT são mapeados com as cinco áreas de foco da governança de TI e das atividades de controle do COSO é demonstrado no Apêndice II do Framework do Cobit 4.1.
Para muitas organizações a informação e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes é o menos compreendido. Organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação e a utiliza para direcionar os valores das partes interessadas no negócio. Essas organizações também entendem e gerenciam os riscos associados, tais como as crescentes demandas regulatórias e a dependência crítica de muitos processos de negócios da TI.
A necessidade da avaliação do valor de TI, o gerenciamento dos riscos relacionados à TI e as crescentes necessidades de controle sobre as informações são agora entendidos como elementos-chave da governança corporativa. Valor, risco e controle constituem a essência da governança de TI.
A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.
Além disso, a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. A governança de TI habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo. Esses resultados requerem um modelo para controle de TI que se adeque e dê suporte ao COSO (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework”), um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais, e outros modelos similares.
As organizações devem satisfazer os requisitos de qualidade, guarda e segurança de suas informações, bem como de todos seus bens. Os executivos devem também otimizar o uso dos recursos de TI disponíveis, incluindo os aplicativos, informações, infra-estrutura e pessoas. Para cumprir essas responsabilidades bem como atingir seus objetivos, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover.
O Control Objectives for Information and related Technology (CobiT®) fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas.
Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os executivos devem implementar um sistema interno de controles ou uma metodologia. O modelo de controle do CobiT contribui para essas necessidades ao:
· Fazer uma ligação com os requisitos de negócios.
· Organizar as atividades de TI em um modelo de processos geralmente aceito.
· Identificar os mais importantes recursos de TI a serem utilizados.
· Definir os objetivos de controle gerenciais a serem considerados.
A orientação aos negócios do CobiT consiste em objetivos de negócios ligados a objetivos de TI, provendo métricas e modelos de maturidade para medir a sua eficácia e identificando as responsabilidades relacionadas dos donos dos processos de negócios e de TI.
O foco em processos do CobiT é ilustrado por um modelo de processos de TI subdivididos em quatro domínios e 34 processos em linha com as áreas responsáveis por planejar, construir, executar e monitorar, provendo assim uma visão total da área de TI.
Conceitos de arquitetura corporativa ajudam a identificar os recursos essenciais para o sucesso dos processos, ou seja, aplicativos, informações, infraestrutura e pessoas.
Em resumo, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos de TI precisam ser gerenciados por uma série de processos naturalmente agrupados.
O CobiT é focado no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em elevado nível. O CobiT foi alinhado e harmonizado com outros padrões e boas práticas de TI mais detalhados. O CobiT atua como um integrador desses diferentes materiais de orientação, resumindo
os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios.
O COSO (e outras metodologias similares) é geralmente aceito como uma metodologia de controle interno para corporações. O CobiT é um modelo de controles internos geralmente aceitos para a área de TI.
Os produtos do CobiT foram organizados em 3 níveis criados para dar suporte a:
· Executivos e Alta Direção
· Gerentes de TI e de negócios
· Profissionais de avaliação (assurance), controles e segurança
De forma resumida, os produtos CobiT incluem:
· Board Briefing on IT Governance, 2nd Edition – Publicação que auxilia os executivos a entender por que a governança de TI é importante, quais são suas principais questões e o papel deles em gerenciá-la.
· Diretrizes de gerenciamento / modelos de maturidade – auxiliam na designação de responsabilidades, avaliação de desempenho e benchmark, e trata da solução de deficiências de capacidade.
· Métodos: organiza os objetivos da governança de TI por domínios e processos de TI e os relaciona com os requisitos de negócios.
· Objetivos de controle – proporcionam um completo conjunto de requisitos de alto nível a serem considerados pelos executivos para o controle efetivo de cada processo de TI
· IT Governance Implementation Guide: Using CobiT® and Val IT TM, 2nd Edition – provê um mapa geral para implementar a governança de TI usando os recursos do CobiT e o Val IT
· CobiT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition – explica porque os controles merecem ser implementados e como implementá-los
· IT Assurance Guide: Using CobiT® – traz orientações sobre como o CobiT pode ser usado para suportar as variadas atividades de avaliação junto com sugestões de passos de testes para todos os processos e objetivos de controle de TI.
O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O CobiT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. O CobiT é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o CobiT tornou-se o integrador de boas práticas de TI e a metodologia de governança
de TI que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com TI.
A estrutura de processos do CobiT e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto.
Os benefícios de implementar o CobiT como um modelo de governança de TI incluem:
· Um melhor alinhamento baseado no foco do negócio
· Uma visão clara para os executivos sobre o que TI faz
· Uma clara divisão das responsabilidades baseada na orientação para processos
· Aceitação geral por terceiros e órgãos reguladores
· Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum
· Cumprimento dos requisitos do COSO para controle do ambiente de TI.
Missão do CobiT:
Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação.
Para que a governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Geralmente eles são ordenados por domínios de responsabilidade de planejamento,
construção, processamento e monitoramento. No modelo CobiT esses domínios são denominados:
· Planejar e Organizar (PO) - Provê direção para entrega de soluções (AI) e entrega de serviços (DS)
· Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços
· Entregar e Suportar (DS) - Recebe as soluções e as torna passíveis de uso pelos usuários finais
· Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida.
PLANEJAR E ORGANIZAR (PO)
Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.
Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento.
Este domínio tipicamente ajuda a responder as seguintes questões gerenciais:
· As estratégias de TI e de negócios estão alinhadas?
· A empresa está obtendo um ótimo uso dos seus recursos?
· Todos na organização entendem os objetivos de TI?
· Os riscos de TI são entendidos e estão sendo gerenciados?
· A qualidade dos sistemas de TI é adequada às necessidades de negócios?
ADQUIRIR E IMPLEMENTAR (AI)
Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento:
· Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
· Os novos projetos serão entregues no tempo e orçamento previstos?
· Os novos sistemas ocorreram apropriadamente quando implementado?
· As alterações ocorrerão sem afetar as operações de negócios atuais?
ENTREGAR E SUPORTAR (DS)
Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. Trata geralmente das seguintes questões de gerenciamento:
· Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
· Os custos de TI estão otimizados?
· A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?
· Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação?
MONITORAR E AVALIAR (ME)
Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança. Trata geralmente das seguintes questões de gerenciamento:
· A performance de TI é mensurada para detectar problemas antes que seja muito tarde?
· O gerenciamento assegura que os controles internos sejam efetivos e eficientes?
· O desempenho da TI pode ser associado aos objetivos de negócio?
· Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações?
Dentro desses quatro domínios o CobiT identificou 34 processos de TI geralmente utilizados. Embora a maioria das organizações tenha definido as responsabilidades de TI de planejar, construir, processar e monitorar, e muitas delas tenham os mesmos processos-chave, poucas terão a mesma estrutura de processos ou aplicarão todos os 34 processos do CobiT. O CobiT fornece uma completa lista de processos que podem ser utilizados para verificar a totalidade das atividade e responsabilidades. No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa.
Para cada um desses 34 processos, uma ligação foi feita com os objetivos de negócios e de TI suportados. Também são fornecidas informações sobre como os objetivos podem ser medidos, quais são as atividades-chave, as principais entregas e quem é responsável por elas.
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT) para a efetiva execução de cada processo de TI. Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas.
PC2 Propriedade dos Processos
Designa um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário de processo.
Inclui por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelos resultados finais, medidas da performance do processo e a identificação de oportunidades de melhorias.
PC3 Repetibilidade dos Processos
Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados. Fornece uma sequência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências. Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
PC4 Papéis e Responsabilidades
Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.
PC5 Políticas Planos e Procedimentos
Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente. Assegura que as políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance
Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos.
Definem como os dados são obtidos. Compara as medições reais com as metas e toma medidas quanto aos desvios quando necessário.
Alinha métricas, metas e métodos com o enfoque de monitoramento de performance geral de TI.
Controles efetivos reduzem riscos, aumentam a probabilidade da entrega de valor e aprimoram a eficiência, pois existirão poucos erros e o enfoque de gerenciamento será mais consistente.
Além disso, o CobiT traz exemplos de cada processo que são ilustrativos, mas não definidores ou completos, de:
Entradas e saídas em geral
· Atividades e orientações sobre papéis e responsabilidades em uma tabela que indica quem é responsável, responsabilizado, consultado e informado (RACI).
· Principais objetivos da atividade (o que de mais importante deve ser feito).
· Métricas
Além de avaliar quais controles são necessários, os proprietários dos processos devem entender quais entradas eles precisam receber de outros e o que os outros precisam de seu processo. O CobiT fornece exemplos de entradas e saídas básicos que servem para qualquer processo, incluindo requisitos externos de TI. Existem alguns tipos de saída que servem de entrada para todos os outros processos, os quais são marcados como “ALL” nas tabelas de saídas e, portanto, não são mencionados como entradas para todos os processos. Geralmente incluem os padrões de qualidade e requisitos de métricas, a estrutura do processo
de TI, os papéis e responsabilidades documentados, a estrutura de controle de TI da organização, as políticas de TI e as funções e responsabilidades dos funcionários.
O entendimento dos papéis e responsabilidades de cada processo é essencial para uma efetiva governança. O CobiT provê a tabela RACI para cada processo. O termo Responsabilizado significa que “a responsabilidade é deste indivíduo” – esta é a pessoa que dá orientações e autoriza uma atividade. A responsabilidade é atribuída à pessoa que faz com que a tarefa seja executada.
Os outros dois papéis (consultado e informado) asseguram que todos que precisam serão envolvidos e suportam o processo.
CONTROLES GERAIS DE TI E CONTROLES DE APLICATIVOS
Os controles gerais são controles inseridos nos processos de TI e serviços. Como exemplo citamos:
· Desenvolvimento de sistemas
· Gerenciamento de mudanças
· Segurança
· Operação de computadores
Os controles inseridos nos aplicativos de processos de negócios são comumente chamados de controles de aplicativos. Exemplos:
· Totalidade
· Veracidade
· Validade
· Autorização
· Segregação de funções
O CobiT assume que o projeto e a implementação dos controles automatizados em aplicativos é de responsabilidade da área de TI, cobertos no domínio Aquisição e Implementação, com base nos requisitos de negócios definidos a partir dos critérios de informação do CobiT, como demonstrado na Figura 10. A responsabilidade pelo controle e o gerenciamento operacional dos controles de aplicativos não é da área de TI, mas do proprietário do processo de negócio.
Assim, a responsabilidade pelos controles de aplicativos é compartilhada entre as áreas de negócios e de TI, mas a natureza das responsabilidades muda, como segue:
· A área de negócios é responsável por:
· Definir os requisitos funcionais e de controles
· Utilizar os serviços automatizados
· A área de TI é responsável por:
· Automatizar e implementar os requisitos funcionais e de controles
· Estabelecer controles para manter a integridade dos controles de aplicativos
Portanto os processos de TI do CobiT cobrem os controles gerais de TI, mas somente os aspectos do desenvolvimento dos controles de aplicativos; a responsabilidade pela definição e o uso operacional é da área de negócio.
AC1 Preparação e Autorização de Dados Originais
Assegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os procedimentos estabelecidos, levando em consideração uma adequada segregação de funções relacionadas com a criação e aprovação desses documentos.
Erros e omissões podem ser minimizados através de bom desenho de formulário para entrada da informação, permitindo que erros e irregularidades detectados sejam reportados e corrigidos.
AC2 Entrada e Coleta de Dados Fontes
Estabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A correção e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nível de autorização da transação original.
Quando apropriado para a reconstrução, os documentos originais devem ser guardados por um período adequado.
AC3 Testes de Veracidade, Totalidade e Autenticidade
Assegura que as transações sejam exatas, completas e válidas. Valida os dados que foram inseridos e editados ou enviados de volta para correção o mais próximo possível do ponto onde foram originados.
AC4 Processamento Íntegro e Válido
Mantém a integridade e validade dos dados no ciclo de processamento. A detecção de transações errôneas não interrompe o processamento de transações válidas.
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as saídas sejam manuseadas de uma forma autorizada, entregues para os destinatários corretos e protegidas durante a transmissão. Garante que ocorre a verificação, detecção e correção da exatidão das saídas e que a informação provida pela saída é usada.
AC6 Autenticação e Integridade das Transações
Antes de transportar os dados das transações entre os aplicativos e as funções de negócios/operacionais (internas ou externas à organização), verifica endereçamento adequado, autenticidade da origem e integridade do conteúdo. Mantém a autenticidade e integridade durante a transmissão ou transporte.
Aceitabilidade Geral do CobiT
O CobiT é baseado na análise e na harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios de governança geralmente aceitos. Ele está posicionado em alto nível, direcionado por requisitos de negócios, abrange todas as atividades de TI e concentra-se no que deveria ser obtido e não em como atingir uma efetiva governança, gerenciamento e controle.
Sendo assim, ele age como um integrador das práticas de governança de TI e influencia a Alta Direção, gerências de negócios e de TI, profissionais de governança, avaliação e segurança, profissionais de auditoria de TI e de controles. Ele é desenhado para ser complementar e utilizado com outros padrões e boas práticas.
A implementação de boas práticas deve ser consistente com a governança e o ambiente de controle da organização, apropriado para a organização e integrada a outros métodos e práticas utilizadas. Padrões e boas práticas não são uma panacéia. Sua efetividade depende d como foram implementados e mantidos atualizados. Eles são mais úteis quando aplicados como um conjunto de princípios e um ponto de partida para produzir procedimentos específicos. Para evitar que as práticas fiquem só no papel, a gerência e os funcionários devem entender o que fazer, como fazer e porque isso é importante.
Para atingir o alinhamento das boas práticas com os requisitos de negócios é recomendável que o CobiT seja utilizado num alto nível, provendo uma metodologia de controle geral com base em um modelo de processos de TI que deve servir genericamente para toda empresa. Práticas específicas e padrões cobrindo áreas específicas podem ser mapeados com a metodologia CobiT, provendo assim um material de orientação.
O CobiT influencia diferentes usuários:
· Alta Direção: Para obter valor dos investimentos de TI, balancear os riscos e controlar o investimento em um ambiente de TI às vezes imprevisível
· Executivos de negócios: Para assegurar que o gerenciamento e o controle dos serviços de TI oferecidos internamente e por terceiros estejam funcionando de modo adequado
· Executivos de TI: Para prover os serviços de TI de que o negócio precisa para suportar a estratégia de negócios de maneira controlada e gerenciada
· Auditores: Para substanciar suas opiniões e/ou prover recomendações sobre controles internos para os executivos
O CobiT foi desenvolvido e é mantido por um instituto de pesquisa independente e sem fins lucrativos, contando com a experiência de seus membros associados, especialistas e profissionais de controle e segurança. O seu conteúdo baseia-se em uma contínua pesquisa das boas práticas de TI e é atualizado continuamente, provendo um recurso objetivo e prático para todos os tipos de usuários.
O CobiT é orientado para os objetivos e escopo da governança de TI, assegurando que a metodologia de controle seja compreensiva, alinhada com os princípios de governança de organizações e, portanto, aceitável para Alta Direção, executivos, auditores e reguladores. Um mapa demonstrando como os objetivos de controles do CobiT são mapeados com as cinco áreas de foco da governança de TI e das atividades de controle do COSO é demonstrado no Apêndice II do Framework do Cobit 4.1.
Processos:
Planejar e Organizar
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os
Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Adquirir e Implementar
AI 1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
Entregar e Suportar
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
Fonte: Framework Cobit 4.1
Download Framework: http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
Assinar:
Postagens (Atom)