Please enable JavaScript.
Coggle requires JavaScript to display documents.
Governaça de TI
COBIT 4.1 (Domínio Entregar e suportar
-Recebe soluções…
- COBIT
Control objectives for information and related technology
- Histórico
-1994 criado pela ISACF
-1998 segunda edição
-2000 terceira edição pela ITGI-ISACA
-2005 versão 4.0 (alinhada COSO,ITIL,ISO)
-2007 atualização versão 4.1
- Caracteristicas
-Estrutura de controles
-Foca negocio
-Orientado a processos
-Baseado em objetivos de controle
-Métricas e modelos de maturidade
-Não é metodologia
-Foca o que precisa ser feito e não como
-4 domínios
-34 processos
-210 objetivos de controle
-Dirigido por métricas
- Alinhar TI ao negocio
-Ti trabalhar com o negocio
-Prioridades definidas
-Comunicação da TI com negocios
- Manter TI funcionando
-Garantir continuidade serviços criticos
-Serviços indisponíveis (perda de oportunidade, reduz lucro, dano reputação)
- Entregar valor aos clientes
-Ações de TI fornecer valor à organização
-Projeto no prazo e custo
-Justificar retorno sobre investimento
- Cumprir leis e regulamentos
-Regulamentos organizacionais impactam sistemas de TI
-Ti deve cumpri-las
-Mercado exige responsabilidade social e legal
- Manter segurança da informação
-Informações expostas na rede
-Informações disponíveis traz riscos
-Usuários imaturos
- Ligar desafios TI a estrutura de controle
(vantagem competitiva, tratar riscos, explorar benefícios TI, alinhar req de negocio, cumprir normas e regulamentos)
- Governança de TI
-Estruturas e processos garantir TI suporte e MAX objetivos estratégicos de negocio, adicionando valor aos serviços.
-Balanceando risco
-Obtendo retorno sobre investimento
-É de responsabilidade da alta administração
- Para quem?
-Alta administração(balancear riscos e controlar investimentos)
-Usuários(obter garantia serviços e controle de segurança)
-Auditores de sistema de segurança(apoio decisão e aconselhamento de controle interno)
- Área foco da governança
(Governança de TI)
- Caracteristicas
-Transparencia sobre riscos e gestão de riscos na organização
- Caracteristicas
-Melhor utilização dos investimentos e recursos de TI
- Caracteristicas
-Entrega benefícios prometidos a custos otimizados
- Caracteristicas
-Acompanha e monitora o desempenho
- Características
-Ligação plano e operação de TI e negocio
- Caracteristicas
-Prover info que a organização precisa para atingir objetivo de negocio
-Organização precisa investir em recursos de TI e gerencia-los usando processos para entregar serviço necessario
-Foco no negócio (derivados da estratégia da empresa)
- Recursos de TI (usados por..)
-Dados ou informaçoes
-Aplicativos
-Infraestrutura
-Pessoas
- Processos de TI (para entregar...)
-Definir responsabilidades
-Definir metas
-34 processos
- Requisito de negócios (direcionam investimentos em...)
- Informações organizacionais (os quais respondem a ...)
-Maturidade
- Integridade (segurança)
-Informação valida, consistente, correta e completa
- Disponibilidade (segurança)
-Informação disponível quando necessárias
- Confidencialidade (segurança)
-Protegida para divulgação indevida
- Conformidade (guarda)
-Informações aderentes a leis, regulamentos e obrigações
-Critérios externos como controles internos
- Eficiencia (qualidade)
-Informação com melhor uso dos recursos
-Max produtividade e menor custo
- Confiabilidade (guarda)
-Informação apropriada para alta gerencia
- Efetividade/ eficácia (qualidade)
-Informações relevantes
-Entregue na hora e para a pessoa certa
- Aplicativos
-Sistemas automatizados para usuário
-Procedimentos manuais processam info
- Informações
-Dados em todas as formas
-Servem de entrada e saída
- Infraestrutura
-Tecnologia que processa os aplicativos
-Hard, SO, BD, redes, ambientes de suporte
- Pessoas
-Equipes planejar, adquirir, entregar, suportar e monitorar serviços
-Internas ou terceirizadas
- Matriz de responsabilidade
(tabela RACI)
- Caracteristicas
-Matriz prove compreensão dos papeis e responsabilidades dos processos
-Papeis dentro de 1 processo
- Responsável (responsible)
-Pessoas responsáveis pela exe da atividade
- Responsabilizado (accountable)
-Pessoas prestam contas pelos resultados
-Aprovam e aceitam
- Consultado (consulted)
-Pessoas opinam determinada atividade (comunicação bidirecional)
- Informado (informed)
-Pessoas mantidas informadas sobre atividades
-Uma via de comunicacão
- Modelo de maturidade do COBIT
- Características do Modelo de maturidade
-Mede desempenho de cada processo de TI
-Visa melhoria sistemática
-Permite id estagio atual da empresa (onde estamos)
-Permite id estagio atual do mercado (comparação)
-Meta aprimoramento da empresa (onde queremos estar)
-Caminho do crescimento (como esta e sera)
- Modelo maturidade genérica
(Níveis)
- Caracteristicas
-Reconhece o processo
-São aplicadas aleatórios
- Nível 2 repetível, porem intuitivo
- Caracteristicas
-Gestão básica
-Regras repetidas, por intuição
-Não há registros formalizados
- Caracteristicas
-Não é reconhecido
-Falta de processo
- Nível 3 processo dedinido
- Caracteristicas
-Padrão
-Documentação e padronização
-Não detecta desvios negativos
- Nível 4 gerenciável e mensuravel
- Caracteristicas
-Processos monitorados e corrigidos
-Automação limitadas, sem integração
- Caracteristicas
-Melhores práticas
-Controle mensurável do nível 4
- Caracteristicas
-Ajudam medir desempenho, atualizar comparações e id falhas
- Objetivo de negocio (define objetivo da organização)
- Objetivos de TI (o que o negocio espera da TI)
- Objetivo de processo (processos de TI precisam entregar)
- Objetivos das atividades (define o que e feito em cada processo)
- Medidas de resultados
-Indica se processo alcançou seu resultado
-Responde objetivos FORAM atingidos
-Lag indicators
- Indicadores de performance
-Medir progresso dos objetivos
-Responde se objetivos SERÃO atingidos
-Lead indicators
- Características
-Indicadores balanceados
-Sistema avaliação desempenho empresarial
-Varias perspectivas de medição
- Perspectivas de medição
-Financeira (preocupa com lucros e imagem da empresa)
-Clientes (imagem com o cliente)
-Processos internos (satisfazer clientes quais processos internos usar)
-Aprendizado e crescimento (aprendizado para obter maior lucro)
- Dominio, processos e atividades
- A13 Adquirir e manter infra de tecnologia
- A14 Habilitar operações e uso
- A12 Adquirir e manter soft app
- A11 Id soluções automatizadas
- A15 Adquirir recursos de TI
-
- A17 Instalar e homologar soluções e mudanças
- DS2 Gerenciar serviços de terceiros
- DS3 Gerenciar capacidade e desmpenho
- DS1 Definir e gerenciar níveis de serviço
- DS4 Assegurar continuidade dos serviços
- DS5 Assegurar segurança dos sistemas
-
- DS7 Educar e treinar os usuarios
- DS8 Gerenciar a central de serviços e incidentes
- DS9 Gerenciar a configuração
- DS10 Gerenciar os problemas
-
- DS12 Gerenciar o ambiente fisico
- DS13 Gerenciar as operações
- PO4 Definir processos, organização e relacionamento de TI
- PO3 Determinar as diretrizes de tecnologia
- PO2 Definir a arquitetura de informação
- PO5 Gerenciar o investimento em TI
- PO6 Comunicar metas e diretrizes gerenciais
- PO1 Definir um plano estratégico de TI
-
-
- PO9 Avaliar e gerenciar os riscos de TI
-
- ME1 Monitorar e avaliar o desempenho
- ME2 Monitorar e avaliar os controles internos
- ME3 Assegurar conformidade com os requisitos externos
- ME4 Prover governança de TI
- Requisito de controle genérico
- Caracteristicas
-Cada processo possui req de controle genericos
-Visão mais ampla req de controle
-São id por process control number
- PC1 metas e objetivos do processo
-Cada processo deve ter metas e objetivos claros e mensuraveis
- PC2 Propriedade dos processos
-Cada processo deve ter um proprietário
- PC3 Repetibilidade dos processos
-Processo capaz de produzir resultados consistentes
- PC4 Papéis e responsabilidades
-Cada processo atividade chave mapeadas para papeis e responsabilidades
- PC5 politicas, planos e procedimentos
-Cada processo documentados, revisados
- PC6 Melhoria do desempenho do processo
-Cada processo com metas para desempenho e resultado
- Domínio planejar e organizar
-Direção para entrega de soluções e entrega de serviços
-Cominio estrategico e tatico
:star:Definindo a direção estrategica
- PO1 Definir um plano estratégico de TI
:star:Definir os gastos
- PO5 Gerenciar o investimento em TI
:star:Se comunicando
- PO6 Comunicar metas e diretrizes gerenciais
:star:Apoiando os processos
- PO7 Gerenciar os recursos humanos de TI
-
:star:Se conhecendo melhor
- PO4 Definir os processos, organização e relacionamento de TI
- PO9 Avaliar e gerenciar os riscos de TI
- PO3 Definir as diretrizes de tecnologia
-
:star:Definindo a infraestrutura
- PO2 Definir a arquitetura de informação
- Domínio Adquirir e implementar
-Soluções e transfere em serviços
-Id, desenvolvimento, aquisição e solução de TI
-Mudança e manutenção
-Garante continuidade ciclo de vida
:star:Como viabilizar e comprar?
- AI4 Habilitar operação e uso
- AI5 Adquirir recursos de TI
- AI3 Adquirir e manter infraestrutura de tecnologia
:star:Como implementar e verificar mudanças?
- AI6 Gerenciar mudanças
:star:O que é necessário adquirir?
- AI2 Adquirir e manter software aplicativo
- AI7 Instalar e homologar soluções e mudanças
:star:O que a TI vai quere?
- AI1 Identificar soluções automatizas
- Domínio Entregar e suportar
-Recebe soluções e torna passiveis de uso para usuarios
-Cobre entrega
-Gerenciamento da segurança e continuidade
-Suporte aos serviços para usuario
-Gestão de dados e infra
:star: Como gerenciar os serviços?
- DS8 Gerenciar central de serviços e incidentes
- DS9 Gerenciar a configuração
- DS7 Educar e treinar os usuários
- DS10 Gerenciar os problemas
:star: Como tratar dos custos e usuários?
- DS6 Id e alocar custos
-
- DS5 Assegurar segurança dos sistemas
- DS12 Gerenciar o ambiente fisico
- DS4 Assegurar continuidade dos serviços
:star: Como ter garantias?
- DS3 Gerenciar capacidade e desempenho
:star: Como lidar com parceiros?
- DS2 Gerenciar serviços de terceiros
:star: Como definir requisitos dos serviços?
- DS1Definir e gerenciar níveis de serviços
- DS13 Gerenciar as operações
- Domínio Monitorar e avaliar
-Monitora processos para garantir direção seja seguida
-Assegurar qualidade dos processos de TI
-Conformidade com objetivo de controle
-Acompanhamento
-Monitora controles internos
-Avaliações internas e externas
- ME3 Assegurar conformidade com requisitos externos
:star: Como alcançar a governança de TI?
- ME4 Prover governança de TI
:star: Como verificar dentro e fora da organização
- ME2 Monitorar e avaliar os controles internos
:star: Como verificar o desempenho geral?
- ME1 Monitorar e avaliar o desempenho