Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação

Boa noite!

Eis que disponibilizo meu TCC do curso de Especialização em Qualidade e Gestão de Software pela PUC Goiás. É um artigo que tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT®5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação.

Título: Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação
Autora: Luzia M. de A. Dourado
Orientador: Prof. André Luiz

Planilha de Processos COBIT 5 x ITIL V3

Boa noite, pessoal!!!

Depois de algum tempinho, estou retomando a atualização do meu blog! E para poder ajudar aqueles que estão em algum projeto de implementação de governança de TI, eis que encontro uma planilha muito interessante desenvolvida pelo André Dourado (que não é meu parente, pelo menos que eu saiba, hehehehehe)  que pode auxiliar na implementação de processos COBIT com os respectivos processos ITIL relacionados.

Parabéns, André, pela iniciativa e por disponibilizar essa planilha!!!

Para baixá-la, clique aqui.

 

COBIT 5 Implementation disponível em português!

Boa tarde!

 

Já está disponível no site da ISACA o guia COBIT® 5 Implementation em português! O Guia de Implementação COBIT® 5 fornece a orientação principal para uma abordagem prática para a implementação da Governança Corporativa de TI –  com base em um ciclo de vida de melhoria contínua que deve ser adaptado para atender às necessidades específicas de uma organização.

Para quem tem interesse nesse assunto ou vai tirar a certificação de implementador, vale a pena o material, porém, ele não é gratuito para não membros da ISACA, infelizmente!

Para fazer o download do material, clique aqui.

 

 

Qual a diferença entre Governança e Gestão de TI?

Boa tarde!

Durante minhas leituras e discussões acerca dessas duas áreas (e pelos feedbacks que recebi via email), percebi que o conceito relativo a cada uma delas ainda não está claro para alguns profissionais, principalmente os da área de TI.

Diante da possível confusão sobre os conceitos, resolvi fazer um resumo sobre eles, fundamentado na ISO/IEC 38500 e no COBIT 5.

GOVERNANÇA CORPORATIVA DE TI

A ISO/IEC 38500, que estabelece um modelo para a Governança Corporativa de TI1, define o termo como:

Governança Corporativa de TI, segundo ISO/IEC 38500:

O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.
A governança corporativa de TI envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos estratégicos e monitoramento do seu uso para realizar os planos.
A governança inclui a estratégia e as políticas para o uso de TI dentro de uma organização.

Essa norma orienta que os dirigentes da organização governem a TI por meio de três tarefas principais:

Avaliar o uso atual e futuro da TI,  considerando as  pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais e influências políticas), e que levem em conta as necessidades atuais e futuras do negócio.
Dirigir a preparação e a implementação de planos e políticas para garantir que o uso da TI atenda aos objetivos do negócio;
Monitorar o cumprimento das políticas e o desempenho em relação aos planos.

A governança corporativa de TI está inserida na governança corporativa da organização, sendo dirigida por esta, e busca o direcionamento da TI para atender ao negócio e o monitoramento para verificar a conformidade com o direcionamento tomado pela administração da organização2.  Por fazer parte da governança corporativa, a governança corporativa de TI não é de responsabilidade exclusiva dos gestores de TI e, sim, dos dirigentes da organização (board). 

O COBIT 5 faz uma clara distinção entre governança e gestão de TI em um de seus cinco princípios: Distinguir a governança de gestão. Essas duas áreas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diferentes.

Do ponto de vista do COBIT 5, a governança corporativa de TI é:

Governança Corporativa de TI, segundo COBIT 5:

“A governança garante que as necessidades, as condições e as opções das partes interessadas sejam avaliadas a fim de determinar os objetivos corporativos acordados; define a direção por meio de priorização e tomada de decisão; e provê monitoramento de desempenho e conformidade com relação aos objetivos estabelecidos.”

Na governança, são discutidos e aprovados as políticas e os planos de alinhamento estratégico (PE, PETI), a implementação de processos e os mecanismos de controle que direcionarão a gestão da TI 4.

Na maioria das organizações, a governança é de responsabilidade do Conselho de Administração, sob a liderança do presidente. Responsabilidades de governança específicas podem ser delegadas a estruturas organizacionais especiais em um nível apropriado, especialmente em organizações maiores e complexas 3.

GESTÃO DE TI

A Gestão de TI é definida, segundo ISO/IEC 38500, como:

Gestão de TI, segundo ISO/IEC 38500:

“Sistema de controles e processos necessários para alcançar os objetivos estratégicos estabelecidos pela direção da organização.”.

A gestão de TI implica a utilização sensata de meios (recursos, pessoas, processos, práticas) pra alcançar um objetivo. Atua no planejamento, construção, organização e controle das atividades operacionais e se alinha com a direção definida pela organização.

Já o COBIT 5 define a Gestão de TI como:

Gestão de TI, segundo COBIT 5:

“A gestão consiste em planejar, construir, executar e monitorar    atividades alinhadas com a direção estratégica estabelecida pela governança para atingir os objetivos corporativos.”

Na maioria das organizações, a gestão é da responsabilidade da gerência executiva, sob a liderança do chefe diretor executivo (CEO) 3.

A distinção entre governança e gestão pode ser vista na figura abaixo.

gov_ges_TI

No âmbito da Governança há três atividades principais: Avaliar, Dirigir e Monitorar, que estão bem definidas tanto na IEC/ISO 38500 como no COBIT 5. No âmbito da Gestão há quatro atividades principais: Planejar, Construir, Entregar e Monitorar. No COBIT 5, as atividades de governança são definidas por um conjunto de 5 processos de governança agrupados em um único domínio e as atividades de gestão são definidas por 37 processos de gestão agrupados em 4 domínios, a saber:  Alinhar, Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI),  Entregar, Serviços e Suporte (DSS),  Monitorar, Avaliar e Analisar (MEA).

Portanto,  há uma frase que sintetiza tudo o que foi descrito acima:  a gestão controla tarefas operacionais, enquanto a governança controla a gestão.

E, para finalizar, eu adoraria saber a sua opinião sobre esse artigo. Deixe um comentário logo abaixo!

 

[1] International Organization for Standardization. ISO/IEC 38500 – Corporate governance of information technology. ISO, 2008, 22p.
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006.
[3] COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012
[4] PwC. Por que conhecer o COBIT ® 5.

Apostila COBIT 5 revisada e atualizada!

[ATUALIZAÇÃO] Essa apostila em hipótese alguma deve ser utilizada em substituição ao material oficial para fins de certificação. É apenas um resumo desse material e, portanto, não contempla todo o conteúdo exigido para a prova.

Boa tarde!

Já que saiu a publicação do framework COBIT 5 em português, resolvi atualizar a apostila para que ficasse em conformidade com a tradução oficial, além de atualizar também as figuras (que estavam em inglês).

As outras melhorias foram:

  • maior detalhamento dos capitulo 6. Guia de implementação e 7. Modelo de Capacidade de processos.
  • inclusão do anexo com o mapeamento dos processos COBIT 5 para os processos COBIT 4.1, destacando os novos processos com relação à versão anterior.

A pedidos, outra novidade é que estou disponibilizando a apostila no formato .epub.

Críticas e sugestões serão sempre bem vindas!

Qualquer dúvida pode contar comigo!

Obs.: dependendo do app que utilizar para ler o e-book, as tabelas contidas no documento podem não serem visualizadas corretamente. Sugestão: google play livros ou aldiko.

 

Apostila COBIT 5 v.1.2icones_epub  pdf_icon

[ERRATA] A apostila foi corrigida na página 7!

Onde se lê:

“Além disso, ele se alinha a outros padrões de mercado como Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF)”

Leia-se:

“Além disso, ele se conecta e, quando pertinente, alinha-se a outros importantes padrões e modelos do mercado , tais como: Information Technology Infrastructure Library (ITIL®), The Open Group Architecture Framework (TOGAF®), Project Management Body of Knowledge (PMBOK®), PRojects IN Controlled Environments 2 (PRINCE2®), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO).”

Como é sabido, ITIL e PMBOK não são padrões de mercado e, sim, modelos (ou guias de melhores práticas).
Fico agradecida ao Elvis por me apontar isso! 🙂

Atualizado em 20/12/2016

COBIT 5 em português!

Olá!
Finalmente saiu!!!
A versão em português do COBIT 5 foi disponibilizada pode ser adquirida gratuitamente através do site da ISACA.
Para fazer o download:
– acesse esse link;
– registre-se no site da ISACA (é gratuito) ou efetue login se já possuir cadastro
– receba o link para baixar.
Não deixe de conferir um pequeno resumo do COBIT 5 aqui.

Certificação COBIT 5 Foundation: informações úteis e material de apoio

Cobit-5Após a divulgação de minha apostila sobre COBIT 5, venho recebendo vários emails questionando acerca da certificação. Apesar de ainda não ter feito a prova (estou me preparando para isso), resolvi compartilhar nesse post informações que obtive das minhas pesquisas para me preparar para a certificação.

Sobre o exame

A certificação COBIT 5 está sendo realizada pela APMG International. A prova de certificação do nível Foundation:

  • não tem pré-requisito;
  • é sem consultas;
  • tem duração de 40 minutos;
  • está no formato de múltipla escolha;
  • contém 50 perguntas (0,8 minutos por questão);
  • para aprovação, é necessário acertar, no mínimo, 25 questões (50%).
  • está disponível nos idiomas Inglês, Alemão, Espanhol (Latino-Americano) e Português (Brasileiro).

Vale ressaltar que não há pré-requisitos para prestar o exame, nem mesmo a participação obrigatória de cursos oficiais. A certificação não expira.

Para informações sobre onde realizar o exame, clique aqui.

Para valores do exame, clique aqui.

Syllabus

No site da Training Creatively, encontrei o COBIT 5 Foundation Examination Syllabus, que contém o conteúdo programático da prova.

Lendo o syllabus, eis algumas informações que pude extrair resumidamente de forma a ajudar na preparação:

1. A prova contém questões sobre 4 áreas (respectivos códigos de área do syllabus estão em parênteses):

Princípios do COBIT 5 (PR)

Enablers (viabilizadores) do COBIT 5 (EN)

Introdução ao COBIT 5 Implementation (IM)

Modelo de Avaliação de Capacidade de Processos (PC)

2. O documento principal para estudo é o COBIT 5 – A Business Framework for the Governance and Management of  Enterprise IT. Outros dois documentos citados no syllabus são COBIT Process Assessment Model (PAM) – using COBIT 5 e o COBIT 5 Enabling Process Guide.

3. O syllabus detalha o que será cobrado na prova para cada área, informando o número das figuras e dos apêndices do documento COBIT 5 – A Business Framework for the Governance and Management of  Enterprise IT relacionados aos tópicos de cada área. Portanto, é bom ler cuidadosamente esse documento  e seus apêndices.

Vale a pena dedicar uns minutinhos na leitura minuciosa do syllabus.

Simulados

Fui muito questionada acerca de simulados para a certificação, preferencialmente em português. Infelizmente, não consegui obter nenhum simulado gratuito além do disponível pela APMG (em inglês). Existem simulados (maioria em inglês) que são softwares pagos. Confira aqui o simulado oficial da APMG.

Analisando o simulado da APMG, as 50 questões estão distribuídas nas seguintes 4 áreas do syllabus:

– Princípios do COBIT 5 (PR): 15 questões (30%);

– Enablers do COBIT 5 (EN): 21 questões (42%);

– Introdução ao COBIT 5 Implementation (IM): 7 questões (14%);

– Modelo de Avaliação de Capacidade de Processos (PC): 7 questões (14%).

Dúvidas sobre o exame

Para quem tem dúvidas sobre o exame, pode conferir o FAQ no site da APMG.

Materiais de Apoio

Para aqueles que desejam estudar por conta própria, esses são os materiais gratuitos que selecionei e são disponibilizados pela ISACA (alguns requerem registro gratuito no site para efetuar o download). Esses materiais servem também para quem deseja se aprofundar mais no estudo do framework:

COBIT 5 Framework: Esse documento é a base da prova!

COBIT 5 Toolkit: Um conjunto de recursos para ajudar a implementar efetivamente COBIT 5 em uma organização. Contém os seguintes materiais:

01. Readme-With-Copyright-Disclaimer
02.COBIT5-Introduction
03.COBIT5-ExecSummary
04.COBIT5-Compare-With-4.1
05. COBIT5-for-InfoSec
06.COBIT5-and-InfoSec-Spanish
07.COBIT5-and-GRC
08.COBIT5-for-Assurance
09. IT-BSC-Example
10.COBIT5-Key-Audience-Marketing-Messages
11.COBIT5-Governance-and-Management-Practices-Activities
12.Management-Awareness-Diagnostic
13.Balanced-Scorecard-Case-Study
14.COBIT5-FAQs
15.COBIT5-Laminate
16.Where-Have-All-the-Control-Objectives-Gone
17.Overviews-ISACA-FWs-Gdnc-Intgrtd-in-COBIT5

Lâminas

Esses materiais servem como mapas mentais do conteúdo do framework e de outros documentos da ISACA que não são disponibilizados gratuitamente.

COBIT 5

COBIT 5 Enabling Process

COBIT Enabling Information

COBIT 5 para Segurança da Informação

COBIT para Gestão de Risco

Outros materiais que podem auxiliar:

Apostila COBIT 5 de Luzia Dourado 🙂

Mapas mentais de COBIT 5 de Luzia Dourado

COBIT 5 Foundation Exam Revision on a page! de Maat Consulting Ltd.

COBIT 5 Checklist de Minimarisk ® Gmbh/Sàrl

Minha sugestão para os estudos

1. Ler as apresentações COBIT5-Introduction e COBIT5-ExecSummary do COBIT 5 Toolkit antes de ler o documento COBIT 5 Framework, para se ter uma noção geral do framework. Pode-se ler também a Apostila COBIT 5 para quem quer ler em português.

2. Ler minuciosamente o syllabus para verificar com detalhes os tópicos de cada área.

3. Estudar bastante o documento COBIT 5 Framework. Apesar de o syllabus informar que o COBIT Process Assessment Model (PAM) – using COBIT 5 e o COBIT 5 Enabling Process Guide são também os guias de referência para a prova, infelizmente esses documentos não são disponibilizados gratuitamente. Acredito que, pelo que consta no syllabus e pela opinião de pessoas que já tiraram a certificação, o COBIT 5 Framework é suficiente para a prova.

4. Pela quantidade de questões por área do syllabus, é necessário dar mais atenção aos Enablers do COBIT 5, já que são 42% da prova. Em seguida, foco nos Princípios, que são 30%.

5. Ler as Lâminas COBIT 5COBIT 5 Enabling Process e COBIT Enabling Information. Servem como mapas mentais e podem servir como revisão. Os Mapas mentais de COBIT 5 também auxiliam como revisão.

6. É sempre bom fazer seus próprios resumos e mapas mentais.

Bom, pessoal, a sugestão será meu plano de estudos para a prova. Espero que dê certo! 🙂

Fiquem à vontade para contribuir com mais materiais ou dicas de preparação, ou mesmo para contar como foi a prova!!!

Desejo sorte para quem for tentar a certificação!

Até a próxima!