VersÃ£o em PortuguÃªs COBIT 4.1 TraduÃ§Ã£o pelo ISACA - Trainning

More documents

Recommendations

Info

Entregar e Suportar Garantir a Segurança dos Sistemas DS5 Diretrizes de Gerenciamento DS5 Garantir a Segurança dos Sistemas Origem PO2 PO3 PO9 AI2 DS1 Entrada Arquitetura da informação; Classificações atribuídas a dados; Padrões tecnológicos; Avaliação de riscos; Especificações de controles para segurança de aplicações; OLAs Saída Definição de Incidente de Segurança; Requisitos específicos de treinamento em conscientização de segurança; Relatórios de desempenho de processos; Mudanças de segurança necessárias; Vulnerabilidades e ameaças de segurança; Políticas e Plano de Segurança de TI Destino DS8 DS7 ME1 AI6 PO9 DS11 Tabela Raci Atividades Funções Definir e manter um plano de segurança de TI; I C C A C C C C I I R Definir, implementar e operar um processo de gestão de identidades (contas); I A C R R I C Monitorar incidentes de segurança reais e potenciais; A I R C C R Revisar e validar periodicamente os privilégios e direitos de acesso de usuários; I A C R Implementar e manter procedimentos para manter e proteger chaves criptográficas; A R I C Implementar e manter controles técnicos e procedimentais para proteger a comunicação de dados através das redes; A C C R R C Conduzir frequentemente análise de vulnerabilidades I A I C C C R Uma tabela RACI identifica quem é responsável (R), responsabilizado (A), consultado (C) e/ou informado CEO CFO Executivo de Negócio CIO Proprietário do Processo de Negócio Responsável por Operações Responsável por Arquitetura Responsável por Desenvolvimento Responsável pela Administração de TI PMO Conformidade, auditoria, risco e segurança Objetivos e Métricas Objetivos de TI Objetivos de Processos Objetivos das Atividades Objetivos · Garantir que informação crítica e confidencial está protegida daqueles que não devem acessá-la; · Garantir que transações de negócio automáticas e transmissão de informações são confiáveis; · Manter a integridade da informação e da infraestrutura de processamento; · Responder e proteger todos os ativos de TI; · Garantir que os serviços e infraestrutura de TI possam resistir e se recuperar de falhas devido a erros, ataques e desastres. define · Permissão de acesso a dados críticos e confidenciais somente a usuários autorizados; · Identificação, monitoração e reporte de vulnerabilidades e incidentes de segurança; · Detecção e solução de acessos não autorizados às informações, aplicações e infraestrutura; · Minimização do impacto de vulnerabilidades e incidentes de segurança. define · Entendimento dos requisitos, vulnerabilidades e ameaças de segurança; · Gerenciamento padronizado das identidades e autorizações de usuários; · Definição de incidentes de segurança; · Teste frequente de segurança. medido por direciona medido por direciona medido por Métricas · Quantidade de incidentes com impacto em negócios; · Quantidade de sistemas nos quais requisitos de segurança não são alcançados; · Tempo para criar, alterar e remover privilégios de acesso. · Quantidade e tipo de suspeitas e casos reais de violação de acesso; · Quantidade de violações de segregação de funções; · Percentual de usuários que não estão em conformidade com os padrões de senhas; · Quantidade e tipo de códigos maliciosos prevenidos. · Frequência e revisão dos tipos de eventos a serem monitorados; · Quantidade e tipo de contas obsoletas; · Quantidade de endereços IP, portas e tráfegos não autorizados; · Percentual de chaves criptográficas comprometidas e revogadas; · Quantidade de direitos de acesso autorizados, revogados, re-inicializados ou alterados. © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 121
DS5 Entregar e Suportar Garantir a Segurança dos Sistemas Modelo de Maturidade DS5 Garantir a Segurança dos Sistemas O gerenciamento do processo de “Garantir a segurança dos sistemas” que satisfaça ao requisito do negócio para a TI de “manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança” é: 0 Inexistente quando A organização não reconhece a necessidade de segurança da informação. Responsabilidades não estão estabelecidas para garantir a segurança. Medidas de apoio à gestão de segurança de TI não estão implementas. Não há relatórios de segurança de TI, e não existe nenhum processo de resposta às falhas de segurança de TI. Não há um processo reconhecível de administração de segurança. 1 Inicial /Ad hoc quando A organização reconhece a necessidade de segurança de TI. A consciência da necessidade de segurança depende principalmente das pessoas. A segurança de TI é tratada de forma reativa e não é mensurada. As falhas de segurança de TI detectadas geram acusações internas, pois a atribuição de responsabilidades é obscura. As respostas às falhas de segurança de TI são imprevisíveis. 2 Repetível, porém Intuitivo quando As responsabilidades pela segurança de TI são atribuídas por um coordenador de segurança de TI, apesar da autoridade do gestor do coordenador ser limitada. A consciência da necessidade de segurança é fragmentada e limitada. Embora informações relevantes de segurança sejam produzidas pelos sistemas, elas não são analisadas. Serviços terceirizados podem não tratar das necessidades específicas de segurança da organização. Políticas de segurança estão sendo desenvolvidas, mas as habilidades e ferramentas são inadequadas. Os relatórios de segurança de TI são inconsistentes, mal elaborados ou impertinentes. Treinamento em segurança está disponível, mas depende da decisão de cada funcionário. A segurança de TI é considerada principalmente como sendo de responsabilidade e domínio de TI, e a empresa não percebe a segurança da TI como parte do seu domínio. 3 Processo Definido quando A conscientização de segurança existe e é promovida pela Direção. Os procedimentos de segurança de TI são definidos e alinhados com a política de segurança de TI. As responsabilidades pela segurança de TI são atribuídas e entendidas, mas não são consistentemente impostas. Um plano de segurança de TI e soluções de segurança são resultado de análises de risco. O relatório de segurança não tem foco em negócio. Testes de segurança são realizados de forma ad hoc (por exemplo, teste de intrusão). O treinamento em segurança é disponibilizado para a TI e para o Negócio, mas é agendado e controlado informalmente. 4 Gerenciado e Mensurável quando AAs responsabilidades pela segurança de TI são claramente atribuídas, gerenciadas e impostas. Avaliações críticas de riscos e impactos de segurança são executadas consistentemente. As práticas e políticas de segurança são complementadas com perfis básicos específicos. É mandatória a submissão aos métodos de promoção de conscientização da segurança. A identificação, a autenticação e a autorização do usuário são padronizadas. Certificações de segurança são buscadas por equipes responsáveis pela auditoria e o gerenciamento de segurança. Os testes de segurança são realizados utilizando padrões e processos formalizados visando melhorar os níveis de segurança. Os processos de segurança de TI são coordenados com a área corporativa de segurança da informação. Os relatórios de segurança estão alinhados aos objetivos de negócio. O treinamento em segurança de TI é ministrado às equipes de negócios e de TI. O treinamento em segurança da TI é planejado e gerenciado para atender às necessidades do negócio e aos perfis de riscos de segurança definidos. Os objetivos e métricas da gestão de segurança foram definidos, porém ainda não são mensurados. 5 Otimizado quando A segurança de TI é de responsabilidade conjunta das Direções de Negócio e de TI e está integrada aos objetivos corporativos de segurança. Os requisitos de segurança de TI são claramente definidos, otimizados e incluídos em um plano de segurança aprovado. Os usuários e clientes são gradativamente responsáveis pela definição dos requisitos de segurança, e as funções de segurança são integradas às aplicações no estágio de planejamento. Os incidentes de segurança são prontamente tratados com procedimentos formalizados de resposta a incidentes apoiados por ferramentas automatizadas. São realizadas avaliações de segurança críticas periódicas para verificar a efetividade da implementação do plano de segurança. As informações sobre ameaças e vulnerabilidades são sistematicamente coletadas e analisadas. Os controles adequados para minimizar riscos são prontamente comunicados e implementados. Testes de segurança, análise de causa-raiz dos incidentes de segurança e identificação proativa de riscos são utilizados em processos de melhoria contínua. Os processos de segurança e tecnologia estão integrados em toda organização. Métricas de gerenciamento de segurança são coletadas e comunicadas. A Direção utiliza essas métricas para ajustar o plano de segurança como parte do processo de melhoria contínua. 122 © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
Page 2 and 3:
CobiT4.1 IT Governance Institute TM
Page 4 and 5:
CobiT4.1 Agradecimentos (Continuaç
Page 6 and 7:
CobiT4.1 Agradecimentos aos profiss
Page 8 and 9:
CobiT4.1 Tabela de Conteúdo Sumár
Page 10 and 11:
Sumário Executivo Sumário Executi
Page 12 and 13:
Sumário Executivo Essas áreas de
Page 14 and 15:
Modelo CobiT Modelo CobiT
Page 16 and 17:
CobiT4.1 Quem Uma metodologia de go
Page 18 and 19:
CobiT4.1 RECURSOS DE TI A organiza
Page 20 and 21:
CobiT4.1 Uma diretriz pode ser obti
Page 22 and 23:
CobiT4.1 Figura 10 - Fronteiras de
Page 24 and 25:
CobiT4.1 Figura 11 - Possível Nív
Page 26 and 27:
CobiT4.1 Um ponto de referência es
Page 28 and 29:
CobiT4.1 Os objetivos são definido
Page 30 and 31:
CobiT4.1 Figura 20 - Apresentação
Page 32 and 33:
CobiT4.1 Figura 23 - Visão Geral d
Page 34 and 35:
CobiT4.1 Outro modo de visualizar a
Page 36 and 37:
Planejar e Organizar Definir um Pla
Page 38 and 39:
Planejar e Organizar Definir um Pla
Page 40 and 41:
Planejar e Organizar Definir a Arqu
Page 42 and 43:
Planejar e Organizar Definir a Arqu
Page 44 and 45:
Planejar e Organizar Determinar as
Page 46 and 47:
Planejar e Organizar Determinar as
Page 48 and 49:
Planejar e Organizar Definir os Pro
Page 50 and 51:
Page 52 and 53:
Page 54 and 55:
Planejar e Organizar Gerenciar o In
Page 56 and 57:
Planejar e Organizar Gerenciar o In
Page 58 and 59:
Planejar e Organizar Comunicar Meta
Page 60 and 61:
Planejar e Organizar Comunicar Meta
Page 62 and 63:
Planejar e Organizar Gerenciar os R
Page 64 and 65:
Planejar e Organizar Gerenciar os R
Page 66 and 67:
Planejar e Organizar Gerenciar a Qu
Page 68 and 69:
Planejar e Organizar Gerenciar a Qu
Page 70 and 71:
Planejar e Organizar Avaliar e Gere
Page 72 and 73:
Planejar e Organizar Avaliar e Gere
Page 74 and 75:
Planejar e Organizar Gerenciar Proj
Page 76 and 77:
Planejar e Organizar Gerenciar Proj
Page 78 and 79: Planejar e Organizar Gerenciar Proj
Page 80 and 81: Adquirir e Implementar AI 1 AI2 AI3
Page 82 and 83: AI1 Adquirir e Implementar Identifi
Page 84 and 85: AI1 Adquirir e Implementar Identifi
Page 86 and 87: AI2 Adquirir e Implementar Adquirir
Page 94 and 95: AI4 Adquirir e Implementar Habilita
Page 96 and 97: AI4 Adquirir e Implementar Habilita
Page 102 and 103: AI6 Adquirir e Implementar Gerencia
Page 104 and 105: AI6 Adquirir e Implementar Gerencia
Page 106 and 107: AI7 Adquirir e Implementar Instalar
Page 108 and 109: AI7 Adquirir e Implementar Instalar
Page 110 and 111: Entregar e Suportar Definir e Geren
Page 112 and 113: Entregar e Suportar Definir e Geren
Page 114 and 115: Entregar e Suportar Gerenciar Servi
Page 116 and 117: Entregar e Suportar Gerenciar Servi
Page 118 and 119: Entregar e Suportar Gerenciar o Des
Page 120 and 121: Entregar e Suportar Gerenciar o Des
Page 122 and 123: Entregar e Suportar Assegurar a Con
Page 124 and 125: Entregar e Suportar Assegurar a Con
Page 126 and 127: Entregar e Suportar Garantir a Segu
Page 130 and 131: Entregar e Suportar Identificar e A
Page 132 and 133: Entregar e Suportar Identificar e A
Page 134 and 135: Entregar e Suportar Educar e Treina
Page 136 and 137: Entregar e Suportar Educar e Treina
Page 138 and 139: Entregar e Suportar Gerenciar a Cen
Page 140 and 141: Entregar e Suportar Gerenciar a Cen
Page 142 and 143: Entregar e Suportar Gerenciar a Con
Page 144 and 145: Entregar e Suportar Gerenciar a Con
Page 146 and 147: Entregar e Suportar Gerenciar Probl
Page 148 and 149: Entregar e Suportar Gerenciar Probl
Page 150 and 151: Entregar e Suportar Gerenciar os Da
Page 152 and 153: Entregar e Suportar Gerenciar os Da
Page 154 and 155: Entregar e Suportar Gerenciar o Amb
Page 156 and 157: Entregar e Suportar Gerenciar o Amb
Page 158 and 159: Entregar e Suportar Gerenciar as Op
Page 160 and 161: Entregar e Suportar Gerenciar as Op
Page 162 and 163: Monitorar e Avaliar ME1 ME2 ME3 ME4
Page 164 and 165: ME1 Monitorar e Avaliar Monitorar e
Page 172 and 173: ME3 Monitorar e Avaliar Assegurar a
Page 174 and 175: ME3 Monitorar e Avaliar Assegurar a
Page 176 and 177: ME4 Monitorar e Avaliar Prover Gove
Page 178 and 179:
ME4 Monitorar e Avaliar Prover Gove
Page 180 and 181:
Apêndice I Apêndice I - Tabelas R
Page 182 and 183:
Apêndice I Ligando Processo de TI
Page 184 and 185:
Apêndice II Mapeamento Apêndice I
Page 186 and 187:
Apêndice III Modelo de Maturidade
Page 188 and 189:
Apêndice IV Cobit 4.1 Material de
Page 190 and 191:
Apêndice V Referência Cruzada ent
Page 192 and 193:
CobiT 4.1 CobiT 3ª Edição CobiT
Page 194 and 195:
Page 196 and 197:
Page 198 and 199:
Page 200 and 201:
Apêndice VI - Enfoque de Pesquisa
Page 202 and 203:
Apêndice VII Glossário Apêndice
Page 204 and 205:
CobiT 4.1 Controle automatizado de
Page 206 and 207:
CobiT 4.1 OLA - Acordo de nível op
Page 208 and 209:
CobiT 4.1 TI - Tecnologia da inform
Page 210 and 211:
Apêndice VIII - CobiT e Produtos R
Page 212:
3701 Algonquin Road, Suite 1010 Rol
show all

VersÃ£o em PortuguÃªs COBIT 4.1 TraduÃ§Ã£o pelo ISACA - Trainning

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?