Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Entregar e Suportar<br />
Garantir a Segurança dos Sist<strong>em</strong>as<br />
DS5<br />
Diretrizes de Gerenciamento<br />
DS5 Garantir a Segurança dos Sist<strong>em</strong>as<br />
Orig<strong>em</strong><br />
PO2<br />
PO3<br />
PO9<br />
AI2<br />
DS1<br />
Entrada<br />
Arquitetura da informação;<br />
Classificações atribuídas a dados;<br />
Padrões tecnológicos;<br />
Avaliação de riscos;<br />
Especificações de controles para segurança<br />
de aplicações;<br />
OLAs<br />
Saída<br />
Definição de Incidente de Segurança;<br />
Requisitos específicos de treinamento <strong>em</strong><br />
conscientização de segurança;<br />
Relatórios de des<strong>em</strong>penho de processos;<br />
Mudanças de segurança necessárias;<br />
Vulnerabilidades e ameaças de segurança;<br />
Políticas e Plano de Segurança de TI<br />
Destino<br />
DS8<br />
DS7<br />
ME1<br />
AI6<br />
PO9<br />
DS11<br />
Tabela Raci<br />
Atividades<br />
Funções<br />
Definir e manter um plano de segurança de TI; I C C A C C C C I I R<br />
Definir, impl<strong>em</strong>entar e operar um processo de gestão de identidades (contas); I A C R R I C<br />
Monitorar incidentes de segurança reais e potenciais; A I R C C R<br />
Revisar e validar periodicamente os privilégios e direitos de acesso de usuários; I A C R<br />
Impl<strong>em</strong>entar e manter procedimentos para manter e proteger chaves criptográficas; A R I C<br />
Impl<strong>em</strong>entar e manter controles técnicos e procedimentais para proteger a<br />
comunicação de dados através das redes;<br />
A C C R R C<br />
Conduzir frequent<strong>em</strong>ente análise de vulnerabilidades I A I C C C R<br />
Uma tabela RACI identifica qu<strong>em</strong> é responsável (R), responsabilizado (A), consultado (C) e/ou informado<br />
CEO<br />
CFO<br />
Executivo de Negócio<br />
CIO<br />
Proprietário do Processo de Negócio<br />
Responsável por Operações<br />
Responsável por Arquitetura<br />
Responsável por Desenvolvimento<br />
Responsável pela Administração de TI<br />
PMO<br />
Conformidade, auditoria, risco e segurança<br />
Objetivos e Métricas<br />
Objetivos de TI Objetivos de Processos Objetivos das Atividades<br />
Objetivos<br />
· Garantir que informação crítica e confidencial está<br />
protegida daqueles que não dev<strong>em</strong> acessá-la;<br />
· Garantir que transações de negócio automáticas e<br />
transmissão de informações são confiáveis;<br />
· Manter a integridade da informação e da infraestrutura<br />
de processamento;<br />
· Responder e proteger todos os ativos de TI;<br />
· Garantir que os serviços e infraestrutura de TI<br />
possam resistir e se recuperar de falhas devido a<br />
erros, ataques e desastres.<br />
define<br />
· Permissão de acesso a dados críticos e confidenciais<br />
somente a usuários autorizados;<br />
· Identificação, monitoração e reporte de vulnerabilidades<br />
e incidentes de segurança;<br />
· Detecção e solução de acessos não autorizados<br />
às informações, aplicações e infraestrutura;<br />
· Minimização do impacto de vulnerabilidades e<br />
incidentes de segurança.<br />
define<br />
· Entendimento dos requisitos, vulnerabilidades e<br />
ameaças de segurança;<br />
· Gerenciamento padronizado das identidades e<br />
autorizações de usuários;<br />
· Definição de incidentes de segurança;<br />
· Teste frequente de segurança.<br />
medido por<br />
direciona<br />
medido por<br />
direciona<br />
medido por<br />
Métricas<br />
· Quantidade de incidentes com impacto <strong>em</strong> negócios;<br />
· Quantidade de sist<strong>em</strong>as nos quais requisitos de<br />
segurança não são alcançados;<br />
· T<strong>em</strong>po para criar, alterar e r<strong>em</strong>over privilégios de<br />
acesso.<br />
· Quantidade e tipo de suspeitas e casos reais de<br />
violação de acesso;<br />
· Quantidade de violações de segregação de<br />
funções;<br />
· Percentual de usuários que não estão <strong>em</strong> conformidade<br />
com os padrões de senhas;<br />
· Quantidade e tipo de códigos maliciosos<br />
prevenidos.<br />
· Frequência e revisão dos tipos de eventos a<br />
ser<strong>em</strong> monitorados;<br />
· Quantidade e tipo de contas obsoletas;<br />
· Quantidade de endereços IP, portas e tráfegos<br />
não autorizados;<br />
· Percentual de chaves criptográficas comprometidas<br />
e revogadas;<br />
· Quantidade de direitos de acesso autorizados,<br />
revogados, re-inicializados ou alterados.<br />
© 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org<br />
121