Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
CobiT4.1 Os objetivos são definidos de cima para baixo de maneira que os objetivos de negócios determinarão vários objetivos de TI que irão suportá-los. Um objetivo de TI é atingido através de um processo ou por interação de um determinado número de processos. Portanto, os objetivos de TI ajudam em diferentes objetivos de processos. Por sua vez, cada objetivo de processo requer um determinado número de atividades estabelecendo assim os objetivos da atividade. A figura 16 fornece um exemplo do relacionamento dos objetivos de negócios, TI, processos e atividades. Figura 16 - Exemplo de Relacionamento de Objetivos Manter a reputação e liderança da empresa Objetivo de Negócio Assegurar que os serviços de TI podem resistir e recuperar-se de ataques Objetivo de TI Detectar e solucionar acessos não autorizados Objetivo de Processo Assegurar que os serviços de TI podem resistir e recuperar-se de ataques Objetivo de TI Detectar e solucionar acessos não autorizados Objetivo de Processo Entender os requerimentos de segurança, vulnerabilidades e amaeças Os termos KGI e KPI usados em versões prévias do CobitT foram trocados por 2 tipos de métricas: · Medidas de resultados (saídas), anteriormente indicadores-chaves de objetivos (KGIs), indicam se os objetivos foram atingidos. Esses podem ser medidos somente após os fatos e portanto são chamados de indicadores históricos (lag indicators). · Indicadores de performance, anteriormente indicadores-chaves de performance (KPIs), indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators). Figura 17 - Possível Medida do Resultado para o Exemplo na Figura 16 Objetivo de Negócio Objetivo de TI Objetivo de Processo Objetivo de Atividades Manter a reputação e liderança da empresa Assegurar que os serviços de TI podem resistir e recuperar-se de ataques Detectar e solucionar acessos não autorizados Entender os requerimentos de segurança, vulnerabilidades e ameaças Número de incidentes que causaram constrangimento público Número real de incidentes de TI com impactos em negócios Número real de incidentes causados por acessos não autorizados Frequência de revisões dos tipos de eventos de segurança a serem monitorados Medidas de Resultados Medidas de Resultados Medidas de Resultados Medidas de Resultados As medidas de resultados no nível menor tornam-se indicadores de performance para o nível maior. Como exemplificado na figura 16, uma medida de resultado indicando que a detecção e a solução de um acesso não autorizado estão nas metas irá também indicar que muito provavelmente os serviços de TI podem resistir a ataques e se recuperar deles. As medidas de resultados tornamse um indicador de performance para o objetivo de nível superior. A Figura 18 ilustra como as medidas de resultados do exemplo tornam-se métricas de performance. As medidas de resultados obtidas definem as medições que informam a gerência, depois dos fatos, se a função, os processos e a atividade de TI atingiram seus objetivos. Os medidores de resultados de funções de TI às vezes são expressos em termos de critérios de informação: · Disponibilidade da informação necessária para suportar as necessidades de negócios · Ausência de riscos de integridade e confidencialidade · Eficiência de custos de processos e operação · Confirmação de fidedignidade, efetividade e conformidade Os indicadores de performance definem as medidas que determinam quão bem negócios, função de TI ou processo de TI estão sendo executados para permitir que os objetivos sejam atingidos. Eles são indicadores futuros ,“lead indicators”, quanto a se os objetivos serão atingidos, direcionando portanto os objetivos de maior nível. Eles às vezes medem a disponibilidade de apropriadas capacidades, práticas e habilidades, bem como os resultados de atividades relacionadas. Por exemplo, um serviço entregue por TI é um objetivo para TI mas é um indicador de performance e de capacidade para o negócio. É por isso que os indicadores de performance às vezes são chamados de direcionadores de performance, particularmente nos “balanced scorecards”. 24 © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
CobiT Framework Figura 18 - Possíveis Direcionadores de Performance para o Exemplo na Figura 16 Objetivo de Negócio Objetivo de TI Objetivo de Processo Manter a reputação e liderança da empresa Assegurar que os serviços de TI podem resistir e recuperar-se de ataques Detectar e solucionar acessos não autorizados Direcionamento Direcionamento Direcionamento Número real de incidentes de TI com impactos em negócios Métricas de Performance Número real de incidentes causados por acessos não autorizados Métricas de Performance Frequência de revisões dos tipos de eventos de segurança a serem monitorados Métricas de Performance Portanto as métricas providas são tanto uma medida de resultados obtidos de uma função de TI, processo ou atividade de TI que elas medem, quando um indicador de performance direcionando um objetivo de maior nível de negócios, função de TI ou processo de TI. A Figura 19 ilustra o relacionamento entre os objetivos de negócios, TI, processos e atividades e suas diferentes métricas. Do canto superior esquerdo ao canto superior direito, são ilustrados os objetivos em cascata. Abaixo do objetivo está demonstrada a medida de resultados. As setas menores mostram que a mesma métrica é um indicador de performance para um objetivo de maior nível. Figura 19 - Relacionamento entre Processos, Objetivos e Métricas (DS5) Aprimorar e Realinhar. Objetivo de Negócio Manter a reputação e liderança da empresa Definir Objetivos. Assegurar que os serviços de TI podem resistir e recuperar-se de ataques Detectar e solucionar acessos não autorizados a informações, aplicativos e infraestrutura Entender os requerimentos de segurança, vulnerabilidades e ameaças é medido por é medido por é medido por é medido por Número de incidentes que causaram constrangimento público Medidas de Negócios Métricas do Negócio Objetivo de TI Número real de incidentes de TI com impactos em negócios Indicador de Perfomance Medidas de Negócios Métricas de TI Objetivo de Processo Número real de incidentes causados por acessos não autorizados Indicador de Perfomance Objetivo de Atividades Frequência de revisões dos tipos de eventos de segurança a serem monitorados Medir Realizações. Medidas de Negócios Métricas do Processo Indicador de Perfomance Identificar a Performance. O exemplo acima provem do DS5 Garantir a segurança dos serviços. O CobiT oferece métricas somente para os resultados obtidos dos objetivos de TI como delineado pelas linhas tracejadas. Embora eles também são indicadores de performance de TI para os objetivos de negócios, o CobiT não fornece medidas de resultados para objetivos de negócios. Os objetivos de negócios e de TI usados na seção de objetivos e métricas do CobiT, incluindo o seu relacionamento, são apresentados no Apêndice I. Para cada processo de TI no CobiT os objetivos e métricas são apresentados como indicado na figura 20. As métricas foram desenvolvidas com as seguintes características em mente: · Um índice elevado de preocupação com resultados versus o esforço (i.e., atenção na performance e em atingir os objetivos quando comparado com o esforço para capturá-los) · Internamente comparável (i.e. um percentual de uma base ou números no tempo) · Comparável externamente independente do tamanho da empresa ou mercado de atuação · É melhor ter algumas boas métricas (pode até ser uma muito boa que poderia ser influenciada por diferentes meios) do que uma longa lista de métricas de baixa qualidade. · Fácil de mensurar, não sendo confundida com metas © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 25
- Page 2 and 3: CobiT4.1 IT Governance Institute TM
- Page 4 and 5: CobiT4.1 Agradecimentos (Continuaç
- Page 6 and 7: CobiT4.1 Agradecimentos aos profiss
- Page 8 and 9: CobiT4.1 Tabela de Conteúdo Sumár
- Page 10 and 11: Sumário Executivo Sumário Executi
- Page 12 and 13: Sumário Executivo Essas áreas de
- Page 14 and 15: Modelo CobiT Modelo CobiT
- Page 16 and 17: CobiT4.1 Quem Uma metodologia de go
- Page 18 and 19: CobiT4.1 RECURSOS DE TI A organiza
- Page 20 and 21: CobiT4.1 Uma diretriz pode ser obti
- Page 22 and 23: CobiT4.1 Figura 10 - Fronteiras de
- Page 24 and 25: CobiT4.1 Figura 11 - Possível Nív
- Page 26 and 27: CobiT4.1 Um ponto de referência es
- Page 30 and 31: CobiT4.1 Figura 20 - Apresentação
- Page 32 and 33: CobiT4.1 Figura 23 - Visão Geral d
- Page 34 and 35: CobiT4.1 Outro modo de visualizar a
- Page 36 and 37: Planejar e Organizar Definir um Pla
- Page 38 and 39: Planejar e Organizar Definir um Pla
- Page 40 and 41: Planejar e Organizar Definir a Arqu
- Page 42 and 43: Planejar e Organizar Definir a Arqu
- Page 44 and 45: Planejar e Organizar Determinar as
- Page 46 and 47: Planejar e Organizar Determinar as
- Page 48 and 49: Planejar e Organizar Definir os Pro
- Page 50 and 51: Planejar e Organizar Definir os Pro
- Page 52 and 53: Planejar e Organizar Definir os Pro
- Page 54 and 55: Planejar e Organizar Gerenciar o In
- Page 56 and 57: Planejar e Organizar Gerenciar o In
- Page 58 and 59: Planejar e Organizar Comunicar Meta
- Page 60 and 61: Planejar e Organizar Comunicar Meta
- Page 62 and 63: Planejar e Organizar Gerenciar os R
- Page 64 and 65: Planejar e Organizar Gerenciar os R
- Page 66 and 67: Planejar e Organizar Gerenciar a Qu
- Page 68 and 69: Planejar e Organizar Gerenciar a Qu
- Page 70 and 71: Planejar e Organizar Avaliar e Gere
- Page 72 and 73: Planejar e Organizar Avaliar e Gere
- Page 74 and 75: Planejar e Organizar Gerenciar Proj
- Page 76 and 77: Planejar e Organizar Gerenciar Proj
CobiT Framework<br />
Figura 18 - Possíveis Direcionadores de Performance para o Ex<strong>em</strong>plo na Figura 16<br />
Objetivo de Negócio Objetivo de TI Objetivo de Processo<br />
Manter a reputação<br />
e liderança da <strong>em</strong>presa<br />
Assegurar que os<br />
serviços de TI pod<strong>em</strong><br />
resistir e recuperar-se<br />
de ataques<br />
Detectar e<br />
solucionar acessos<br />
não autorizados<br />
Direcionamento<br />
Direcionamento<br />
Direcionamento<br />
Número real de<br />
incidentes de TI com<br />
impactos <strong>em</strong> negócios<br />
Métricas de<br />
Performance<br />
Número real de<br />
incidentes causados por<br />
acessos não autorizados<br />
Métricas de<br />
Performance<br />
Frequência de revisões<br />
dos tipos de eventos<br />
de segurança a<br />
ser<strong>em</strong> monitorados<br />
Métricas de<br />
Performance<br />
Portanto as métricas providas são tanto uma medida de resultados obtidos de uma função de TI, processo ou atividade de TI que elas med<strong>em</strong>,<br />
quando um indicador de performance direcionando um objetivo de maior nível de negócios, função de TI ou processo de TI.<br />
A Figura 19 ilustra o relacionamento entre os objetivos de negócios, TI, processos e atividades e suas diferentes métricas. Do canto<br />
superior esquerdo ao canto superior direito, são ilustrados os objetivos <strong>em</strong> cascata. Abaixo do objetivo está d<strong>em</strong>onstrada a medida de<br />
resultados. As setas menores mostram que a mesma métrica é um indicador de performance para um objetivo de maior nível.<br />
Figura 19 - Relacionamento entre Processos, Objetivos e Métricas (DS5)<br />
Aprimorar e Realinhar.<br />
Objetivo<br />
de Negócio<br />
Manter a<br />
reputação e liderança<br />
da <strong>em</strong>presa<br />
Definir Objetivos.<br />
Assegurar que os<br />
serviços de TI pod<strong>em</strong><br />
resistir e recuperar-se<br />
de ataques<br />
Detectar e solucionar<br />
acessos não<br />
autorizados a<br />
informações,<br />
aplicativos<br />
e infraestrutura<br />
Entender os<br />
requerimentos de<br />
segurança,<br />
vulnerabilidades<br />
e ameaças<br />
é medido por é medido por é medido por é medido por<br />
Número de incidentes<br />
que causaram<br />
constrangimento<br />
público<br />
Medidas de<br />
Negócios<br />
Métricas<br />
do Negócio<br />
Objetivo<br />
de TI<br />
Número real de<br />
incidentes de TI com<br />
impactos <strong>em</strong> negócios<br />
Indicador de<br />
Perfomance<br />
Medidas de<br />
Negócios<br />
Métricas<br />
de TI<br />
Objetivo<br />
de Processo<br />
Número real de<br />
incidentes causados<br />
por acessos<br />
não autorizados<br />
Indicador de<br />
Perfomance<br />
Objetivo<br />
de Atividades<br />
Frequência de revisões<br />
dos tipos de eventos<br />
de segurança a<br />
ser<strong>em</strong> monitorados<br />
Medir Realizações.<br />
Medidas de<br />
Negócios<br />
Métricas<br />
do Processo<br />
Indicador de<br />
Perfomance<br />
Identificar a Performance.<br />
O ex<strong>em</strong>plo acima prov<strong>em</strong> do DS5 Garantir a segurança dos serviços. O CobiT oferece métricas somente para os resultados obtidos<br />
dos objetivos de TI como delineado pelas linhas tracejadas. Embora eles também são indicadores de performance de TI para os<br />
objetivos de negócios, o CobiT não fornece medidas de resultados para objetivos de negócios.<br />
Os objetivos de negócios e de TI usados na seção de objetivos e métricas do CobiT, incluindo o seu relacionamento, são apresentados<br />
no Apêndice I. Para cada processo de TI no CobiT os objetivos e métricas são apresentados como indicado na figura 20.<br />
As métricas foram desenvolvidas com as seguintes características <strong>em</strong> mente:<br />
· Um índice elevado de preocupação com resultados versus o esforço (i.e., atenção na performance e <strong>em</strong> atingir os objetivos<br />
quando comparado com o esforço para capturá-los)<br />
· Internamente comparável (i.e. um percentual de uma base ou números no t<strong>em</strong>po)<br />
· Comparável externamente independente do tamanho da <strong>em</strong>presa ou mercado de atuação<br />
· É melhor ter algumas boas métricas (pode até ser uma muito boa que poderia ser influenciada por diferentes meios) do que uma<br />
longa lista de métricas de baixa qualidade.<br />
· Fácil de mensurar, não sendo confundida com metas<br />
© 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 25
Change language