Documente Academic
Documente Profesional
Documente Cultură
Sumrio
1
1.2
1.3
1.4
2.1
2.2
Estrutura do CobiT...................................................................................2
2.3
2.4
2.5
TI
3.1.11
3.1.12
3.1.13
3.1.14
02.01-Gerenciamento de Mudanas.................................................2
3.1.15
3.1.16
02.03-Gesto de projetos..................................................................2
3.1.17
03.01-Backup....................................................................................2
3.1.18
03.02-Instalaes do CPD.................................................................2
3.1.19
3.1.20
3.1.21
03.05-Requisies e Incidentes.........................................................2
3.1.22
3.1.23
4
03.07-Base de conhecimentos..........................................................2
Glosrio...........................................................................................................2
Figura 1 - Controles de TI
Material extrado de SAT_ITGC_vFinal2.pptx, de posse da PriceWaterhouseCoopers Auditores
Independentes
10
alto
para
para
para
11
Processo
Cobit
Domnio ISA
Acesso a
programas e
Dados
Mudana
de
Programa
s
APO12-Adm. Riscos
X
BAI01-Adm. Projetos
BAI06-Adm. Mudanas
BAI10-Adm.
Configuraes
DSS01-Adm.
Operaes
DSS02-Adm
Solicitaes e
Incidentes de Servios
DSS04-Adm.
Continuidade
Tabela 1 - Relao dos Processos CobiT
Operaes
Computadoriza
das
Desenvolvimento
de Programas
X
X
X
X
X
X
02-Mudanas de Programas
02.01-Gerenciamento de
mudanas
02.02-Segregao entre
Ambientes
02.03-Gesto de Projetos
03 -Operaes
computadorizadas
03.01-Backup
03.02-Instalao do CPD
03.03-Monitoramento do Ambiente
de TI
03.04-Plano e contingncia e
continuidade do negcio
03.05-Requisies e Incidentes
03.06-Gesto de Catalogo de
Servios de TI
03.07-Gesto do conhecimento
14
16
poltica
de
3.1.6 01.06-Antivrus
Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, tem como objetivo a proteo do ambiente computacional da
empresa. Essa proteo tem tanto como finalidade a continuidade do
negcio da empresa quanto proteo de seus dados crticos.
Dependendo do tipo de negcio desempenhado pela empresa,
esse controle deve ser mais ou menos rigoroso. Por exemplo,
empresas que guardam dados de clientes devem preservar ao
mximo o sigilo de suas informaes.
Para o teste da eficcia desse controle, antes de tudo necessrio
verificar se a empresa utiliza alguma ferramenta com amplo respaldo
do mercado. Em segundo lugar, identifica-se se os funcionrios
utilizam a ferramenta de forma adequada com todas suas
possibilidades, se o pessoal de TI efetua o monitoramento adequado
da ferramenta e se a mesma est em constante atualizao na
empresa.
Tambm analisado se os controles e perfis do antivrus, so
formalmente documentados e esto atualizados
18
de
acesso,
so
3.1.8 01.08-Firewall
Esse controle, tambm pertencente ao domnio de Acesso a
Programas e Dados, possui objetivos semelhantes ao do controle da
Seo 01.05. Esse controle busca a proteo do ambiente
computacional da empresa atravs de ferramentas que controlam o
trfego de dados entre o ambiente interno e externo.
Para o teste da eficcia desse controle, necessrio verificar se a
empresa utiliza uma ferramenta de Firewall de respaldo do mercado.
Alm disso, verifica-se tambm se essa ferramenta utilizada de
maneira eficaz com, dentre outras finalidades, o bloqueio de sites
considerados perigosos para a empresa. Como muitas ferramentas de
Firewall j vm acopladas com ferramentas de IDS (Intrusion
Detection System), nesse teste, verifica-se tambm se a empresa
utiliza uma ferramenta desse tipo para prevenir a intruso da rede
interna.
Tambm analisado se os controles de acesso que passam pelo
Firewall, so formalmente documentados e esto atualizados
19
3.1.11
3.1.12
3.1.13
3.1.14
02.01-Gerenciamento de Mudanas
3.1.15
02.03-Gesto de projetos
sistemas novos ou
infraestrutura da TI
3.1.17
existentes
alteraes
significante
na
03.01-Backup
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, tem como objetivo garantir que a empresa
salvaguarda de seus dados no caso de problemas que visem
continuidade de seus negcios. Para isso, quase todas as empresas
possuem algum procedimento de armazenamento externo de seus
dados, o que se chama popularmente de backup.
As empresas geralmente utilizam alguma ferramenta para realizar
esse procedimento de forma automtica, armazenam suas fitas de
backup em lugares seguros, realizam testes de restore (reinserir os
dados armazenados no sistema) entre outros procedimentos. Em
empresas mais estruturadas, todos os procedimentos relativos a esse
controle constam em polticas amplamente disseminadas entre os
funcionrios da rea de TI.
Para evidenciar a realizao desse controle em todos os seus
aspectos, deve-se realizar profundo entendimento da rea junto aos
funcionrios de TI.
3.1.18
03.02-Instalaes do CPD
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, procura fazer com que o ambiente fsico onde
esto instalados os servidores da empresa seja o melhor possvel.
Esse ambiente, segundo as melhores prticas, deve possuir controles
de temperatura, umidade, combate a incndios, nobreaks entre
outros artifcios para proteger ao mximo os dados da empresa.
Para analise da eficcia desse controle, uma visita sala onde
esto localizados os servidores da empresa resolve questo. Contudo,
nessa visita, atenta-se a todos os aspectos da sala bem como a
documentao do mapeamento da mesma.
23
3.1.19
03.03-Monitoramento do Ambiente de TI
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, tem como objetivo o constante monitoramento da
ocorrncia de possveis problemas na estrutura do ambiente de TI da
empresa (baixa capacidade de processamento, falta de espao em
disco, entre outros problemas). Para esse constante monitoramento,
as melhores prticas recomendam o uso de softwares.
Para anlise do adequado monitoramento do ambiente de TI,
verificasse se a empresa utiliza alguma ferramenta do mercado para
esse fim e como ela utilizada.
3.1.20
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica que a empresa esteja prevenida para
quaisquer eventuais catstrofes no esperadas como incndios,
alagamentos e outros desastres naturais. Para isso, com o intuito de
garantir sua continuidade do negcio, muitas empresas desenvolvem
planos de ao para casos como esses.
Para analise da utilizao desse controle, certifica se a empresa
possui algum plano desse tipo formalizado. Alm disso, um plano
desse tipo deve ser amplamente divulgado entre os funcionrios da
rea de TI e deve haver treinamentos e teste para casos como os
descritos.
3.1.21
03.05-Requisies e Incidentes
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui controle de
requisies e incidentes de TI.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros de controle de requisies e servios registrados por
usurios e reas da empresa
24
3.1.22
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui a identificao e
controle de todos os servios que a TI presta empresa.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros que possam evidenciar este controle com a
identificao dos mesmos, fornecedores, SLA acordado e etc.
3.1.23
03.07-Base de conhecimentos
Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui controle para
armazenamento e divulgao dos processos de controle de manuais
operacionais dos sistemas.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros que possam evidenciar esta prtica, e que tenham
poltica de atualizao dos mesmos.
4 Glosrio
Incidente:
Requisio
25