COBIT - Tech Supply
Download
Report
Transcript COBIT - Tech Supply
COSO
COBIT
ISO 17799
Objetivos
Ampliar um pouco a visão ampla do conceito de controle
Discutir conceitos de controles organizacionais e de IT
Algumas das Definições de Controles Internos
Discutir sobre ética e cultura de controle
Convivência com fraudes e usos indevidos de informações
Compreender os objetivos do controle
Modelo de controle – Coso, Cobit e NBR 17999
Estrutura de controle
Várias visões do controle
Manter um automóvel na direção certa ?
Não reagir a uma agressão
Regular a temperatura de um termostáto ?
Verificar seu batimento cardíaco ?
Voce tem planos para sua vida ?
Manter seus comprovantes do Imposto de Renda ?
Não sair num dia chuvoso ?
Experimentar molho para ver como está o sal ?
O QUE ESTAS ATIVIDADES TEM EM
COMUM ?
COSO
Treadway Commission & COSO
–
Treadway Commission
–
1985
Iniciativa independente do setor privado
Baseado em estudo de casos de relatórios de fraudes
James Treadway (chair), former SEC commissioner &
EVP/Gen. Counsel Paine Webber
1992 – Publicada a Internal Control Integrated
Framework
Committee of Sponsoring Organizations
Commitee of Sposoring Organization
American Institute of Certifield Public
Accountants
Institute of Internal Auditors
American Accouting Asociation
Institute of Management Accountants
Financial Executives Institute
Conceito de controle - coso
Controle é definido como um processo, efetuado
pelos membros de uma instituição, (dirigentes,
gerentes e outros níveis), desenvolvido para dar
razoável garantia de cumprimento dos objetivos das
seguintes categorias:
1) Efetividade e eficiência das operações
2) Confiabilidade dos relatórios financeiros
3) Em consonância com as normas e leis
Razões para se ter controle ?
Assegurar o alcance de objetivos
Minimizar os riscos não previstos
Conscientização em relação a imagem
Ênfase a governança corporativa
Responsabilidade legal dos gestores
Evitar fraudes
Conceitos do Coso
É um processo, significa que é um meio para atingir
um determinado fim e não um fim em si mesmo,
É influenciado por pessoas, não por normas,
políticas, manuais.
Espera dar razoável segurança, não segurança
absoluta para o gestor,
É criado para atingir um ou mais objetivos
separados mas se sobrepõe a áreas
COMPONENTES DO COSO
Ambiente de controle
Avaliação de risco
Atividades de controle
Informação e comunicação,
Monitoramento
Pirâmide coso
• Monitoração
Atividades de controles
Avaliação do risco
• Informação e comunicação
• Meio ambiente
AMBIENTE DO COSO
Integridade e valores éticos
Filosofia da gerência
Compromisso com a competência
Ação da alta administração
Estrutura organizacional
Definição das responsabilidades
Políticas de RH
Conscientização
Avaliação do risco
Abrangência dos objetivos da organização
Nível dos objetivos das atividade
Riscos
Gerenciamento dos riscos
Avaliação do risco
Avaliação de Riscos
–
O controle interno deve ser capaz de identificar
os riscos a que a organização está exposta
–
tanto riscos internos quanto externos
identificação deve ser conjugada com uma
avaliação da severidade do risco e de seu
impacto nas atividades da instituição
Atividades de controle
Revisão pela alta administração do plano de
controle
Gestores funcionais ou Gerentes
operacionais,
Sistema de informações
Controles físicos
Indicadores de performance
Atividades de controle
Atividade de controle
–
–
–
As atividades de controle devem ser realizadas
diariamente
Não pode prescindir de um sistema de verificação
do cumprimento das normas internas e externas
(Compliance)
A estrutura deve garantir a segregação de
funções entre áreas que possa haver conflito de
interesse
Informações e comunicações
Deve haver um sistema de informações que
assegure que a mesma chegue à pessoa certa, na
hora certa com a qualidade necessária para
execução da tarefa ou da tomada de decisão.
Informações válidas
Completas
Exatas
Na hora certa para a pessoa adequada.
Monitoramento
Um processo contínuo de monitoramento,
Avaliações separadas,
Sistema de relatórios das deficiências
Tomadas de decisões no final do processo
É o mecanismos para constatar se o controle
está sendo efetivo.
COBIT
COBIT
Control Objectives for information and Related
Tecnology
Desenvolvido e mantido pela IT Governance
Institute (ITGI) que faz parte do ISACA –Information
Systems Audit and Control Association,
publicada a 1.a edição em 1996 e foi baseado num
documento chamado Objetivos de Controle do
Isaca.
COBIT
- Visão Geral
Controles voltados para os negócios
Controles voltado para área de tecnologia
O Cobit busca fazer esta integração visando a TI com os
objetivos dos negócios.
Tem como característica a incorporação do conceito de controle
interno do Coso, aplicando-se na área de tecnologia.
Princípios da estrutura
Requerimentos
de Negócio
Processos de TI
Recursos de TI
Estrutura do Cobit
Domínios – 4
Processo ou níveis de objetivos de controle
– 34
Controles detalhados - 318
Domínios
Planejamento e organização
Aquisição e implementação
Entrega e suporte
Monitoramento
Planejamento e Organização
PO1 Definição plano estratégico TI
PO2 Definição arquitetura de informação
PO3 Determinação direcionamento tecnológico
PO4 Definição organização TI e relacionamentos
PO5 Gerenciamento do investimento de TI
PO6 Comunicação de objetivos e direcionamento
PO7 Gerenciamento de recursos humanos
PO8 Assegurar compliance com órgãos externos
PO9 Avaliação de riscos
PO10 Gerenciamento de Projetos
PO11 Gerenciamento da Qualidade
Aquisição e Implementação
AI1 Identificar soluções
AI2 Aquisição e manutenção sistemas aplicativos
AI3 Aquisição e manutenção da arquitetura
tecnológica
AI4 Desenvolvimento e manutenção procedimentos
de TI
AI5 Instalação e homologação de sistemas
AI6 Gerenciamento de mudanças
Entrega e suporte
DS1 Definição de níveis de serviço
DS2 Gerenciamento de serviços de terceiros
DS3 Gerenciamento de performance e capacidade
DS4 Assegurar continuidade dos serviços
DS5 Assegurar segurança dos sistemas
DS6 Identificar e atribuir custos
DS7 Treinamento de usuários
DS8 Assessorar os clientes internos de TI
DS9 Gerenciamento das configurações
DS10 Gerenciamento de problemas e incidentes
DS11 Gerenciamento de dados
DS12 Gerenciamento das localidades (físicas)
DS13 Gerenciamento de operações
Monitoramento
* M1 Monitoramento do Processo
* M2 Avaliação da adequação dos controles internos
* M3 Obtenção avaliação independente
* M4 Disponibilização para auditoria independente
Monitoramento
M1 Monitoramento do Processo
M2 Avaliação da adequação dos controles
internos
M3 Obtenção avaliação independente
M4 Disponibilização para auditoria
independente
Processos de TI
Domínios
Processos
Atividades
Pessoas
Sistemas Aplicativos
Tecnologia
Instalações
Dados
Cubo COBIT
Critério da Informação
Princípios do modelo -Cobit
Exigência de qualidade- qualidade, custo,
condições de entrega,
Exigências fiduciárias –( Coso report) – Eficácia e
eficiência
das
operações,
veracidade
das
informações, compliance com regulamentos e
legislaçao,
Exigências
de
segurança:
confiabilidade,
integridade, disponibilidades.
Exposição de riscos mais comuns
Erros de registros
Rejeição de registros
Interrupção de operações
Tomadas de decisões inadequadas
Fraudes e vandalismo
Sanções legais
Desperdicio
Utilização inadequada de recursos
Imagem
Perdas de competividade
Critérios de avaliação do Cobit
Eficácia
Eficiência,
Confidencialidade,
Integridade,
Disponibilidade,
Compliance
Veracidade das informações
Iso 17799
1995 – O BSI – British Standard Institute
publicou a BS 7799 – abrangendo assuntos
de segurança do e.commerce
Em 1999 – publicou uma nova versão
Em 2000 o ISO International Stantard
Organization publicou uma parte da BS 7799
como seu próprio padrão chamando de ISO.
Abrange 10 áreas de controle
Política de segurança
Organização da segurança
Classificação e controle do patrimônio
Segurança dos funcionários
Segurança física e ambiental
Gerenciamento de operações e comunicações
Controle de acesso
Manutenção e desenvolvimento de sistemas
Gerenciamento e continuidade dos negócios
Compatibilidade
O que é a Iso 17799
É uma compilação de recomendação de melhores
práticas que pode ser aplicada a qualquer empresa,
Foi criada para ser um padrão flexível,
São neutras em relação a tecnologia,
Não ajuda na avaliação ou entendimento das
medidas de segurança já existentes,
É muito dificil criar um padrão para todos os
variados ambientes de teconologia.
Objetivos
Requisitos de segurança dos sistemas
Segurança dos sistemas de aplicação
Criptografia
Segurança dos arquivos dos sistemas
Continuidade das operações
Conformidade com as normas
Escopo
Política de segurança da informação
Infra estrutura da segurança da informação
Segurança de acesso dos prestadores de serviço
Terceirização
Registro dos ativos
Segurança na definição dos recursos de trabalho
Treinamento dos usuários
Respostas aos incidentes e desvios
Áreas de segurança
Acesso aos equipamentos
Monitoração dos riscos
Procedimentos e responsabilidades operacionais
Planejamento e aceitação dos sistemas
Housekeeping – manter integridade disponibilidade dos seviços
Escopo
Gerenciamento da rede
Segurança e tratamento das mídias
Troca de informação e softwares
Requisitos da operação para controle de acesso,
Gerenciamento de acesso dos usuários
Responsabilidade dos usuários
Controle de acesso a rede
Controle de acesso aos sistemas operacionais
Controle de acesso às aplicações
Monitoração do uso dos sistemas
O QUE FAZER
Definição de uma política de segurança de
informação,
Análise de riscos, os controles devem ser
apresentados de forma detalhada,
Declaração de aplicação
Criação de uma frente gestora para
manutenção do nível de segurança
Certificação – é um processo contínuo
O que fazer ?
Plano de gestão do sistema de informação,
Criação de uma coordenação pela segurança da informação
Administração e controle dos processos incluindo:
- Revisão do plano de gestão
- Formulários da revisão,
- Modo para administração da documentação
- Modo para administração das gravações digitais,
- Base de controle existente, com formulários de reporte de
ocorrências e análises,
-
BENEFÍCIOS
Imagem da organização
Evidencia o uso das melhores políticas de gestão
Poderá alavancar negócios
Terá maior segurança nas informações
Planejamento e gerenciamento mais efetivo
Auditoria de segurança mais precisa
Redução dos riscos legais
É uma diretriz de segurança