sexta-feira, 18 de maio de 2012

COBIT 4.1 para Concursos - Parte 5 - Domínios e Processos


Os 4 Domínios do COBIT
Planejar e Organizar (PO - 10 processos)  - é o Domínio de mais alto nível e relacionado com planejamento e estratégia da empresa. É ele quem dá o rumo da organização. Provê a direção para a entrega de soluções e serviços. Não existe mão na massa, somente planejamento do rumo da organização.

Adquirir e Implementar (AI - 7 processos) - Domínio onde se coloca a mão na massa. As soluções são imlpementadas e ficam prontas para rodar. Fornece as soluções e as transfere para se tornarem serviços No COBIT, o gerenciamento de mudanças aparece em Adquirir e Implementar e o gerenciamento de configuração aparece separado, em Entrega e Suporte.

Entrega e Suporte (DS - 13 processos) - Recebe as soluções e as torna passíveis de uso para os usuários finais. Garante a operação de todo o ambiente necessário para utilização dos sistemas.

Monitorar e Avaliar (ME - 4 processos) - Monitorar e avaliar os processos para garantir que o planejamento inicial do PO não esteja sofrendo desvios ou que estes desvios estejam sendo corrigidos. Implementa a melhoria contínua e exerce a Governança de TI.

Os Requisitos de Controle Genéricos do COBIT
Além dos 210 objetivos de controle que são distribuídos pelos 34 processos, existem 6 requisitos de controle genéricos que se aplicam a todos os processos. São identificados como PC (Process Control)

PC1 - Metas e Objetivos do Proceso
Cada processo deve ter metas e objetivos claros e mensuráveis. Você deve ser capaz de medir o desempenho do processo e esses objetivos precisam estar relacionados com os objetivos de negócio da organização

PC2 - Propreidade dos Processos
Cada processo deve ter um proprietário, uma pessoa que responde pelo processo.

PC3 - Repetibilidade dos Processos
O processo precisa ser capaz de repetir os resultados de forma consistente.

PC4 - Papéis e Responsabilidades
Cada processo deve ter suas atividades-chave atribuídas para papéis e responsabilidades. É o que a Tabela RACI faz.

PC5 - Políticas, Planos e Procedimentos
Os processos devem possuir políticas, planos e procedimentos associados documentados formalmente, revisados, mantidos atualizados e os envolvidos devem ser comunicados sobre qualquer mudança.

PC6 - Melhoria do Desempnho do Processo
Cada processo deve ter métricas identificadas para medir o seu desempenho.

Planejar e Organizar (PO)
Domínio tático e estratégico. Não trata questões operacionais e de baixo nível. É o domínio de alto nível, que cuida de questões de longo prazo, estratégicas e fundamentais para a sobreviência da empresa. Diz como a TI pode contribuir para o atendimento dos objetos de negócio e envolve planejamento, comunicação e gerenciamento em diversas perspectivas. 

Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: A estratégia do negócio e a TI estão alinhadas? A empresa está otimizando a utilização de recursos? Todos na organização compreendem as metas de TI? Os riscos relacionados à TI estão compreendidos e gerenciados? A qualidade dos sistemas de TI está adequada às necessidades do negócio? 

PO1 - Definir um plano estratégico
Tudo começa neste processo. A empresa precisa saber como vai se posicionar no mercado e daí criar um plano estratégico de TI. Integrar e alinhar a gestão de TI ao negócio. Traduz os objetivos de negócio em objetivos e serviços de TI. Diz quais projetos e serviços serão escolhidos e disponibilizados. 

PO2 - Definir a arquitetura de informação
Definir o modelo coorporativo de dados. É importante ter uma arquitetura global de dados para a organização. Sempre que um novo projeto começa pode já utilizar este modelo coorporativo. Criar também uma classificação das informações na sua organização.

PO3 - Determinar as diretrizes de tecnologia
Define o padrão tecnológico da empresa. Aplicativos, plataformas e etc. Isso é estratégico, já que ambientes muito heterogênos ou com pouca portabilidade podem prejudicar a estratégia da empresa. Algumas empresas utilizam toda a plataforma de um mesmo fornecedor. Exemplo: plataforma da Oracle ou Microsoft.

PO4 - Definir os processos, organização e relacionamentos de TI
Definir como a área de TI vai funcionar. Escolher quais processos do COBIT você vai usar. Definir os comitês. Escolher quais coisas do modelo do COBIT se aplicam a realidade da sua empresa. 

PO5 - Gerenciar o investimento em TI
Definir os critérios para o investimento em TI. Decidir como e onde investir. Quais projetos são prioritários e o quanto será alocado em cada um deles. É extremamente estratégico pois pode levar a empresa a falência. A gerência pode considerar o retorno de investimento ou outros fatores financeiros para tomar tal decisão.

PO6 - Comunicar metas e diretrizes gerenciais
É preciso comunicar as metas, políticas, procedimentos, guias e diretrizes às pessoas para que tudo o que foi definido seja seguido. É preciso disseminar o conhecimento. 

PO7 - Gerenciar os recursos humanos de TI
Gerenciar as pessoas. Contratar, definir competências, responsabilidades e cargos. Definir quantas pessoas de cada perfil. Quantos programadores? Quantos analista? Gerentes? Projetistas? 

PO8 - Gerenciar qualidade
É importante definir os critérios de qualidade e uma forma de controlar a qualidade nos processos de TI. Determinar o que vai ser feito na TI para manter a qualidade. 

PO9 - Avaliar e gerenciar os riscos de TI
Definir uma forma para avaliar, mitigar e tratar os riscos. Mapear todos os riscos importantes que podem afetar a organização, classificá-los e definir estratégias para tratá-los. 

PO10 - Gerenciar Projetos
Gerenciar os projetos com a integração de todos os outros gerenciamentos. Integra todos os planos de gerenciamento de projetos.

Adquirir e Implementar (AI)
Pega as diretrizes vindas dos processos de PO, que identifica o que deve ser implementado, e executa os processos de implementação. Cobre a identificação, desenvolvimento e aquisição de soluções de TI. Neste domínio você decide se desenvolve a solução desde o início ou se adquire a solução pronta.

Mudanças e manutenções em sistemas já existentes também estão incluídas neste domínio. Então este domínio deve ser considerado  sempre que houver uma necessidade de desenvolvimento ou manutenção.

Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: As soluções dos novos projetos conseguem atender as necessidades do negócio? Os projetos conseguem ser entregues dentro do prazo e orçamento planejados? Os novos sistemas funcionam adequadamente depois de implementados? As mudanças são conduzidas com baixo impacto nas operações que estão em execução no negócio?

Adquirir e Implementar faz 3 coisas básicamente: identifica as soluções que serão providas e depois desenvolve do zero ou as adquire prontas do mercado. 

AI1 - Identificar soluções automatizadas
Identifica as soluções automatizadas que vão atender as necessidades do negócio. Essas soluções devem ser técnicamente adequadas e economicamente viáveis. É preciso estudar a viabilidade das soluções

AI2 - Adquirir e manter software aplicativo
Garantir que a empresa tenha um processo de desenvolvimento de software. O COBIT não diz qual processo você deve ter, mas que é preciso ter um para adquirir, manter ou desenvolver software.

AI3 - Adquirir e manter infraestrutura de tecnologia
Baseado nas diretrizes do PO3 - Determinar as Diretrizes de Tecnologia, que definiu as platarformas técnológicas da empresa, é preciso aplicar as diretrizes para desenvolver a infraestrutura técnológica para as aplicações de forma controlada e sistemática.

AI4 - Habilitar operação e uso
Se preocupa com a transferência de conhecimento. Elaboração de manuais, procedimentos, guia de usuários, treinamentos e etc. Tudo o que é necessário para de fato fazer as pessoas operarem e utilizarem os sistemas e serviços.

AI5 - Adquirir recursos de TI
São 4 recursos de TI no COBIT. aplicativos, informação, infraestrutura e pessoas. O processo cuida de como contratar os recursos necessários para a implantação. Contratação de pessoas, acordos com fornecedores e etc. 

AI6 - Gerenciar mudanças
Criar um método para gerências as mudanças. É preciso receber as solicitações de mudanças, verificar o impacto delas, priorizar, autorizar e revisar todas as mudanças que podem atrapalhar a operação dos serviços de TI.

AI7 - Instalar e homologar soluções e mudanças
É preciso instalar e homologar as soluções e mudanças. Aqui você testa as soluções implantadas para conseguir deixá-las disponíveis para uso no ambiente desejado.


Entregar e Suportar (DS)
Cobre a entrega propriamente dita dos serviços. É na execução destes processos que colocam os serviços para funcionar. É onde o valor é agregado de fato. Gerencia a segurança e a continuidade dos serviços. Dá suporte aos usuários. Aqui estão os processos operacionais, como gestão dos dados e da infraestrutura.

Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: Os serviços de TI estão sendo entregues de acordo com as necessidades do negócio? Os custos de TI estão otimizados? Os usuários conseguem utilizar os sistemas com segurança e produtividade? Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada?

DS1 - Definir e gerenciar níveis de serviço
É como a gerência de nível de serviço do ITIL. Estabelece acordos com os clientes da organização. Diz as características de disponibilidade dos sistemas. Traça planos de contingência. Define-se a capacidade dos sistemas e outras coisas do tipo. Tudo isso é definido em um SLA, que é um contrato de nível de serviço entre a TI e os clientes.

DS2 - Gerenciar serviços de terceiros
Os contratos com terceirizados são firmados no domínio de Aquisição e Implementação no AI5 - Adquirir recursos de TI. Aqui acontece a gerencia dos contratos. Estabelece-se as responsabilidades das partes e garante-se que os fonecedores estão entregando o que é esperado de acordo com o SLA definido para o contrato no DS1 - Definir e gerenciar níveis de serviço.

DS3 - Gerenciar capacidade e desempenho
Garantir que existe desempenho suficiente, hoje e no futuro, para atender as necessidade da organização e para sustentar o acordo de nível de serviço. Aqui também é tratado o gerenciamento da disponibilidade dos sistemas.

DS4 - Garantir continuidade dos serviços
Assegurar que existe um plano de contingência e um plano de continuidade para recuperar os serviços caso um problema desastroso aconteça. O plano de contingência prevê um nível mínimo de operação para os serviços, mesmo que sejam procedimentos manuais. O plano de continuidade prevê a recuperação quando o desastre acontece. Diz como voltar a operar. 

DS5 - Garantir a segurança dos sistemas
Garantir a confidencialidade, integridade e disponibilidade dos serviços. Definir os procedimentos de segurança para detectar e tratar incidentes de segurança da informação.

DS6 - Identificar e alocar custos
O PO5 - Gerenciar Investimentos de TI possui um foco a longo prazo e estratégico. Aqui a ideia é contabilizar quanto os serviços estão realmente custando e cobrar os clientes pelo uso do serviço. O foco é operacional e não decidir onde investir o dinheiro.

DS7 - Educar e treinar os usuários
O AI 4 - Habilitar Operação e Uso é ligado ao treinamento dos usuários. O DS7 precisa garantir a continuidade do conhecimento que foi passado no treinamento que aconteceu no AI4. (depois estudar melhor esse)

DS8 - Gerenciar a central de serviços e os incidentes
É preciso ter um ponto único de contato para ser disponibilizado aos usuários para que se comuniquem com a organização para reportar problemas, obter orientações e acesso aos serviços. Incidentes são os relatos dos usuários sobre acontecimentos "ruins", desvios negativos que acontecem nos serviços.

DS9 - Gerenciar a configuração
Para dar suporte à gerência de incidentes é preciso existir a gerência de configuração, que trata da integridade dos ativos de processo, de tudo aquilo que mantém os serviços rodando. É o controle das versões. Com isso é possível comparar e verificar se as versões que estão rodando correspondem ao que deveria estar rodando.

DS10 - Gerenciar os problemas
Os problemas são as causas dos incidentes. Vários incidentes relatados pelos usuários ao service desk  podem ser causados pelo mesmo problema. Os problemas podem ser resolvidos de forma reativa ou proativa. Gerenciar problemas é tratar a causa raíz dos incidentes.

DS11 - Gerenciar os dados
Basicamente se resume a fazer o bakcup dos dados e ter procedimentos para restauração quando for necessário.

DS12 - Gerenciar o ambiente físico
Gerenciar as instalações físicas onde os equipamentos são hospedados.

DS13 - Gerenciar as operações
Executar as operações de dia a dia da TI, o que for necessário para manter a produção. Agendar e executar os jobs que rodam em horários específicos e coisas do tipo. (estudar melhor esse).

Monitorar e Avaliar (ME)
Visa assegurar a qualidade dos processos de TI e manter a conformidade com os objetivos de controle. É um domínio voltado para melhoria continua da qualidade dos processo. Garante que os resultados prometidos e esperados estão sendo alcançados. Utiliza mecanismos de acompanhamento e monitoramento dos controles internos com avaliações ou auditorias internas e externas. 

Questão abordadas neste domínio e que devem ser respondidas de forma afirmativa após a implantação dos processos: As medições encontram problemas antes que seja muito tarde? Existem garantias de que os controles internos são eficientes e eficazes? É possível associar o desempenho da TI às metas do negócio que foram estabelecidadas? A Governança de TI está sendo alcançada? 

ME1 - Monitorar e avaliar o desempenho
Foco nas metas e indicadores. Verifica se os processos estão atingindo os resultados esperados através das Medidas de Resultado e dos Indicadores de Performance. Se os resultados não estiverem de acordo, verifica o que pode ser modificado para que o desempenho melhore.

ME2 - Monitorar e avaliar os controles internos
Checar se a organização está usando normas adequadas para gerenciar os processos que foram escolhidos pela organização. São 210 objetivos de controle no COBIT e é preciso um processo que verifique se os controles escolhidos são os mais adequados para o gerenciamento dos processos. 

ME3 - Assegurar conformidade com requisitos externos
Peculiaridade do COBIT. Verificar se as leis, regulamentos e normas externas ou internas estão sendo seguidos. 

ME4 - Prover a governança de TI
É preciso prover relatórios informativos para a gerência da empresa exercer a Governança de TI.