Monthly Archives: October 2012

Conceitos Básicos de COBIT

O Control Objectives for Information and Related Technology (COBIT) é um guia de melhores praticas criado pela Information Systems Audit and Control Association (ISACA) para prover um modelo para o gerenciamento da Governança de TI. O COBIT possue 210 objetos de controle divididos em 34 processos em 4 domínios.

  • Planejamento e Organização (PO)
  • Aquisição e Implementação(AI)
  • Entrega e Suporte(DS)
  • Monitoração e Avaliação(ME)

cobit

Planejamento e Organização (PO)

O domínio de Planejamento e Organização é composto de 10 processos e trata do desenvolvimento dos planos estratégicos de TI e fornece suporte aos objetivos e metas empresariais. Os planos devem objetivar o futuro e estar alinhados com o planejamento da organização.

Aquisição e Implementação (AI)

O domínio de Aquisição e Implementação é composto de 7 processos e trata da aquisição de novas tecnologias, contratação e desenvolvimento de uma equipe qualificada para executar os planos estratégicos de TI. A fase de implementação foca a manutenção, teste, certificação e identificação das alterações que possam afetar a disponibilidade das informações.

Entrega e Suporte (DS)

O domínio de Entrega e Suporte é composto de 13 processos e trata da entrega dos serviços de TI, assegurando que os serviços sejam executados conforme definido na implementação através de acordos de nível de serviço (SLA – Service Level Agreement). A fase de suporte prevê que os processos sejam executados de forma eficiente e efetiva.

Monitoração e Avaliação (ME)

O domínio de Monitoração e Avaliação é composto de 4 processos e foca o monitoramento, através dos SLAs, verificando se o que foi proposto está sendo realizado. Através de auditorias internas e externas são analisados os processos de negócio e o resultado da auditoria permite que os processos sejam ajustados para atender as expectativas da direção da organização.

Gestão de Riscos

clip_image002

A Gestão de Riscos é definida como as atividades coordenadas para direcionar e controlar uma organização no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gestão de risco deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes às atividades de uma organização.

O processo de melhoria continua conhecido como Plan – Do -Check – Act (PDCA) é um ciclo de análise e melhoria dos processos gerenciais necessários para o sucesso da organização e para a área de segurança da informação. O PDCA deve ser utilizado para estruturar os processos do Sistema de Gestão da Segurança da Informação (SGSI) e alinhar os processos de gestão de risco.

A primeira etapa do processo (Planejar) inicia com a definição das estratégias e a forma como elas vão ser alcançadas, ou seja, a definição de políticas, controles e procedimentos para garantir a segurança das informações. É de extrema importância que a direção da organização esteja de acordo e comprometida com os processos estratégicos definidos. Segundo a norma ISO 27005, na fase de planejamento são tratados os processos de Definição do Contexto, Análise / Avaliação de Riscos, Definição do Plano de Tratamento do Risco e Aceitação do Risco.

Na segunda etapa (Executar), os processos definidos são implementados e executados. Também é necessária a coleta de informações para utilização na próxima etapa. Alinhando com a norma ISO 27005 é implementado o plano de Tratamento do Risco.

Na terceira etapa (Checar) é feita a avaliação dos processos implementados para verificar se o planejado foi realmente executado de forma adequada para alcançar as metas. Nessa fase são identificados os desvios de execução e apresentados os resultados para uma análise critica da direção. Nessa etapa, segundo a norma ISO 27005, é realizado o Monitoramento Contínuo e Análise Crítica do Risco.

Na quarta etapa (Agir) são realizadas ações corretivas e preventivas baseadas na identificação de desvios de execução e nas considerações apresentadas pela direção da organização. A norma 27005 orienta manter e melhorar o processo de Gestão de Riscos de Segurança da Informação (BRANDÃO 2008; HARUNARI apud GUARAGNA, 1992, p 79).

Comunicação do Risco => Na fase de Comunicação do Risco as partes envolvidas, ou seja, os stakeholders, e as partes interessadas, pessoa ou grupo que tem interesse no desempenho ou no sucesso da organização, devem ser identificadas e os seus papéis e responsabilidades devem ser definidos. Um plano de comunicação é criada para conhecimento das partes do andamento do processo de gestão de risco.

Definição do Contexto => Define o escopo da gestão de riscos que será utilizado para a identificação, avaliação, impacto e aceitação dos riscos. Nessa etapa são coletadas todas as informações relevantes sobre a organização, mas principalmente para a gestão de riscos de segurança.

Os principais resultados da definição do contexto devem ser a descrição dos objetivos da gestão do risco e dos ambientes nos quais eles estão contextualizados. Também são definidos os critérios que serão utilizados na determinação dos riscos, isto é, a determinação das conseqüências de segurança e os métodos usados para a análise e avaliação dos riscos.

Identificação de Riscos => O papel da identificação de riscos é identificar junto aos gestores os eventos de cada processo de negócio existente na organização que possam afetar o funcionamento das atividades essenciais e causar perdas potenciais. São respondidas as perguntas: “O que pode acontecer?”, “Quando pode acontecer?”, “Quando e onde?” e “Como e por quê?”.

É necessário identificar as ameaças, os controles existentes, as vulnerabilidades e as conseqüências para cada propriedade da segurança da informação, ou seja, confidencialidade, integridade e disponibilidade.

Estimativa de Riscos => Analisa a origem dos riscos, suas conseqüências e as probabilidades da ocorrência dos riscos. Os dados devem ser mensurados através de uma metodologia qualitativa ou quantitativa. Como exemplo pode ser adotada a metodologia Common Vulnerability Scoring System (CVSS) para cálculo do impacto das vulnerabilidades.

A norma ISO 27005 orienta estimar o risco de duas formas. Qualitativamente, onde é utilizada uma escala com atributos como, por exemplo, baixa, média e alta. Quantitativamente deve ser usada uma escala de valores numéricos para estimar o risco.

Avaliação de Riscos => são definidos como os mesmos serão tratados tomando como base os resultados obtidos nas fases de identificação e estimativa de riscos. Algumas organizações definem que todos os riscos serão tratados e outras focam somente nos riscos que afetam os principais processos de negócio da organização. Os riscos devem ser ordenados por prioridade e associados aos processos de negócio.

Tratamento dos Riscos => inicia com a priorização entre os riscos encontrados, levando em conta os riscos que têm maior probabilidade de se concretizar, tornando-se um incidente. Os riscos devem estar relacionados conforme as opções de tratamento, que são: redução, retenção, evitação e transferência.

Aceitação de Riscos => os riscos residuais devem ser formalmente aceitos pela organização levando em conta o escopo elaborado na definição do contexto.

Monitoramento e análise crítica dos riscos => A fase de monitoramento e analise crítica dos riscos é de extrema importância para a gestão de riscos, pois é necessário que os riscos sejam monitorados e os processos revisados para identificar oportunidade de melhoria no tratamento dos riscos. Tendo em vista que o ambiente computacional é dinâmico, revisões e auditorias periódicas devem ser realizadas para identificar modificações internas e externas que possam alterar o contexto do processo de negócio da organização.

Confira 3 dicas para tornar a sua equipe mais produtiva

Preocupado em melhorar o desempenho e a produtividade da sua equipe de TI? O consultor Brian Souza dá três dicas de como tirar o máximo proveito de seus funcionários.

Sempre aja como um treinador, não como um gerente. Como treinadores, os líderes entendem que a única forma de melhorar sistematicamente o desempenho individual é dar treinamento e feedback construtivo. Avaliações trimestrais  de desempenho por si só não são suficientes para mover uma agulha. Contratar alguém para treinar sua equipe uma vez por ano também não vai levá-lo a lugar algum. Coaching não é um evento. É um processo contínuo que deve  estarintrinsecamente ligado a tudo o que você faz. Estimule, encoraje, apoie, mantenha a motivação e acompanhe as atividades de cada membro da equipe, incentivando o seu crescimento.

Às vezes é preciso reavaliar suas próprias prioridades. É fácil ser pego dedicando mais tempo a trabalhos como planejamento, programação, elaboração de orçamento, alocação de recursos e assim por diante. Faz parte das tarefas da maioria dos gestores. Dedicar um bom tempo ao lado humano da gestão é mais difícil, porque alguns de nós foram ensinados a abordagem correta. A razão dos grandes treinadores sempre tirarem o máximo de suas equipes é reservar o máximo do seu tempo para ela. A única maneira de alcançar seu potencial como líder é ajudar as pessoas em sua equipe alcançar o potencial delas. Ajudá-las a destravar suas habilidades profissionais.

Nunca se esqueça de que o desenvolvimento da liderança começa com o desenvolvimento pessoal. Em suma, tudo começa com você. Para fazer com que a  sua equipe se tornar treinável, você deve primeiro se tornar treinável. Para fazer com que a sua equipe se abra, você deve se abri. Para fazer a sua equipe considerar os comentários e feedbacks, você deve considerar os comentários e os feedbacks que sua equipe dá.

Como treinador, você define o padrão para sua equipe. E o seu exemplo pessoal é a ferramenta mais poderosa de liderança que você tem.

Fonte: http://computerworld.uol.com.br/carreira/2012/10/05/confira-3-dicas-para-tornar-a-sua-equipe-mais-produtiva/