O Control Objectives for Information and Related Technology (COBIT), é um guia com as melhores práticas de gerenciamento da governança de tecnologia da informação criado pelo Information Systems Audit and Control Association (ISACA). O Cobit se divide em quatro domínios: Planejamento e organização, aquisição e implementação, entregar e suportar e monitoração e avaliação, conforme ilustrado na figura 3 (COBIT, 2007).
Figura 3: Os quatro domínios inter-relacionados do Cobit
Fonte: Cobit, 2007
O Cobit tem sua aplicação baseada em níveis de maturidade, cada um de seus processos pode ser avaliado conforme sua aplicação na organização. O Cobit também fornece técnicas para medição e monitoramento de cada um de seus processos, define os responsáveis pelas atividades conforme as melhores práticas de mercado.
O gerenciamento da continuidade de serviços de TI é abordado dentro do seu domínio de entrega e suporte. O domínio de entrega e suporte tem como objetivo assegurar que os serviços de TI estejam disponíveis conforme definido em um nível de serviço. O Cobit também possui um conjunto de melhores práticas para o gerenciamento de riscos de TI, abordadas no domínio planejar e organizar.
2.4.1 Definir e gerenciar níveis de serviços
Para compreender a continuidade de negócios, os serviços de TI devem possuir um acordo de níveis de serviço, Service Level Agreement (SLA). O acordo de nível de serviço é
uma definição de tempo para que os serviços de TI, sejam quais eles forem, possam ser executados a fim de comprometer o mínimo possível os processos de negócio da organização. Este processo deve ser documentado e incluso nos planos de continuidade de negócios, sendo seu monitoramento e relatório de desempenho partes importantes na avaliação do serviço.
O processo de definição e gerenciamento de níveis de serviço deve assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio, possuindo foco em identificar os requisitos de serviço, acordar os níveis de serviço e monitorar o atendimento desses níveis de serviço. Para realizar este processo, é importante que haja a formalização de acordos de níveis de serviços internos e externos alinhados com os requisitos e com a capacidade de entrega dos mesmos, reporte do atendimento aos níveis de serviços acordados, através do plano de comunicação, identificação e comunicação de requisitos de serviços novos e atualizados para o planejamento estratégico.
São resultados do processo o catálogo de serviços, essencial para determinar os processos para a continuidade de negócios, o relatório de desempenho de processos, podendo medir o atendimento dos serviços envolvidos na continuidade, requisitos novos ou atualizados de serviços, fornecendo informação de novos serviços e tecnologias que poderão ser abordadas no processo de continuidade de negócios, os SLAs, que são chave para determinar o tempo de recuperação dos serviços de TI em caso de situação de desastre, e os acordos de níveis operacionais, Operational Level Agreement (OLA), que servem como roteiro operacional para executar as atividades de recuperação e continuidade.
2.4.2 Assegurar a continuidade dos serviços
O processo de assegurar a continuidade dos serviços, abordado no domínio “Entregar e suportar”, deve garantir um impacto mínimo nos negócios em caso de desastre tendo foco em incorporar a capacidade de recuperação através de soluções automatizadas e de planos de continuidade de negócios. Para alcançar a continuidade deve-se desenvolver, manter e melhorar a contingencia de TI, treinar e testar os planos de contingencia, manter uma estrutura de armazenamento de cópias de segurança dos dados e dos planos de contingencia em ambientes remotos.
O processo de assegurar a continuidade de serviços de TI compreende atividades como a análise de impacto e avaliação de riscos, elaboração e manutenção dos planos de continuidade, identificação de recursos necessários para a recuperação de desastres, realização
de testes e promoção de melhorias a partir destes, planejamento e implementação de controles de cópias de segurança e elaboração e manutenção de procedimentos de revisão do processo de continuidade.
A continuidade de serviços pode ser mensurada pela quantidade de horas perdidas pelos usuários devido à inoperância não planejada de sistemas em um mês, pela quantidade de processos críticos de negócio dependentes de TI não contemplados nos planos de continuidade, o percentual de SLAs de disponibilidade alcançados, a quantidade de processos críticos de negócio cobertos pelo plano de continuidade, o percentual dos testes de recuperação bem sucedidos e a frequência de interrupção dos serviços nos sistemas críticos.
2.4.3 Avaliar e gerenciar os riscos de TI
O Cobit possui um guia de melhores práticas para criar e manter uma estrutura de gestão de risco. O processo de gerenciamento dos riscos de TI é uma documentação do nível comum acordado dos riscos de TI, suas estratégias de mitigação e seus riscos residuais. Qualquer evento que cause um impacto no processo de negócio da organização deve ser identificado, analisado, avaliado e então elaboradas as estratégias de mitigação do risco a níveis aceitáveis. Todo resultado deve ser avaliado pelas partes interessadas e expressos em termos financeiros para que o risco seja alinhado à condição da organização.
Avaliar e gerenciar os riscos de TI é analisar e comunicar os riscos do ambiente de TI e seus possíveis impactos nos processos de negócio buscando desenvolver um processo de gerenciamento de riscos alinhado ao negócio que contemple a identificação, avaliação, mitigação e comunicação dos riscos. O gerenciamento dos riscos de TI é atingido pela garantia da integração do gerenciamento com os processos de negócio, a realização das avaliações do risco e a elaboração e decisão dos planos de ação para tratamento dos riscos.
O processo de avaliação e gerenciamento dos riscos de TI é formado por diversas atividades como promover o alinhamento da gestão de riscos de TI com os processos de negócio, identificar os objetivos de TI e estabelecer o contexto de risco, identificar eventos associados a TI e ao negócio, avaliar criticamente os riscos, avaliar as respostas aos eventos, planejar e priorizar as atividades de tratamento de risco, aprovar e assegurar o financiamento dos planos de tratamento de riscos e manter e monitorar os planos de tratamento dos riscos.
O processo tem como indicadores de desempenho o percentual dos serviços de TI cobertos pela avaliação de risco, o percentual de riscos críticos identificados e que haja
tratamento, o percentual dos planos de tratamento aprovados para implementação e a quantidade de desastres causados por riscos não mapeados.