Comunicar Metas e Diretrizes Gerenciais
o
bjetivosDec
ontroleD
etalhaDosPO6 Comunicar Metas e Diretrizes Gerenciais
PO6.1 Política de TI e Ambiente de Controle
Definir os elementos de um ambiente de controle de TI alinhados com o estilo operacional e a filosofia de gerenciamento da empresa. Entre esses elementos estão as expectativas e os requisitos de entrega de valor dos investimentos de TI, o grau de aceita- ção de risco, a integridade, os valores éticos, a competência do pessoal e a responsabilização. O ambiente de controle está baseado em uma cultura que sustenta a entrega de valor e, ao mesmo tempo, controla os riscos significativos, incentiva o trabalho em equipe e a cooperação entre equipes, promove a conformidade, promove o processo de melhoria contínua e lida com os desvios (incluindo falhas) de forma adequada.
PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle
Desenvolver e manter uma estrutura que estabeleça uma abordagem corporativa completa dos riscos e controles de TI e o alinha- mento com as políticas e o ambiente de controle de TI e com a estrutura de riscos e controles da organização.
PO6.3 Gerenciamento de Políticas de TI
Desenvolver e manter um conjunto de políticas para apoiar a estratégia de TI. Essas políticas devem incluir os objetivos das políticas, papéis e responsabilidades, processos de exceções, abordagem de conformidade, referências a procedimentos, padrões e diretrizes. Sua relevância deve ser regularmente aprovada e ratificada.
PO6.4 Distribuição da Política
Assegurar que as políticas de TI sejam impostas e distribuídas para todo o pessoal relevante, se consolidando e sendo parte inte- grante das operações corporativas.
PO6.5 Comunicação dos Objetivos e Diretrizes de TI
Comunicar visando a conscientização e entendimento dos objetivos e direcionamentos de negócios e TI de todas as partes interes- sadas e usuários apropriados na organização.
PO6
Planejar e Organizar
Comunicar Metas e Diretrizes Gerenciais
Objetivos e Métricas
Objetivos de TI Objetivos de Processos Objetivos das Atividades
define define
Métricas
medido por
medido por medido por
direciona direciona
Objetivos
D
iretrizesDeG
erenciamentoPO6 Comunicar Metas e Diretrizes Gerenciais
· Definição de uma estrutura de controle de TI; · Desenvolvimento e manutenção de políticas de
TI;
· Imposição de políticas de TI.
· Frequência de revisão ou atualização das políticas;
· Intervalo entre aprovação da política e sua comunicação aos usuários;
· Frequência de revisão ou atualização da estrutu- ra corporativa de controle de TI.
· Desenvolvimento de uma estrutura de controle de TI abrangente e comum a todas as áreas; · Desenvolvimento de um conjunto de políticas de
TI abrangente e comum a todas as áreas; · Comunicação da estratégia, políticas e estrutura
de controle de TI.
· Percentual de partes interessadas que entendem as políticas de TI;
· Percentual de partes interessadas que entendem a estrutura de controle de TI;
· Percentual de partes interessadas que não estão em conformidade com a política.
· Garantia de transparência e entendimento dos custos, benefícios, estratégias, políticas e níveis de serviço de TI; · Garantia de que transações automatizadas de negócio
e tocas de informações sejam confiáveis; · Garantia de que informações críticas e confidenciais
sejam inacessíveis aos que não devam ter acesso a elas; · Garantia de impacto mínimo no negócio caso haja
uma interrupção ou mudança no serviço de TI; · Garantia de utilização e desempenho adequados de
aplicações e soluções tecnológicas;
· Garantia de que a infraestrutura e serviços de TI possam resistir e se recuperar de falhas, ataques e desastres.
· Quantidade de vezes em que informações confiden- ciais são comprometidas;
· Quantidade de interrupções de negócio devido a interrupções de serviços de TI;
· Nível de entendimento de custos, benefícios, estraté- gias, políticas e níveis de serviço de TI.
Origem Entrada
PO1 Planejamentos estratégico e tático de TI;
Portfólio de projetos e serviços de TI;
PO9 Diretrizes para a gestão de riscos de TI;
ME2 Relatórios sobre a eficácia de controles de TI
Saída Destino
Estrutura corporativa de controles de TI; ALL
Políticas de TI ALL pons ável por O pera pons ável por A rqui pons ável por D ese O O cutiv o de N egóc io O O formi dade , aud itoria , prietá rio do Proc es pons ável pe la Ad m Res ções Res tetura Res nvolv imen to CE CF Exe CI PM Con risco e seg uranç a Pro so de Negó cio Res inistr ação de TI
Tabela Raci Funções
atividades
Uma tabela RACI identifica quem é responsável (R), responsabilizado (A), consultado (C) e/ou informado
Estabelecer e manter a estrutura e ambiente de controle de TI; I C I A/R I C C C C
Desenvolver e manter as políticas de TI; I I I A/R C C C R C
PO6
Planejar e Organizar
Comunicar Metas e Diretrizes Gerenciais
m
oDelo Dem
aturiDaDePO6 Comunicar Metas e Diretrizes Gerenciais
O gerenciamento do processo de “Comunicar metas e diretrizes gerenciais” que satisfaça ao requisito de negócio para a TI de
“manter as informações precisas e atualizadas nos serviços de TI atuais e futuros, bem como as responsabilidades e os riscos associados” é:
0 Inexistente quando
A Direção não estabeleceu um ambiente de controle da informação. Não há reconhecimento da necessidade de estabelecer um con- junto de políticas, padrões, procedimentos e processos de conformidade.
1 Inicial/Ad hoc quando
A Direção é reativa no tratamento dos requisitos do ambiente de controle da informação. As políticas, os procedimentos e os padrões são desenvolvidos e comunicados quando necessário (ad hoc), impulsionados por casos específicos. Os processos de desenvolvimento, comunicação e conformidade são informais e inconsistentes.
2 Repetível, porém Intuitivo quando
A Direção tem um entendimento implícito das necessidades e dos requisitos de um ambiente de controle de informação eficaz, mas as práticas são muito informais. A Direção tem comunicado a necessidade de políticas de controle, padrões e procedimentos, porém o desenvolvimento fica a critério de cada uma das Direções de Área. A qualidade é reconhecida como uma filosofia desejá- vel a ser seguida, mas as práticas são deixadas a cargo de cada uma das Direções de Área. O treinamento é executado individual- mente, conforme a necessidade.
3 Processo Definido quando
Um ambiente completo de gestão da qualidade e controle da informação é desenvolvido, documentado e comunicado pela Direção, o qual inclui uma estrutura de políticas, padrões e procedimentos.
O processo de desenvolvimento de política é estruturado, mantido e conhecido pelas equipes, e as políticas, os padrões e os pro- cedimentos existentes são razoavelmente divulgados e cobrem temas-chave. A Direção considera a importância da consciência da segurança de TI e inicia programas de conscientização. Há treinamento formal disponível para apoiar o ambiente de controle da informação, mas não é rigorosamente aplicado. Embora exista uma estrutura de desenvolvimento completa para o controle de polí- ticas e padrões, há um monitoramento inconsistente da conformidade. Existe uma estrutura de desenvolvimento geral. As técnicas para promover a conscientização de segurança têm sido padronizadas e formalizadas.
4 Gerenciado e Mensurável quando
A Direção assume a responsabilidade de comunicar as políticas de controle interno, delega responsabilidades e aloca recursos suficientes para manter o ambiente em alinhamento com mudanças significativas. Foi estabelecido um ambiente de controle de informação proativo que contempla o comprometimento com a qualidade e a conscientização da segurança de TI. Um conjunto completo de políticas, procedimentos e padrões tem sido desenvolvido, mantido e comunicado e é uma combinação de boas práti- cas internas. Foi estabelecida uma estrutura para implementação e subsequente verificação de conformidade.
5 Otimizado quando
O ambiente de controle de informação está alinhado com a visão e a estrutura de gerenciamento estratégico, é frequentemente revisado, atualizado e continuamente melhorado. Especialistas internos e externos são designados para assegurar que as melhores práticas industriais estejam sendo adotadas com relação a diretrizes de controle e técnicas de comunicação. O monitoramento, a autoavaliação e a verificação de conformidade estão sendo difundidos na organização. A tecnologia é utilizada para manter as bases de conhecimento de política e conscientização e para otimizar a comunicação através de ferramentas de automação comer-