• Nenhum resultado encontrado

PO6 Planejar e Organizar

No documento T30 cobit41 portuguese (páginas 59-62)

Comunicar Metas e Diretrizes Gerenciais

o

bjetivosDe

c

ontrole

D

etalhaDos

PO6 Comunicar Metas e Diretrizes Gerenciais

PO6.1 Política de TI e Ambiente de Controle

Definir os elementos de um ambiente de controle de TI alinhados com o estilo operacional e a filosofia de gerenciamento da empresa. Entre esses elementos estão as expectativas e os requisitos de entrega de valor dos investimentos de TI, o grau de aceita- ção de risco, a integridade, os valores éticos, a competência do pessoal e a responsabilização. O ambiente de controle está baseado em uma cultura que sustenta a entrega de valor e, ao mesmo tempo, controla os riscos significativos, incentiva o trabalho em equipe e a cooperação entre equipes, promove a conformidade, promove o processo de melhoria contínua e lida com os desvios (incluindo falhas) de forma adequada.

PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle

Desenvolver e manter uma estrutura que estabeleça uma abordagem corporativa completa dos riscos e controles de TI e o alinha- mento com as políticas e o ambiente de controle de TI e com a estrutura de riscos e controles da organização.

PO6.3 Gerenciamento de Políticas de TI

Desenvolver e manter um conjunto de políticas para apoiar a estratégia de TI. Essas políticas devem incluir os objetivos das políticas, papéis e responsabilidades, processos de exceções, abordagem de conformidade, referências a procedimentos, padrões e diretrizes. Sua relevância deve ser regularmente aprovada e ratificada.

PO6.4 Distribuição da Política

Assegurar que as políticas de TI sejam impostas e distribuídas para todo o pessoal relevante, se consolidando e sendo parte inte- grante das operações corporativas.

PO6.5 Comunicação dos Objetivos e Diretrizes de TI

Comunicar visando a conscientização e entendimento dos objetivos e direcionamentos de negócios e TI de todas as partes interes- sadas e usuários apropriados na organização.

PO6

Planejar e Organizar

Comunicar Metas e Diretrizes Gerenciais

Objetivos e Métricas

Objetivos de TI Objetivos de Processos Objetivos das Atividades

define define

Métricas

medido por

medido por medido por

direciona direciona

Objetivos

D

iretrizesDe

G

erenciamento

PO6 Comunicar Metas e Diretrizes Gerenciais

· Definição de uma estrutura de controle de TI; · Desenvolvimento e manutenção de políticas de

TI;

· Imposição de políticas de TI.

· Frequência de revisão ou atualização das políticas;

· Intervalo entre aprovação da política e sua comunicação aos usuários;

· Frequência de revisão ou atualização da estrutu- ra corporativa de controle de TI.

· Desenvolvimento de uma estrutura de controle de TI abrangente e comum a todas as áreas; · Desenvolvimento de um conjunto de políticas de

TI abrangente e comum a todas as áreas; · Comunicação da estratégia, políticas e estrutura

de controle de TI.

· Percentual de partes interessadas que entendem as políticas de TI;

· Percentual de partes interessadas que entendem a estrutura de controle de TI;

· Percentual de partes interessadas que não estão em conformidade com a política.

· Garantia de transparência e entendimento dos custos, benefícios, estratégias, políticas e níveis de serviço de TI; · Garantia de que transações automatizadas de negócio

e tocas de informações sejam confiáveis; · Garantia de que informações críticas e confidenciais

sejam inacessíveis aos que não devam ter acesso a elas; · Garantia de impacto mínimo no negócio caso haja

uma interrupção ou mudança no serviço de TI; · Garantia de utilização e desempenho adequados de

aplicações e soluções tecnológicas;

· Garantia de que a infraestrutura e serviços de TI possam resistir e se recuperar de falhas, ataques e desastres.

· Quantidade de vezes em que informações confiden- ciais são comprometidas;

· Quantidade de interrupções de negócio devido a interrupções de serviços de TI;

· Nível de entendimento de custos, benefícios, estraté- gias, políticas e níveis de serviço de TI.

Origem Entrada

PO1 Planejamentos estratégico e tático de TI;

Portfólio de projetos e serviços de TI;

PO9 Diretrizes para a gestão de riscos de TI;

ME2 Relatórios sobre a eficácia de controles de TI

Saída Destino

Estrutura corporativa de controles de TI; ALL

Políticas de TI ALL pons ável por O pera pons ável por A rqui pons ável por D ese O O cutiv o de N egóc io O O formi dade , aud itoria , prietá rio do Proc es pons ável pe la Ad m Res ções Res tetura Res nvolv imen to CE CF Exe CI PM Con risco e seg uranç a Pro so de Negó cio Res inistr ação de TI

Tabela Raci Funções

atividades

Uma tabela RACI identifica quem é responsável (R), responsabilizado (A), consultado (C) e/ou informado

Estabelecer e manter a estrutura e ambiente de controle de TI; I C I A/R I C C C C

Desenvolver e manter as políticas de TI; I I I A/R C C C R C

PO6

Planejar e Organizar

Comunicar Metas e Diretrizes Gerenciais

m

oDelo De

m

aturiDaDe

PO6 Comunicar Metas e Diretrizes Gerenciais

O gerenciamento do processo de “Comunicar metas e diretrizes gerenciais” que satisfaça ao requisito de negócio para a TI de

“manter as informações precisas e atualizadas nos serviços de TI atuais e futuros, bem como as responsabilidades e os riscos associados” é:

0 Inexistente quando

A Direção não estabeleceu um ambiente de controle da informação. Não há reconhecimento da necessidade de estabelecer um con- junto de políticas, padrões, procedimentos e processos de conformidade.

1 Inicial/Ad hoc quando

A Direção é reativa no tratamento dos requisitos do ambiente de controle da informação. As políticas, os procedimentos e os padrões são desenvolvidos e comunicados quando necessário (ad hoc), impulsionados por casos específicos. Os processos de desenvolvimento, comunicação e conformidade são informais e inconsistentes.

2 Repetível, porém Intuitivo quando

A Direção tem um entendimento implícito das necessidades e dos requisitos de um ambiente de controle de informação eficaz, mas as práticas são muito informais. A Direção tem comunicado a necessidade de políticas de controle, padrões e procedimentos, porém o desenvolvimento fica a critério de cada uma das Direções de Área. A qualidade é reconhecida como uma filosofia desejá- vel a ser seguida, mas as práticas são deixadas a cargo de cada uma das Direções de Área. O treinamento é executado individual- mente, conforme a necessidade.

3 Processo Definido quando

Um ambiente completo de gestão da qualidade e controle da informação é desenvolvido, documentado e comunicado pela Direção, o qual inclui uma estrutura de políticas, padrões e procedimentos.

O processo de desenvolvimento de política é estruturado, mantido e conhecido pelas equipes, e as políticas, os padrões e os pro- cedimentos existentes são razoavelmente divulgados e cobrem temas-chave. A Direção considera a importância da consciência da segurança de TI e inicia programas de conscientização. Há treinamento formal disponível para apoiar o ambiente de controle da informação, mas não é rigorosamente aplicado. Embora exista uma estrutura de desenvolvimento completa para o controle de polí- ticas e padrões, há um monitoramento inconsistente da conformidade. Existe uma estrutura de desenvolvimento geral. As técnicas para promover a conscientização de segurança têm sido padronizadas e formalizadas.

4 Gerenciado e Mensurável quando

A Direção assume a responsabilidade de comunicar as políticas de controle interno, delega responsabilidades e aloca recursos suficientes para manter o ambiente em alinhamento com mudanças significativas. Foi estabelecido um ambiente de controle de informação proativo que contempla o comprometimento com a qualidade e a conscientização da segurança de TI. Um conjunto completo de políticas, procedimentos e padrões tem sido desenvolvido, mantido e comunicado e é uma combinação de boas práti- cas internas. Foi estabelecida uma estrutura para implementação e subsequente verificação de conformidade.

5 Otimizado quando

O ambiente de controle de informação está alinhado com a visão e a estrutura de gerenciamento estratégico, é frequentemente revisado, atualizado e continuamente melhorado. Especialistas internos e externos são designados para assegurar que as melhores práticas industriais estejam sendo adotadas com relação a diretrizes de controle e técnicas de comunicação. O monitoramento, a autoavaliação e a verificação de conformidade estão sendo difundidos na organização. A tecnologia é utilizada para manter as bases de conhecimento de política e conscientização e para otimizar a comunicação através de ferramentas de automação comer-

No documento T30 cobit41 portuguese (páginas 59-62)