Content uploaded by Marcos Kalinowski
Author content
All content in this area was uploaded by Marcos Kalinowski
Content may be subject to copyright.
26 Engenharia de Software Magazine - Auditoria de sistemas
Rodrigo Oliveira Spínola
rodrigo.devmedia@gmail.com
Diretor de Operações - Kali Software
Doutorando e Mestre em Engenharia de Software
pela COPPE/UFRJ (avaliada como a melhor pós-
graduação em computação do país). Criador do
projeto e editor chefe da revista Engenharia de
Software Magazine. Autor de diversos artigos
científicos sobre Engenharia de Software publica-
dos em revistas e conferências renomadas, dentro
e fora do país. Experiência de participação em
diversos projetos de consultoria para diferentes
empresas tendo atuado com gerência de projetos,
requisitos e testes de software. Implementador
certificado do MPS.BR, tendo também experiên-
cia atuando junto a empresas certificadas CMMI.
Marcos Kalinowski
mk@kalisoftware.com
Diretor Executivo – Kali Software
Doutorando e Mestre em Engenharia de Software
pela COPPE/UFRJ (avaliada como a melhor pós-
graduação em computação do país), com ênfase
em Validação, Verificação e Testes de Software e
Melhoria de Processos. Bacharel em Ciência da
Computação pela UFRJ. Professor do curso de
pós-graduação e-IS Expert da UFRJ e Coordena-
dor do curso de Engenharia da Computação da
UVA RJ. Autor de diversos artigos científicos sobre
Engenharia de Software publicados em revistas
e conferências renomadas, dentro e fora do país.
Experiência de participação em diversos projetos
de consultoria para diferentes empresas. Membro
da equipe técnica responsável pelo modelo MPS.
BR (modelo nacional de qualidade de software).
Instrutor, Implementador e Avaliador certificado
do MPS.BR, tendo avaliado processos de software
de empresas de diferentes estados do país. Cre-
denciado a participar de avaliações CMMI.
Anderson Carlos Santos Ramires
anderson.ramires@br.pwc.com
Diretor da prática de Advisory responsável no
Brasil e América Latina pelo grupo InfoComm
Regulatory Services (IRS). Possui grande expe-
riência em consultoria regulatória e de análise
e gestão de riscos de negócios na indústria de
telecomunicações. Participou como “Advisor” no
processo de privatização do Sistema TELEBRÁS e
nos últimos 7 anos, têm dedicado-se exclusiva-
mente à projetos em operadoras do STFC e SMP,
principalmente, na Brasil Telecom, Telefônica (fixa
e empresas), Telemar, Vivo e Claro. Recentemente,
liderou o grupo de trabalho da PwC para a ela-
boração das Contribuições à Consulta Pública 544
(atual Resolução 396) da ANATEL.
De que se trata o artigo?
O objetivo principal deste artigo é identicar e comparar
o conjunto de normas e padrões CobiT, ITIL e norma ISO
17799, emitidos por organismos internacionais, de na-
tureza compulsória ou não, dos quais os auditores de se
utilizam, para estudar e avaliar os sistemas, infraestru-
tura e controles internos automatizados no processo de
auditoria dos sistemas que suportam as demonstrações
contábeis das entidades contratantes de tais serviços.
Para que serve?
A Governança da Tecnologia da Informação, do termo
inglês IT Governance, se procura o alinhamento da TI
com os objetivos da organização. Governança da Tec-
nologia da Informação dene que a TI é um fator es-
sencial para a gestão nanceira e estratégica de uma
organização e não apenas um suporte aos mesmos.
Em que situação o tema é útil?
Um grande desao atual das instituições é a busca
da solução ideal para o processo de gestão de riscos e
gestão operacional, cada organização deverá denir
como irá tratar a questão de TI, Segurança e, principal-
mente, Auditoria e balancear como deverá usar cada
uma delas, de forma que esta solução seja um pilar
valioso para o processo maior de Governança Corpo-
rativa. Essa nova necessidade de gestão tem impacto
direto no trabalho do auditor de sistemas.
Auditoria de sistemas
A
atividade de auditoria inde-
pendente de demonstrações
contábeis tem como principal
produto formal um parecer, expressando
a opinião do auditor sobre a adequação,
ou não, com que as demonstrações contá-
beis representam a posição patrimonial
e financeira da entidade auditada, o
Planejamento e Gerência
Nesta seção você encontra artigos voltados para o planejamento
e gerência de seus projetos de software.
Edição 28 - Engenharia de Software Magazine 27
GESTÃO DE TI
resultado de suas operações, as movimentações ocorridas
no seu patrimônio líquido e as origens e aplicações dos seus
recursos, tomando como base de comparação os princípios
fundamentais, ou geralmente aceitos, de contabilidade. Para
suportar sua opinião, o auditor independente deve coletar
evidências suficientes e apropriadas de auditoria, através de
um conjunto de procedimentos técnicos.
Assim, considerando o alto grau de automação das orga-
nizações, o estudo e o processo de avaliação dos sistemas
informatizados e controles internos automatizados da entidade
auditada são fatores relevantes no planejamento dos trabalhos
desse tipo de auditoria e, principalmente, na análise do risco
de emissão de opinião tecnicamente incorreta sobre demons-
trações contábeis elaboradas e processos de gestão.
Consequentemente, deveriam ser objeto de uma gama de
normas formais que possam oferecer ao auditor de sistemas
as ferramentas necessárias para executar a contento suas
atividades, bem como para consubstanciar adequadamente
seu processo de julgamento e expressão de opinião sobre os
sistemas e controles internos automatizados que suportam as
demonstrações contábeis.
Algumas inquietações surgem diante da magnitude da res-
ponsabilidade e da complexidade das tarefas que a atividade do
auditor de sistemas assume cada vez mais, quando se propõe
a opinar sobre os sistemas que suportam as demonstrações
contábeis de uma entidade. Principalmente, considerando que
é cada vez mais importante para o sucesso e sobrevivência de
uma organização, o gerenciamento efetivo da informação e da
respectiva Tecnologia de Informação (TI), considerando:
A crescente dependência de informações e dos sistemas que
proveem essas informações;
As crescentes vulnerabilidades e um amplo espectro
de ameaças à segurança da informação e dos sistemas de
informação;
A escala e o custo dos investimentos atuais e futuros em
informações e sistemas de informação;
O potencial das tecnologias em mudar dramaticamente as
organizações e as práticas de negócios, criando novos riscos e
ameaças aos controles internos.
Para muitas organizações, a informação e a tecnologia que
suportam o negócio representa o seu mais valioso recurso.
Além disso, num ambiente de negócio altamente competitivo
e dinâmico é requerida uma excelente habilidade gerencial,
onde a TI deve suportar as tomadas de decisões de forma
rápida, constante e com custos cada vez mais baixos. Muitas
organizações reconhecem os benefícios potenciais que a tec-
nologia pode propiciar. Entretanto, somente as organizações
de sucesso compreendem e administram os riscos associados
à implementação de novas tecnologias.
A Tecnologia da Informação também está ganhando uma
importância cada vez maior para as instituições financeiras do
mundo todo. Com o desenvolvimento dos negócios globaliza-
dos, a informação tornou-se cada vez mais disponível a partir
de novos pontos de acesso em qualquer parte do planeta, ao
preço de ficar mais exposta, trazendo assim novos riscos a
essas instituições.
Essa globalização favoreceu a ocorrência de diversos pro-
blemas de segurança, que contribuíram para essa crescente
preocupação com o controle efetivo de suas operações e com
o acesso a essas informações, tais como:
Aumento do número de fraudes;
Aumento de operações de lavagem de dinheiro;
Aumento de erros nessas instituições;
Perda ou roubo de informações financeiras.
Paralelamente, com o aumento destes problemas – resultantes
da ineficiência dos sistemas de qualidade e segurança – além da
possibilidade de descontinuidade das operações com impactos
alarmantes que afetam toda uma cadeia de fornecimento de
bens e serviços, muitas corporações passaram a ser fortemente
regulamentadas por leis e regulamentações cada vez mais
rigorosas. As recentes mudanças no ambiente regulamentar,
como o surgimento da Lei Sarbanes-Oxley, lei federal americana
editada em 2002 pelo Congresso e Governo dos EUA, entre ou-
tros, afetarão todos os segmentos do mercado por exigirem que
as organizações que participam do sistema financeiro adotem
melhores práticas de gestão de riscos e gestão operacional.
A gestão de riscos proporciona as condições necessárias para
a instituição identificar os fatores de risco inerentes às suas
posições e seu respectivo dimensionamento, de modo a estimar
o tamanho das perdas potenciais e determinar a necessidade
de capital econômico para sua cobertura. O processo de gestão
operacional consiste na identificação dos riscos de segurança a
que o negócio está exposto. Através de uma avaliação sistemá-
tica que visa o mapeamento das ameaças e vulnerabilidades
operacionais, a empresa conhece os riscos a que está exposta
e pode preparar-se para evitá-los.
O mundo corporativo tem visto que estas mudanças não
impactam somente as áreas de contabilidade e finanças das ins-
tituições, mas na empresa como um todo. A alta administração
dessas organizações está continuamente em busca de modelos
mais eficientes e na eficácia de sua Governança Corporativa. A
expressão “Governança Corporativa” é definida pelo Instituto
Brasileiro de Governança Corporativa (IBGC) como um sistema
pelo qual as empresas são dirigidas e monitoradas, envolvendo
os relacionamentos entre acionistas e cotistas, conselho de
administração, diretoria, auditoria independente e conselho
fiscal. Uma boa Governança Corporativa deve se basear numa
análise criteriosa da adequação dos processos, da cultura e da
disciplina organizacional, recursos humanos e tecnologia, e
na aplicação de controles rigorosos, preventivos e detectivos
no gerenciamento dos riscos.
Porém, para uma Governança Corporativa adequada, a área
de TI da empresa deve estar com os processos de TI devida-
mente alinhados aos negócios da corporação, para garantir o
retorno de investimentos e adição de melhorias nos processos
empresariais. A Governança de TI tem a mesma filosofia da
Governança Corporativa, no entanto, voltada exclusivamente
à área de tecnologia. Conforme destacado no documento Board
28 Engenharia de Software Magazine - Auditoria de sistemas
Briefing on IT Governance, publicado pelo IT Governance Institute
[7], a Governança de TI trata basicamente de:
Alinhamento e entrega de valor por parte da área de TI para
o negócio;
Correta alocação e medição dos recursos envolvidos;
A mitigação dos riscos em TI.
De forma cada vez mais crescente, torna-se necessário defi-
nir, para a TI, objetivos para atender aos requisitos próprios
do negócio e também aos da segurança das informações
processadas, armazenadas e transmitidas. A área de TI das
instituições deverá aumentar a necessidade de foco no plane-
jamento estratégico, garantindo que os processos de TI estejam
devidamente alinhados às estratégias de negócios, fornecendo
desempenho, disponibilidade, integridade e segurança da
informação à organização.
Assim, seja para identificar e gerenciar os riscos operacionais,
coibindo ações que causem prejuízos, seja para adequar políti-
cas e procedimentos internos para atender os aspectos regula-
mentares de gestão de riscos e da segurança da informação, as
instituições deverão rever todos os processos internos cobrindo
desde as metodologias de desenvolvimento de sistemas até as
áreas de operações de computadores, buscando a melhoria na
eficiência de processos, na comunicação e transparência de
informações e consequentemente na melhoria da governança
corporativa.
A governança de TI, por sua vez, emprega ferramentas e
aplicações de TI para aumentar a vantagem competitiva das
organizações. Para tanto, foram desenvolvidos nos últimos
anos, por iniciativa de vários institutos internacionais, uma
série de modelos de gestão que se aplicados asseguram a
conformidade com as melhores práticas de processos, de
segurança da informação e gerenciamento dos riscos corpo-
rativos. Esses modelos (framework) de controle formam a base
do desenvolvimento de controles internos para as instituições.
Estes compreendem políticas, procedimentos e práticas que
giram em torno do gerenciamento dos riscos, processo que
deve estar sempre alinhado aos objetivos do negócio ou de
TI, conforme o propósito original do framework (sistemas de
controle estruturado com elementos de gestão). Cada framework
possui uma metodologia própria desenvolvida pelo instituto
responsável. A metodologia corresponde ao processo de
introdução e integração dessa nova estrutura no escopo das
atividades organizacionais enquanto que o framework repre-
senta o arcabouço do sistema.
A adoção de um modelo de gestão depende, fundamental-
mente, de quais tipos de objetivos a instituição visa alcançar
de forma gerenciada. Pode-se listar as seguintes referências
para a área de governança de TI: (i) CobiT para a governança
de TI; (ii) ITIL para a gestão de serviços de TI; (iii) DRI para a
especificação e operação de planos de continuidade de negó-
cios; (iv) ISO 17799 (ou BS-7799) para a gestão de Segurança
de Informação; (v) CMMI que define um modelo de gestão
para o desenvolvimento de software; (vi) COSO para definir
processos para o controle interno das empresas.
Um grande desafio atual das instituições é a busca da solução
ideal para o processo de gestão de riscos e gestão operacional,
cada organização deverá definir como irá tratar a questão de
TI, Segurança e, principalmente, Auditoria e balancear como
deverá usar cada uma delas, de forma que esta solução seja
um pilar valioso para o processo maior de Governança Cor-
porativa. Essa nova necessidade de gestão tem impacto direto
no trabalho do auditor de sistemas e, consequentemente, nas
opiniões sobre as demonstrações financeiras.
Neste contexto, o objetivo principal deste artigo é identifi-
car e comparar o conjunto de normas e padrões CobiT, ITIL
e norma ISO 17799, emitidos por organismos internacionais,
de natureza compulsória ou não, dos quais os auditores de se
utilizam, para estudar e avaliar os sistemas, infraestrutura e
controles internos automatizados no processo de auditoria
dos sistemas que suportam as demonstrações contábeis das
entidades contratantes de tais serviços.
Governança da Tecnologia da Informação
A informação é reconhecida pelas organizações nos últimos
anos como sendo um dos mais importantes recursos estraté-
gicos que necessitam gerenciamento. Atualmente, os sistemas
e os serviços de Tecnologia da Informação (TI) desempenham
um papel vital na coleta, análise, produção e distribuição da
informação indispensável à execução do negócio das organi-
zações. Dessa forma, tornou-se essencial o reconhecimento
de que a TI é crucial, estratégica e um importante recurso que
precisa de investimento e gerenciamento apropriados.
Esse cenário motivou o surgimento do conceito de Gover-
nança da Tecnologia da Informação, do termo inglês IT Go-
vernance, através da qual se procura o alinhamento da TI com
os objetivos da organização. Governança da Tecnologia da
Informação define que a TI é um fator essencial para a gestão
financeira e estratégica de uma organização e não apenas um
suporte aos mesmos.
Governança da Tecnologia da Informação pode ser definida
como:
1. Uma estrutura de relacionamentos entre processos para
direcionar e controlar uma empresa de modo a atingir seus
objetivos corporativos, através da agregação de valor e controle
dos riscos pelo uso da TI e seus processos;
2. Capacidade organizacional exercida pelo conselho diretor,
gerente executivo e gerente de TI de controlar o planejamento
e implementação das estratégias de TI e dessa forma, permitir
a fusão de TI ao negócio;
3. Especificação das decisões corretas em um modelo que
encoraje o comportamento desejável no uso de TI nas
organizações.
Para alcançar a Governança da Tecnologia da Informação
tanto as organizações quanto seus auditores se utilizam de
modelos de gestão que, se aplicados, asseguram a conformi-
dade com as melhores práticas de processos e segurança da
informação. Entre esses modelos, pode-se citar CobiT para a
Governança de TI e ITIL para a gestão dos serviços de TI.
Edição 28 - Engenharia de Software Magazine 29
GESTÃO DE TI
A Lei Sarbanes-Oxley
A Lei americana Sarbanes-Oxley foi originada em 2002,
após escândalos corporativos de manipulação de dados
contábeis ocorridos em grandes empresas norte-americanas
como a empresa de energia Enron, Tyco e a WorldCom na
área de telecomunicações. O escopo desta legislação federal
se insere no âmbito da governança corporativa, e na ética
nos negócios de companhias que possuem capital na Bolsa
de Nova York.
Rígidos parâmetros legais foram impostos a estas empresas,
aumentando desde o grau de responsabilidade dos executi-
vos da empresa, até as auditorias e advogados contratados
que atestarem balanços. As principais exigências incluem
clareza na apresentação das informações financeiras, ênfase
em assuntos de governança corporativa; processos rigorosos
de controle interno; informações financeiras confiáveis e
compreensíveis e independência das firmas de auditoria
externa encarregada de validá-las.
Embora restrita ao governo norte-americano, a Sarbanes-
Oxley é uma legislação que funciona como uma espécie de
bola de neve no mercado de tecnologia do mundo todo. No
Brasil, essa lei se aplica às empresas com ações negociadas
nos mercados de capitais dos Estados Unidos, subsidiárias
de empresas multinacionais de capital americano e empresas
brasileiras com ações naquele país.
Em suas 1.107 seções, a maior atenção, discussão e trabalho
a respeito da Sarbanes-Oxley está sendo focado nas seções 302
e 404 da Lei. A Seção 302 requer que o principal executivo
(CEO) e o principal executivo de finanças (CFO) assumam a
responsabilidade por definir, avaliar e monitorar a eficácia
dos controles internos sobre relatórios financeiros e divul-
gações da empresa. Estes controles devem ser suficientes
e capazes de livrar a instituição dos riscos que possam
ameaçar suas principais funções e, com isso, prejudicar
respectivas entidades e partes interessadas, como clientes
e acionistas.
Na seção 404 da Lei é tratada a validação dos controles e
procedimentos internos sobre os relatórios financeiros, esta
avaliação deve ser formal e realizada anualmente por audito-
res externos. E a seção 409 trata da divulgação imediata, em
tempo real e em base rápida e corrente, dados que possam
impactar a performance financeira da empresa; informações
com respeito a mudanças materiais na condição financeira
ou operacional da organização.
Uma outra seção que também se destaca é a Seção 906, que
exige que uma certificação do CFO ou CEO acompanhe cada
relatório que contenha dados financeiros, garantindo que
os dados representam fielmente as condições financeiras e
os resultados operacionais da empresa. Esta seção atribui
penalidades criminais a certificações falsas (que vão desde
o pagamento de multas ao cumprimento de penas).
Ao regular a atividade de contabilidade e auditoria das em-
presas de capital aberto, a Sarbanes-Oxley reflete diretamente
seus dispositivos nos sistemas de Tecnologia da Informação.
Práticas de segurança de redes e dos sistemas passam a ter
obrigatoriedade; invasões, ataques, vírus e roubo de da-
dos, fraudes de senhas e demais ameaças à segurança das
informações da companhia podem, se não houver provas
suficientes de adoção de medidas preventivas, implicar em
responsabilidade direta dos administradores.
Revisões de processos, reestruturação de conselhos e ado-
ção de políticas que disseminem o conceito de governança
corporativa também devem ser consideradas como medidas
obrigatórias e urgentes.
O Basiléia II
Com a criação pelo Bank for International Settlements (BIS),
o Banco Central dos Bancos Centrais que regula o setor no
mundo inteiro, de um Novo Acordo de Capitais, o Basiléia
II, as instituições financeiras começaram a se preocupar
com a eficiência de seus controles internos e da gestão de
riscos operacionais.
As recomendações do Comitê de Supervisão da Basiléia,
que criou o Novo Acordo da Basiléia, publicado em Junho
de 2004 pelo documento “Convergência Internacional de
Mensuração e Padrões de Capital: Uma estrutura Revisada
(Basiléia II)”, tratam do estabelecimento de critérios mais ade-
quados ao nível de riscos associados às operações conduzidas
pelas instituições financeiras para fins de requerimento de
capital regulamentar, exigindo que as perdas operacionais
previstas sejam deduzidas da base de capital, impondo que as
instituições tenham a mensuração, gestão e controle do Risco
Operacional. Este último, conforme descrito pelo Comitê
da Basiléia em 2001, é o risco de perdas diretas e indiretas,
resultante de falhas em processos internos ou de eventos
externos, tais como fraudes, relações trabalhistas, danos a
ativos, interrupção do negócio e falhas de sistemas, execução e
gestão de processo. Na prática, o novo acordo atinge os bancos
da seguinte maneira: a instituição que não possuir controles
internos eficientes e uma metodologia de avaliação de riscos
implementada será obrigada a manter uma quantidade maior
de recursos próprios em sua estrutura patrimonial, enquanto
que, instituições que investirem nesses itens terão que reter
menor volume de recursos, o que tem um impacto determi-
nante na competitividade dos bancos.
Do ponto de vista da área de TI, será necessária a adoção
de uma gestão de riscos operacionais para garantir total
segurança e confidencialidade dos dados dos clientes, sem
o comprometimento da instituição. Além de oferecer uma
infraestrutura de sistemas que assegure a integridade da
base de dados e dos relatórios gerenciais, sendo preciso
adaptar sistemas e procedimentos dos bancos relacionados
à análise e medição do risco operacional.
Para permitir uma estratégia de gerenciamento do risco
o Basiléia II exige a captação, arquivamento e estruturação
de dados históricos relacionados com a instituição nos úl-
timos cinco anos, consolidando na base de dados todas as
informações sobre fraudes, lavagem de dinheiro, padrões
de operações e comportamentos suspeitos, garantindo a
existência de um ambiente adequado de controles.
30 Engenharia de Software Magazine - Auditoria de sistemas
A necessidade de um framework para o
gerenciamento de riscos
Para atender aos novos desafios das exigências legais e regu-
lamentações, as instituições estão priorizando investimentos
na área de Segurança da Informação e no próprio departa-
mento de TI. Isso engloba tanto os esquemas de tolerância à
falha a infraestrutura de TI quanto à proteção contra ações
hostis e garantia do uso responsável dos recursos, buscando
maior ênfase em Governança de TI e melhores e mais efetivos
controles internos para garantir a gestão de riscos em seus
processos e no relacionamento com a sociedade.
Esses controles são definidos como políticas, procedimentos,
práticas e estruturas organizacionais projetados para prover
razoável segurança de que os objetivos de negócio serão
atingidos e que eventos indesejáveis serão prevenidos ou
detectados e corrigidos. A governança do sistema financeiro
depende da governança da TI e esta das ferramentas baseadas
em TI como suporte para uma gestão efetiva da informação
e da tecnologia.
A dificuldade em se criar um sistema de controles internos,
estruturado e adequado a essas regulamentações, ensejou
a busca por parte das instituições por estruturas prontas e
flexíveis (frameworks), cuja funcionalidade deveria englobar,
minimamente, os aspectos a seguir:
Foco nos objetivos de negócio e missão da instituição;
Gestão de riscos corporativos, notadamente os de natureza
operacional;
Conformidade com as normas oficiais aplicáveis.
Neste ponto, faz-se necessário procurar uma solução que pos-
sibilite efetuar avaliações sistemáticas e profundas, de pontos
nevrálgicos cujo comprometimento da segurança respectiva
pode causar consequências indesejáveis a diferentes partes da
instituição. Essa avaliação deve ainda contemplar elementos
que interligam as funções de negócio aos pontos verificáveis
causadores dos riscos.
Para tal, o framework e a metodologia a serem empregados
devem ser cuidadosamente avaliados para a correta adequação
aos objetivos da instituição. É essencial que os vários aspectos
característicos sejam conhecidos previamente, para que haja
sucesso no efetivo gerenciamento de riscos, atendimento às
regulamentações oficiais e capacidade de verificação da efi-
cácia dos controles de TI.
Diante deste cenário, um modelo de gestão disponível que
tem muito a contribuir com isto e que tem sido sugerido para
adoção por importantes instituições financeiras mundiais e
sólidos grupos internacionais é a metodologia CobiT para a
governança de TI, um conjunto de melhores práticas de con-
trole de objetivos, otimização dos investimentos, mapas de
auditoria e técnicas de gerenciamento que é voltado para todas
as companhias, independente das plataformas tecnológicas
adotadas, que buscam alinhar as práticas de TI ao seu modelo
de negócio visando regulamentar o processo. No Brasil, esta
metodologia vem sendo amplamente utilizada por empresas de
diversos setores e segmentos, além de ser a base de avaliação
de práticas de controle de TI para Órgãos Reguladores como
o Banco Central do Brasil e a Superintendência de Seguros
Privados (SUSEP).
A metodologia CobiT
Desenvolvido pelo IT Governance Institute, o CobiT – Control
Objectives for Information and Related Technology (Objetivos de
Controle sobre Informações e Tecnologia Relacionada) - é
considerada a metodologia base para a governança de TI,
projetado para ser uma ferramenta de gestão da área de
Tecnologia da Informação que ajuda a compreender e ge-
renciar os riscos e benefícios associados com a informação
e relacionados com TI.
Conceito
O CobiT, agora na sua 3ª edição, auxilia a associação entre
os riscos de negócio, as necessidades de controle e os as-
pectos tecnológicos. Propicia boas práticas através de uma
matriz de domínios e processos (framework) estruturados de
forma lógica e gerenciável. Tais “boas práticas” representam
o consenso de especialistas, tendo sido pesquisadas e con-
solidadas pela ISACF (Information Systems Audit and Control
Foundation), com o intuito principal de constituir-se em
uma fonte educacional para profissionais de controle. Foi
desenvolvido como um padrão geralmente aceito e aplicável
para boas práticas de controle e segurança de Tecnologia de
Informação, objetivando ser seu equivalente dos Princípios
Contábeis Geralmente Aceitos.
A metodologia CobiT tem como missão: Pesquisar, de-
senvolver, publicar e promover um conjunto atualizado,
autorizado e com foco internacional, de objetivos de controle
geralmente aceitos e aplicáveis à Tecnologia da Informação
para o uso por gestores de TI, CIOs - Chief Information Officers
-, usuários e auditores de sistemas.
Aplicação do CobiT
O CobiT foi projetado para utilização por três distintos
públicos:
Administradores: para auxiliá-los na ponderação entre
risco e investimento em controles num ambiente muitas
vezes imprevisível como o de TI.
Usuários: para garantir segurança e controle dos serviços
de TI fornecidos internamente ou por terceiros e;
Auditores: para subsidiar suas opiniões e/ou prover acon-
selhamento aos administradores sobre controles internos.
Estrutura do CobiT
A metodologia CobiT possui três níveis. No nível mais
elevado estão os Domínios, que são agrupamentos de pro-
cessos conforme a natureza destes. O CobiT está dividido
em quatro domínios:
I. Planejamento e organização: Este domínio abrange es-
tratégias e táticas, dando enfoque na identificação dos
caminhos que a TI pode melhor contribuir para a obtenção
dos objetivos de negócio.
Edição 28 - Engenharia de Software Magazine 31
GESTÃO DE TI
II. Aquisição e implementação: Este domínio visa realizar a
estratégia de TI, através da identificação de soluções neces-
sárias, utilizando o desenvolvimento ou aquisição e tê-las
implementadas e integradas aos processos de negócio.
III. Entrega e suporte: Este domínio dá enfoque aos
produtos reais dos serviços requeridos, desde operações
tradicionais de segurança e aspectos de continuidade.
IV. Monitoração: Este é o domínio que controla os pro-
cessos de TI que devem ser avaliados regularmente nos
aspectos de sua qualidade e conformidade às necessidades
de controle.
No próximo nível estão os Processos. Estes são forma-
dos por conjuntos de atividades e/ou tarefas onde cada
conjunto (ou processo) possui características próprias
associadas a controle. No total a metodologia possui 34
processos de TI, e cada um destes processos possui um
objetivo de controle de alto nível.
O nível mais baixo da estrutura são as Atividades e Ta-
refas. As atividades possuem um ciclo de vida, enquanto
as tarefas são como pontos no tempo. As duas formam o
grupo mais numeroso, existindo 318 objetivos de controle
detalhados a elas relacionados. Os objetivos de controle
de TI são definidos como uma declaração do resultado
desejado ou propósito a ser atingido pela implementação
de procedimentos de controle numa atividade de TI em
particular.
Tal estrutura cobre todos os aspectos da informação e
da tecnologia que a suporta. Outrossim, a cada um dos
34 objetivos de controle de alto nível estão associadas Di-
retrizes de Auditoria (Audit Guideline) para possibilitar
a revisão dos processos de TI contra os 318 objetivos de
controle detalhados recomendados pelo CobiT.
Cada um destes diferentes níveis é avaliado segundo
sete Critérios de Informação, para avaliação dos diversos
processos ligados à TI, de acordo com os Recursos da TI
que estes utilizam:
Eficácia: A informação deve ser relevante e pertinente
aos objetivos do negócio, sendo disponibilizada às pessoas
adequadas no tempo e conteúdo corretos;
Eficiência: A informação deve ser disponibilizada
utilizando-se os diversos recursos da forma mais eficiente
e econômica possível;
Confidencialidade: Assegura que as informações não
serão utilizadas por pessoas não autorizadas;
Integridade: A informação deve ser completa, atual e
precisa, atendendo às necessidades do negócio;
Disponibilidade: A informação, assim como todos os
recursos necessários para sua geração e utilização, deve
estar disponível sempre que necessário;
Conformidade: A informação deve estar em conformida-
de com leis, regulamentos e arranjos contratuais os quais
os processos de negócios estão sujeitos;
Confiabilidade das Informações: Fornecimento das in-
formações adequadas aos administradores para que estes
possam cumprir adequadamente suas responsabilidades
gerenciais, financeiras e de conformidade.
E os principais recursos de TI são:
Dados: São objetos no sentido amplo, estruturados ou
não, tais como textos, gráficos, sons, etc.;
Sistemas Aplicativos: São tanto sistemas manuais como
procedimentos automatizados;
Tecnologia: Hardware, sistemas operacionais, sistemas
para gerenciamento de bases de dados, redes, multimí-
dia, etc.;
Instalações: São os recursos utilizados para abrigar e
dar suporte aos sistemas de informação;
Pessoas: São as habilidades e conhecimentos para plane-
jamento, organização, aquisição, entrega, suporte e moni-
toramento de sistemas de informação e seus serviços.
Em resumo, com a finalidade de prover informação que
a organização necessita para atingir seus objetivos, os
recursos de TI devem ser gerenciados por um conjunto
de processos naturalmente agrupados. Este conceito é
ilustrado na Figura 1, que apresenta o CobiT Framework,
o qual relaciona os 34 objetivos de controle de alto nível e
seus respectivos domínios, as sete categorias de critérios
para a avaliação dos processos e os recursos de TI. O ciclo
natural dos processos é respeitado levando-se em conta,
na avaliação dos controles, os objetivos do negócio, os sete
critérios de avaliação e os recursos de TI (ver Figura 1).
Tabela Resumo do CobiT
Os objetivos de controle do CobiT procuram atestar como
cada processo faz uso dos recursos de TI para atender
de forma primária ou secundária cada requerimento do
negócio em termos de informação, cobrindo todos os
seus aspectos. A forma utilizada na metodologia para
demonstrar como cada critério de informação e recurso
de TI impacta os diferentes processos analisados utiliza
os seguintes critérios de preenchimento:
Primário (P) – Indica o nível no qual o objetivo de controle
definido tem impacto direto no critério de informação;
Secundário (S) – Indica o nível no qual o objetivo de contro-
le definido apenas satisfaz o critério de informação, podendo
ser em pouca extensão ou inclusive indiretamente;
Não Preenchimento – Poderia ser aplicável, todavia outro
critério de avaliação é mais adequado a este processo.
Similarmente, uma medida de controle particular não
impacta necessariamente os diferentes recursos de TI
no mesmo nível. Consequentemente, o CobiT framework
indica especificamente a aplicabilidade do recurso de TI
que são gerenciados especificamente pelo processo em
consideração e não apenas aqueles que meramente fazem
parte do processo.
A Tabela 1 demonstra a Planilha Resumo do CobiT
utilizando os critérios de preenchimento anteriormente
32 Engenharia de Software Magazine - Auditoria de sistemas
Figura 1. #/")4
mencionados para indicar quais cri-
térios de informação são impactados
pelos objetivos de controle de alto nível
quais recursos de TI são aplicáveis nos
34 processos analisados.
Componentes do CobiT
Os componentes do CobiT são utiliza-
dos para fazer com que a TI seja orien-
tada aos objetivos do negócio e cumpra
seu papel na instituição. Para tanto, as
boas práticas do CobiT são organizadas
em processos, cada qual visando a um
Objetivo de Controle. Cada processo do
CobiT possui os seguintes componentes
(ver Figura 2):
Objetivos de controle: alinham o fra-
mework geral com objetivos de controle
detalhados de 41 fontes primárias que
compreendem padrões e regulamentos
internacionais de fato e de direito que se
Figura 2. #OBI4#OMPONENTS,INKED
Edição 28 - Engenharia de Software Magazine 33
GESTÃO DE TI
Domínio Processo Critérios de Informação Recursos de TI
Eficácia
Eficiência
Confiabilidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Pessoas
Aplicativos
Tecnologia
Instalações
Dados
Planejamento e
Organização
PO1 Definir um plano estratégico de TI P S V V V V V
PO2 Definir a arquitetura da informação P S S S V V
PO3 Determinar a direção tecnológica P S V V
PO4 Definir a organização e relacionamentos da TI P S V
PO5 Gerenciar o investimento em TI P P S V V V V
PO6 Comunicar objetivos e diretrizes da Administração P S V
PO7 Gerenciar recursos humanos P P V
PO8 Garantia do cumprimento de exigências externas P P S V V V
PO9 Avaliação de riscos P S P P P S S V V V V V
PO10 Gerenciar Projetos P P V V V V
PO11 Gerenciar Qualidade P P P S V V V V
Aquisição e
implementação
AI1 Identificar Soluções P S V V V
AI2 Adquirir e manter software aplicativo P P S S S V
AI3 Adquirir e manter arquitetura tecnológica P P S V
AI4 Desenvolver e manter procedimentos de TI P P S S S V V V V
AI5 Instalar e certificar sistemas P S S V V V V V
AI6 Gerenciar mudanças P P P P S V V V V V
Fornecimento e Suporte
DS1 Definir níveis de serviços P P S S S S S V V V V V
DS2 Gerenciar serviços de terceiros P P S S S S S V V V V V
DS3 Gerenciar performance e capacidade P P S V V V
DS4 Garantir continuidade dos serviços P S P V V V V V
DS5 Garantir segurança dos sistemas P P S S S V V V V V
DS6 Identificar e alocar custos P P V V V V V
DS7 Educar e treinar usuários P S V
DS8 Auxiliar e aconselhar usuários de TI P P V V
DS9 Gerenciamento da configuração P S S V V V
DS10 Gerenciamento de problemas e incidentes P P S V V V V V
DS11 Gerenciamento de dados P P V
DS12 Gerenciamento de instalações P P V
DS13 Gerenciamento de operação P P S S V V V V
Monitoração
M1 Monitorar os Processos P P S S S S S V V V V V
M2 Avaliar a adequação do controle interno P P S S S P S V V V V V
M3 Obter certificação independente P P S S S P S V V V V V
M4 Auditoria P P S S S P S V V V V V
Tabela 1. CobiT Summary Table
relacionam a TI. Eles contêm declarações dos resultados desejados
ou metas a serem alcançadas na implementação de procedimentos
de controle específicos dentro de uma atividade de TI e fornecem
uma política clara para o controle de TI na empresa;
Para atender as necessidades gerenciais de controle e me-
dição de TI, o CobiT fornece para cada um dos 34 processos
de TI, além dos objetivos de controles, diretrizes contendo
ferramentas de avaliação e medição do ambiente de TI da
organização, permitindo uma abordagem ampla sobre o
que se espera do processo, como se medem os resultados e
como se mede a performance:
Práticas de controle: fornecem mais detalhadamente o
“como” e o “porque” necessários para implementar os contro-
les altamente específicos baseados em uma análise de riscos
operacionais e de TI;
34 Engenharia de Software Magazine - Auditoria de sistemas
diretrizes de gerenciamento, que incluem:
- FCSs ă Fatores Críticos de Sucesso: Os fatores críticos de
sucesso definem os desafios mais importantes ou ações de
gerenciamento que devem ser adotadas para colocar sobre
controle a gestão de TI. São definidas as ações mais importan-
tes do ponto de vista do que fazer a nível estratégico, técnico,
organizacional e de processo (ITGI, 2004);
- KGIs ă Indicadores chaves de objetivos: Os indicadores
de objetivos definem como serão mensurados os progressos
das ações para atingir os objetivos da organização, usualmente
expressos nos seguintes termos:
• Disponibilidade das informações necessárias para su-
portar as necessidades de negócios;
• Riscos de falta de integridade e confidencialidade das
informações;
• Eficiência nos custos dos processos e operações;
• Confirmação de confiabilidade, efetividade e conformi-
dade das informações.
- KPIs ă Indicadores chaves de desempenho: Indicadores
de desempenho definem medidas para determinar como os
processos de TI estão sendo executados e se eles permitem
atingir os objetivos planejados; são os indicadores que definem
se os objetivos serão atingidos ou não; são os indicadores que
avaliam as boas práticas e habilidades de TI;
- Modelos de maturidade: Os modelos de maturidade de
governança são usados para o controle dos processos de TI e
fornecem um método eficiente de auditoria que permite clas-
sificar o nível de maturidade dos processos da organização. A
governança de TI e seus processos com o objetivo de adicionar
valor ao negócio através do balanceamento do risco e retorno
do investimento podem ser classificados, seguindo o modelo
do CMM (Capability Maturity Model), da seguinte forma:
• (0) Inexistente: significa que o processo de gerencia-
mento não foi implantado. Não existe a consciência da
necessidade de controles;
• (1) Inicial ou Sob Demanda („ad hoc‰): existe o reconhe-
cimento da necessidade de governança de TI, entretanto, não
existem padrões, o processo é realizado sem organização, de
modo não planejado. O monitoramento de TI é implemen-
tado de forma reativa devido a algum incidente que tenha
causado perda ou dificuldade para a organização;
• (2) Repetível mas Intuitivo: existe uma consciência
global das questões de governança de TI. Atividades de
governança de TI e indicadores de performance estão em
desenvolvimento. A gerência identificou medidas básicas
de governança de TI, entretanto, o processo não está sendo
implementado em toda a organização, são iniciativas isola-
das, o processo é repetido de modo intuitivo, isto é, depen-
de mais das pessoas do que de um método estabelecido;
• (3) Definido: neste nível os procedimentos foram pa-
dronizados, documentados e implementados. Existe um
conjunto de indicadores definidos, ligando os resultados
medidos com os direcionadores de performance. Os pro-
cedimentos são medidos, porém simples, sendo a forma-
lização do que já existe;
• (4) Gerenciado: neste nível existe o entendimento em
todos os níveis da organização sobre a necessidade da
governança de TI, suportada através de níveis de serviço.
São instituídos, de forma padronizada, procedimentos
de análise de causa de problemas. Existem métricas de
desempenho das atividades, o processo é monitorado e
constantemente avaliado. Início do processo de melhoria
contínua;
• (5) Otimizado: neste nível, os riscos e retornos de TI são
identificados e devidamente gerenciados. Os processos são
constantemente refinados ao nível das melhores práticas
de mercado e automação para a melhoria contínua dos
processos. A organização, pessoas e processos são rapi-
damente adaptáveis.
Cada processo tem no CobiT o detalhamento do que significa
estar em cada um dos estágios.
Com a utilização dos componentes das diretrizes de geren-
ciamento (Management Guidelines) do CobiT, tais como fatores
críticos de sucesso, indicadores chaves de metas, indicadores
chaves de desempenho, e os modelos de maturidade, é possível
graduar a maturidade de uma organização para um determi-
nado processo, de não-existente (0) até otimizado (5) e assim
avaliar-se quanto as melhores práticas e padrões de mercado, e
identificar as deficiências e definir ações específicas para se al-
cançar um certo nível de maturidade desejada. Pode-se mover
para um nível mais alto quando todas as condições descritas
em um determinado nível de maturidade são cumpridas.
- Diretrizes de auditoria: descreve e sugere atividades de
análise, avaliação e interpretação para auditar os processos;
O CobiT procura ocupar o espaço entre a Gestão de Riscos
voltada para o Negócio (atendida, por exemplo, pelo COSO -
Comittee of Sponsoring Organizations), a Gestão de Serviços em
TI (por exemplo, por meio do ITIL) e a Gestão da Segurança da
Informação (por exemplo, tratada pela ISO 27001).
Esses modelos de gestão consistem de boas práticas espe-
cíficas segundo sua área foco, e possuem funções comple-
mentares. Dessa forma, o CobiT permite alinhar os objetivos
dessas áreas de conhecimento às estratégias e princípios de
governança corporativa, garantindo, assim, que os processos
e atividades desempenhadas pelas respectivas áreas e funções
corporativas concorram de forma sistemática para o alcance
os objetivos do negócio e para a redução dos riscos operacio-
nais. O CobiT assegura aos usuários a existência de controles,
inclusive tornando-os responsáveis por parte desses controles,
e auxilia o trabalho dos auditores de sistemas e de segurança
da informação.
ITIL
Cada vez mais as organizações serão pressionadas a
mostrar que possuem um rígido controle de todos os seus
processos de negócios. Como a Tecnologia da Informação
Edição 28 - Engenharia de Software Magazine 35
GESTÃO DE TI
é parte integral de praticamente todos estes processos, é
fundamental que as empresas alinhem fortemente suas
atividades de TI aos seus objetivos de negócios. Projetos de
TI não entregues dentro dos prazos estabelecidos podem
acarretar sérios riscos e afetar o planejamento da organi-
zação como um todo.
Por esta razão, o controle do ambiente de TI tem se tornado
um item de extrema importância e de alta complexidade. O
Gerenciamento dos Serviços de TI (Information Technology
Service Management - ITSM) vem ganhando grande destaque,
permitindo às empresas contar com um controle da qualida-
de dos seus processos de TI, mensurando resultados dentro
de padrões de eficiência e performance.
Um modelo de excelência em TI compõe-se da integração
de diversas práticas de gestão, como por exemplo, as de
Gerenciamento de Serviços de TI definidas pelo modelo de
referência ITIL (Information Technology Infrastructure Library).
A ITIL foi desenvolvida pela CCTA (Central Computer and
Telecommunication Agency), atualmente chamada OGC (Office
of Government Commerce), do Reino Unido, no final dos anos
80, sendo documentada em um conjunto de livros que des-
crevem um modelo de referência com as melhores práticas
para um efetivo gerenciamento dos Serviços de TI.
Embora concebida originalmente para o setor público
do Reino Unido, se expandiu rapidamente para as demais
organizações dos setores públicos e privados, gerando uma
indústria composta por treinamentos, certificações, consul-
torias, ferramentas de software e um Fórum específico, o
ITSMF (Information Technology Service Management Forum).
Hoje em dia, o ITIL é um padrão adotado globalmente.
O uso efetivo das melhores práticas definidas no ITIL traz
inúmeros benefícios às organizações, como:
Melhoria na utilização dos recursos;
Maior competitividade; redução de retrabalhos;
Eliminação de trabalhos redundantes;
Melhoria da disponibilidade, confiabilidade e segurança
dos serviços de TI;
Qualidade dos serviços com custos justificáveis;
Fornecimento de serviços alinhados aos negócios, aos
clientes e às demandas dos usuários;
Processos integrados;
Responsabilidades documentadas e comunicadas ampla-
mente, e registro e;
Controle de lições aprendidas.
A estrutura das publicações do ITIL é composta pelos
livros descritos a seguir:
1. Service Support - descreve a função de Service Desk e os
processos de Incident Management, Problem Management,
Configuration Management, Change Management e Release
Management.
2. Service Delivery – descreve os processos de Capacity
Management, Financial Management for IT Services, Availa-
bility Management, Service Level Management e IT Service
Continuity Management.
3. Planning to Implement Service Management - explica os
passos necessários para identificar como uma organização
pode alcançar e usufruir os benefícios da ITIL.
4. ICT Infrastructure Management - este livro aborda os
processos, organização e ferramentas necessárias para pro-
ver uma infraestrutura estável de TI e de Comunicações.
5. Application Management – é um guia para os usuários
de negócios, desenvolvedores e gerentes de serviços que
descreve como as aplicações podem ser gerenciadas sob a
perspectiva de Gerenciamento de Serviços.
6. Security Management - este livro tem conexões com
vários outros domínios da ITIL, explicando como gerenciar
melhor os níveis de segurança da infraestrutura de TI.
7. Business Perspective - este livro ajuda os Gerentes de
Negócios a compreenderem a provisão dos serviços de TI.
As disciplinas de gerenciamento de serviços que estão no
centro da biblioteca do ITIL estão divididas em dois grupos
distintos: Serviços de Suporte e Serviços de Entrega. Os ser-
viços de entrega estão focados na operação do dia a dia e no
suporte aos serviços de TI enquanto os serviços de entrega
consideram processos de planejamento de longo prazo.
A Teoria dos Processos do ITIL
A base do modelo de processos do ITIL é fundamentada
na teoria de processos proposta pela Office for Government
Commerce – OGC. Segundo este princípio, a qualidade de
um processo vem do modelo de processo que define os
fluxos de trabalho e prove um guia para percorrê-lo. Um
modelo de processo permite entender e ajudar a enunciar
as características distintas de um processo.
Um processo pode ser definido como: “uma série conectada
de ações, atividades, mudanças, etc., executadas por agentes
dentro do objetivo de satisfazer um propósito ou alcançar
um objetivo”. Definidos os processos, estes devem estar sob
controle e uma vez sob controle, estes podem ser repetidos
e gerenciados. Desta forma, a partir da definição do grau
de controle sobre os processos é possível construir métricas
para controlar estes processos. A saída produzida por um
processo deve estar de acordo com as normas operacionais
que foram derivadas dos objetivos do negócio. Se o produto
está de acordo com as definições das normas, o processo
pode ser considerado efetivo (porque pode ser repetido,
medido e gerenciado). Se as atividades são executadas com o
mínimo esforço, o processo pode ser considerado efetivo.
A Estrutura da Bibilioteca ITIL
A biblioteca ITIL tem como foco principal a operação e a ges-
tão da infraestrutura de tecnologia na organização, incluindo
todos os assuntos que são importantes no fornecimento dos
serviços de TI. Nesse contexto, o ITIL considera que um ser-
viço de TI é a descrição de um conjunto de recursos de TI. Os
serviços de suporte do ITIL auxiliam no atendimento de uma
ou mais necessidades do cliente, apoiando, desta forma, aos
seus objetivos de negócios.
36 Engenharia de Software Magazine - Auditoria de sistemas
O princípio básico da biblioteca ITIL é o objeto de seu
gerenciamento: a infraestrutura de TI. O ITIL descreve os
processos que são necessários para dar suporte à utilização
e ao gerenciamento da infraestrutura de TI. Outro princípio
fundamental do ITIL é o fornecimento de qualidade de serviço
aos clientes de TI com custos justificáveis, isto é, relacionar os
custos dos serviços de tecnologia e como estes trazem valor
estratégico ao negócio.
O interesse nesta área deve-se ao fato de que, através de
metodologias (processos) padronizadas de Gerenciamento do
Ambiente de TI, é possível obter uma relação adequada entre
custos e níveis de serviços prestados pela área de TI.
Ao usar o ITIL, a organização se torna capaz de melhorar
a qualidade, eficiência e eficácia na prestação de serviços,
além de diminuir a exposição ao risco. Os processos ITIL
precisam ser implementados para cada organização, pois
correspondem a um modelo (apresentado na Figura 3) e não
uma regra rígida a ser seguida.
Segurança da Informação
A informação é um conjunto de dados que, como qualquer
outro ativo importante, é essencial para os negócios de uma
organização e consequentemente necessita de cuidado e
proteção. Como a interconectividade tem crescido, a infor-
mação vem sendo cada vez mais exposta a pessoas, ameaças
e riscos.
Independente de qual seja a forma que a informação está re-
presentada é sempre recomendado que ela seja protegida ade-
quadamente. Com isso, segurança da informação é a proteção
da informação das ameaças na busca de manter a continuidade
do negócio, diminuir os riscos e maximizar retornos.
A segurança da informação é obtida através da implemen-
tação de um conjunto de controles e técnicas adequadas,
para a proteção da informação. Estas técnicas precisam ser
trabalhadas para que sejam atendidas as necessidades de
segurança.
Histórico da NORMA NBR ISO/IEC 17799:2005
O DTI (Departamento de Comércio e Indústria do Reino
Unido), com a necessidade de criar uma estratégia de segu-
rança para as informações do Reino Unido, criou em 1987 o
CCSC (Comercial Computer Security Center), que tinha como
objetivo criar uma norma de segurança que os atendesse.
Como a necessidade era alta, várias empresas e instituições
internacionais buscaram estabelecer metodologias e padrões
que melhor ajudasse o mercado em suas pendências relativas
à Segurança da Informação.
Em 1989 depois de ter criado vários documentos prelimi-
nares o CCSC criou a BS 7799 (British Standard 7799), essa
foi uma norma de segurança da informação destinada a
empresas, criada na Inglaterra em 1995 e disponibilizada
para consulta pública dividida em duas partes: a primeira
(BS 7799-1) em 1995, a segunda (BS 7799-2) em 1998.
A (BS 7799-1) é a parte da norma que é planejada como
um documento de referência para por em execução “boas
Figura 3. -ODELODO)4),
práticas” de segurança na empresa. A (BS 7799-2) é a parte
da norma que tem o objetivo de proporcionar uma base
para gerenciar a segurança da informação dos sistemas da
empresa. Após um trabalho árduo de internacionalização
e consultas públicas, foi aceita em dezembro de 2000, a BS
7799 como padrão internacional pelos países membros as
ISO. Isto implica na junção de duas organizações ISO (In-
ternational Standardization Organization) e IEC (International
Engineering Consortium), sendo assim denominada ISO /
IEC 17799:2000.
A ISO é uma organização internacional formada por um
conselho e comitês com membros oriundos de vários países.
Seu objetivo é criar normas e padrões universalmente acei-
tos sobre a realização de atividades comerciais, industriais,
científicas e tecnológicas. A IEC é uma organização voltada
ao aprimoramento da indústria da informação. Com isso em
dezembro de 2000 a ABNT (Associação Brasileira de Normas
Técnicas) também resolveu acatar a norma ISO como padrão
brasileiro sendo publicada em 2001 como: NBR 17799 – Có-
digo de Prática para a Gestão da Segurança da Informação.
O importante é que a partir dessa publicação passamos a
ter um referencial de aceitação internacional.
No segundo semestre de 2005 foi lançada à nova versão
da norma, a norma ISO / IEC 17799:2005, que cancela e
substitui a edição anterior.
Governança de Segurança da Informação
Ao descrever o cenário atual para o gerenciamento de Se-
gurança da Informação, cria-se a necessidade e justifica-se
a importância de se alcançar um ‘Modelo de Governança da
Segurança da Informação’. Esse modelo deverá ser utilizado
pelas organizações para que a Segurança da Informação
não seja tratada apenas no âmbito tecnológico, mas reco-
nhecida como parte integrante do planejamento estratégico
das organizações no processo de tomada de decisão. O IIA
(The Institute of Internal Auditors) publicou um trabalho onde
destaca que, uma vez que os diretores das organizações são
responsáveis pelos bons resultados e pela continuidade da
organização que eles governam, eles precisam aprender a
identificar atualmente as questões corretas sobre segurança
Edição 28 - Engenharia de Software Magazine 37
GESTÃO DE TI
computacional e ainda, considerá-las como parte de sua
responsabilidade.
Atualmente as responsabilidades acerca da segurança
computacional são frequentemente delegadas ao gerente de
segurança (Chief Security Officer) das organizações, gerando
conflitos em relação ao orçamento destinado a essa área e a
necessidade de impor medidas que vão além de seu escopo
de atuação. Dessa forma, é muito comum encontrar um ce-
nário onde as questões de segurança computacional não são
tratadas em um nível de gestão da organização, tendo como
consequência a falta de recursos para minimizar os riscos
existentes ao nível exigido pela estratégia organizacional e
definido pela análise de risco.
A responsabilidade pelo nível correto de segurança da
informação deve ser uma decisão estratégica de negócios,
tendo como base um modelo de Governança da Segurança
da Informação que contemple uma análise de risco.
Em um relatório do Corporate Governance Task Force é pro-
posto que, para proteger melhor a infraestrutura de TI, as
organizações deveriam incorporar as questões de segurança
computacional em suas ações de governança.
Em um trabalho publicado em 2003, o BSA (Business Software
Alliance) chama a atenção para a necessidade de desenvolver
um Modelo de Governança da Segurança da Informação que
possa ser adotado imediatamente pelas organizações. Nesse
trabalho é sugerido que os objetivos de controle contidos
na ISO 17799 devam ser considerados e ampliados para o
desenvolvimento de um modelo onde segurança da infor-
mação não seja considerada apenas no plano tecnológico,
mas parte integrante das “melhores práticas corporativas”,
não deixando de cobrir aspectos relacionados a pessoas,
processos e tecnologia.
Para que as organizações obtenham sucesso no processo de
segurança de sua informação, os gestores precisam tornar a
segurança computacional uma parte integrante da operação
do negócio da organização. A forma proposta para se con-
seguir isso é a estruturação de um Modelo de Governança
da Segurança da Informação como parte do controle interno
e políticas que façam parte da Governança Corporativa.
Considerando-se esse modelo, a segurança da informação
deixaria de ser tratada apenas como uma questão técnica,
passando a ser um desafio administrativo e estratégico.
Conclusão
Concluindo, este artigo reitera a dependência que a gover-
nança do sistema financeiro possui com a governança de TI
das instituições que participam desse setor. Na medida em
que a gestão da informação e da TI responde aos objetivos e
estratégias das organizações, as relações e interações entre as
organizações tendem a ser mais efetivas.
Por este motivo, estruturar os processos de TI, tendo por
referência a combinação dos frameworks do CobiT e ITIL, é
uma forma dessas empresas se prepararem para as exigências
dos acionistas, do mercado e da legislação em termos de boas
práticas de governança em TI, assegurando que a área de TI
esteja alinhada aos objetivos de negócio, de maneira que os
serviços sejam entregues na qualidade e segurança necessá-
rias, mantendo-se os prazos e custos planejados e mitigando
os riscos de auditoria e de negócio associados.
1. CAMARGO, Francisco. Inimigo digital agita o setor financeiro. Módulo Security Magazine,
2003.
2. DAMIANIDES, Mario. Sarbanes-Oxley and IT Governance: New Guidance on IT Control
and Compliance. ABI/INFORM Global, 2004.
3. FAGUNDES, Carlos. Introdução ao Risco Operacional. Disponível on-line em: http://
www.clm.com.br/abbc/docs/RiscoOperacional-Palestra.pdf.
4. GHERMAN, Marcelo. Principais características do framework COBIT. São Paulo: Sicurezza, 2005.
5. ISO-International Organization for Standardization/ International Electrotechnical
Committee. Information technology- Code of practice for information security
management. Reference number ISO/IEC 17799:2000(E).
6. ITGI - THE IT GOVERNANCE INSTITUTE.COBIT: Control Objectives for information and
related Technology, 2000.
7. ITGI, IT Governance Institute. Board Briefing on IT Governance. ISACF, Information
Systems Audit and Control Foundation, 2003.
8. ITGI, IT Governance Institute. Executive Summary. ISACF, Information Systems Audit and
Control Foundation. CobiT 3rd Edition, 2000.
9. ITGI, IT Governance Institute. Student Book. ISACF, Information Systems Audit and
Control Foundation. CobiT 3rd Edition, 2004.
10. KFOURI, Eduardo. Alinhamento Estratégico, Mobilidade e Segurança: A visão do
mercado. Plano Editorial Ltda, 2004.
11. OGC – Office of Government Commerce. ITIL: The Key to Managing IT Services – Best
Practice for Service Support, 2001.
12. PAULK, M.C.; CURTIS, B; CHRISSIS, M.B.;WEBER, C.V. Capability Maturity Model for
Software, version 1.1. Technical Report, Carnegie Mellon Software Engineering Institute,
CMU/SEI-93-TR-024, 1993.
13. PEIXOTO, Rodney de Castro. Implicações da Lei Sarbanes-Oxley na Tecnologia da
Informação. Módulo Security Magazine, 2004.
14. ROCHA, Luís Fernando. Governança em TI e Segurança: COBIT e ISO 17799 no mercado
financeiro. Módulo Security Magazine, 2003.
15. VAN GREMBERGEN, Wim. Strategies for Information Technology Governance. Idea
Group Publishing, 2003.
16. WEILL, Peter; ROSS, Jeanne W. Governança de TI: como as empresas com melhor
desempenho administram os direitos decisórios de TI na busca por resultados superiores.
M. Books do Brasil Editora Ltda., 2006.
Referências
Dê seu feedback sobre esta edição!
A Engenharia de Software Magazine tem que ser feita ao seu gosto.
Para isso, precisamos saber o que você, leitor, acha da revista!
Dê seu voto sobre este artigo, através do link:
www.devmedia.com.br/esmag/feedback
D
ê
s
e
u
F
e
e
d
b
a
c
k
s
o
b
r
e
e
s
t
a
e
d
i
ç
ã
o
