terça-feira, 16 de junho de 2009

3. SELECIONAR UMA SEÇÃO DE CONTROLES DA DO COBIT QUE SEJA RELACIONADA COM A IN 01/GSI

O acórdão 1603/2008 do TCU, que reproduz no essencial o Relatório da Equipe da Secretaria de Fiscalização de Tecnologia da Informação – SEFTI encarregada dos trabalhos trata da segurança da informação. Conforme esse relatório, o gasto em TI ultrapassa seis bilhões de reais por ano, segundo dados do SIAFI e do Departamento de Coordenação e Governança das Empresas Estatais (DEST). A equipe elaborou questionário composto de 39 perguntas baseadas nas normas técnicas brasileiras NBR IS0/IEC 17799:2005, NBR IS0/ICE 15999-1:2007 e no “Control Objectives for Information and related Technology 4.1 (Cobit 4.1)”. A norma NBR IS0/IEC 17799:2005 é o código de prática para a gestão da segurança da informação mais adotado em todo o mundo. O Cobit, por sua vez, é um modelo de gestão orientado a processos e está dividido em quatro grandes grupos: Planejar e organizar (Plan & Organise – PO), Adquirir e implementar (Acquire & Implement – AI), Entregar e Assistir ( Deliver & Suport – DS) e Monitorar e Avaliar (Monitor & Evaluate – ME). O TCU utilizou-se do software Risk Manager para o envio, a coleta e a tabulação da sua pesquisa.
3.1. Aplicações do COBIT 4.1
I. Cobit 4.1 PO1. 4 IT Strategic Plan ( Plano Estratégico de TI – Criar um plano estratégico que defina, em cooperação com os principais interessados, como as metas de TI contribuirão para os objetivos estratégicos da organização e quais os custos e riscos associados. O Plano deve incluir os serviços de TI, os ativos de TI e como a área de TI dará suporte aos projetos dependentes de tecnologia da informação. A área de TI deve definir como os objetivos serão alcançados, as métricas a serem usadas e os procedimentos para obter a aprovação formal dos interessados.
II. Cobit 4.1 PO4.3 IT Steering Committee (Comitê Diretivo de TI – Criar um comitê diretivo de TI (ou equivalente) composto de gerentes executivos, de negócios e de TI, para: determinar as prioridades de investimento e alocação de recursos nas ações de TI, alinhadas ás estratégias e prioridades da organização; acompanhar o estágio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os níveis de serviço de TI e suas melhorias).
III. Cobit 4.1 PO7.5 Dependence Upon Individuals (Dependência em Indivíduos – Minimizar a ocorrência de dependência crítica em indivíduos chave por meio de aquisição de conhecimento (documentação), compartilhamento do conhecimento, planejamento de sucessão e equipe reserva).
O TCU em seu trabalho faz várias referências ao modelo Cobit 4.1.
Eu, portanto, como já deixei claro no início do trabalho, não disponho de um cabedal de experiência tão avantajado para propor soluções, resta-me aprender com os mestres do ofício.



REFERÊNCIA BIBLIOGRÁFICA
[1] INSTRUÇÃO NORMATIVA GSI Nº 1, DE 13 DE JUNHO DE 2008.
[2] INSTRUÇÃO NORMATIVA Nº 4, DE 19 DE MAIO DE 2008, do Secretário de Logística e Tecnologia do MPOG
[3] PORTARIA Nº 11, DE 30 DE DEZEMBRO DE 2008, da Secretaria de Logística e Tecnologia da Informação do MPOG.
[4] Gonçalves, Sônia e Fresneda, Sérgio. Política de Conhecimento. Câmara dos Deputados, 2007
[5] Módulo. 10ª Pesquisa Nacional de Segurança da Informação
[6] Tribunal de Contas da União. Acórdão 1603/2008 – Plen

Nenhum comentário: