ITIL e COBIT Patricia Lima Quintao

CURSO ON-LINE TECNOLOGIA DA INFORMAO EM EXERCCIOS P/ AUDITOR FEDERAL DE CONTROLE EXTERNO DO TCU

PROFESSORA: PATRCIA LIMA QUINTO

1

AULA 03: GESTO E GOVERNANA DE TI (ITIL E COBIT)

Ol, pessoal!

Hoje trago para vocs a nossa TERCEIRA aula oficial do curso. Como j devem ter observado, em alguns momentos, complementamos os estudos com questes advindas de outras bancas para apresentar um determinado conceito ou reforar assuntos de importncia para o certame que iro realizar.

Como diz o mantra seguinte a diferena entre o sonho e a realidade a quantidade certa de tempo e de trabalho. Tenham certeza de que o esforo e a dedicao de vocs sero recompensados... Com coragem, sabedoria, disciplina e integridade iro suportar os desafios vindouros.

Todos prontos? Vamos l aula sobre Gesto e Governana de TI, com as questes relacionadas a ITIL e Cobit, um assunto que vem se tornando recorrente em nossa rea! Ao final, listamos as referncias utilizadas, uma excelente fonte de consulta para todos vocs.

Que Deus os abenoe! Profa Patrcia [email protected]

ITIL V3

Bem, a seguir, vou traar uma viso geral do ITIL. Na figura seguinte encontra-se um esboo dos 7 livros essenciais que compem a biblioteca da ITIL V2, formando assim a estrutura principal da ITIL (PINHEIRO, 2006).

Figura Estrutura da ITIL V2 (PINHEIRO, 2006)

12

3

4 5

6

7



www.pontodosconcursos.com.br 2

Algumas observaes sobre a ITIL V2: -tinha 7 livros, sendo que os 2 principais eram suporte ao servio e entrega do servio. Os livros no eram completamente conectados uns aos outros, principalmente a segurana da informao que era tratada em um livro parte. Outra desvantagem que as certificaes da ITIL v2 so baseadas nos livros de suporte ao servio e entrega do servio, sendo assim a maioria das pessoas e empresas envolvidas sequer leram os outros livros, e adotaram a ITIL. Na V3 os 5 livros conversam entre si e por isso h certa obrigatoriedade de entender todos os assuntos (PINHEIRO, 2006). - Em algumas reas os livros da V2 no refletiam as prticas atuais do negcio. - Falta de ateno para os servios do negcio e seu ciclo de vida na ITIL V2.

A ITIL passou por duas atualizaes e atualmente est em sua 3 verso, chamada ITIL V3. Lanada em maio de 2007, a V3 representa uma grande evoluo em relao verso anterior, uma vez que organiza os processos de gerenciamento de servios em uma estrutura de ciclo de vida de servio.

Trata-se de um conjunto de CINCO livros com orientaes para a gesto dos servios de TI, considerando os estgios do ciclo de vida dos servios de TI. A V3 apresenta uma nova abordagem, com base no ciclo de vida dos servios e uma nova estrutura, para diferenciar as prticas essenciais do modelo com novos processos, de forma a preencher lacunas da verso anterior.

Agora os livros da nova verso fazem parte do ciclo de vida do servio.

Temos que entender que um servio nasce, se desenvolve, vai para a operao e um dia ele morre ou aposentado, e necessrio gerenciar o servio no s durante a sua fase adulta, mas sim desde a sua fase embrionria para que se gere valor para o negcio. Esta a grande mudana estrutural na ITIL V3 !!

A viso integrada de TI, negcios e fornecedores (gesto de outsourcing).

Fonte: TIExames (2009)




Analisando-se a figura anterior, relacionada V3, percebe-se que o ciclo de vida de um servio de TI contnuo, ou seja, seus estgios se repetem enquanto o servio de TI estiver disponvel para a organizao.

A seguir tem-se uma descrio de cada estgio do ciclo de vida de servio.

No estgio Estratgias de Servio (Service Strategies) so tratados os aspectos relacionados ao alinhamento entre negcio e Tecnologia da Informao. Uma empresa de varejo, por exemplo, pode utilizar um site na Internet como parte de sua estratgia para aumentar a receita de vendas. Nesse estgio, a Gesto dos Servios de TI deve buscar entender as necessidades e os requisitos de negcio para entregar um servio de TI alinhado aos propsitos estratgicos da organizao.

No estgio Desenho de Servio (Service Design) so tratadas arquiteturas, processos, polticas e documentao necessrias para atender aos requisitos de negcio atuais e futuros. No exemplo do site, a Gesto de Servios de TI deve identificar os requisitos do negcio, definir os requisitos do servio e desenhar a soluo (servio). A definio de mtricas, mtodos de medio e dos processos necessrios para as fases de transio, operao e melhoria dos servios so atividades desse estgio do ciclo de vida.

No estgio Transio de Servio (Service Transition) realizada a insero, em ambiente de produo em plena operao, de um servio que acabou de sair do estgio de desenho de servio. A incluso de um novo servio no ambiente de TI requer um planejamento para transio do servio. Por exemplo, no caso do site, os softwares envolvidos na soluo devem ser testados, validados e depois liberados para instalao, e as equipes responsveis pelo suporte devem ser treinadas antes do servio entrar em operao.

No estgio Operao de Servio (Service Operation) realizada a coordenao e execuo das atividades necessrias para entregar e suportar os servios de TI dentro dos nveis de servio estabelecidos junto aos clientes. Um nvel de servio descreve o nvel de atendimento aos requisitos estabelecidos para o servio. A estruturao de um ponto nico para suporte aos usurios do site um exemplo da operao de servios.

No estgio Melhoria de Servio Continuada (Continual Service Improvement) realizado o gerenciamento de melhorias nos processos do Gerenciamento de Servio de TI e nos servios de TI propriamente ditos. No exemplo do site, avaliar os resultados das mtricas para suporte e propor ajustes e correes para melhorar o desempenho do servio ou de seus processos so atividades da melhoria de servio continuada.

Conforme apresentado anteriormente, a Gesto de Servios de TI busca integrar de forma eficaz e eficiente pessoas, processos e tecnologias. As melhores prticas e orientaes da ITIL buscam guiar a Gesto de Servios de TI nesse sentido. As recomendaes da ITIL so apresentadas na estrutura de atividades, funes e processos para cada estgio do ciclo de vida de servio.




ITIL V2 x ITIL V3

A ITIL V3 representa uma mudana significativa. O contedo principal continua o mesmo, entretanto h 50% a mais de contedo adicionado aos livros. A tabela seguinte destaca alguns pontos da evoluo da ITIL V2 para a V3.

ITIL V2 ITIL V3 Alinhamento da TI com o negcio Integrao entre Negcio e TI

Gerenciamento de Cadeia de Valor Rede Integrada de Valor do Servio

Coleo de Processos Integrados Gerenciamento do Ciclo de Vida do Servio

Vamos s questes !!

1. (CESPE/2006/PRODEST/TCNICO EM INFORMTICA) A utilizao do modelo ITIL pode proporcionar para uma organizao vrios benefcios, tais como diminuio dos custos operacionais, aumento da eficincia e maior satisfao do cliente.

Resoluo

Realmente, a utilizao da ITIL traz benefcios para o negcio (proporciona maior eficincia e eficcia na implementao de mudanas; permite melhoria na qualidade dos servios de TI, e conseqentemente no suporte aos processos de negcio; proporciona maior satisfao do cliente, na medida em que o provedor dos servios sabe como entregar o que esperado, dentre outros) e benefcios financeiros (reduo de custos e melhor justificativa para os custos de TI).

GABARITO: item VERDADEIRO.

2. (CESGRANRIO/2007/BNDES/ANALISTA DE SUPORTE - Adaptada) ITIL: Um usurio reclama na Central de Servios, com razo, que o servidor de arquivos de seu departamento est fora do ar. O processo ITIL (V2 e V3) que assegura o restabelecimento mais breve possvel do servio relacionado o gerenciamento de a) mudanas b) problemas c) incidentes d) nvel de servio e) disponibilidade

Resoluo

Bem, antes de falar mais detalhadamente sobre o processo que ser a resposta da questo, precisamos entender o conceito de incidente, que




qualquer evento que NO faz parte da operao normal de um servio e que cause, ou possa causar, uma INTERRUPO no planejada do servio ou a REDUO da sua qualidade.

Como exemplo de incidente pode-se destacar o mencionado na questo, em que um servidor de arquivos de um determinado departamento ficou fora do ar.

Tanto na ITIL (V2) quanto na ITIL (V3) o processo em destaque na questo o de Gerenciamento de Incidentes, que assegura o restabelecimento do servio no menor espao de tempo possvel.

O processo de Gerenciamento de Incidentes trata o efeito e no a causa do incidente e tem como objetivos principais: restaurar o servio no menor tempo possvel; minimizar o impacto negativo sobre as operaes de negcio; garantir a disponibilidade e os melhores nveis de servio possveis.

O escalonamento o mecanismo que garante a resoluo do incidente no tempo esperado. Pode ser acionado em qualquer fase do ciclo de vida de um incidente. Assim, caso um incidente no possa ser resolvido rapidamente, ser ESCALADO para outras instncias.

Escalonamento funcional: repasse para equipe especializada de suporte tcnico;

Escalonamento hierrquico: acionamento de nveis gerenciais mais elevados. Pode ser acionado a qualquer momento quando existe a suspeita de que o incidente no ser solucionado no tempo satisfatrio.

Depois do diagnstico e soluo, o Service Desk (responsvel pelo monitoramento de todo o processo de resoluo de um incidente) deve verificar se o cliente ficou satisfeito com o servio.

GABARITO: letra C.

3. (ESAF/2007-01/SEFAZ-CE/Adaptada) O ITIL (Information Technology Infrastructure Library) consiste em uma srie de melhores prticas para a administrao e gerncia de TI (Tecnologia da Informao). A respeito, portanto, dos processos relacionados ao contexto, analise o item seguinte.

[O processo de gerncia de configurao compreende a catalogao, registro e manuteno do estado correto do ambiente, fornecendo assim, ao processo de gerncia de mudanas, a lista de quais itens da infraestrutura esto sob ao de alguma mudana. Com isso, pode-se analisar impactos antes da ocorrncia da mudana].

Resoluo

Na ITIL V2 o nome correto do processo era Gerncia de Configurao, e o gabarito foi considerado correto pela ESAF. Na ITIL V3, o processo intitulado




Gerenciamento da Configurao e de Ativo de Servio. Esse processo identifica todos os itens de configurao necessrios para entregar os servios de TI e vai fornecer um modelo lgico da infraestrutura de TI (neste modelo os servios de TI so relacionados com os diferentes componentes de TI necessrios para fornecer o servio).

Informaes sobre os itens de configurao so mantidas na Base de Dados do Gerenciamento de Configurao (BDGC, em ingls Configuration Management Data Base CMDB), que alimenta o Sistema de Gerenciamento da Configurao (SGC). Itens de configurao incluem mas no so limitados a itens de hardware e software, acordos de nvel de servio, planos de recuperao de desastres, polticas etc.

O Gerenciamento da Configurao certifica que as informaes sobre os itens de configurao armazenados na BDGC so corretas e atualizadas. Todos os outros processos dependem muito deste processo. As informaes disponibilizadas na BDGC so utilizadas nos processos de Gerenciamento de Incidente, de Problema e de Mudana, entre outros.


4. (ESAF/2007-01/SEFAZ-CE/Adaptada) A respeito do ITIL julgue o item seguinte. [A gerncia de mudanas o processo responsvel por implementar qualquer mudana no ambiente de produo, seja em software ou em hardware, em um processo j existente, ou em papis operacionais ou pessoas].

Resoluo

Acerca desse importante tema, lembrem-se de que na verso 3 (V3) da ITIL o processo de Gerenciamento de Mudanas garante que as mudanas de servios sejam registradas, avaliadas, autorizadas, priorizadas, planejadas, testadas, implementadas, documentadas e revisadas de forma controlada. No entanto, ele NO implementa QUAISQUER mudanas, conforme mencionado no enunciado da questo! Cada organizao deve definir as mudanas que ficam fora do escopo de seu processo de mudana de servio. Elas podem incluir, por exemplo, mudanas em um nvel operacional, como reparo em impressoras. Os principais produtos do processo de Gerenciamento de Mudanas envolvem a reduo de erros em servios novos ou alterados; maior velocidade e preciso na realizao de mudanas; e priorizao de mudanas com maior benefcio para o negcio.

GABARITO: item FALSO.

5. (Elaborao prpria) A respeito do ITIL (V3) julgue o item seguinte. [ funo da gerncia de incidentes correlacionar todos os incidentes que afetam o ambiente de TI, objetivando buscar as causas comuns, classificadas como problemas, que podem estar originando vrios incidentes.

Resoluo




A questo retrata uma funo do processo de Gerenciamento de Problema, e no do Gerenciamento de Incidentes!!

Exemplo: toda vez que o usurio executa o relatrio XY do sistema A, a tela trava. Para esta situao registra-se o incidente. Se no se sabe a causa-raiz, registra-se o problema.

O Gerenciamento de Incidentes foca a recuperao rpida do servio. Para tanto, ser necessrio utilizar solues de contorno disponveis na base de erros conhecidos. Tambm, no faz a investigao estruturada a fim de encontrar a verdadeira causa-raiz do incidente. Ou seja, trata o efeito e no a causa do incidente!!

Problema a causa de um ou mais incidentes. O processo de Gerenciamento de Problema responsvel pela investigao da causa-raiz do problema e o desenvolvimento de uma proposta para remover definitivamente o erro da infraestrutura.


6. (Elaborao prpria) Na ITIL (V3), o estgio de Desenho de Servio suportado por um conjunto de 6 processos de Gerenciamento de Servios. So eles: Gerenciamento do catlogo de servios; Gerenciamento do nvel de servio; Gerenciamento da capacidade; Gerenciamento da continuidade de servio; Gerenciamento de segurana da informao; Gerenciamento de Fornecedor.

Resoluo

O correto so 07 processos, faltou no enunciado da questo o processo de Gerenciamento da Disponibilidade. A seguir uma breve descrio sobre os processos que so cobertos nessa fase do ciclo de vida Desenho de Servio:

Gerenciamento do Catlogo de Servio: garante uma fonte nica e consistente de informaes sobre os servios acordados, de forma que esteja amplamente disponvel a quem tenha permisso para acess-la. O principal produto do processo o Catlogo de Servios, que tem 2 subdivises: Catlogo de Servios de Negcio e Catlogo de Servios Tcnicos.

Gerenciamento do Nvel de Servio: responsvel por garantir um entendimento claro entre as necessidades dos clientes e o que o provedor de servio deve entregar. Para isto, ele ir negociar, acordar e documentar os servios de TI. Este processo dever ser pr-ativo para melhorar os nveis de servios existentes. Para isto os nveis devem ser monitorados, reportados e revisados.

Gerenciamento da Capacidade: visa concentrar a gesto de questes relacionadas capacidade e ao desempenho de servios e recursos, e equilibrar a capacidade de TI com as demandas de negcio acordadas.




Gerenciamento da Continuidade do Servio: um desdobramento do processo de gerenciamento da continuidade do negcio, que visa garantir que todos os recursos tcnicos e servios de TI necessrios (incluindo sistemas, redes, aplicaes, Central de Servios, suporte tcnico, telecomunicaes, etc.) possam ser recuperados dentro de um tempo preestabelecido.

Gerenciamento da Segurana da Informao: abrange os processos relacionados garantia da confidencialidade, integridade e disponibilidade dos dados, assim como a segurana dos componentes de hardware e software, da documentao e dos procedimentos. Desse modo, esse processo alinha a segurana da TI com a segurana do negcio, e assegura que a segurana da informao seja gerenciada efetivamente durante todo o ciclo de vida dos servios.

Gerenciamento da Disponibilidade: tem como meta assegurar que os servios sejam entregues dentro dos nveis acordados. O Geren-ciamento da conforme ilustrado no diagrama a seguir:

Fonte: TIEXAMES (2009)

Gerenciamento de Fornecedor: hoje, temos muitos servios terceirizados, como telefonia, hardware, softwares, hospedagem, datacenter, suporte especializado, suporte de primeiro nvel, etc. Nesse contexto, esse processo gerencia fornecedores e os contratos necessrios para suportar os servios por eles prestados, visando prover um servio de TI com qualidade transparente para o negcio, assegurando o valor do investimento feito.


7. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) A gerncia de continuidade do servio de TI diz respeito habilidade da organizao para




continuar a fornecer predeterminados e acordados nveis de servios de TI, bem como para dar suporte s exigncias mnimas do negcio a ser realizado a partir de uma interrupo de servio.

Resoluo

O Gerenciamento da Continuidade de Servio foca em elaborar um plano de continuidade com estratgias de recuperao de servio caso algum desastre acontea. Este um processo que garante que a TI ir continuar fornecendo os servios essenciais mesmo apesar das crises. Resumindo... ...prepara o provedor de servio para a pior situao possvel. Ele investiga, desenvolve e implementa opes de recuperao de servios quando uma interrupo grave no servio ocorrer.


8. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) O processo de gerenciamento de disponibilidade baseado na identificao dos nveis da operao de negcio requeridos depois de um incidente, dos sistemas necessrios, das facilidades e das exigncias, mnimos do servio.

Resoluo

O Gerenciamento da Disponibilidade foca em obter a melhor disponibilidade possvel para os servios de TI que esto rodando a partir do ambiente de produo. Como exemplos de estratgias que podem ser adotadas na organizao para aumentar a disponibilidade podemos destacar: uso de servidores redundantes, uso de discos RAID e espelhamento de discos, ter pessoas na equipe de TI para dar manuteno aos hardwares e softwares, contratos com terceiros estabelecendo metas apropriadas, dentre outros.

Como a questo aborda que ocorreu um incidente, o processo relacionado o de Gerenciamento da Continuidade de Servio, que foca em elaborar um plano de continuidade com estratgias de recuperao de servio caso algum desastre acontea.


9. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) O gerenciamento de disponibilidade a otimizao da disponibilidade e da confiabilidade de servios de TI e do suporte da infra-estrutura e da organizao de TI, a fim de assegurar que as exigncias do negcio sejam atendidas.

Resoluo

A questo descreve corretamente o processo de Gerenciamento da Disponibilidade. Os objetivos deste processo so: produzir e manter um planejamento de disponibilidade apropriado e

atualizado, que reflita as necessidades atuais e futuras do negcio;




proporcionar aconselhamento para todas as outras reas do negcio e da TI sobre todos os assuntos relacionados disponibilidade; gerenciar recursos e servios relacionados ao desempenho da disponibilidade, para assegurar que as realizaes atingidas pela disponibilidade de servio excedam os objetivos acordados; avaliar o impacto de todas as mudanas no planejamento de disponibilidade; assegurar que medidas pr-ativas para melhorar a disponibilidade do negcio sejam implantadas sempre que o custo se justifique.


10.(CESGRANRIO/2008/PETROBRS/Analista-Adaptada) O COBIT 4.1 apresenta 34 processos de TI divididos por 4 reas ou domnios. Cada processo possui um objetivo ou requisito de controle de alto nvel e objetivos detalhados. Alm disso, h objetivos de controle genricos que os processos devem observar, que so identificados como PCn, de process control number. NO corresponde a um dos objetivos de controle genricos do COBIT 4.1:

a)atribuir um proprietrio a cada processo, de forma que a responsabilidade seja clara. b)definir cada processo de forma que seja repetvel. c)estabelecer metas e objetivos claros para cada processo para uma execuo eficaz. d)medir a performance de cada processo em relao s suas metas. e)estabelecer nveis de acordo de servio (SLA) onde cabvel para cada processo.

Resoluo

Vamos aos comentrios!! De acordo com IT Governance Institute (2007), o Cobit 4.1 apresenta 6 objetivos de controles genricos (PCn). So eles:

PC1 - Metas e Objetivos do Processo (Goals and Objectives) Define e comunica as metas e objetivos especficos, mensurveis, acionveis, realsticos, orientados a resultados e no tempo apropriado (SMARRT- Specific, measurable, actionable, realistic, results-oriented and timely) para a efetiva execuo de cada processo de TI. Assegura que eles esto ligados aos objetivos de negcios e que so suportados por mtricas apropriadas.

PC2 - Propriedade dos Processos (Process Owner) Designa um proprietrio para cada processo de TI e claramente define os papis e responsabilidades de cada proprietrio de processo.

PC3 - Repetibilidade dos Processos (Repeatability) Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados. Fornece uma sequncia lgica mas flexvel das atividades que levaro ao resultado desejado, sendo gil o suficiente para lidar com excees e emergncias. Usa processos




consistentes, quando possvel, e processos personalizados apenas quando inevitvel.

PC4 - Papis e Responsabilidades (Roles and Responsibilities) Define as atividades-chaves e as entregas do processo. Designa e comunica papis e responsabilidades para uma efetiva e eficiente execuo das ativid-adeschaves e sua documentao bem como a responsabilizao pelo processo e suas entregas.

PC5 Polticas, Planos e Procedimentos (Policy, Plans and Procedures) Define e comunica como todas as polticas, planos e procedimentos que direcionam os processos de TI so documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas so executadas corretamente. Assegura que as polticas, planos e procedimentos sejam acessveis, corretos, entendidos e atualizados.

PC6 - Melhoria do Processo de Performance (Process Performance) Identifica um conjunto de mtricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos. Definem como os dados so obtidos. Compara as medies reais com as metas e toma medidas quanto aos desvios quando necessrio. Alinha mtricas, metas e mtodos com o enfoque de monitoramento de performance geral de TI.

Item a. O PC2 atribui um proprietrio para cada processo de TI e claramente define os papis e responsabilidades de cada proprietrio de processo. Inclui por exemplo, a responsabilidade pela elaborao do processo, interao com outros processos, responsabilidade pelos resultados finais, medidas da performance do processo e a identificao de oportunidades de melhorias. Item VERDADEIRO.

Item b. O PC3 define que cada processo deve ser repetvel. Item VERDADEIRO.

Item c. O PC1 determina metas e objetivos de forma SMARRT. Alm disto, as metas do processo precisam estar alinhadas com as metas do negcio. Item VERDADEIRO.

Item d. O PC6 identifica um conjunto de mtricas que fornecem avaliaes sobre os resultados e desempenho dos processos. Item VERDADEIRO.

Item e. a nica alternativa que no est relacionada a nenhum PCn. Item FALSO.

GABARITO: letra E.

11.(CESPE/2006/Ancine/Analista de Sistemas) Dados, sistemas aplicativos, sistemas computacionais, instalaes fsicas e pessoas, conforme o modelo COBIT, so recursos de TI que devem ser gerenciados, visando o alinhamento estratgico.




Resoluo

Os recursos de TI so gerenciados pelos processos de TI que enfatizam a entrega da informao que o negcio precisa, isso em conformidade com mtricas aceitveis de qualidade para o negcio.

E o CobiT 4.1 identifica 04 recursos de TI. So eles:

informaes, que so os dados obtidos, processados e gerados pelos sistemas (aplicaes);

aplicaes (sistemas aplicativos e sistemas computacionais), que so sistemas automatizados e procedimentos manuais que processam informaes;

infraestrutura, corresponde a todo amparo tecnolgico como: instalaes fsicas, rede de computadores, hardware, sistemas operacionais e servios que processam e do subsdios para as aplicaes;

pessoas que so todos envolvidos nas atividades relacionada aos servios de TI, como: organizar, planejar, administrar, entregar, suportar, monitorar, gerenciar etc.

Cabe destacar que os recursos de TI so gerenciados pelos processos de TI para atingir os objetivos de TI que respondem aos requisitos de negcios. Este o princpio bsico do modelo CobiT, como ilustrado pelo cubo do CobiT, na figura a seguir:

Figura do CobiT.Fonte: (IT Governance Institute, 2007)


12.(CESPE/2004/TCE/Analista de Sistemas/Q. 107) No contexto do COBIT, os objetivos de controle para os processos de TI so agrupados em quatro domnios: planejamento e organizao, aquisio e implementao, entrega e suporte, monitorao.




Resoluo

O modelo de processos do CobiT 4.1. apresenta 4 domnios (domains), contendo 34 processos genricos, gerenciando os recursos de TI para entregarem as informaes para a rea de negcios de acordo com os requerimentos de negcios e governana.

Figura. Os 4 Domnios Inter-Relacionados do COBIT

Conforme visto na Figura, os 04 domnios inter-relacionados so:

Planejar e Organizar Plan and Organize (PO)

Prov direo para entrega de solues (AI) e entrega de servios (DS).

Adquirir e Implementar - Acquire and Implement (AI)

Prov as solues e as transfere para tornarem-se servios.

Entregar e Suportar - Deliver and Support (DS)

Recebe as solues e as torna passveis de uso pelos usurios finais.

Monitorar e Avaliar - Monitor and Evaluate (ME)

Monitora todos os processos para garantir que a direo definida seja seguida.

A nomenclatura utilizada na questo tambm aceita pelo CESPE, portanto, a assertiva verdadeira.


13.(CESGRANRIO/2008/Analista/TJ/RO) O modelo COBIT estruturado em quatro domnios que so mapeados para reas tradicionalmente sob responsabilidade da Tecnologia da Informao. NO corresponde a um dos domnios do COBIT: a) Plan and Organize (PO) b) Acquire and Implement (AI) c) Practice and Improve (PI) d) Deliver and Support (DS) e) Monitor and Evaluate (ME)

Resoluo

Os 04 domnios inter-relacionados so:

-(PO) Planejar e Organizar Plan and Organize;




-(AI) Adquirir e Implementar - Acquire and Implement; -(DS) Entregar e Suportar - Deliver and Support; -(ME) Monitorar e Avaliar - Monitor and Evaluate.

A integrao entre os domnios d-se da seguinte forma: A informao de uma empresa gerada/modificada pelos recursos de TI (aplicaes, informaes, infra-estrutura e pessoas). A informao requisito para o domnio Planejar e Organizar (PO) e seus processos. Os requisitos de sada do PO so requisitos de entrada de informao para o domnio Adquirir e Implementar (AI), que por sua vez, definem os requisitos de entrada para o domnio Entregar e Suportar (DS). O domnio Monitorar e Avaliar (ME) utiliza as informaes do DS nos seus processos e atividades relacionadas. Os requisitos da informao so dados por: efetividade, eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade.

O elemento PI (Practive and Improve) NO corresponde ao domnio do CobiT.

GABARITO: letra C.

14.(CESPE/2006/DATAPREV/ANALISTA DE BANCO DE DADOS/Q. 113) O modelo de maturidade utilizado para avaliar os nveis de maturidade da aplicao do conjunto de melhores prticas de governana, os quais variam entre 1 e 5.

Resoluo

Primeiramente, cabe destacar que o CobiT 4.1 define 6 nveis de maturidade, que variam de 0 a 5. Tambm, no avaliao de um conjunto de maturidade e sim de cada um dos processos!!


15.(CESPE/2008/PETROBRAS/Analista) No COBIT, Gerenciar os servios terceiros pertence a que domnio? a) Auditoria b) Recursos Humanos c) Aquisio e Contratos d) Planejamento e Organizao e) Entrega e Suporte

Resoluo

O CobiT 4.1, em seu domnio DS (Delivery and Support) Entregar e Suportar ou Entrega e Suporte, trata sobre a necessidade de assegurar que os servios prestados por fornecedores satisfaam aos requisitos do negcio.

Esse processo realizado definindo-se claramente os papis, responsabilidades e expectativas nos acordos de terceirizao bem como revisando e monitorando tais acordos quanto efetividade e conformidade.




A gesto eficaz dos servios terceirizados minimiza os riscos de negcio associados aos fornecedores que no cumprem seu papel.

GABARITO: letra E.

Figura. Modelo de Processos do CobiT Fonte: (IT Governance Institute, 2007)

16.(CESPE/2006/DATAPREV/Analista de Banco de Dados/Q. 115) O conjunto de melhores prticas do COBIT considera seis critrios de informao: eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade.

Resoluo

CobiT 4.1 considera sete critrios de informao e no seis como destacado no enunciado! No enunciado est em falta o item efetividade. A forma como o CESPE

ME1 Monitorar e Avaliar o Desempenho ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover a Governana de TI

PO1 Definir um Plano Estratgico de TI P02 Definir a Arquitetura da Informao PO3 Determinar o Direcionamento Tecnolgico PO4 Definir os Processos, Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar as Diretrizes e Expectativas da Diretoria PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos

DS1 Definir e Gerenciar Nveis de Servios DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Capacidade e Desempenho DS4 Assegurar Continuidade de Servios DS5 Assegurar a Segurana dos Servios DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar os Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar as Operaes

AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas




coloca restritiva e no exemplificativa. Segundo o CobiT 4.1, para atender aos objetivos de negcios, as informaes precisam se adequar a certos critrios de controles, que o CobiT denomina necessidades de informao da empresa.

Baseado em abrangentes requisitos de qualidade, guarda e segurana, sete critrios de informao distintos e sobrepostos so definidos. A seguir tem-se uma descrio de cada um deles:

o Efetividade: lida com a informao relevante e pertinente para o processo de negcio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel;

o Eficincia: relaciona-se com a entrega da informao atravs do melhor (mais produtivo e econmico) uso dos recursos;

o Confidencialidade: est relacionada com a proteo de inform-aes confidenciais para evitar a divulgao indevida;

o Integridade: relaciona-se com a fidedignidade e totalidade da informao bem como sua validade de acordo os valores de negcios e expectativas;

o Disponibilidade: relaciona-se com a disponibilidade da informao quando exigida pelo processo de negcio hoje e no futuro. Tambm est ligada salvaguarda dos recursos necessrios e capacidades associadas;

o Conformidade: lida com a aderncia a leis, regulamentos e obrigaes contratuais aos quais os processos de negcios esto sujeitos, isto , critrios de negcios impostos externamente e polticas internas;

o Confiabilidade: relaciona-se com a entrega da informao apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiducirias e de governana.


17.(CESPE/2004/Cear Portos/Analista de Logstica/Q. 120) O modelo de maturidade da governana de tecnologias da informao elaborado no contexto do COBIT 4.1 apresenta 5 nveis de maturidade assim denominados: non-existent, initial/ad hoc , repeatable but intuitive , defined process, managed and measurable e optimised.

Resoluo

O modelo de maturidade para o gerenciamento e controle dos processos de TI baseado num mtodo de avaliar a organizao, permitindo que ela seja pontuada de um nvel de maturidade no-existente (0) a otimizado (5).

Portanto, o CobiT 4.1 define 6 nveis de maturidade, e no 5, como mencionado na questo. So eles:

Nvel Descrio 0 Inexistente (non-existent)

Trata a falta de qualquer processo identificvel. Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questo a ser trabalhada.

1 Evidencia que a organizao reconhece que questes




Inicial / Ad hoc

(initial)

existem e precisam ser tratadas. No entanto, no existe processo padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento desorganizado.

2 Repetvel, porm intuitivo (repeatable but intuitive)

Os processos evoluram para um estgio em que procedimentos similares so seguidos por diferentes pessoas que executam a mesma tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixada com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e conseqentemente erros podem ocorrer.

3 Processo Definido (defined process)

Procedimentos foram padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no sero detectados. Os procedimentos no so sofisticados mas existe a formalizao das prticas existentes.

4 Gerenciado e Mensurvel (managed and measurable )

A gerncia monitora e mede a aderncia aos procedimentos e adota aes em que os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada.

5 Otimizado (optimised)

Os processos foram refinados ao nvel das melhores prticas, baseados no resultado de um contnuo aprimoramento e modelagem da maturidade com outras organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organizao rpida em adaptar-se.


18.(CESPE/2007/TCU/ACE-TI/Q.133)




Figura III. A figura III acima, obtida de www.csscorp.com, apresenta uma proposta de organizao de uma empresa de prestao de servios de TI. Na figura, esto dispostos vrios frameworks e reas funcionais. Setores do diagrama usados para a anlise esto representados por numerais de #1 a #23. -------------Julgue os prximos itens, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado processos de gesto aderentes aos quatro domnios de controle do modelo COBIT.

[O COBIT 4.0 classifica recursos de TI em quatro categorias, sendo que uma delas no encontra representao da figura III].

Resoluo

Relembrando, o CobiT 4.1 identifica 04 recursos de TI, que so: informaes (dados obtidos, processados e gerados pelos sistemas) - tais recursos podem ser vistos por exemplo nas reas #10 e #13 da figura; aplicaes (sistemas aplicativos e sistemas computacionais), que so sistemas automatizados e procedimentos manuais que processam informaes - tais recursos podem ser vistos por exemplo na rea #2 da figura; infraestrutura, corresponde a todo amparo tecnolgico como: instalaes fsicas, rede de computadores, hardware, sistemas operacionais e servios que processam e do subsdios para as aplicaes - tais recursos podem ser vistos por exemplo na rea #1 da figura; pessoas que so os envolvidos nas atividades relacionadas aos servios de TI. Sendo assim, destacamos que a figura est retratando apenas sobre aspectos tcnicos, no existindo um processo que trate da gesto de pessoas.





19. (CESGRANRIO/2009/BNDES/Analista) Determinada empresa reconhece que necessrio definir um plano estratgico de TI; contudo, no existem processos padronizados para isso, e a abordagem da administrao, em geral, no organizada. O processo COBIT em questo encontra-se no nvel de maturidade a)0 b)1 c)2 d)3 e)4

Resoluo

Nesse caso o modelo de maturidade que se tem o 1 (Inicial / Ad hoc). A empresa reconhece que existem questes a serem trabalhadas, no entanto, no possui processos padronizados para isso.

Figura. Representao grfica dos Modelos de Maturidade Fonte: (IT Governance Institute, 2007)

GABARITO: letra B.

20.(CESPE/2004/AGE-ES/Auditor de Informtica/Q. 108) No modelo de maturidade da governana de tecnologias da informao do COBIT, o nvel 3 de maturidade (defined process) aquele em que h um completo entendimento das questes de governana de tecnologias da informao em todos os nveis, entendimento esse apoiado pelo treinamento formal dos envolvidos.

Resoluo

Pegadinha da banca ao colocar o termo modelo de maturidade de governana de TI. No existe requisito de entendimento de governana de TI em todos os nveis.


21.(CESPE/2004/STJ/ANALISTA DE SISTEMAS/Q.149) Segundo o COBIT, para satisfazer objetivos do negcio, a informao deve ser compatvel com certos critrios aos quais o COBIT se refere como requisitos de negcio acerca




da informao. Com relao aos requisitos de segurana da informao negocial, o COBIT identificou os critrios confidencialidade, integridade e disponibilidade.

Resoluo

Os trs critrios mencionados esto corretos, e so agrupados no grupo Segurana. A seguir tem-se um detalhamento desses critrios:

Confidencialidade est relacionada com a proteo de informaes confidenciais para evitar a divulgao indevida.

Integridade relaciona-se com a fidedignidade e totalidade da informao bem como sua validade de acordo os valores de negcios e expectativas.

Disponibilidade relaciona-se com a disponibilidade da informao quando exigida pelo processo de negcio hoje e no futuro. Tambm est ligada salvaguarda dos recursos necessrios e capacidades associadas.


22. (CESPE/2004/AGE-ES/Auditor de Informtica/Q. 107) No contexto do COBIT, um objetivo de controle das tecnologias da informao (IT control objective) uma declarao do resultado desejado ou do propsito a ser alcanado pela implementao de procedimentos de controle em uma atividade particular relativa s tecnologias da informao.

Resoluo

A questo destaca claramente o conceito de objetivos de controle de TI, que fornecem um conjunto completo de requisitos de alto nvel a serem considerados pelos executivos para um controle efetivo de cada processo de TI. O CobiT define objetivos de controles para todos os 34 processos.

Nesse ponto, cabe destacar o conceito de controle, definido como polticas, procedimentos, prticas e estruturas organizacionais criadas para prover uma razovel garantia de que os objetivos de negcios sero atingidos e que eventos indesejveis sero evitados ou detectados e corrigidos.

O objetivo de controle a declarao do resultado que eu quero alcanar, pela implementao dos meus controles!!


23.(CESPE/2006/DATAPREV/AUDITOR DE SISTEMAS/Q.65) Essa uma figura do COBIT 4, simplificada. Onde negcio define o processo, os processos tm indicadores de maturidade e objetivos de controle. [65 No modelo apresentado, os objetivos de controle so mais especficos que as prticas de controle.]




Resoluo

Todos os componentes do CobiT so inter-relacionados, proporcionando o suporte para as necessidades de governana, gerenciamento, controle e avaliao de diferentes audincias, conforme demonstrado na figura seguinte.

Figura. Inter-relacionamento dos componentes CobiT Fonte: (IT Governance Institute, 2007)

Conforme visto no diagrama atualizado que disponibilizei na resoluo da questo, os processos de TI so controlados por objetivos de controle, que so implementados com as prticas de controle. Dessa forma, as prticas so mais especficas que o objetivo de controle.


24.(CESPE/2004/TCE-PE/Q. 108) Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nvel 1 de maturidade em




governana de TI, nvel este denominado inicial/ad hoc, a responsabilidade pela governana de TI cabe a indivduos que dirigem os processos de governana dentro dos vrios projetos e processos de TI.

Resoluo

O COBIT no classifica a empresa em nveis, de acordo com o modelo de maturidade em governana de TI. O que temos o modelo de maturidade para o gerenciamento e controle dos processos de TI, baseado num mtodo de avaliar a organizao, permitindo que ela seja pontuada de um nvel de maturidade no-existente (0) a otimizado (5). Portanto, NO existe maturidade de governana em TI e sim em cada processo individual.


25.(CESPE/2005/SERPRO/Analista) De acordo com concepes atuais de planejamento estratgico de sistemas de informaes, estes devem ser concebidos visando ao alcance da governana de tecnologia da informao (TI), que consiste no alinhamento entre a organizao cliente ou que adquire e utiliza sistemas de informao e entre a organizao de TI responsvel pela gesto desses sistemas de informao.

Resoluo

IT Governance Institute (2007) destaca que a governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao. Alm disso, a governana de TI integra e institucionaliza boas prticas para garantir que a rea de TI da organizao suporte os objetivos de negcios. A governana de TI habilita a organizao a obter todas as vantagens de sua informao, maximizando os benefcios, capitalizando as oportunidades e ganhando em poder competitivo.

As organizaes devem satisfazer os requisitos de qualidade, guarda e segurana de suas informaes, bem como de todos seus bens. Os executivos devem tambm otimizar o uso dos recursos de TI disponveis, incluindo os aplicativos, informaes, infra-estrutura e pessoas. Para cumprir essas responsabilidades bem como atingir seus objetivos, os executivos devem entender o estgio atual de sua arquitetura de TI e decidir que governana e controles ela deve prover.

A figura seguinte, muito interessante, extrada de TIExames (2009) destaca como se deu a evoluo da tecnologia nas organizaes:

TI como um provedor de servios

TI como um parceiro estratgico

TI para aumentar a eficincia.

TI para o crescimento do negcio.




Oramentos so baseados em comparaes com o

mercado. Como oposto a

Oramentos so baseados na estratgia do negcio.

TI est separada do negcio.

TI inseparvel do negcio.

TI vista como um gasto a controlar.

TI vista como um investimento a gerenciar.

Gerentes de TI so especialistas tcnicos

Gerentes de TI ou Chief Information Officer so

solucionadores de problemas do negcio.

Fonte: TI Exames (2009), adaptado de Strategies and Models for IT Governance, IGI

No que tange ao alinhamento estratgico entre TI e negcio, tem-se que a estratgia do negcio da empresa orienta a estratgia da TI. Se a administrao da empresa no definir um rumo (caminho a seguir) para a organizao, consequentemente os departamentos internos (inclui-se a o de TI) no tero um direcionamento.

Portanto, no d para gerenciar a TI isoladamente, o que torna necessria a integrao entre a estratgia de TI com a estratgia do negcio.

Rezende (2008) corrobora essa ideia, ao afirmar que o planejamento estratgico de sistemas de informao deve alinhar os sistemas de informao, os sistemas de conhecimentos e a tecnologia da informao com as metas dos negcios organizacionais. Assim, o planejamento de informaes medida que est alinhado ao planejamento estratgico est dando suporte Governana de TI.


Questes Complementares

26.(CESPE/2009/TCU/Auditor Federal de Controle Externo/TI/Q. 166) Acerca dos processos tpicos de tratamento de incidentes de segurana, julgue o item abaixo.

[O aumento do tempo decorrente entre a deteco e o fim da recuperao, nos incidentes de segurana, no aumenta necessariamente o tempo de indisponibilidade do servio afetado.]

Resoluo

A assertiva verdadeira, j que o tempo de indisponiblidade do servio afetado depende do tempo para que se executar o PGI (plano de gesto de incidentes) e iniciar a execuo do PCN (Plano de Continuidade de Negcios). Cabe ressaltar que no incio da execuo do PCN, o servio volta a ser disponibilizado s que ainda no est no nvel normal. O fim da recuperao s ocorrer quando o servio retornar ao nvel normal.





(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI) Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gesto de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os prximos itens.

27.(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI/Q.167) Durante o incio da adoo da gesto de riscos em uma organizao, a aplicao de mtodos quantitativos para clculo do nvel de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiveis e eficazes comparativamente ao uso de mtodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.

Resoluo

No clculo da estimativa do risco pode-se utilizar abordagens qualitativas, quantitativas ou, at mesmo, uma combinao entre elas, dependendo das circunstncias!




Em regra, a abordagem qualitativa usada antes para obter uma indicao do nvel de riscos e dos riscos principais. Em seguida, pode ser necessria a utilizao de uma abordagem quantitativa apenas nos riscos principais, visando diminuir os custos com a estimativa quantitativa. Na estimativa qualitativa utiliza-se uma escala de atributos qualificveis para descrever a magnitude das consequncias potenciais (exemplo: baixo, mdio e alto) e a probabilidade de suas ocorrncias. Como vantagem, esse tipo de estimativa de fcil entendimento pela alta direo, mas, como desvantagem, pode-se destacar o carter subjetivo na escolha das escalas.

Na estimativa quantitativa utilizada uma escala com valores numricos, tanto para as consequncias potenciais, como para a probabilidade de ocorrncia. A qualidade da anlise depende da preciso e da completude dos valores e dos modelos que validaram os dados, ou seja, ela depende de informaes histricas. Como vantagem, fornece informaes mais objetivas que a abordagem quantitativa, mas, como desvantagem, no pode ser aplicada quando surgem novos riscos, ou quando no h informao histrica suficiente para que possa ser implementada.

Conforme visto, o uso de mtodos quantitativos no a abordagem adequada para ser utilizada em ativos de elevada intangibilidade, tendo-se em vista que precisa de informaes histricas sobre situaes anteriores.


28.(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI/Q.168) A alta gesto da organizao em escopo exerce maior influncia sobre o ponto de deciso 1 que sobre o ponto de deciso 2, bem como contribui ativamente para prover informaes quanto s fases de identificao de riscos, de definio do contexto e de anlise crtica de riscos.

Resoluo

Cabe destacar que no existe uma maior influncia da alta gesto da organizao sobre os pontos de deciso 1 e 2, ou seja, essa influncia equilibrada!


CONSIDERAES FINAIS

Bom, acho que por hoje s! Espero que gostem deste curso on-line, pessoal, e mais uma dica: usem o frum do curso em caso de dvidas e perguntem o quanto quiserem!! Estou aqui para isso, e espero que nossos objetivos estejam alinhados para que o resultado seja o melhor possvel .

Abraos, fiquem com Deus, e at a prxima aula!

Profa Patrcia Lima Quinto




-LISTA DAS QUESTES APRESENTADAS NA AULA

1. (CESPE/2006/PRODEST/TCNICO EM INFORMTICA) A utilizao do modelo ITIL pode proporcionar para uma organizao vrios benefcios, tais como diminuio dos custos operacionais, aumento da eficincia e maior satisfao do cliente.

2. (CESGRANRIO/2007/BNDES/ANALISTA DE SUPORTE - Adaptada) ITIL: Um usurio reclama na Central de Servios, com razo, que o servidor de arquivos de seu departamento est fora do ar. O processo ITIL (V2 e V3) que assegura o restabelecimento mais breve possvel do servio relacionado o gerenciamento de a) mudanas b) problemas c) incidentes d) nvel de servio e) disponibilidade

3. (ESAF/2007-01/SEFAZ-CE/Adaptada) O ITIL (Information Technology Infrastructure Library) consiste em uma srie de melhores prticas para a administrao e gerncia de TI (Tecnologia da Informao). A respeito, portanto, dos processos relacionados ao contexto, analise o item seguinte.

[O processo de gerncia de configurao compreende a catalogao, registro e manuteno do estado correto do ambiente, fornecendo assim, ao processo de gerncia de mudanas, a lista de quais itens da infraestrutura esto sob ao de alguma mudana. Com isso, pode-se analisar impactos antes da ocorrncia da mudana].

4. (ESAF/2007-01/SEFAZ-CE/Adaptada) A respeito do ITIL julgue o item seguinte. [A gerncia de mudanas o processo responsvel por implementar qualquer mudana no ambiente de produo, seja em software ou em hardware, em um processo j existente, ou em papis operacionais ou pessoas].

5. (Elaborao prpria) A respeito do ITIL (V3) julgue o item seguinte. [ funo da gerncia de incidentes correlacionar todos os incidentes que afetam o ambiente de TI, objetivando buscar as causas comuns, classificadas como problemas, que podem estar originando vrios incidentes.

6. (Elaborao prpria) Na ITIL (V3), o estgio de Desenho de Servio suportado por um conjunto de 6 processos de Gerenciamento de Servios. So eles: Gerenciamento do catlogo de servios; Gerenciamento do nvel de servio; Gerenciamento da capacidade; Gerenciamento da continuidade de servio; Gerenciamento de segurana da informao; Gerenciamento de Fornecedor.

7. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) A gerncia de continuidade do servio de TI diz respeito habilidade da organizao para continuar a fornecer predeterminados e acordados nveis de servios de TI,




bem como para dar suporte s exigncias mnimas do negcio a ser realizado a partir de uma interrupo de servio.

8. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) O processo de gerenciamento de disponibilidade baseado na identificao dos nveis da operao de negcio requeridos depois de um incidente, dos sistemas necessrios, das facilidades e das exigncias, mnimos do servio.

9. (CESPE/2006/DATAPREV/ANALISTA DE IMPLANTAO) O ger-enciamento de disponibilidade a otimizao da disponibilidade e da confiabilidade de servios de TI e do suporte da infra-estrutura e da organizao de TI, a fim de assegurar que as exigncias do negcio sejam atendidas.

10.(CESGRANRIO/2008/PETROBRS/Analista-Adaptada) O COBIT 4.1 apresenta 34 processos de TI divididos por 4 reas ou domnios. Cada processo possui um objetivo ou requisito de controle de alto nvel e objetivos detalhados. Alm disso, h objetivos de controle genricos que os processos devem observar, que so identificados como PCn, de process control number. NO corresponde a um dos objetivos de controle genricos do COBIT 4.1:

a)atribuir um proprietrio a cada processo, de forma que a responsabilidade seja clara. b)definir cada processo de forma que seja repetvel. c)estabelecer metas e objetivos claros para cada processo para uma execuo eficaz. d)medir a performance de cada processo em relao s suas metas. e)estabelecer nveis de acordo de servio (SLA) onde cabvel para cada processo.

11.(CESPE/2006/Ancine/Analista de Sistemas) Dados, sistemas aplicativos, sistemas computacionais, instalaes fsicas e pessoas, conforme o modelo COBIT, so recursos de TI que devem ser gerenciados, visando o alinhamento estratgico.

12.(CESPE/2004/TCE/Analista de Sistemas/Q. 107) No contexto do COBIT, os objetivos de controle para os processos de TI so agrupados em quatro domnios: planejamento e organizao, aquisio e implementao, entrega e suporte, monitorao.

13.(CESGRANRIO/2008/Analista/TJ/RO) O modelo COBIT estruturado em quatro domnios que so mapeados para reas tradicionalmente sob responsabilidade da Tecnologia da Informao. NO corresponde a um dos domnios do COBIT: a) Plan and Organize (PO) b) Acquire and Implement (AI) c) Practice and Improve (PI) d) Deliver and Support (DS) e) Monitor and Evaluate (ME)




14.(CESPE/2006/DATAPREV/ANALISTA DE BANCO DE DADOS/Q. 113) O modelo de maturidade utilizado para avaliar os nveis de maturidade da aplicao do conjunto de melhores prticas de governana, os quais variam entre 1 e 5.

15.(CESPE/2008/PETROBRAS/Analista) No COBIT, Gerenciar os servios de terceiros pertence a que domnio? a) Auditoria b) Recursos Humanos c) Aquisio e Contratos d) Planejamento e Organizao e) Entrega e Suporte

16.(CESPE/2006/DATAPREV/Analista de Banco de Dados/Q. 115) O conjunto de melhores prticas do COBIT considera seis critrios de informao: eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade.

17.(CESPE/2004/Cear Portos/Analista de Logstica/Q. 120) O modelo de maturidade da governana de tecnologias da informao elaborado no contexto do COBIT 4.1 apresenta 5 nveis de maturidade assim denominados: non-existent, initial/ad hoc , repeatable but intuitive , defined process, managed and measurable e optimised.

18.(CESPE/2007/TCU/ACE-TI/Q.133)

Figura III. A figura III acima, obtida de www.csscorp.com, apresenta uma proposta de organizao de uma empresa de prestao de servios de TI. Na figura, esto




dispostos vrios frameworks e reas funcionais. Setores do diagrama usados para a anlise esto representados por numerais de #1 a #23. -------------Julgue os prximos itens, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado processos de gesto aderentes aos quatro domnios de controle do modelo COBIT.

[O COBIT 4.0 classifica recursos de TI em quatro categorias, sendo que uma delas no encontra representao da figura III].

19. (CESGRANRIO/2009/BNDES/Analista) Determinada empresa reconhece que necessrio definir um plano estratgico de TI; contudo, no existem processos padronizados para isso, e a abordagem da administrao, em geral, no organizada. O processo COBIT em questo encontra-se no nvel de maturidade a)0 b)1 c)2 d)3 e)4

20.(CESPE/2004/AGE-ES/Auditor de Informtica/Q. 108) No modelo de maturidade da governana de tecnologias da informao do COBIT, o nvel 3 de maturidade (defined process) aquele em que h um completo entendimento das questes de governana de tecnologias da informao em todos os nveis, entendimento esse apoiado pelo treinamento formal dos envolvidos.

21.(CESPE/2004/STJ/ANALISTA DE SISTEMAS/Q.149) Segundo o COBIT, para satisfazer objetivos do negcio, a informao deve ser compatvel com certos critrios aos quais o COBIT se refere como requisitos de negcio acerca da informao. Com relao aos requisitos de segurana da informao negocial, o COBIT identificou os critrios confidencialidade, integridade e disponibilidade.

22. (CESPE/2004/AGE-ES/Auditor de Informtica/Q. 107) No contexto do COBIT, um objetivo de controle das tecnologias da informao (IT control objective) uma declarao do resultado desejado ou do propsito a ser alcanado pela implementao de procedimentos de controle em uma atividade particular relativa s tecnologias da informao.

23.(CESPE/2006/DATAPREV/AUDITOR DE SISTEMAS/Q.65) Essa uma figura do COBIT 4, simplificada. Onde negcio define o processo, os processos tm indicadores de maturidade e objetivos de controle. [65 No modelo apresentado, os objetivos de controle so mais especficos que as prticas de controle.]




24.(CESPE/2004/TCE-PE/Q. 108) Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nvel 1 de maturidade em governana de TI, nvel este denominado inicial/ad hoc, a responsabilidade pela governana de TI cabe a indivduos que dirigem os processos de governana dentro dos vrios projetos e processos de TI.

25.(CESPE/2005/SERPRO/Analista) De acordo com concepes atuais de planejamento estratgico de sistemas de informaes, estes devem ser concebidos visando ao alcance da governana de tecnologia da informao (TI), que consiste no alinhamento entre a organizao cliente ou que adquire e utiliza sistemas de informao e entre a organizao de TI responsvel pela gesto desses sistemas de informao.

26.(CESPE/2009/TCU/Auditor Federal de Controle Externo/TI/Q. 166) Acerca dos processos tpicos de tratamento de incidentes de segurana, julgue o item abaixo.

[O aumento do tempo decorrente entre a deteco e o fim da recuperao, nos incidentes de segurana, no aumenta necessariamente o tempo de indisponibilidade do servio afetado.]




(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI) Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gesto de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os prximos itens.

27.(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI/Q.167) Durante o incio da adoo da gesto de riscos em uma organizao, a aplicao de mtodos quantitativos para clculo do nvel de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiveis e eficazes comparativamente ao uso de mtodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.

28.(CESPE/2009/TCU/Auditor Federal de Controle Externo-TI/Q.168) A alta gesto da organizao em escopo exerce maior influncia sobre o ponto de deciso 1 que sobre o ponto de deciso 2, bem como contribui ativamente para prover informaes quanto s fases de identificao de riscos, de definio do contexto e de anlise crtica de riscos.




GABARITO 1. V 2. C 3. V 4. F 5. F 6. F 7. V 8. F 9. V 10.E 11.V 12.V 13.C 14.F

15.E 16.F 17.F 18.V 19.B 20.F 21.V 22.V 23.F 24.F 25.V 26.V 27.F 28.F

ITIL e COBIT Patricia Lima Quintao

Documents

Transcript of ITIL e COBIT Patricia Lima Quintao