Boas práticas COBIT

O Control Objectives for Information and Related Technologies (COBIT) foi fundado pela Information Systems and Audit Control Association (ISACA). COBIT é uma estrutura que busca fornecer diretrizes para organizar o gerenciamento de tecnologia da informação corporativa. Alinhar todas as suas informações de segurança em primeiro lugar e iniciativas de conformidade de segurança com as melhores práticas do COBIT permitirá que sua organização mantenha um programa de gerenciamento de risco constante.

Melhores Práticas COBIT

ISACA em Breve

A ISACA foi inicialmente estabelecida em 1969. O mandato da organização é criar uma certificação de TI reconhecida mundialmente, além de desenvolver diretrizes de controle de auditoria. A ISACA é o cérebro por trás do IT Governance Institute (ITGI), que se concentra exclusivamente na descoberta e publicação de recursos relevantes que fornecem orientação e padrões em tempo real para manter os controles de segurança da informação atualizados.

O que é COBIT 5?

O COBIT 5 basicamente fornece uma estrutura de tecnologia da informação que integra a Risk IT proprietária da ISACA, a Information Technology Infrastructure Library (ITIL) e a Val IT com padrões relevantes prescritos pela International Organization for Standardization (ISO). Por meio da combinação desses elementos, o COBIT 5 busca fornecer um programa abrangente de segurança cibernética para governança de tecnologia da informação corporativa.

O COBIT 5 oferece a todas as organizações uma forma de avaliar e defender os dados como parte central de seus processos de negócios. Com o objetivo de permitir que empresas sem fins lucrativos, do setor público e comerciais agilizem seus processos de TI, o COBIT se concentra principalmente em fornecer orientação prática para garantir confiabilidade, qualidade e controle da infraestrutura de TI.

Por que escolher o COBIT 5?

O COBIT 5 permitirá que você alinhe a maioria de seus controles atuais com vários outros benchmarks e requisitos de conformidade regulatória. Por exemplo, se você pretende estar em conformidade com os benchmarks da estrutura COSO, você pode usar o COBIT 5 para medir e definir a eficácia do controle de TI. Além disso, o COBIT 5 define cinco modelos principais de maturidade que podem ajudá-lo a determinar se você está ou não no caminho certo no que diz respeito à conformidade total.

Usando os 5 princípios do COBIT Framework para garantir as melhores práticas

A ISACA baseia o COBIT 5 em cinco princípios orientadores pertinentes, que fundamentam a abordagem exclusiva do COBIT para governança e gerenciamento de informações. Ao garantir que seus controles internos e processos de TI estejam alinhados com esses princípios de alto nível, será fácil estabelecer uma abordagem empresarial que corresponda aos seus objetivos de negócios.

Princípio 1: Atender às Necessidades das Partes Interessadas

A ISACA reconhece o fato de que sua organização tem diferentes partes interessadas que têm necessidades variadas e às vezes conflitantes. Por exemplo, o departamento de marketing pode precisar usar as mídias sociais em uma tentativa de construir a imagem da sua marca. No entanto, aplicativos de mídia social de terceiros normalmente ignoram ameaças de dados que o departamento de TI deve mitigar.

A melhor prática para atender às necessidades das partes interessadas é definir metas tangíveis e relevantes e definir níveis de responsabilidade. Isso o ajudará a identificar e comunicar a importância dos facilitadores.

Princípio 2: Cobrir a empresa de ponta a ponta

A governança da informação precisa incorporar todas as tecnologias relacionadas à TI. Todos em sua organização devem estar cientes dos ativos de informação que permitem seus objetivos de negócios. As melhores práticas para cobrir a organização de ponta a ponta incluem a definição de habilitadores de governança, definição do escopo de governança e atribuição de funções e atividades.

Princípio 3: Use uma Estrutura Integrada Única

O COBIT 5 se alinha a vários frameworks. Alguns estão relacionados à TI, enquanto outros estão relacionados ao gerenciamento de riscos. A partir de uma abordagem de gerenciamento empresarial, o COBIT 5 se baseia na ISO/IEC 9000, COSO ERM, ISO/IEC 31000 e CSO. A partir de uma abordagem relacionada a TI, o COBIT se concentra na integração de ITIL, TOGAF, série ISO/IEC 27000, CMMI e ISO/IEC 38500.

As melhores práticas para a aplicação de uma estrutura integrada envolvem revisar os padrões relacionados à sua organização, envolver-se na identificação de riscos apropriada e garantir que o COBIT 5 esteja alinhado aos objetivos de sua organização.

Princípio 4: Habilitar uma abordagem holística

Como parte de uma abordagem holística em relação à governança da informação, o COBIT busca integrar fatores que coletiva e individualmente influenciam o alcance de seus objetivos de negócios. Estruturas, princípios e políticas unem estruturas organizacionais, cultura ética corporativa e processos a serviços/aplicativos/infraestrutura, pessoas/habilidades/competências e informações.

As melhores práticas para permitir uma abordagem holística incluem a definição das principais entidades de tomada de decisão, delineando atividades e práticas para atingir seus objetivos, definindo comportamentos da organização e dos membros individuais que são mais importantes e definindo funções com base em habilidades e competências individuais.

Princípio 5: Separe a Governança da Administração

A governança envolve monitorar, dirigir e avaliar o programa de gerenciamento de informações que você implementa. Por outro lado, a gestão envolve planejamento, monitoramento e execução das atividades diárias. A função do conselho de administração da sua organização é a governança, enquanto a administração executiva sob o CEO é mandatada pela administração. Embora a estrutura COBIT integre 37 processos e 5 domínios, a visão geral de alto nível oferece um esboço para separar a governança da gestão.

As melhores práticas de governança podem incluir a criação de princípios orientadores da empresa, o estabelecimento de um modelo de tomada de decisão, a criação de níveis de autoridade, a revisão das comunicações de governança corporativa e o recebimento de feedback sobre o desempenho e a eficácia da governança. As melhores práticas para gerenciamento incluem a comunicação de regras básicas, o estabelecimento de políticas relacionadas à TI e a comunicação dos objetivos de TI.

Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso.

Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber para baixo nos comentários.

Recomendações dos editores:

• As funções e responsabilidades de um oficial de conformidade de seguros
• KPIs para medir a eficácia da conformidade
• Monitoramento contínuo para conformidade em tempo real