SMARTI - Metodologia
Ciclos
Para fazer uma avaliaçao eficaz do risco da empresa em TI, o SMARTI trabalha com ciclos periódicos.
Isso permite traçar a evolução do perfil de risco em um determinado intervalo de tempo.
Para cada ciclo de avaliação é produzido um Diagnóstico de Maturidade englobando:
-
Parâmetros da empresa
-
Situação atual (maturidade e riscos)
-
Situação planejada (maturidade e riscos)
-
Plano de ação
-
Padrões
O SMARTI oferece à sua empresa a possibilidade de adotar padrões de avaliação de risco mais aceitos internacionalmente.
-
COBIT - Control Objectives for Information and Related Technologies, e publicado pela ISACA (Information Systems Audit and Control Association).
-
ISO - Norma NBR ISO/IEC 17799, adotada pela ABNT
-
COSO - Comitee of Sponsoring Organizations
-
ITIL - Information Technology Infrastructure Library
-
SI - sistemas Internos utilizados na empresa
O SMARTI atende integralmente aos requisitos estabelecidos na documentação de cada padrão.
Grau de Impacto
Chamamos de Grau de Impacto o potencial de risco que cada processo ou rotina representa para a empresa.
Esse potencial de risco varia de acordo com as atividades e objetivos da empresa
A soma de todos os graus de impacto dos processos da empresa deve ser igual a 100 (cem), que representa o percentual total do risco
Nível de Maturidade
A atribuição do nível de maturidade segue o modelo adotado pelo COBIT, com a seguinte escala incremental:
-
0 - gerenciamento do processo não é aplicado
-
1 - processo sob demanda, não organizado
-
2 - processo segue um padrão repetitivo
-
3 - processo é documentado e comunicado
-
4 - processo é monitorado e medido
-
5 - as melhores práticas são seguidas e automatizadas
-
-
-
Riscos em TI
O risco de um processo é calculado em função do seu grau de impacto e nível de maturidade.
Representa o GAP entre o nível de maturidade verificado e o risco total.
O grau de impacto determina o risco total.
O nível de maturidade expressa a mitigação do risco total.
O SMARTI também permite o cálculo do risco médio de processos grupados por:
-
Áreas
-
Domínios
-
Empresa
Metas
Estabelecer uma meta é definir qual nível de maturidade deve ser obtido no próximo ciclo de avaliação
Podemos buscar metas para:
-
Empresa
-
Domínios
-
Áreas
-
Processos
-
Objetivos de controle
Com base nas metas, o SMARTI calcula os níveis de maturidade e de riscos que deverão ser obtidos no próximo ciclo de avaliação.
Recomendações
As recomendações represetam o que a empresa deve fazer para atingir as metas estabelecidas.
As recomendações poderão abranger a implementação ou revisão de:
-
Políticas e Diretrizes
-
Normas e Procedimentos operacionais
-
Processos e Atividades
-
Medidas específicas para atendimento de requisitos legais
-
Desenvolvimento de projetos
-
Outras medidas voltadas para mitigação de riscos
-
-
-
-
-
Monitor
O módulo Monitor do SMARTI tem como objetivo apoiar a empresa nos trabalhos de implementação das recomendações apresentadas no módulo de Avaliação.
O Monitor contempla as seguintes etapas de trabalho:
-
Planejamento - apresenta as metas, recomendações e demais documentos de cada ciclo de avaliação
-
Programação - permite estabelecer prazos e responsáveis para cada meta proposta
-
Realização - apresenta o calendário com os prazos das metas e permite que os responsáveis registrem o andamento dos trabalhos
-
Controle - exibe o controle entre prazos previstos e realizados.
-
-
-