COBIT 2019: o que é, princípios e como aplicar na governança de TI e segurança
COBIT 2019: o que é, princípios e como aplicar na governança de TI e segurança
Por que a governança de TI ainda é o calcanhar de Aquiles de muitas organizações
Uma pesquisa recente da ISACA apontou que mais de 60 % das organizações reconhecem lacunas entre as decisões do conselho e a operação de TI. Investimentos em tecnologia crescem, mas a capacidade de demonstrar que cada real gasto gera valor mensurável e protege o negócio contra riscos contínua limitada. O problema não é falta de ferramenta, e falta de governança.
É exatamente nesse ponto que o COBIT (Control Objectives for Information and Related Technologies) se posiciona. Criado pela ISACA, o framework oferece um modelo completo para governar e gerenciar a informação é a tecnologia corporativa, conectando objetivos de negócio a processos de TI com métricas claras.
Este artigo cobre o COBIT 2019 de ponta a ponta: conceito, evolução em relação ao COBIT 5, os 6 princípios de governança, os componentes do sistema de governança, os 40 objetivos organizados por domínio, a interface com cibersegurança, comparações com ITIL e NIST CSF, e passos práticos de implementação. Ao final, você entendera como a Gestão de Vulnerabilidades (GVul) é a Quantificação de Risco Cibernético (CRQ) da EcoTrust sustentam diretamente os objetivos do COBIT.
O que é COBIT 2019
Leia também: Security by Design: princípios, abordagens e como aplicar...
O COBIT 2019 é a versão mais recente do framework de governança e gestão de TI da ISACA, publicada em novembro de 2018. Diferente de frameworks puramente técnicos, o COBIT opera na camada estratégica: ele define o que deve ser governado e por que, deixando o como para frameworks complementares (ITIL, NIST, ISO 27001).
O framework e construido sobre três premissas centrais:
- Separação clara entre governança e gestão. Governança e responsabilidade do conselho; gestão e responsabilidade da diretoria executiva.
- Flexibilidade de adoção. O COBIT pode ser adaptado ao porte, setor e maturidade da organização.
- Alinhamento de ponta a ponta. Cada processo de TI deve ser rastreável até um objetivo corporativo.
COBIT como sistema aberto
Uma das maiores mudanças do COBIT 2019 em relação ao COBIT 5 é o conceito de sistema aberto de governança. Isso significa que a ISACA pode públicar atualizações incrementais sem precisar releasar uma versão inteiramente nova. Fatores de design, áreas foco e guias de implementação podem ser adicionados de forma modular.
Evolução do COBIT 5 para o COBIT 2019
Leia também: NIST Cybersecurity Framework: os 6 pilares do CSF 2.0 e c...
| Aspecto | COBIT 5 (2012) | COBIT 2019 |
|---|---|---|
| Estrutura | 5 princípios, 7 habilitadores | 6 princípios, 7 componentes |
| Modelo de maturidade | PAM (Process Assessment Model) | CMMI-based com foco em capacidade |
| Flexibilidade | Monolitico | Sistema aberto, fatores de design |
| Áreas foco | Não existiam | Públicações temáticas (ex.: cibersegurança, DevOps, risco) |
| Alinhamento com outros frameworks | Mapeamentos estáticos | Design factors que guiam a adoção combinada |
| Métricas | Genéricas por processo | Métricas por componente e por objetivo |
A principal evolução conceitual é a introdução dos fatores de design (design factors). São 11 fatores, como estratégia corporativa, perfil de risco, modelo de sourcing e requisitos regulatórios, que permitem customizar o sistema de governança ao contexto específico da organização. Na prática, uma instituição financeira com alto perfil de risco e regulação pesada terá um sistema de governança muito diferente de uma startup de tecnologia.
Os 6 princípios do sistema de governança COBIT 2019
O COBIT 2019 substituiu os 5 princípios do COBIT 5 por 6 princípios divididos em duas camadas.
Princípios do sistema de governança
- Prover valor aos stakeholders. O sistema de governança deve entregar valor ao negócio, equilibrando realização de benefícios, otimização de riscos e otimização de recursos.
- Abordagem holistica. Governança eficaz exige a integração de múltiplos componentes (processos, estruturas organizacionais, políticas, cultura, informação, serviços e tecnologia, pessoas e competências).
- Sistema de governança dinâmico. O sistema deve se adaptar a mudanças nos fatores de design, respondendo a alterações na estratégia, no perfil de risco ou no ambiente regulatório.
Princípios do framework de governança
- Separação entre governança e gestão. Governança (direção, monitoramento, avaliação) e gestão (planejamento, construção, execução, monitoramento) são funções distintas com estruturas e responsabilidades diferentes.
- Adaptação as necessidades da organização. O framework não é one-size-fits-all; ele deve ser customizado usando os fatores de design.
- Cobertura fim a fim da organização. O COBIT não cobre apenas a função de TI, ele abrange toda a cadeia de valor de informação e tecnologia, incluindo áreas de negócio que dependem de dados e sistemas.
Componentes do sistema de governança
O COBIT 2019 define 7 componentes que, juntos, formam o sistema de governança:
| # | Componente | Descrição |
|---|---|---|
| 1 | Processos | Conjunto estruturado de práticas e atividades para atingir objetivos |
| 2 | Estruturas organizacionais | Órgãos de decisão, papeis e responsabilidades |
| 3 | Princípios, políticas e frameworks | Regras e diretrizes que traduzem comportamento desejado em orientação prática |
| 4 | Informação | Dados e informação necessários para o funcionamento da governança |
| 5 | Cultura, etica e comportamento | Valores e comportamentos individuais e organizacionais |
| 6 | Pessoas, habilidades e competências | Capacidades humanas necessárias para tomar decisões e executar ações |
| 7 | Serviços, infraestrutura e aplicações | Tecnologia e serviços que sustentam o sistema de governança |
Cada objetivo de governança ou gestão pode ser avaliado sob a otica de todos os 7 componentes. Isso diferencia o COBIT de frameworks que focam exclusivamente em processos.
Os 40 objetivos organizados por domínios
O COBIT 2019 organiza 40 objetivos em 5 domínios. O primeiro domínio (EDM) cobre governança, enquanto os quatro seguintes (APO, BAI, DSS, MEA) cobrem gestão.
Domínio EDM, Evaluate, Direct and Monitor (Governança)
| Objetivo | Descrição |
|---|---|
| EDM01 | Ensured Governance Framework Setting and Maintenance |
| EDM02 | Ensured Benefits Delivery |
| EDM03 | Ensured Risk Optimization |
| EDM04 | Ensured Resource Optimization |
| EDM05 | Ensured Stakeholder Engagement |
Domínio APO, Align, Plan and Organize
| Objetivo | Descrição |
|---|---|
| APO01 | Managed I&T Management Framework |
| APO02 | Managed Strategy |
| APO03 | Managed Enterprise Architecture |
| APO04 | Managed Innovation |
| APO05 | Managed Portfolio |
| APO06 | Managed Budget and Costs |
| APO07 | Managed Human Resources |
| APO08 | Managed Relationships |
| APO09 | Managed Service Agreements |
| APO10 | Managed Vendors |
| APO11 | Managed Quality |
| APO12 | Managed Risk |
| APO13 | Managed Security |
| APO14 | Managed Data |
Domínio BAI, Build, Acquire and Implement
| Objetivo | Descrição |
|---|---|
| BAI01 | Managed Programs |
| BAI02 | Managed Requirements Definition |
| BAI03 | Managed Solutions Identification and Build |
| BAI04 | Managed Availability and Capacity |
| BAI05 | Managed Organizational Change |
| BAI06 | Managed IT Changes |
| BAI07 | Managed IT Change Acceptance and Transitioning |
| BAI08 | Managed Knowledge |
| BAI09 | Managed Assets |
| BAI10 | Managed Configuration |
| BAI11 | Managed Projects |
Domínio DSS, Deliver, Service and Support
| Objetivo | Descrição |
|---|---|
| DSS01 | Managed Operations |
| DSS02 | Managed Service Requests and Incidents |
| DSS03 | Managed Problems |
| DSS04 | Managed Continuity |
| DSS05 | Managed Security Services |
| DSS06 | Managed Business Process Controls |
Domínio MEA, Monitor, Evaluate and Assess
| Objetivo | Descrição |
|---|---|
| MEA01 | Managed Performance and Conformance Monitoring |
| MEA02 | Managed System of Internal Control |
| MEA03 | Managed Compliance with External Requirements |
| MEA04 | Managed Assurance |
COBIT e cibersegurança: DSS05, APO12 e APO13
Embora o COBIT não seja um framework de cibersegurança per se, três objetivos formam o núcleo de interface entre governança de TI e segurança da informação.
DSS05, Managed Security Services
O DSS05 trata da proteção dos ativos de informação e da infraestrutura de tecnologia. Ele cobre:
- Proteção contra malware
- Gestão de segurança de rede
- Gestão de endpoints
- Gestão de identidade e acesso
- Gestão de acesso físico
- Gestão de documentos sensíveis e dispositivos de saida
Na prática, o DSS05 exige que a organização tenha visibilidade completa dos ativos e processos de detecção e remediação de vulnerabilidades. E aqui que a Gestão de Vulnerabilidades (GVul) da EcoTrust atua diretamente: o módulo consolida achados de scanners heterogeneos, prioriza por risco de negócio e orquestra a remediação, entregando evidências rastreaveis que alimentam os controles do DSS05.
APO12, Managed Risk
O APO12 define as práticas de gestão de risco de TI: coleta de dados sobre riscos, análise, manutenção de um perfil de risco, articulação do risco em termos de negócio e definição de um portfolio de ações de resposta. Para cumprir o APO12, a organização precisa:
- Quantificar riscos em linguagem financeira
- Manter um registro atualizado de riscos
- Comúnicar o perfil de risco ao conselho
O módulo CRQ, Quantificação de Risco Cibernético da EcoTrust entrega exatamente isso: calcula o Valor em Risco (VaR) cibernético em Reais usando simulações de Monte Carlo, permitindo que o CISO apresente ao conselho o impacto financeiro potencial de cada cenário de ameaça.
APO13, Managed Security
O APO13 trata do Sistema de Gestão de Segurança da Informação (SGSI). Ele exige que a organização defina, opere e monitore um SGSI alinhado a requisitos de negócio. A relação com a ISO 27001 e direta: o APO13 pode ser usado como guia para implementar o SGSI exigido pela norma.
O CRS-CAASM da EcoTrust contribui para o APO13 ao entregar inventário automatizado de ativos, mapeamento de relações entre ativos e cobertura de controles, três insumos essenciais para um SGSI funcional.
COBIT vs ITIL vs NIST: comparação objetiva
Uma das duvidas mais comuns de CISOs e gestores de TI e como esses três frameworks se relacionam. A tabela abaixo esclarece.
| Critério | COBIT 2019 | ITIL 4 | NIST CSF 2.0 |
|---|---|---|---|
| Foco principal | Governança e gestão de TI | Gestão de serviços de TI | Cibersegurança |
| Escopo | Estratégico e tatico | Operacional e tatico | Estratégico e operacional |
| Públicador | ISACA | Axelos / PeopleCert | NIST (governo dos EUA) |
| Estrutura | 5 domínios, 40 objetivos | 4 dimensões, 34 práticas, cadeia de valor | 6 funções, 22 categorias, 106 subcategorias |
| Modelo de maturidade | Sim (CMMI-based) | Sim (capability model) | Sim (tiers 1-4) |
| Certificação organizacional | Não (apenas profissional) | Não (apenas profissional) | Não |
| Força em governança | Alta | Média | Média-alta (com Govern no CSF 2.0) |
| Força em operação | Média | Alta | Média |
| Força em cibersegurança | Média | Baixa | Alta |
| Custo de acesso | Pago (ISACA) | Pago (Axelos) | Gratuito |
| Complementaridade | Usa ITIL para operação, NIST para ciber | Usa COBIT para governança | Usa COBIT para governança, ITIL para operação |
Como combinar os três
A abordagem mais madura e usar o COBIT como camada de governança que direciona os demais:
- COBIT define os objetivos, métricas e responsabilidades de governança.
- ITIL 4 detalha as práticas operacionais de gestão de serviços (incidentes, mudanças, problemas, catalogo de serviços).
- NIST CSF 2.0 detalha as funções, categorias e subcategorias específicas de cibersegurança.
O COBIT funciona como a "cola" que conecta as métricas de serviço (ITIL) e de cibersegurança (NIST) aos objetivos de negócio.
Como a gestão de vulnerabilidades sustenta os objetivos do COBIT
A gestão de vulnerabilidades não é apenas uma boa prática técnica, ela é um habilitador direto de múltiplos objetivos do COBIT 2019. A tabela abaixo mapeia as capacidades da plataforma EcoTrust aos objetivos correspondentes.
| Objetivo COBIT | Capacidade EcoTrust | Módulo |
|---|---|---|
| EDM03, Risk Optimization | Quantificação de risco em Reais, dashboards de governança | CRQ |
| APO12, Managed Risk | Perfil de risco atualizado, simulações Monte Carlo, relatório para o board | CRQ |
| APO13, Managed Security | Inventário de ativos, mapeamento de cobertura de controles | CRS-CAASM |
| BAI09, Managed Assets | Descoberta e classificação automática de ativos | CRS-CAASM |
| BAI10, Managed Configuration | Baseline de configuração, detecção de desvios | CRS-CAASM |
| DSS05, Managed Security Services | Consolidação de achados, priorização por risco, orquestração de remediação | GVul |
| MEA01, Performance Monitoring | KPIs de segurança (MTTR, cobertura de scan, SLA de remediação) | GVul |
| MEA03, Compliance | Evidências automatizadas para auditorias | GVul |
A EcoTrust, como plataforma de IA Agêntica para Continuous Threat Exposure Management (CTEM), fornece dashboards de governança, quantificação de risco e evidências de compliance que alimentam diretamente os componentes do sistema de governança exigidos pelo COBIT.
Passos práticos para implementar o COBIT 2019
A implementação do COBIT 2019 não precisa ser monolitica. A ISACA recomenda uma abordagem incremental baseada nos fatores de design. A seguir, um roteiro prático.
1. Defina o escopo com os fatores de design
Avalie os 11 fatores de design (estratégia corporativa, metas corporativas, perfil de risco, problemas de TI, cenário de ameaças, requisitos regulatórios, papel da TI, modelo de sourcing, métodos de implementação de TI, estratégia de adoção de tecnologia, porte da organização). Cada fator influencia a prioridade relativa dos 40 objetivos.
2. Mapeie os objetivos prioritários
Com base nos fatores de design, identifique os 10-15 objetivos mais relevantes. Para uma organização com alto perfil de risco cibernético, EDM03, APO12, APO13, DSS05 e MEA03 provavelmente estarão no topo.
3. Avalie a maturidade atual (baseline)
Use o modelo de maturidade do COBIT 2019 (baseado em CMMI) para avaliar o nível atual de cada objetivo prioritário. Os níveis variam de 0 (incompleto) a 5 (otimizado).
4. Defina o nível de maturidade alvo
Para cada objetivo, defina o nível alvo considerando o apetite de risco é os recursos disponíveis. Nem todos os objetivos precisam estar no nível 5.
5. Implemente os componentes
Para cada objetivo, enderece os 7 componentes do sistema de governança: processos, estruturas organizacionais, políticas, informação, cultura, pessoas e tecnologia. Não basta desenhar um processo no papel, é preciso garantir que os demais componentes o sustentem.
6. Automatize a coleta de evidências
Uma das maiores dificuldades na sustentação do COBIT e a coleta manual de evidências para auditorias. Plataformas como a EcoTrust automatizam a geração de dashboards, métricas e relatórios que comprovam a aderência aos objetivos.
7. Monitore e ajuste continuamente
O COBIT 2019 é um sistema dinâmico. Revisoes periódicas dos fatores de design garantem que o sistema de governança acompanhe mudanças no ambiente de negócio e no cenário de ameaças.
Erros comuns na adoção do COBIT
- Tratar o COBIT como checklist. O COBIT é um sistema de governança, não uma lista de controles. Implementar processos sem considerar cultura, competências e informação gera conformidade superficial.
- Implementar todos os 40 objetivos ao mesmo tempo. Isso gera fadiga organizacional e resultados diluidos. Priorize com fatores de design.
- Não separar governança de gestão. Quando o conselho se envolve em decisões operacionais ou quando a gestão não tem métricas para reportar ao conselho, o sistema falha.
- Ignorar a camada de cibersegurança. Em 2026, negligênciar DSS05, APO12 e APO13 e inaceitável. A superfície de ataque só cresce, e o COBIT exige que a governança cubra esse risco.
Veja como a EcoTrust sustenta os objetivos de governança do COBIT
A EcoTrust é uma plataforma de IA Agêntica para CTEM que consolida vulnerabilidades, quantifica riscos em linguagem financeira e gera evidências de compliance. Se a sua organização usa o COBIT como framework de governança, a EcoTrust entrega os dados que alimentam os dashboards do conselho. Fale com um especialista e veja a plataforma em ação.
Para aprofundamento, consulte a referência oficial: NIST Cybersecurity Framework.
FAQ, Perguntas frequentes sobre COBIT framework governança
O que é COBIT e para que serve?
COBIT (Control Objectives for Information and Related Technologies) é um framework da ISACA para governança e gestão de informação e tecnologia corporativa. Ele serve para conectar objetivos de negócio a processos de TI, garantindo que investimentos em tecnologia gerem valor é que riscos sejam otimizados.
Qual a diferença entre COBIT 5 e COBIT 2019?
O COBIT 2019 introduziu o conceito de sistema aberto (atualizações incrementais), substituiu os 5 princípios do COBIT 5 por 6 princípios divididos em duas camadas, adotou fatores de design para customização e alinhou o modelo de maturidade ao CMMI.
COBIT é um framework de cibersegurança?
Não diretamente. O COBIT é um framework de governança de TI que inclui objetivos relacionados a segurança (DSS05, APO12, APO13), mas não detalha controles técnicos de cibersegurança. Para isso, ele se complementa com NIST CSF, ISO 27001 e frameworks específicos.
Quais são os 5 domínios do COBIT 2019?
EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organize), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) e MEA (Monitor, Evaluate and Assess). O domínio EDM cobre governança; os demais cobrem gestão.
Como o COBIT se relaciona com ITIL?
O COBIT opera na camada de governança e define o que deve ser atingido. O ITIL opera na camada de gestão de serviços e detalha como executar as práticas operacionais. Ambos são complementares: o COBIT direciona, o ITIL executa.
E possível certificar a organização em COBIT?
Não. O COBIT não oferece certificação organizacional, apenas certificações profissionais (COBIT Foundation, COBIT Design & Implementation). Para certificação organizacional, frameworks como ISO 27001 são mais adequados.
Como a gestão de vulnerabilidades se encaixa no COBIT?
A gestão de vulnerabilidades sustenta diretamente objetivos como DSS05 (Managed Security Services), APO12 (Managed Risk), MEA01 (Performance Monitoring) e MEA03 (Compliance). Ela fornece dados operacionais que alimentam os indicadores de governança exigidos pelo framework.
Por onde começar a implementação do COBIT 2019?
Comece avaliando os 11 fatores de design para determinar quais objetivos são prioritários no seu contexto. Em seguida, faca um baseline de maturidade, defina alvos e implemente os componentes de governança de forma incremental.
Conheça o módulo CTEM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CTEMArtigos Relacionados
As 5 Fases do CTEM: Do Escopo a Mobilização: Guia Prático para Implementar o Ciclo Completo
Se a sua organização ainda trata gestão de exposições como um projeto com início e fim, o resultado é previsível: relatórios que envelhecem antes de serem lidos, *backlogs* de vulnerabilidades que só …
Ameaças Cibernéticas: guia completo com os 12 tipos mais perigosos e como o CTEM protege sua empresa
O volume de ataques cibernéticos a empresas brasileiras cresceu 38% em 2024 segundo o relatório da Check Point Research, e a tendência para 2025-2026 é de aceleração. Ransomware como serviço (RaaS), a…
Automação vs IA Agêntica: Por Que Scripts Fixos Não Bastam Para Segurança
Automação foi, sem duvida, um dos maiores avancos das operações de segurança na última década. Playbooks SOAR, scripts de resposta a incidentes e regras de orquestração tiraram das equipes de SOC uma …