Prof. MSc Mário Sérgio Ribeiro, LA Sócio-Diretor da ENIGMA CONSULTORIA

Tamanho: px
Começar a partir da página:

Download "Prof. MSc Mário Sérgio Ribeiro, LA 27001 Sócio-Diretor da ENIGMA CONSULTORIA mario.ribeiro@enigma-security.com.br mario.s.ribeiro@uol.com."

Transcrição

1 Prof. MSc Mário Sérgio Ribeiro, LA Sócio-Diretor da ENIGMA CONSULTORIA 1

2 Currículo resumido do Instrutor Mestre em Segurança da Informação pela USP; Pós graduado em Computação e Gerência de Projetos; Certificado Internacional como Auditor Líder ISO 27001; Coordenador e Professor da FIA/USP; 27 anos de experiência em TI, Segurança da Informação, Continuidade de Negócios, Risco, Compliance e Auditoria; Mais de 250 projetos concluídos na carreira; 19 anos de experiência acadêmica; Sócio-Diretor da Enigma Security Consultoria e Treinamento; Ex CSO do Grupo Pão de Açúcar; Outras passagens de sucesso: Grupo Itaú, Alpargatas e CPM; Palestrante do CNASI desde 2002; Diretor de Educação da ISACA de ; Mais de 2500 pessoas treinadas em seus cursos; BACEN, BNDES, Bradesco, Itaú, Santander, HSBC, Unibanco, Petrobras, Serasa, Porto Seguro são algumas das mais de 500 empresas que tiveram seus profissionais treinados pelo prof. Mário Sérgio Ribeiro. 2

3 AGENDA DA PALESTRA 1. INTRODUÇÃO 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO 4. RISCOS DA GCN NA TERCEIRIZAÇÃO 5. A AUDITORIA PERIÓDICA 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE 3

4 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização 1.2 Visão Geral sobre a Gestão do Risco 1.3 Qual éo problema? 1.4 Alguns Números de Pesquisa 1.5 Normas e Referências nacionais e internacionais sobre a Gestão do Risco 1.6 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país 4

5 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização Denominação utilizada quando organizações transferem para um prestador de serviços a responsabilidade pela realização de tarefas até então executadas internamente e com recursos próprios; Predomínio ainda de atividades consideradas não estratégicas, tais como alimentação, segurança, limpeza, manutenção predial, etc., para que a empresa concentre seus esforços nas estratégias, estimuladas pela elevada competitividade do mercado atual; O processo de terceirização éamplamente regulado pela lei 6019/74 e pelo decreto lei n 73841/74 e posteriormente flexibilizado pelo enunciado n. 331, viabilizando a terceirização nos serviços ligados à atividade meio do tomador. 5

6 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização Fatores que levam as empresas brasileiras a terceirizar Adequação da escala de produção; Padrão satisfatório de capacidade de produção; Racionalização administrativa; Amenizar problemas econômicos conjunturais no curto prazo; Interação tecnológica; Ganhos de escala; Mudança no ponto de equilíbrio das empresas; Novas oportunidades. 6

7 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização Vantagens Foco maior no core business ; Alternativa para melhorar a qualidade do produto ou serviço e também a produtividade; Concentração de esforços na sua própria área produtiva, naquilo que éespecializada, reduzindo os custos, principalmente os fixos, transformando-os em variáveis e aumentando os lucros da empresa, ganhando economia de escala, com a eliminação de desperdícios; 7

8 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização Desvantagens Administração dos riscos advindos de contratar empresas inadequadas para realizar os serviços sem a competência, idoneidade financeira e sem a prática de métodos e padrões de conduta administrativa reconhecidas pelo mercado; Do risco de apenas terceirizar como forma de reduzir custos. Caso esse objetivo não seja alcançado, implicaráno desprestígio de todo o processo. 8

9 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização 1.2 Qual éo problema? 1.3 Alguns Números de Pesquisa 1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país 9

10 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização 1.2 Qual éo problema? 1.3 Alguns Números de Pesquisa 1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país 10

11 1. INTRODUÇÃO 1.2 Qual éo problema? Acredita-se na tal intuição, feeling, olho no olho, mas e o Risco? O ser humano ésempre propenso a confiar e acreditar, sem verificar, sem conferir, sem auditar...confia-se e ponto!; A ideia da Terceirização se banalizou, e virou quarteirização, quinterização...mas a responsabilidade objetiva é SUA! Você é quem paga a conta para o seu cliente; Terceirizo, porque reduz custo, não tenho braço para fazer e resolvo meu problema...mas e o Terceiro, toma conta dele mesmo?; Gerir o risco toma tempo, étrabalhoso, quanto mais de terceiro, que ainda por cima, pode estar fora de minha empresa. 11

12 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização 1.2 Qual éo problema? 1.3 Alguns Números de Pesquisa 1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país 12

13 1. INTRODUÇÃO 1.3 Alguns Números de Pesquisa IV Pesquisa nacional doc ANÁLISE DOS RESULTADOS As respostas indicam pleno conhecimento das empresas sobre as aplicações da Terceirização; A maioria das empresas já aplicam algum tipo de serviços terceirizado; Parte das empresas implantam a Terceirização por iniciativa própria; e outra utilizam-se de serviços de Consultoria para orientar a implantação; Das atividades terceirizadas já implantadas destacam-se serviços tradicionais 13

14 1. INTRODUÇÃO Dos serviços terceirizados contratados, predominam empresas jácom experiência no mercado em relação a empresas criadas por ex-funcionários; Uma das conclusões mais importantes da pesquisa éque muitas empresas ainda implantam a Terceirização sem um plano estratégico que lhe dê uma visão global de todo o processo e consequências envolvidas; Das principais vantagens obtidas com a implantação da Terceirização estão: - Foco maior no core business -Melhores resultados no conjunto das ações da empresa - Redução de custos Após a implantação da Terceirização destacou-se o aumento da qualidade como resultado do processo; 14

15 1. INTRODUÇÃO Ao mesmo tempo, a maioria das empresas tiveram redução de 20% de custo nas operações terceirizadas; Também, a grande maioria das empresas responderam que houve uma redução de 10% a 25% do quadro funcional, com a implantação da Terceirização; Dos principais fatores restritos à implantação da Terceirização, destacam-se: - a dificuldade de se encontrar parceiro ideal em determinadas regiões; - não atendimento à qualidade dos serviços,; - dificuldade de se contratar empresas com Certificado de Qualidade; Grande maioria das empresas prestadoras de serviços não têm avaliação periódica e indicação de índices de desempenho dos serviços terceirizados; Não empregam tecnologia e nem a reciclam ficam a desejar quanto àqualidade dos serviços prestados; 15

16 1. INTRODUÇÃO Ainda há problemas trabalhistas com a contratação de serviços terceirizados; A grande maioria continuará a utilizar serviços terceirizados nos próximos anos; O valor médio/ano de contratos de serviços terceirizados estáacima de R$ ,00 (duzentos mil reais); A grande maioria preferiria contratar empresas prestadoras de serviços com Certificado de Qualidade e considera este fator importante na decisão; A escolha da empresa prestadora de serviços tem como base, principalmente: - a qualificação técnica de seus profissionais, - o emprego de tecnologia, - conhecimento dos serviços prestados em outros clientes. 16

17 1. INTRODUÇÃO..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\ Ernst Young - Segurança da Informação.pdf ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS) Mais de um terço dos participantes afirmou ter procedimentos formais de administração do risco de fornecedores. Para muitos, isso leva àconfiança de que a administração do risco de fornecimento está sob controle; Em contrapartida, dois terços das empresas entrevistadas acreditam que seus fornecedores são capazes de cumprir suas políticas, procedimentos e normas; Com relação a administração de risco do fornecedor, apenas 6% das empresas utilizam processos formais validados por terceiros; 17

18 1. INTRODUÇÃO..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\ Ernst Young - Segurança da Informação.pdf ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS) Outro terço dos entrevistados informou tratar os assuntos relacionados ao risco do fornecimento apenas de modo informal, em contraposição a 21% que não abordam a questão; A prática de confiar, mas verificar, atualmente apenas 14% das empresas que dependem de fornecedores exigem que eles submetam suas práticas de segurança e privacidade das informações a uma análise independente. 18

19 FEBRABAN INTRODUÇÃO SERVIÇOS TERCEIRIZADOS (EM %) 68% DOS SERVIÇOS DE TELECOM 62% DOS SERVIÇOS DE IMPRESSÃO DE DOCUMENTOS 52% DO PROCESSAMENTO DE CARTÕES 52% DO DESENVOLVIMENTO DE NOVOS SISTEMAS DE INFORMAÇÃO 48% DOS SERVIÇOS DA CENTRAL DE ATENDIMENTO A USUÁRIOS (HELP DESK) 43% DA MANUTENÇÃO DO SISTEMA EXISTENTE 19

20 1. INTRODUÇÃO 1.1 Visão Geral sobre a Terceirização 1.2 Qual éo problema? 1.3 Alguns Números de Pesquisa 1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país 20

21 1. INTRODUÇÃO 1.4 OPL 1621 em tramitação na Câmara que regulamenta a Terceirização no país..\cursos\grt -gestão de risco da terceirização\projeto DE LEI Nº1621.pdf 21

22 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.1 As motivações e os desafios 2.2 Alternativas de seleção de fornecedores de serviços terceirizados 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) 22

23 2.1 As Motivações e os Desafios Terceirização étipicamente uma decisão que envolve múltiplos atributos de análise e múltiplos decisores, que tendem a enfatizar diferentes aspectos da decisão. Os aspectos envolvidos incluem: Redução de custos 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS Aquisição de capacidade Melhoria de controle da atividade Liberação de recursos de investimento em atividades centrais Ultimamente tem sido observadas decisões de terceirização que não se baseiam unicamente em aspectos como o custo da transação, mas envolvem a parceria que resulte em inovações (TI) 23

24 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.1 As Motivações e os Desafios Passa-se a considerar a possibilidade de contratos mais gerais, onde haja um compartilhamento de riscos e benefícios mais igualitário, e onde os critérios de mensuração gradualmente deixam de medir os aspectos operacionais do processo para, cada vez mais, enfatizar os resultados do negócio; Conforme a perspectiva de contratação de terceiros envolva aspectos crescentemente estratégicos, os resultados tendem a ser cada vez mais difíceis de serem avaliados. Isso ocorre porque o resultado final levaráa empresa contratante a uma posição na qual ela nunca esteve antes. Processos serão conduzidos de forma inovadora, e por isso, valores precisam ser reaprendidos. 24

25 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.1 As motivações e os desafios 2.2 Alternativas de seleção de fornecedores de serviços terceirizados 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) 25

26 2.2 Alternativas de seleção de fornecedores de serviços terceirizados normalmente a decisão sobre terceirização envolve a análise de várias alternativas diferentes entre si. E, não existe alternativa que seja a melhor em todos os aspectos a serem avaliados; 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS as falhas de percepção dos avaliadores aumentam as dificuldades do julgamento das alternativas. Isso ocorre pela assimetria de informações, situação em que o decisor não tem todos os detalhes necessários para produzir um julgamento completo e perfeito sobre o que precisa ser decidido 26

27 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.2 Alternativas de seleção de fornecedores de serviços terceirizados quando isso acontece, fatores de subjetividade podem fazer parte do julgamento do decisor. A assimetria de informações pode ocorrer por várias razões, como o desconhecimento sobre detalhes técnicos do que vai ser fornecido, incapacidade de avaliar informações do provedor, etc; outra dificuldade envolve a percepção do risco. Os gestores são muito mais avessos a risco do que seria de se esperar, tendo em vista as decisões que tomam; os gestores incluem aspectos pessoais na decisão de negócio, como por exemplo, um mau resultado da decisão e a sua carreira. 27

28 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.1 As motivações e os desafios 2.2 Alternativas de seleção de fornecedores de serviços terceirizados 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) 28

29 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços Entendendo melhor a distribuição de papéis e responsabilidades que a terceirização impõe, épossível planejar uma série de atividades que conspirem para o sucesso do modelo de negócios adotado; Essa avaliação de papéis e responsabilidades precisa ser discutida com os terceiros envolvidos: verificar se sua percepção éconvergente ou não, e procurar entender quão preparados esses terceiros estão para ocupar a posição apontada para o modelo de negócios; 29

30 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços os líderes de negócio precisam lembrar, que passam a ser responsáveis moralmente por um conjunto adicional de profissionais (os terceiros). Esses profissionais não tem vínculo legal com a empresa contratada dos serviços terceirizados, mas sua carreira e seu futuro estão ligados a essa empresa; Os terceiros devem combater a ideia de que seus funcionários ou subcontratados são apenas recursos que precisam estar alocados para justificar sua existência. Contratantes e terceiros devem caminhar para modelos de cadeia de valor que dependam cada vez mais da excelente 30

31 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços performance de cada participante. - Programas regulares de revisão da estratégia do negócio, - Planejamento da aplicação de novas tecnologias, - Treinamento do pessoal, - Avaliação do processo de relacionamento com os clientes, - Avaliação da eficácia no uso de ativos, - Apuração do clima organizacional, e várias outras questões para medir e manter a saúde do negócio são necessários para continuar na disputa por um espaço lucrativo no mercado. 31

32 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.1 As motivações e os desafios 2.2 Alternativas de seleção de fornecedores de serviços terceirizados 2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) 32

33 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) O Processo de Contratação O processo de contratação de provedores para serviços terceirizados envolve, geralmente, as etapas expostas na figura a seguir: 33

34 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) O Processo de Contratação 34

35 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS Os Fatores chaves de sucesso na Contratação 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) Os fatores críticos no modelo terceirizado estão diretamente relacionados àcompetência na contratação do provedor para esses serviços. São eles: - Redução de Riscos - Postura colaborativa - Controle Estratégico - Contingências - Responsabilidades - Bons processos próprios do estratégicas internas fornecedor. definidas 35

36 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) Os Principais Desafios a superar na Terceirização Além do que jáfoi apontado, atenção especial deve ser dada aos principais desafios que precisarão ser superados para que as operações terceirizadas tenham sucesso. São eles: - Riscos de continuidade - Aumento de dependência e de negócios - Turnover na Terceirização - Perda de flexibilidade - Treinamento no serviço - Compartilhamento de recursos do provedor 36

37 2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS 2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso) Os Principais Desafios a superar na Terceirização Além do que jáfoi apontado, atenção especial deve ser dada aos principais desafios que precisarão ser superados para que as operações terceirizadas tenham sucesso. São eles: - Riscos de continuidade - Aumento de dependência e de negócios - Turnover na Terceirização - Perda de flexibilidade - Treinamento no serviço - Compartilhamento de recursos do provedor 37

38 3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO 3.1 Exemplos de Incidentes 3.2 Pilares da Segurança da Informação 3.3 Componentes da SI 3.4 Anatomia do Problema 3.5 Riscos de SI Antes e Durante a Contratação 38

39 3. RISCOS DE SI NA TERCEIRIZAÇÃO 3.1 EXEMPLOS DE INCIDENTES Pode acontecer em sua empresa? Uma empresa terceirizada de call center éacusada de vazar informações privadas de seus clientes. O caso ganha as páginas dos jornais e seus clientes entram com uma ação coletiva acusando sua empresa de negligência, entre outros. Custo: R$ 5 milhões em indenização e imagem abalada. Uma grande inundação destrói parte do CPD do banco. O custo: um custo de reconstrução de 10%, $ 200 milhões em ativos perdidos e receitas de clientes mais baixas resultando em uma redução de 5% nos lucros. Uma empresa terceirizada que hospedava todo o ambiente de e-commerce de sua empresa sofre um incêndio e você descobre que não existia nenhum plano de contingência e continuidade de negócios de seu terceiro. Custo: uma perda de receita estimada de $ 2 milhões. 39

40 3. RISCOS DE SI NA TERCEIRIZAÇÃO INSTITUIÇÃO ATIVIDADE ANO PERDA EM US$ MILHÕES Daiwa Bank, NY Sumitomo Corp, Londres Barings, Cingapura Negociação não autorizada de bônus devido a maus controles gerenciais Negociação não autorizada de cobre, fraude e falsificação Controle inadequado de negociação de futuros especialmente má segregação de tarefas Crédit Lyonnais Mau controle de empréstimos Anos Bancos varejistas e corporações dos EUA , , ,600 29,000 Fraude de cheques ,000 Deutsche Bank Investimento fora de alçada

41 3. RISCOS DE SI NA TERCEIRIZAÇÃO 3.2 PILARES DA SEGURANÇA DA INFORMAÇÃO Confidencialidade: somente pessoas devidamente autorizadas tem acesso àinformação e/ou local físico (vazamento de informação). Integridade: a informação se mantém completa, suficiente e confiável após qualquer processo (fraude). Disponibilidade: a informação estarásempre disponível a quem tem autorização para acessá-la (falhas em TI). 41

42 3. RISCOS DE SI NA TERCEIRIZAÇÃO 3.3 COMPONENTES DA SEGURANÇA DA INFORMAÇÃO Pessoas (internas e externas) TI Infraestrutura Processos 42

43 3. RISCOS DE SI NA TERCEIRIZAÇÃO FATORES DO RISCO Fatores de Risco Componentes Categorias de Eventos de Perda Pessoas Sistemas Infraestrutura Processos - Habilidade específica - Desempenho - Ambiente de trabalho - Estrutura tecnológica - Falha tecnológica - Falha na segurança física - Modelagem - Conformação com a legislação Fraudes Vazamento de Informação Práticas Empregatícias e segurança no trabalho Danos a ativos físicos Interrupção de negócios e falhas em sistemas tecnológicos por sabotagem Acesso físico não autorizado Falhas de execução, distribuição ou de processos gerenciais 43

44 3. RISCOS DE SI NA TERCEIRIZAÇÃO 3.4 ANATOMIA DO PROBLEMA Falta de verificação de credenciais ANTES da contratação; Falta de visita in loco antes e durante o contrato; Desconhecimento do nível de maturidade administrativa da empresa (organização, definição de processos, treinamento de pessoas, etc.); Desconhecimento do nível de maturidade em segurança da informação; Falta de cultura da empresa contratante quanto aos impactos que riscos de SI podem proporcionar. 44

45 3. RISCOS DE SI NA TERCEIRIZAÇÃO 3.5 RISCOS DE SI -ANTES E DURANTE A CONTRATAÇÃO Inexistência de uma cultura de SI praticada pelo Terceiro em seu próprio ambiente (análise de risco periódica, política de segurança, conscientização de pessoas, implementação de controles com base na análise de risco, monitoramento); Falta de processos estabelecidos de SI no trabalho com informações de contratante (no ambiente do Terceiro e no ambiente do Contratante); Terceiro com baixo nível de organização administrativa (p.ex.: falta de boas práticas na contratação de pessoas) 45

46 3. RISCOS DE SI NA TERCEIRIZAÇÃO RISCO = é a combinação das conseqüências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo. 46

47 3. RISCOS DE SI NA TERCEIRIZAÇÃO

48 3. RISCOS DE SI NA TERCEIRIZAÇÃO Tabela 1 Alinhamento entre o ciclo PDCA e o processo de Gestão do Risco de SI. CICLO PDCA PROCESSO DE GESTÃO DE RISCO DE SI Definição do Contexto PLANEJAR Análise/avaliação de riscos Plano de tratamento do risco Aceitação do risco EXECUTAR VERIFICAR AGIR Implementação do plano de tratamento do risco Monitoramento contínuo e análise crítica de riscos Manter e melhorar o processo de gestão de riscos de SI 48

49 3. RISCOS DE SI NA TERCEIRIZAÇÃO

50 4. RISCOS DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS 4.1 Introdução a GCN 4.2 O escopo de proteção da GCN 4.3 Fases de um projeto de PCN 4.4 Análise do Risco do Terceiro no PCN 50

51 4.1 INTRODUÇÃO AO GCN DESASTRES ou uma INTERRUPÇÃO PROLONGADAacontecem e não avisam. A Gestão da Continuidade de Negócios existe para minimizar o impacto advindo desses eventos: 51

52 4.1 INTRODUÇÃO A GCN NEGÓCIOSsão vulneráveis ao impacto de não somente as principais calamidades apontadas, mas também em rupturas menores. Fatores como um aumento da dependência tecnológica e pressões do mercado tem tornado os negócios sensíveis a rupturas menores. Alguns exemplos dessas rupturas são: Falha no fornecimento de energia Falhas em sistemas de TI Gripe Influenza Distúrbios civis 52

53 4.1 INTRODUÇÃO A GCN CONTINUIDADE DE NEGÓCIOS é: Uma disciplina que prepara uma organização para manter a continuidade de seus negócios durante um desastre ou uma interrupção prolongada, através da implementação de um Plano da Continuidade de Negócios (PCN). Um PCN é: Um documento que contém atividades e procedimentos para ajudar a recuperar e restaurar recursos e processos rompidos dentro de um tempo de recuperação considerado ideal. 53

54 4.2 O ESCOPO DE PROTEÇÃO DA GCN Recursos Típicos considerados na Gestão da Continuidade de Negócios (GCN) Pessoas Terceiros, Fornecedores, Acionistas Suprimentos Escopo de proteção dos recursos do GCN Instalações Tecnologia da Informação Ameaças Externas Informações não custodiadas por TI 54

55 4.3 FASES DE UM PROJETO DE PCN Início PCN Criar Política de continuidade de negócios Estabelecer um Comitê para o PCN Estabelecer um projeto de desenvolvimento para o PCN Estabelecer um Programa de conscientização e treinamento em PCN Coordenar PCN com Leis, regulamentos e padrões da indústria Coordenar com outras entidades interna/externa relacionadas ao PCN Projeto de desenvolvimento do plano PCN completado Manter prontidão ao desastre Ruptura dos negócios Executar PCN BIA Análise do Risco Desenvolvimento da estratégia de continuidade Treinar e Testar Manutenção do PCN e Teste regular Tempo Desenvolvimento do PCN 55

56 4.3 FASES DE UM PROJETO DE PCN Processo de planejamento da continuidade de negócios Define um ciclo de vida para desenvolver e manter um PCN. O modelo de ciclo de vida do processo do PCN consiste das seguintes fases: 56

57 4.4 ANÁLISE DO RISCO DO TERCEIRO NO PCN O QUE DEVE SER FEITO NA FASE 3 DO PROJETO Definir quais são os Terceiros mais críticos para a empresa; Solicitar ao Terceiro que prepare uma apresentação sobre como ele trata o tema da Continuidade dos Negócios dele; Marcar a visita à instalação do Terceiro; Ver a apresentação e anotar os pontos fortes e fracos; Realizar uma vistoria pela instalação do Terceiro; Se existir, visitar o site alternativo de pessoas e de TI; Preparar um relatório com base no risco. 57

58 5. AUDITORIA PERIÓDICA 5.1 Auditar Terceiro é parte do Programa 5.2 Periodicidade dessa Auditoria 5.3 O Relatório e a análise 58

59 5. AUDITORIA PERIÓDICA 5.1 AUDITAR TERCEIRO É PARTE DO PROGAMA A Auditoria de Terceiros em SI e na GCN deve fazer parte do Programa Anual de Auditoria e consequentemente, do orçamento anual da área. Lembre-se: alguns Terceiros podem estar desempenhando alguns processos e atividades críticas maiores que algumas áreas de sua empresa. 59

60 5. AUDITORIA PERIÓDICA 5.2 PERIODICIDADE DESSA AUDITORIA Deve ser determinada em função da criticidade do Terceiro para com os negócios da empresa. O mínimo que se aceita é que seja realizada pelo menos uma vez por ano. 60

61 5. AUDITORIA PERIÓDICA 5.3 O RELATÓRIO E A ANÁLISE Deve ser mostrado detalhadamente ao Terceiro o resultado da Auditoria, e como em qualquer processo de auditoria, deve ser fornecido um prazo para que ele atenda as não-conformidades encontradas. Se for do interesse da empresa cliente, um Plano de Ação deve ser entregue ao Terceiro. 61

62 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE 6.1 Vantagens e Desvantagens da Contratação 6.2 Um modelo baseado em nível de maturidade 62

63 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE 6.1 PRÓS E CONTRAS DA CONTRATAÇÃO Prós Grau de especialização; Experiência trazida de outras auditorias; Recursos Humanos que a empresa não dispõe (braço); Sem qualquer tipo de vínculo com o Terceiro. Contras Não hácultura da empresa e portanto, não há$$$; Algum impedimento contratual na relação com Terceiro ou outro qualquer. 63

64 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE 6.2 UM MODELO BASEADO NO NÍVEL DE MATURIDADE NÍVEL DE MATURIDADE 1: A estruturação da área ou pelo menos uma pessoa foi designada como responsável pela segurança da informação na empresa; A existência e publicação da Política Geral de Segurança da Informação; A existência e publicação das Normas que devem complementar a PGSI; Um programa de conscientização dos usuários sobre as diretrizes da PGSI e das Normas Complementares. 64

65 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE NÍVEL DE MATURIDADE 2: Os riscos de SI e a resposta aos riscos são identificados por meio das atividades de análise, avaliação e plano de mitigação; Por meio do Plano de Mitigação do Risco de SI proposto, ocorre a implementação dos controles (projetos) de SI que irão gerar o Programa de SI (projetos selecionados) em um determinado período (anual, p.ex.) 65

66 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE NÍVEL DE MATURIDADE 3: O Comitê Gestor de SI éestabelecido com missão e objetivos definidos; Existe o monitoramento e gerenciamento do sistema de controles implementado, por meio dos projetos do Programa de SI; É estabelecido um processo de coleta e resposta a incidentes de SI. 66

67 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE NÍVEL DE MATURIDADE 4: Os Indicadores de performance e indicadores de metas para SI (KPIs e KGIs) é definido e estabelecido; Existe um processo de coleta do KPIs e KGIs; Comparação dos KPIs e KGIs com os alvos e com a indústria. 67

68 6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE NÍVEL DE MATURIDADE 5: A avaliação periódica do Risco de SI é estabelecida e implementada; Estabelecimento pelo Comitê de SI das ações a serem tomadas em face de novas avaliações de risco, incidentes de SI e resultados dos KPIs e KGIs. 68

69 Obrigado!

I WORKSHOP FNCC. Governança da TI. Mário Sérgio Ribeiro Sócio-Diretor mario.ribeiro@enigmaconsultoria.com.br (11) 2338-1666 (11) 9-9845-7396

I WORKSHOP FNCC. Governança da TI. Mário Sérgio Ribeiro Sócio-Diretor mario.ribeiro@enigmaconsultoria.com.br (11) 2338-1666 (11) 9-9845-7396 I WORKSHOP FNCC Governança da TI Mário Sérgio Ribeiro Sócio-Diretor mario.ribeiro@enigmaconsultoria.com.br (11) 2338-1666 (11) 9-9845-7396 São Paulo, 22 de setembro de 2015 1 OBJETIVO Apresentar a Enigma

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Estrutura da Gestão de Risco Operacional

Estrutura da Gestão de Risco Operacional Conceito No Brasil a Resolução n.º 3380, emitida pelo BACEN em 29 de junho de 2006, seguindo as diretrizes estabelecidas pelo Conselho Monetário Nacional, definiu como: A possibilidade de ocorrência de

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Integração da GCN com a gestão de riscos nos processos do BCB

Integração da GCN com a gestão de riscos nos processos do BCB Integração da GCN com a gestão de riscos nos processos do BCB março de 2012 Marcelo Garrido de Oliveira MSc, PMP AGENDA Por que GCN e GIRC no BCB? Histórico Estrutura e PGR-BCB Atuação da Geris GCN Processo

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI - Aula 2. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI - Aula 2. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI - Aula 2 Lincoln Herbert Teixeira lincolnherbert@gmail.com Projetos Altos investimentos em TI - importante que tenhamos processos eficazes para

Leia mais

PROF. LÍVIO GIOSA PRESIDENTE DO CENAM CENTRO NACIONAL DE MODERNIZAÇÃO EMPRESARIAL (OUTUBRO/ 2010)

PROF. LÍVIO GIOSA PRESIDENTE DO CENAM CENTRO NACIONAL DE MODERNIZAÇÃO EMPRESARIAL (OUTUBRO/ 2010) PROF. LÍVIO GIOSA PRESIDENTE DO CENAM CENTRO NACIONAL DE MODERNIZAÇÃO EMPRESARIAL (OUTUBRO/ 2010) METODOLOGIA DA PESQUISA PESQUISA QUANTITATIVA POR AMOSTRAGEM. PROTEÇÃO E PRESERVAÇÃO DO SIGILO Dados para

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Marcos Bentes. Projeto de Segurança Escopo do Trabalho. www.modulo.com.br. mbentes@modulo.com.br. Líder em Segurança para Redes, Internet e Intranet

Marcos Bentes. Projeto de Segurança Escopo do Trabalho. www.modulo.com.br. mbentes@modulo.com.br. Líder em Segurança para Redes, Internet e Intranet www.modulo.com.br Projeto de Segurança Escopo do Trabalho Marcos Bentes mbentes@modulo.com.br. 5a. Pesquisa Nacional sobre Segurança da Informação. Perfil das Empresas Pesquisadas (148) 14% 15% 8% Privada

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Auditando Segurança da Informação

Auditando Segurança da Informação Auditando Segurança da Informação Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/cdodt

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço

Utilizando o CobiT e o Balanced Scorecard como instrumentos para o. Gerenciamento de Níveis de Serviço Utilizando o CobiT e o Balanced Scorecard como instrumentos para o Gerenciamento de Níveis de Serviço Win Van Grembergen, http://www/isaca.org Tradução de Fátima Pires (fatima@ccuec.unicamp.br) Na economia

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Como as Boas Práticas de Gestão de Serviços de TI podem ajudar na avaliação de Compliance em Organizações não TI

Como as Boas Práticas de Gestão de Serviços de TI podem ajudar na avaliação de Compliance em Organizações não TI Como as Boas Práticas de Gestão de Serviços de TI podem ajudar na avaliação de Compliance em Organizações não TI Luciano Johnson, CISM, CRISC luciano@iso27000.com.br 9º Encontro do Agenda Conformidade

Leia mais

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial. Governança Corporativa A importância da Governança de TI e Segurança da Informação na estratégia empresarial. A virtualização dos negócios tem impactado diretamente a condição de fazer negócio, conferindo

Leia mais

ILUMINANDO MENTES, PROTEGENDO NEGÓCIOS E CAPACITANDO PESSOAS.

ILUMINANDO MENTES, PROTEGENDO NEGÓCIOS E CAPACITANDO PESSOAS. ILUMINANDO MENTES, PROTEGENDO NEGÓCIOS E CAPACITANDO PESSOAS. Av. Paulista 967-9ºandar - Cerqueira César - São Paulo SP - CEP: 01311-918 55 11 3285-6539 contato@daryus.com.br Prof. Jeferson D Addario CEO

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

I. PROGRAMA GLOBAL DE COMPLIANCE

I. PROGRAMA GLOBAL DE COMPLIANCE POLÍTICA DE COMPLIANCE Revisado em Março de 2013 I. PROGRAMA GLOBAL DE COMPLIANCE A The Warranty Group, Inc. (corporação) e suas empresas subsidiárias têm o compromisso de realizar seus negócios de modo

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Estrutura de Gerenciamento do Risco Operacional - 2010

Estrutura de Gerenciamento do Risco Operacional - 2010 Estrutura de Gerenciamento do Risco Operacional - 2010 Sumário 1. Introdução:...3 2. Abrangência:...3 3. Estrutura do Gerenciamento de Risco Operacional:...3 3.1. Estrutura de Gerenciamento do Risco Operacional:...4

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Controles Internos e Governança de TI. Charles Holland e Gianni Ricciardi

Controles Internos e Governança de TI. Charles Holland e Gianni Ricciardi Controles Internos e Governança de TI Para Executivos e Auditores Charles Holland e Gianni Ricciardi Alguns Desafios da Gestão da TI Viabilizar a inovação em produtos e serviços do negócio, que contem

Leia mais

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO.

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. OneIT A gente trabalha para o seu crescimento. Rua Bento Barbosa, n 155, Chácara Santo

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Alavancando a segurança a partir da nuvem

Alavancando a segurança a partir da nuvem Serviços Globais de Tecnologia IBM White Paper de Liderança em Pensamento Serviços de Segurança IBM Alavancando a segurança a partir da nuvem O quem, o que, quando, por que e como dos serviços de segurança

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO

RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO 3º TRIMESTRE - 2012 1 ÍNDICE 1. INTRODUÇÃO... 3 2. INSTITUCIONAL... 3 3. GERENCIAMENTO DE RISCOS... 4 4. TIPOS DE RISCOS FINANCEIROS...

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

Gerenciamento de Projetos

Gerenciamento de Projetos Gerenciamento de Projetos Em conformidade com a metodologia PMI 1 Apresentações Paulo César Mei, MBA, PMP Especialista em planejamento, gestão e controle de projetos e portfólios, sempre aplicando as melhores

Leia mais

Case Cetip. Incluindo a Gestão de Continuidade de Negócios na cultura da organização

Case Cetip. Incluindo a Gestão de Continuidade de Negócios na cultura da organização Case Cetip Incluindo a Gestão de Continuidade de Negócios na cultura da organização Agenda 1. Apresentação Cetip 2. A identificação da necessidade 3. Principais desafios 4. O que realmente fez diferença

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Administração de Pessoas por COMPETÊNCIAS

Administração de Pessoas por COMPETÊNCIAS Administração de Pessoas por COMPETÊNCIAS Adm.Walter Lerner 1.Gestão,Competência e Liderança 1.1.Competências de Gestão Competências Humanas e Empresariais são Essenciais Todas as pessoas estão, indistintamente,

Leia mais

*Os pontos de vista expressados aqui são meus e não necessariamente representam aqueles do FDIC.

*Os pontos de vista expressados aqui são meus e não necessariamente representam aqueles do FDIC. Orientação Geral para Mandatos de Seguro de Depósito Eficazes Considerações importantes no Projeto de um Mandato Eficaz Disponibilidade de Recursos para um Sistema Eficaz de Seguro de Depósitos: Financiamentos,

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

MBA: Master in Project Management

MBA: Master in Project Management Desde 1968 MBA: Master in Project Management Projetos e Tecnologia da Informação FMU Professor: Marcos A.Cabral Projetos e Tecnologia da Informação Professor Marcos A. Cabral 2 Conceito É um conjunto de

Leia mais

Banco Western Union do Brasil S.A.

Banco Western Union do Brasil S.A. Banco Western Union do Brasil S.A. Relatório de Gerenciamento de Riscos para atender aos requisitos estabelecidos na Circular no. 3477/09 do Conselho Monetário Nacional. Data Base 31/12/2011 1 1. Introdução...

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ISO 9001 Relatórios. A importância do risco em gestao da qualidade. Abordando a mudança. ISO Revisions. ISO Revisions

ISO 9001 Relatórios. A importância do risco em gestao da qualidade. Abordando a mudança. ISO Revisions. ISO Revisions ISO 9001 Relatórios A importância do risco em gestao da qualidade Abordando a mudança BSI Group BSI/UK/532/SC/1114/en/BLD Contexto e resumo da revisão da ISO 9001:2015 Como uma Norma internacional, a ISO

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Auditoria Interna do Futuro: Você está Preparado? Oswaldo Basile, CIA, CCSA. Presidente IIA Brasil

Auditoria Interna do Futuro: Você está Preparado? Oswaldo Basile, CIA, CCSA. Presidente IIA Brasil Auditoria Interna do Futuro: Você está Preparado? Oswaldo Basile, CIA, CCSA. Presidente IIA Brasil O futuro é (deveria ser) o sucesso Como estar preparado? O que você NÃO verá nesta apresentação Voltar

Leia mais

Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES

Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES JANEIRO 2013 ÍNDICE DE CONTEÚDOS Introdução...1 Antes das Três Linhas: Supervisão do Gerenciamento

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

CONHEÇA A VALECARD TODA ESSA ESTRUTURA EXISTE PRA VOCÊ: Reduzir custos. Ganhar tempo. Organizar processos.

CONHEÇA A VALECARD TODA ESSA ESTRUTURA EXISTE PRA VOCÊ: Reduzir custos. Ganhar tempo. Organizar processos. CONHEÇA A VALECARD Soluções completas e integradas para a gestão de benefícios, gestão financeira e de frotas. Cartões aceitos em todo território nacional, por meio da Redecard, Cielo e ValeNet, o que

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Governança de TI. Importância para as áreas de Auditoria e Compliance. Maio de 2011. IT Governance Discussion

Governança de TI. Importância para as áreas de Auditoria e Compliance. Maio de 2011. IT Governance Discussion Governança de TI Importância para as áreas de Auditoria e Compliance Maio de 2011 Page 1 É esperado de TI mais do que deixar o sistema no ar. Page 2 O que mudou o Papel de TI? Aumento de riscos e de expectativas

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO

RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO RELATÓRIO DE GERENCIAMENTO DE RISCOS PILAR 3 DISCIPLINA DE MERCADO 1º TRIMESTRE - 2012 1 ÍNDICE 1. INTRODUÇÃO... 3 2. INSTITUCIONAL... 3 3. GERENCIAMENTO DE RISCOS... 4 4. TIPOS DE RISCOS FINANCEIROS...

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Gestão da Continuidade dos Negócios

Gestão da Continuidade dos Negócios Caixa Econômica Federal Gestão da Continuidade dos Negócios Alexandre Guindani CBCP,SBCI A CAIXA em números 80.606 25.031 148 5.564 48 Mi GCN - Estrutura Organizacional Estrutura Organizacional Vice-presidência

Leia mais

14º Congresso de Auditoria Interna e Compliance

14º Congresso de Auditoria Interna e Compliance O Compliance e as metodologias para monitorar riscos de não conformidade 14º Congresso de Auditoria Interna e Compliance 11 de novembro 2014 14 horas Agenda Os principais objetivos do nosso encontro 1.

Leia mais

DECLARAÇÃO DE POSICIONAMENTO DO IIA: O PAPEL DA AUDITORIA INTERNA

DECLARAÇÃO DE POSICIONAMENTO DO IIA: O PAPEL DA AUDITORIA INTERNA Permissão obtida junto ao proprietário dos direitos autorais, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, para publicar esta tradução, a qual reflete

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

AKRO DTVM S.A. ( AKRO )

AKRO DTVM S.A. ( AKRO ) AKRO DTVM S.A. ( AKRO ) POLÍTICA DE GERENCIAMENTO DE RISCO OPERACIONAL (Política e procedimentos relacionados ao gerenciamento de risco operacional nos termos da Resolução BCB nº 3.380, de 29 de junho

Leia mais

[ ossa Missão ] [Workshop de Segurança da Informação]

[ ossa Missão ] [Workshop de Segurança da Informação] [Workshop de Segurança da Informação] [ ossa Missão ] Prover Confidencialidade, Integridade e Disponibilidades para os nossos clientes Proporcionando um diferencial mercadológico para os mesmos. Incidentes

Leia mais

Elaboração de Plano de Continuidade de Negócios

Elaboração de Plano de Continuidade de Negócios Elaboração de Continuidade Objetivo: Oferecer à empresa um Planejamento organizado, completo e integrado para: -Conhecer os Riscos à Continuidade das suas operações -Levantar e ponderar os impactos e probabilidades

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional Gerenciamento do Risco Operacional Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

Governança de TI. Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? Conhecimento em Tecnologia da Informação

Governança de TI. Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Governança de TI Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio? 2010 Bridge Consulting Apresentação A Governança de Tecnologia

Leia mais

FÓRUM ABBC PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)

FÓRUM ABBC PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) Prof. Mário mario.s.ribeiro@uol.com.br 1 Mário, 49 anos, engenheiro, professor universitário, pós-graduado em Computação. Especialista em Governança de TI, Segurança da Informação e Auditor Líder certificado

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

SUAS INFORMAÇÕES ESTÃO SEGURAS?

SUAS INFORMAÇÕES ESTÃO SEGURAS? SUAS INFORMAÇÕES ESTÃO SEGURAS? Treinamento ISO 27002 Foundation Presencial ou EAD A ISO 27002 é uma norma internacional que contém um código de práricas para a segurança da informação. Este tema sempre

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

GERENCIAMENTO DE RISCOS. Pilar III Basiléia

GERENCIAMENTO DE RISCOS. Pilar III Basiléia GERENCIAMENTO DE RISCOS Pilar III Basiléia 3º Trimestre 2015 ÍNDICE I - INTRODUÇÃO 3 II OBJETIVO 3 III PERFIL CORPORATIVO 3 IV GOVERNANÇA CORPORATIVA 4 V RISCO DE CRÉDITO 4 VI RISCO DE MERCADO 5 VII RISCO

Leia mais

AVALIAÇÃO DO SISTEMA DE GESTÃO DO FORNECEDOR

AVALIAÇÃO DO SISTEMA DE GESTÃO DO FORNECEDOR Prezado Fornecedor, A Innova S/A, empresa certificada nas normas ISO 9001:2000, ISO 14001:1996, OHSAS 18001, avalia seus fornecedores no atendimento de requisitos relativos a Qualidade, Meio Ambiente,

Leia mais

SLA Aplicado ao Negócio

SLA Aplicado ao Negócio SLA Aplicado ao Negócio Melhores Práticas para Gestão de Serviços Rildo Versão Santos 51 Rildo @rildosan Santos @rildosan rildo.santos@etecnologia.com.br www.etecnologia.com.br http://etecnologia.ning.com

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

www.portaldoaluno.info GERENCIAMENTO EM TI Professor: André Dutton

www.portaldoaluno.info GERENCIAMENTO EM TI Professor: André Dutton GERENCIAMENTO EM TI Professor: André Dutton 1 BASES TECNOLÓGICAS Direcionadores do uso de tecnologia da informação. Uso de Tecnologia da Informação nas organizações. Benefícios do uso de Tecnologia de

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Plano de Continuidade de Negócios (PCN). Metodologia de levantamento de requisitos para o plano. Métodos de construção do documento. 2 Continuidade

Leia mais

INTRODUÇÃO. Copyright 2015 Todos os direitos reservados. Capacitação e Certificação COBIT 4.1 Foundation

INTRODUÇÃO. Copyright 2015 Todos os direitos reservados. Capacitação e Certificação COBIT 4.1 Foundation Apresentação Inicial BEM-VINDO!!! Por favor, descreva o seu atual conhecimento sobre Governança de TI 1 INTRODUÇÃO 2 Introdução do Curso Bem vindo ao Controle de Objetivos de informação e Tecnologia (COBIT)

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais