Diretoria Executiva de Controles Internos e Risco Operacional

Save this PDF as:

WORD PNG TXT JPG

Tamanho: px

Começar a partir da página:

Download "Diretoria Executiva de Controles Internos e Risco Operacional"

Danilo Arruda Esteves
3 Há anos
Visualizações:

Transcrição

1 Diretoria Executiva de Controles Internos e Risco Operacional Seminário de Segurança da Informação 2014 Painel "A dinâmica do cenário de ameaças à rede interna frente a um contexto GRC e às novas ferramentas de proteção" Novembro 2014 [INTERNA]

"A dinâmica do cenário de ameaças à rede interna frente a um

2 Integração Entre Incidentes de T.I. e GRC Processos FUNDAMENTAIS Sistema GRC Riscos, Fatores de Risco e Controles da 2ª Linha de Defesa Seg. da Informação dos riscos de TI e Seg. Informação Segregação por Negócio. Veículo Legal CRÍTICO SUPORTE Continuidade Incidentes Ficha Incidente Normas Internas Compliance Acompanhamento de Perdas Principais riscos e acompanhamento de PAs Acompanhamento de Indicadores Comitê de Controles $ de Investimentos Apetite a Risco

Veículo Legal CRÍTICO SUPORTE Continuidade Incidentes Ficha Incidente Normas Internas Compliance Acompanhamento de

3 GRC Ficha de Incidentes (1/2)

4 GRC Ficha de Incidentes (2/2)

5 Case Banco Votorantim Comissões Setoriais de Riscos e Controles Atribuições Comissões Setoriais Identificar e avaliar fatores internos e externos que possam afetar adversamente a realização dos objetivos de cada Diretoria. Discutir, analisar e deliberar sobre os apontamentos identificados por controles internos, compliance, auditoria interna e órgãos reguladores, e acompanhar os respectivos planos de ação. Discutir, analisar e deliberar sobre os incidentes de Segurança identificados por segurança da informação e continuidade de negócios, e acompanhar os respectivos planos de ação. Aprovar novos mapeamentos de processos, riscos e controles. Avaliar as perdas operacionais e planos de ação para combater causa-raiz. Áreas Participantes Varejo Corretora Corporate Investiment Bank WMS Tesouraria Riscos Concessão de Crédito Operações Finanças e RI Tecnologia Recursos Humanos Jurídico SI e Continuidade de Negócios CI e Risco Operacional Ouvidoria

Discutir, analisar e deliberar sobre os apontamentos identificados por controles internos, compliance, auditoria interna e órgãos reguladores, e acompanhar os respectivos planos de ação.

6 Modelo de Reporte Relatório Executivo Risk Assessment Self Assessment 1º Sem (1ª Camada) Risk Assessment 1º Sem (2ª Camada) 1! 1! # Risco Self Assessment Área A 1º Sem (1ª Camada) Impacto Vulnerabilidade Final Assessment Área A 1ª Sem (2º Camada) Impacto Vulnerabilidade Final 1 Exemplo de risco A 2 Exemplo de risco B Alto Extrema Alto Extremo Extrema Extremo Racional: A avaliação do impacto considerou... Racional: A avaliação do impacto considerou... Médio Baixa Baixo Médio Média Médio Racional: A avaliação do impacto considerou... Racional: A avaliação do impacto considerou...

2014 (2º Camada) Impacto Vulnerabilidade Final 1 Exemplo de risco A 2 Exemplo de risco B Alto Extrema Alto Extremo Extrema Extremo Racional: A

7 Atribuições da 2ª linha de Defesa Seg. da Informação dos riscos de TI e Seg. Informação Continuidade Incidentes Apoiar as áreas na gestão dos riscos de confidencialidade, integridade e disponibilidade, considerando a identificação, mensuração e avaliação, mitigação e controle, monitoramento e reporte dos riscos, bem como na aderência (interna e externa) dos processos do Banco Votorantim e BV Financeira Zelar e monitorar as fronteiras de entrada e saída da Rede Interna, detectando, avaliando e desenvolvendo planos de ação para os riscos e incidentes identificados Monitorar e gerenciar as violações de segurança e manipulação de incidentes de segurança e de continuidade dos negócios Promover a educação e conscientização de Segurança da Informação e Continuidade de Negócios

controle, monitoramento e reporte dos riscos, bem como na aderência (interna e externa) dos processos do Banco Votorantim e BV Financeira Zelar e monitorar as fronteiras de entrada e saída da

8 Mapa Geral Segurança da Rede Interna Internet Fronteira de Entrada Exemplos de Controles de Segurança Ambiente Interno Rede Corporativa de Trabalho Meios de Saída da Informação Fronteira de Saída Exemplos de Controles de Segurança Sites Web Clientes (Acesso a recursos disponíveis na Web) Hackers Invasão / / Intrusion Prevention System Ethical Hacking Test Antivirus / Antispam Firewalls Bases de Dados Informações proprietárias e confidenciais Smartphones, tablets Web Estações de Trabalho Impressão Controle e Conexão criptografada Mobile Device Management Acesso mediante usuário e senha Data Loss Prevention Filtro de conteúdo Acesso mediante usuário e senha Criptografia de disco interno certificado de autenticação NAC (validação de componentes) Conscientização Senha para impressão Acesso Remoto Colaborador (Fora do ambiente de trabalho) Parceiros Sites Web Link Dedicado Combate a páginas falsas Controle de Acessos Acessos baseados em perfil por função PenDrive, CD, DVD Conexão Wi-Fi VPN site-to-site Link Dedicado Fotos e Filmagem Descarte Controle de acesso alçada executiva Data Loss Prevention Filtro de Conteúdo Controle de acesso por senha Criptografia na conexão Acesso mediante usuário e senha Criptografia na conexão Acesso mediante usuário e senha Diretrizes de SI para áreas mais críticas Procedimentos de descarte seguro Conscientização

de Dados Informações proprietárias e confidenciais Smartphones, tablets E-mail Web Estações de Trabalho Impressão Controle e Conexão criptografada Mobile Device Management Acesso mediante usuário e

9 Segurança da Informação com foco em GRC SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) Fronteira de Entrada / Intrusion Prevention / System Ethical Hacking Test Antivirus / Antispam Firewalls Combate a páginas falsas Controle de Acessos Fronteira de Saída Smartphones, tablets Web Estações de Trabalho PenDrive, CD, DVD ANÁLISE DE LOGS EQUIPAMENTOS DE SEGURANÇA ATIVIDADES NA REDE SERVIDOR BANCO DE DADOS APLICAÇÃO INFORMAÇÕES DE VULNERABILIDADE INFORMAÇÕES DE CONFIGURAÇÃO COMPORTAMENTAL: ATIVIDADES DE USUÁRIOS HISTÓRICO DE USO SISTEMA GRC Ficha Incidente 9 [INTERNA]

Web Estações de Trabalho PenDrive, CD, DVD ANÁLISE DE LOGS EQUIPAMENTOS DE SEGURANÇA ATIVIDADES NA REDE SERVIDOR BANCO DE DADOS APLICAÇÃO

10 Atribuições da 2ª linha de Defesa Normas Internas Compliance Assegurar que os processos de segurança da Rede Interna estejam aderentes às políticas, normas e procedimentos estabelecidos pelo Consolidadom Votorantim, bem como em relação às normas e regras estabelecidas pelos reguladores, autorreguladores, legisladores e às melhores práticas executadas pelo mercado. Atuar como consultor quer por demanda específica, quer pela participação no Comitê de Controles e nas Comissões Setoriais GRC de Segurança da Informação.

estabelecidas pelos reguladores, autorreguladores, legisladores e às melhores práticas executadas pelo mercado.

11 Atribuições da 2ª linha de Defesa Comitê de Controles Avaliar e monitorar a adequação da estrutura de controles internos do Consolidado em relação à natureza e complexidade dos produtos e serviços oferecidos. Monitorar e avaliar o resultado dos trabalhos das Comissões Setoriais, assim como da Comissão de Prevenção a Fraudes e da Comissão de Prevenção à Lavagem de Dinheiro. Acompanhar, com base nas informações fornecidas pela área de Demandas Regulatórias, os trabalhos de fiscalização por órgãos externos, sendo informada de todo documento ou relatório de fiscalização por órgãos externos. Avaliar os impactos dos normativos legais e exigir a implementação de medidas internas para seu cumprimento. Deliberar sobre as ocorrências relevantes identificadas nos trabalhos de compliance e de controles internos, bem como o andamento e implantação dos respectivos planos de ação. Revisar as políticas de Compliance, de Controles Internos e de Prevenção à Lavagem de Dinheiro e submeter à aprovação do Comitê Executivo. Realizar o acompanhamento das ações de correção para as ocorrências levantadas pelas Auditorias (Interna, Externa, Órgãos Reguladores e Entidades de Auto-Regulação) Acompanhar atividades de Segurança da Informação, inclusive Plano de Continuidade de Negócios, deliberando sobre temas de maior complexidade e relevância para o Consolidado. Monitorar e avaliar a eficácia dos controles internos existentes no processo de elaboração das demonstrações financeiras, relacionados à certificação da administração conforme princípios da SOX 404.

Acompanhar, com base nas informações fornecidas pela área de Demandas Regulatórias, os trabalhos de fiscalização por órgãos externos, sendo informada de todo documento ou relatório de fiscalização

Documentos relacionados

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo