O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações.

Transcrição

1

2 GRC - Governança, Riscos e Compliance já é uma realidade nas organizações. Sua adoção, no entanto, implica no desenvolvimento e na manutenção de um framework que viabilize a integração e colaboração entre as áreas, evitando silos, garantindo maior transparência e consistência nos processos corporativos. O Módulo Risk Manager implementa um processo eficaz para automatização e integração dos processos de Governança, Riscos e Compliance, eliminando silos e reduzindo custos e favorecendo a colaboração entre as áreas. A partir do GRC Metaframework, metodologia proprietária desenvolvida com base em normas e padrões internacionais para gestão de riscos e alinhada à ISO 31000, o Módulo Risk Manager permite a mensuração e controle dos riscos, conformidade com normas e regulamentações exigidas para seu negócio e a governança em TI. O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações. Mapeamento dos ativos, processos de negócios, sistemas e serviços. A organização do inventário é facilmente implementada pela estruturação de perímetros organizacionais. A avaliação dos riscos é realizada pontuando os ativos, de acordo com sua relevância para os negócios da organização. A partir de Bases de Conhecimento constantemente atualizadas, o Módulo Risk Manager realiza análises de riscos e possibilita acompanhar a evolução dos níveis de riscos. O software permite a customização e criação de Bases de Conhecimento de acordo com as necessidades de cada organização. AUTOMAÇÃO DO PROCESSO DE GOVERNANÇA ALINHADO AO COBIT 4.1 Avalia a infraestrutura de TI frente aos objetivos de controles do CobiT, identifica o grau de maturidade e integra o resultado das análises de riscos. GESTÃO DE EVENTOS, CRISES E INCIDENTES Gerencia o ciclo de vida de eventos e incidentes desde o registro até sua resolução, incluindo definição de responsabilidades e ações para tratamento. INVENTÁRIO DE ATIVOS Viabiliza inventário e repositório de ativos tecnológicos e não tecnológicos. Departmento de TI Infraestrutura de TI Roteador Sistema de Gestão de Risco Gerente de TI Recursos Humanos Sistema de Pagamento Gestão de Mudanças Vendas Financeiro Operações Sistema de Vendas Servidor de Banco de Dados (Pagamento)

3 AUTOMATIZAÇÃO DO PROCESSO DE GESTÃO DE RISCOS Gerencia e controla os riscos alinhado à norma ISO Fornece suporte à tomada de decisões facilitando o desenvolvimento de estratégias para controlar e minimizar os riscos a níveis aceitáveis pela organização. Quantitativo MULTI-COMPLIANCE FRAMEWORK METAFRAMEWORK O MetaFramework é um sistema multirregulatório projetado para simplificar a conformidade com diversos padrões e regulamentações simultaneamente. Fundos Particular Processadora Ações Emissora 2% 1% 32% 24% 27% 23% Índice de Não-Complexidade WORKFLOW PARA TRATAMENTO DE RISCOS Permite acompanhar o tratamento de riscos e planos de ação para implementação de controles. GESTÃO DE CONTINUIDADE DE NEGÓCIOS Índice de Risco ALINHADA À NORMA BS / ABNT Apoia e automatiza a implementação de um sistema de Gestão de Continuidade e Contingência, facilitando a criação e atualização dinâmica das informações referentes aos planos e procedimentos. 98% 97% 92% 91% GESTÃO DE MÚLTIPLAS AUDITORIAS Gestores possuem o grande desafio de adequar-se a diversos frameworks, tarefa que exige conhecimento e ações específicas para cada padrão ou regulamentação com que a organização precisa estar em conformidade. AUTOMATIZAÇÃO DO PROCESSO DE CONFORMIDADE COM NORMAS E REGULAMENTAÇÕES: Possibilita avaliar a conformidade com normas e regulamentações tais como SOx, PCI DSS, ISO 27002, Bacen 3380, BS / ABNT NBR 15999, Basiléia II, Shared Assessments Program e outras. Facilita a gestão de múltiplas auditorias através de emissão de relatórios de referência cruzada e repositório de evidências. Matriz de Riscos Avaliação sob a visão Risk Oriented com a identificação e controle dos riscos. A pontuação da Probabilidade e do Impacto de cada Risco permite que a Matriz seja gerada automaticamente. Além disso, é possível gerar relatórios relacionando os elementos do inventário, como Ativos, Perímetros, Componentes de Negócio e controles existentes aos riscos identificados. Riscos Escopo Controles Define os Riscos Indica o escopo Associa aos controles Probabilidade Impacto Relatórios Orientados ao Risco

4 Mobilidade para Coleta de Dados As análises podem ser automatizadas com o uso de dispositivos como iphone, smartphone, questionários web, entrevistas off-line e coletores automáticos em recursos tecnológicos. Divulgação, Controle, Armazenamento e Gerenciamento das Políticas e Normas da Organização Policy Manager Gerenciamento e controle das normas, políticas e diretrizes. Por meio de uma interface web, simples e intuitiva é possível: Distribuir as políticas e normas da organização Definir usuários e responsáveis pela manutenção e atualização dos documentos Implementar fluxo para manutenção, atualização e aprovação das políticas Armazenar evidências, registros de distribuição e leitura dos documentos Controlar versões dos documentos GRC Integration Service Simulação de Cenários What-if Scenario Integração com as principais aplicações e sistemas como Sharepoint, Qualys, Active Director e outros. Suporte aos padrões CPE e CCE do NIST e suporte ao OVAL. Permite simular ações para tratamento de riscos fornecendo apoio à tomada de decisões. Estatísticas da Simulação de Tratamento de Riscos (PSR) 29,2% 52,0% 12,4% 9,5% 12,4% 30,1% 10,4% Gestão de Conhecimento Centraliza e estrutura o conhecimento de riscos e compliance por meio de editores de bases de conhecimento, documentos de referência, fontes de ameaças e pesquisas. Controlado Identificados Em Tratamento 48,0% 48,0% 48,0% Aceitos Não Avaliados Análise Avaliação Simulação Simulação de Estatísticas de Riscos da Avaliação Antes da Simulação Após Simulação PSR (Controles) Risk Index Gap Index Residual PSR (Controles) Risk Index Gap Index Residual Não Avaliados 1473 (50) 29,2% 34,2% Risk: 41,7% 477 (19) 9,5% 13,0% Risk: 21,9% Aceitos 627 (16) 12,4% 11,0% Gap: 45,2% 627 (16) 12,4% 11,0% Gap: 24,0% Em Tratamento 522 (20) 10,4% 13,7% 1518 (51) 30,1% 34,9% Controlados 2418 (60) 48,0% 41,1% 2418 (60) 48,0% 41,1% Painel de Governança Dashboard Informações consolidadas sobre os processos de Governança, R i s c o s e C o m p l i a n c e n a organização. Através de um painel de indicadores com diversas opções de gráficos customizáveis e atualizados automaticamente, o software fornece informações integradas, incluindo índices e m é t r i c a s p a r a g e s t ã o e monitoramento de GRC.

5 Conduzir de forma otimizada projetos de análise de Gaps em Governança, Riscos e Compliance Criar Risk Scorecard, fornecendo visão executiva dos riscos, incluindo índices e métricas que facilitam estabelecer critérios e apoiar a tomada de decisões Obter resultados precisos no processo de conformidade com normas e regulamentações internacionais e de mercado Consolidar os riscos permitindo priorizar investimentos conforme a importância de cada ativo para a organização Acompanhar a evolução dos riscos Gerenciar de forma centralizada Riscos e Compliance, incluindo a evolução histórica Apresentar visão georreferenciada dos riscos Realizar auditorias mais eficientes e com menores custos Gerenciar os requisitos de segurança em múltiplas auditorias, eliminando custos redundantes e controles desnecessários Apoiar a implementação dos requisitos de Certificação para SOx, PCI DSS, ISO 27002, ISO 27001, BS 25999, CobiT, Basiléia II e Shared Assessments program Apoiar a gestão de Planos de Continuidade facilitando a manutenção e recuperação rápida das informações e procedimentos, alinhada à norma BS Facilitar a Gestão de Eventos e Incidentes. O Módulo Risk Manager tem funcionalidades bem estruturadas: mapeamento de controles, gerenciamento de políticas, apoio ao selfassessment, além de coletores automáticos que são amplamente utilizados por seus clientes. O software Módulo Risk Manager deve ser considerado quando se for buscar um produto para riscos e compliance de TI, porque oferece soluções robustas para todas as áreas funcionais da empresa. Os auditores irão apreciar a capacidade da ferramenta em gerar planos de tratamento de riscos para ativos específicos. O guia de tratamento fornecido para cada ativo do escopo é conciso, mas completo.

6 A Módulo é uma empresa brasileira, com atuação global, especializada em prover soluções automatizadas para Governança, Riscos e Compliance (GRC). Com 25 anos de experiência, atua nas áreas de software, consultoria e educação. Primeira empresa de segurança da informação no mundo certificada pela ISO 27001, a Módulo conta com clientes dos mais variados setores, tendo participado de projetos internacionalmente reconhecidos, como as eleições eletrônicas brasileiras, a entrega de imposto de renda via Internet e o Sistema de Pagamentos Brasileiro (SPB). Nos XV Jogos Pan-Americanos realizados no Rio de Janeiro em 2007, a Módulo foi a fornecedora do software Módulo Risk Manager, para gestão de riscos, prevenção, monitoramento e controle de incidentes e crises durante todo o evento. Dentre os prêmios recém-conquistados, destacamse os títulos internacionais Product Innovation Award 2010, Global Product Excellence Awards Customer Trust 2010, na categoria melhor solução em auditoria, e Hot Company 2009, além do Prêmio FINEP de Inovação na categoria Média Empresa Região Sudeste.